多次下载同一脚本文件被检测为恶意软件Wildfire没有被阻止Wildfire/Antivirus 威胁预防签名
Symptom
相同的恶意脚本文件(VBA在这种情况下)正在遍历firewall全天多次。 Wildfire 始终将此示例检测为恶意软件,操作为“允许”且严重性为“高”。 这不会被阻止Wildfire/ Antivirus Threat Prevention 签名事件 houghWildfire /防病毒签名在安全配置文件中设置为“阻止”并附加到安全policy.
Resolution
这按预期工作:
在下面找到支持的文件类型的链接Wildfire分析:
https://docs.paloaltonetworks.com/wildfire /10-2/wildfire -行政/wildfire -概述/wildfire -文件类型支持
https://docs.paloaltonetworks.com/wildfire /紫外线/wildfire -什么是新的/最新的-wildfire -cloud-features/html-application-and-link-file-analysis查看以下文档以找到我们支持的文件类型Wildfire和防病毒威胁预防特征:
https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -admin/威胁预防/威胁签名
Wildfire 脚本文件支持上传和判定生成,但脚本不支持威胁防护签名生成。
的想法Wildfire即使不支持签名生成也支持这些文件是为了让客户知道这些恶意文件已经通过firewall但不会因为“允许”操作而被阻止Wildfire提交日志。 严重性设置为“高”,因为这些文件尚未被阻止firewall.
在此阶段客户应检查XDR代理或其他端点并查看这些文件是否已被端点保护阻止和/或如果未被阻止则采取必要的步骤。的范围Wildfire是为脚本文件提供判决,我们还将脚本中存在的任何恶意 URL 分类为 Malware/C2PAN-DB (并且还生成DNS签名)。 DNS Security 和URL可以利用过滤功能来阻止与这些 URL 的连接。
还要检查以下说明覆盖范围的文档:
https://docs.paloaltonetworks.com/wildfire /紫外线/wildfire -什么是新的/最新的-wildfire -cloud-features/script-sample-support
“当发现恶意脚本时,WildFire云生成和分发 C2 和DNS防火墙签名以防止成功的基于脚本的攻击“此方案适用于其他文件类型,例如LNK我们也不支持签名生成。
Additional Information
另外请注意,Wildfire排队ML支持拦截PS和 Shell 脚本:
https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -管理员/威胁预防/wildfire -内联-ml