Warum wildfire Protokolle darauf hinweisen, dass eine Aktion mit "bösartigen Dateien" "zulassen" ist, wenn Anti-Virus und Malware-Profil auf Blockieren festgelegt wurde

Answer

Es kann viele Gründe für eine solche Berichterstattung geben, um die Ergebnisse des Berichts richtig zu Wildfire verstehen, ist der erste Schritt, den Dateityp zu identifizieren.

1.  WildFire kann nicht blockiert werden, wenn es sich bei den Übermittlungen um Elink handelt.
   • Wenn eine E-Mail durch ein firewall verwendendes E-Mail-Protokoll durchläuft, analysiert der Firewall die http/s-URLs aus dem Text körper der E-Mail-Nachricht. Diese Links werden als "E-Mail-Links" bezeichnet.
   • Standardmäßig werden die extrahierten E-Mail-Links lokal in den firewall Batches von (a)100 E-Mail-Links oder (b) einer Reihe von E-Mail-Links, die während eines zweiminütigen Zeitfensters gesammelt wurden, in die Warteschlange eingereiht. Der Stapel von E-Mail-Links wird dann weitergeleitet, WildFire je nachdem, welches Limit zuerst erreicht wird. Der firewall speichert oder leitet die vollständige E-Mail-Nachricht nicht weiter.
   • WildFire bestimmt das URL Urteil mithilfe der URL- Analysedatenbank und sendet eine Kopie des WildFire Berichts an die firewall . Sie können dieses Urteil in den WildFire Übermittlungsprotokollen sehen, da der E-Mail-Link gutartig, bösartig oder phishing war.
   • Beachten Sie, dass die Aktionen Antivirus und WildFire -virus-Block für WildFire unterstützte Dateien (z. B. E-Mail-Anhänge), jedoch nicht für E-Mail-Links ausgeführt werden.
   • Der Netzwerkadministrator kann im Voraus eine Aktion zur WildFire Berichterstattung ergreifen. Da es eine Vorlaufzeit gibt, bevor das Urteil zurückgesendet wird WildFire und Benutzer versehentlich auf einen bösartigen Link klicken können, wird dieser Link von einem der anderen Schutzprofile wie Filtern von URL Anti-Spyware DNS oder DNS Security blockiert.
   • Bei PAN-OS >=10.0 URL kann das Filtern von Inline ML (Machine Learning) dazu beitragen, dieses Zeitfenster zu verringern. URL Filtern von Inline ML.

 

• Weitere Informationen finden Sie unter E-Mail-Link-Analyse.

2. Wenn der Dateityp "Datei" lautet, LNK kann der Datenverkehr nicht durch die blockiert firewall werden.
   • LNK Dateien werden für WildFire Weiterleitung und Sandboxing unterstützt, es gibt jedoch keine aktuelle Antivirus-Unterstützung.
   • Der Zweck besteht darin, eine Abdeckung für Cortex XDR (Endpunkt) bereitzustellen.
   • Sie können die Dateiblockierung für LNK Dateitypen konfigurieren.
   • Wenn Sie eine benutzerdefinierte LNK Blockierung (eine bestimmte Datei) benötigen, LNK müssen Sie hiereine benutzerdefinierte Signatur mit dem Dateidatenkontext erstellen.
   • Hilfe beim Erstellen benutzerdefinierter Signaturen fällt nicht in den Rahmen des PaloAlto Networks Support Service-Angebots.
3. Die Datei ist unbekannt WildFire für .
   • A Urteil für die Probe war unbekannt, als es durchquerte die firewall , und unbekannt und Firewall WildFire .Wenn eine Datei zum ersten Mal angezeigt wird, bedeutet dies, dass eine Antivirussignatur noch nicht vorhanden war, da eine Vorlaufzeit zwischen einem unbekannten Beispiel von einem angezeigt firewall wird, WildFire ein böswilliges Urteil bestimmt, eine Antivirussignatur erstellt wird und ein WildFire -Virus Dynamic Update die Signatur im firewall bereitstellt.
   • PAN-OS 10.0 oder höher kann dieses Problem für PE 's- und PowerShell-Dateien mit Hilfe von WildFire Echtzeitsignaturaktualisierungen und Inline -Signaturupdates und WildFire Inline MLbeheben.
4. Alters- oder veraltete Signaturen
   • Wenn ein Beispiel (bösartige Datei), das mit der Antivirus-Signatur verknüpft ist, in freier Wildbahn nicht beobachtet wurde; Die Signatur wird in den Status "ersetzt" (ausgealtert) verschoben. Das bedeutet, dass wir die Informationen über die Datei haben, aber die Signatur ist nicht im aktuellen Paket enthalten, AV da es nicht so beliebt ist.
5. Altes Anti-Virus-Paket oder WildFire -Paket wird nicht rechtzeitig aktualisiert
   • Die Signatur war nicht vorhanden, da die Antivirus- oder WildFire -Virus-Pakete nicht rechtzeitig über dynamische Updates aktualisiert wurden.
   • DSRI aktiviert ist, Policy oder
   • Die Threat Prevention (Antivirus-Funktion) oder die WildFire ( WildFire -Virus- und WildFire Inline-Funktionen) ML Lizenz abgelaufen.
6. Konfigurationsproblem
   • Das für die Übertragung des Beispiels verwendete Protokoll ist nicht so konfiguriert, dass es im Antivirusprofil blockiert wird.
   • Für die Signatur im AntiVirus-Profil wird eine Ausnahme erstellt. Obwohl die Signatur blockiert werden soll, wird sie firewall aufgrund von Ausnahmen für die Signatur übergeben.
7. CTD Inspektionswarteschlange ist voll.
   • Die CTD Inspektionswarteschlange war zum Zeitpunkt des Bestandens der Probe voll, die Inspektion war erforderlich. Um dies zu verhindern, sollten die folgenden Optionen unter Device -> Setup -> Content- ID -> Content- Settings deaktiviert ID werden:
     • Vorwärtssegmente, die TCP die Inhaltsinspektionswarteschlange überschreiten (uncheck)
     • Weiterleitung von Datagrammen, die UDP die Inhaltsinspektionswarteschlange überschreiten (uncheck)