でマルウェアとして検出された同じスクリプト ファイルの複数のダウンロードWildfireブロックされないWildfire/ウイルス対策の脅威防止シグネチャ
Symptom
同じ悪意のあるスクリプト ファイル (VBAこの場合) は、firewall一日に何度も。 Wildfire はこのサンプルをマルウェアとして常に検出しており、アクションは「許可」、重大度は「高」です。 これは、Wildfire / Antivirus Threat Prevention シグネチャ イベント ハフWildfire/ウイルス対策署名はセキュリティ プロファイルで「ブロック」に設定され、セキュリティに添付されますpolicy.
Resolution
これは期待どおりに機能しています:
でサポートされているファイル タイプへのリンクを以下に示します。Wildfire分析:
https://docs.paloaltonetworks.com/wildfire /10-2/wildfire -管理者/wildfire -概要/wildfire -ファイルタイプのサポート
https://docs.paloaltonetworks.com/wildfire /紫外線/wildfire -新着情報/最新-wildfire -cloud-features/html-application-and-link-file-analysis以下のドキュメントを参照して、サポート対象のファイル タイプを見つけてください。Wildfireおよびウイルス対策の脅威防止シグネチャ:
https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -admin/threat-prevention/threat-signatures
Wildfire スクリプト ファイルではアップロードと判定の生成がサポートされていますが、スクリプトでは脅威防止シグネチャの生成はサポートされていません。
の考え方Wildfire署名の生成がサポートされていなくてもこれらのファイルをサポートするのは、これらの悪意のあるファイルがfirewallアクション「許可」としてブロックされていませんWildfire提出ログ。 これらのファイルはブロックされていないため、重大度は「高」に設定されています。firewall .
この段階で、お客様はチェックする必要がありますXDRエージェントまたは他のエンドポイントは、これらのファイルがエンドポイント保護によってブロックされているかどうかを確認し、ブロックされていない場合は必要な手順を実行します。の範囲Wildfireスクリプト ファイルの判定を提供することです。また、スクリプト内に存在する悪意のある URL をマルウェア/C2 として分類します。PAN-DB (また生成するDNS署名)。 DNS Security とURLフィルタリング機能を利用して、これらの URL への接続をブロックできます。
カバレッジを説明する以下のドキュメントも確認してください。
https://docs.paloaltonetworks.com/wildfire /紫外線/wildfire -新着情報/最新-wildfire -cloud-features/script-sample-support
"悪意のあるスクリプトが発見されると、WildFireクラウドは C2 を生成して配布し、DNSスクリプトベースの攻撃の成功を防ぐためのファイアウォールへの署名"このシナリオは、次のような他のファイル タイプに適用できます。LNK同様に、署名の生成はサポートされていません。
Additional Information
追記として、Wildfire列をなしてMLのブロックをサポートPSおよびシェル スクリプト:
https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -管理者/脅威防止/wildfire -インライン-ml