如何检查电子邮件链接转发是否发生在 Firewall
11348
Created On 04/06/19 09:54 AM - Last Modified 10/22/24 12:37 PM
Objective
WildFire发现恶意或网络钓鱼的电子邮件链接记录 firewall 在 WildFire 提交日志条目上。 即使设备>设置>启 WildFire 用了">一般设置>报告 Benign 文件",如果页面被检测为良性,也不会生成日志。 这是预期的行为。
我们如何验证 firewall 转发电子邮件链接以 WildFire 供分析?
Environment
Procedure
第 1 步: 确认带有链接的电子邮件已通过电子邮件, firewall 并使用以下命令( CLI 此输出不在 Web 界面中)验证电子邮件链接转发是否正在发生)
admin@PA-VM> grep pattern email-link mp-log wildfire-upload.log 2019-04-06 17:27:57 +0800: https://www.paloaltonetworks.com/products/secure-the-cloud email-link upload success PUB 62 11 58 0x10001c allow 2019-04-06 17:27:57 +0800: https://en.wikipedia.org/wiki/cloud email-link upload success PUB 52 9 53 0x10001c allow admin@PA-VM>
第 2 步: FWD_CNT_LOCAL_FILE_PUB旁边的计数也随着每个电子邮件链接的转发而增加
admin@PA-VM> show wildfire statistics | match FWD_CNT_LOCAL_FILE FWD_CNT_LOCAL_FILE_PUB 6
Additional Information
有关其他信息,请参阅下面的文章。
wildfire https://docs.paloaltonetworks.com//8-1/- wildfire 管理员/ wildfire 概述 wildfire /-concepts/email-link-analysis.html https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3GCAS