Mehrfacher Download derselben Skriptdatei, die als Malware erkannt wird, wird nicht Wildfire von Wildfire/Antivirus Threat Prevention-Signatur blockiert
Symptom
Dieselbe bösartige Skriptdatei (VBA in diesem Fall) durchläuft die mehrmals im Laufe des firewall Tages. Wildfire erkennt dieses Beispiel ständig als Malware mit der Aktion "Zulassen" und dem Schweregrad "Hoch". Dies wird nicht durch das WildfireEreignis / Antivirus Threat Prevention-Signaturen blockiert hough Wildfire/Antivirus-Signaturen werden im Sicherheitsprofil auf 'Blockieren' gesetzt und an die Sicherheit policyangehängt.
Resolution
Dies funktioniert wie erwartet:
Nachfolgend finden Sie den Link zu den für die Analyse unterstützten Wildfire Dateitypen:
https://docs.paloaltonetworks.com/wildfire/10-2/wildfire-admin/wildfire-overview/wildfire-file-type-support
https://docs.paloaltonetworks.com/wildfire/u-v/-whats-new/latest--cloud-features/wildfirehtml-application-and-link-file-analysiswildfireLesen Sie das folgende Dokument, um die Dateitypen zu finden, für die wir unterstützen Wildfire , und Signaturen zum Schutz vor Antivirusbedrohungen:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/threat-prevention/threat-signatures
Wildfire Das Hochladen und Generieren von Urteilen wird für Skriptdateien unterstützt, die Generierung von Signaturen zur Bedrohungsabwehr jedoch nicht für Skripts.
Die Idee der Wildfire Unterstützung für diese Dateien, obwohl die Signaturgenerierung nicht unterstützt wird, besteht darin, die Kunden darüber zu informieren, dass diese bösartigen Dateien die Aktion "erlauben" Wildfire im Übermittlungsprotokoll durchlaufenfirewall, aber nicht blockiert wurden. Der Schweregrad ist auf 'Hoch' eingestellt, da diese Dateien nicht von der firewallblockiert wurden.
In dieser Phase sollten Kunden Agenten oder andere Endpunkte überprüfen und überprüfen XDR , ob diese Dateien durch Endpunktschutz blockiert wurden, und/oder die erforderlichen Schritte unternehmen, wenn sie nicht blockiert wurden.Der Zweck von Wildfire ist es, ein Urteil für Skriptdateien zu fällen, wir werden auch alle bösartigen URLs, die im Skript vorhanden sind, als Malware / C2 in PAN-DB klassifizieren (und auch Signaturen generieren DNS ). DNS Security und URL Filterfunktion kann genutzt werden, um Verbindungen zu diesen URLs zu blockieren.
Überprüfen Sie auch das folgende Dokument, das die Abdeckung erklärt:
https://docs.paloaltonetworks.com/wildfire/u-v/-whats-new/latest--cloud-features/wildfirescript-sample-supportwildfire
"Wenn ein bösartiges Skript entdeckt wird, generiert die WildFire Cloud C2 und Signaturen und DNS verteilt sie an Firewalls, um erfolgreiche skriptbasierte Angriffe zu verhindern."Dieses Szenario gilt auch für andere Dateitypen LNK , für die wir die Signaturgenerierung nicht unterstützen.
Additional Information
Darüber hinaus Wildfire unterstützt Inline ML das Blockieren von PS und Shell-Skripten:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/threat-prevention/wildfire-inline-ml