Por qué wildfire los registros indican que una acción de archivos "maliciosos" es "permitir" cuando anti-virus y perfil de malware se estableció para bloquear

Answer

Puede haber muchas razones para estos informes, para entender los resultados del Wildfire informe correctamente, el primer paso es identificar el tipo de archivo.

1.  WildFire no puede bloquear si los envíos son Elink.
   • Cuando un correo electrónico atraviesa un firewall uso de protocolos de correo, las Firewall direcciones URL http/s analizadas desde el cuerpo del mensaje de correo. Estos enlaces se denominan "enlaces de correo electrónico".
   • De forma predeterminada, los vínculos de correo electrónico extraídos se ponen en cola localmente en los firewall lotes de (a)100 enlaces de correo electrónico o (b) una serie de vínculos de correo electrónico recopilados durante una ventana de dos minutos. A continuación, el lote de enlaces de correo electrónico se reenvía WildFire en función del límite que se alcance primero. firewallNo almacena ni reenvía el mensaje de correo electrónico completo.
   • WildFire determina el URL veredicto mediante la base de datos de análisis y envía una copia del informe al archivo URL- WildFire firewall . Se puede ver este veredicto en los WildFire registros de envío como email-link era benigno, malicioso, o phishing.
   • Tenga en cuenta que las acciones de antivirus y WildFire bloques de virus se llevan a cabo en archivos WildFire compatibles (por ejemplo, archivos adjuntos de correo electrónico) pero no en enlaces de correo electrónico.
   • El administrador de red puede realizar una acción al WildFire informar con antelación. Como hay un plazo antes de WildFire enviar el veredicto de vuelta y los usuarios pueden hacer clic en un enlace malicioso por error, este enlace será bloqueado por cualquiera de los otros perfiles de protección como URL Filtrado anti-Spyware DNS o DNS Security .
   • Para PAN-OS >=10.0, URL Filtrar en línea ML (Machine Learning) puede ayudar a mitigar esta ventana de oportunidad. URL Filtrado en línea ML.

 

• Para obtener más información, consulte Análisis de vínculos de correo electrónico.

2. Si el tipo de archivo es LNK "Archivo", el tráfico no puede ser bloqueado por el firewall .
   • LNK los archivos son compatibles con WildFire el reenvío y el espacio aislado, pero no hay soporte antivirus actual.
   • El propósito es proporcionar cobertura para Cortex XDR (Endpoint).
   • Puede configurar el bloqueo de archivos para LNK los tipos de archivo.
   • Si necesita bloqueo personalizado LNK (un LNK archivo específico), tendría que crear una firma personalizada utilizando el contexto de datos de archivo aquí.
   • La ayuda para crear firmas personalizadas queda fuera del ámbito de la oferta de servicios de soporte de PaloAlto Networks.
3. El archivo es desconocido para WildFire .
   • A veredicto para la muestra se desconocía en el momento en que atravesó el firewall , y desconocido para y Firewall WildFire .Si un archivo se ve la primera vez que significa que una firma antivirus aún no estaba presente, ya que hay un tiempo de entrega entre un ejemplo desconocido es visto por un firewall , determina un veredicto WildFire malicioso, se produce una firma antivirus y una WildFire actualización dinámica de virus implementa la firma en el archivo firewall .
   • PAN-OS 10.0 o superior puede mitigar este problema para PE 's y archivos de PowerShell con la ayuda de actualizaciones de firmas en WildFire tiempo real e WildFire inline ML.
4. Firmas antiéditas o obsoletas
   • Cuando una muestra (archivo malicioso) asociado con la firma Antivirus no se ha observado recientemente en la naturaleza; la firma se mueve al estado "reemplazado" (envejecido). Eso significa que tenemos la información sobre el archivo, sin embargo, la firma no se incluye en el AV paquete actual, ya que no es tan popular.
5. El paquete o paquete anti-virus antiguo WildFire no se actualiza oportunamente
   • La firma no estaba presente porque los paquetes Antivirus o WildFire -Virus no se actualizaron oportunamente a través de actualizaciones dinámicas
   • DSRI está habilitado en la Policy seguridad, o
   • La función Prevención de amenazas (característica Antivirus) o la WildFire licencia ( WildFire -Virus y WildFire funciones en ML línea) caducaron.
6. Problema de configuración
   • El protocolo utilizado para la transmisión de la muestra no está configurado para bloquearse en el perfil Antivirus.
   • Se crea una excepción para la firma en el perfil de Antivirus. Aunque, el firewall tiene la firma para bloquear, sin embargo, debido a las excepciones para la firma que se pasará.
7. CTD la cola de inspección está llena.
   • La CTD cola de inspección estaba llena en el momento en que se pasó la muestra, se requirió la inspección. Para evitarlo, se deben desactivar las siguientes opciones en Configuración del dispositivo -> -> Contenido- ID -> Contenido- ID Configuración:
     • Reenviar segmentos que excedan la TCP cola de inspección de contenido (desmarcar)
     • Reenviar datagramas que excedan la UDP cola de inspección de contenido (desmarcar)