Pourquoi wildfire les journaux indiquent qu’une action de fichiers « malveillante » est « autoriser » lorsque le profil anti-virus et malware a été défini pour bloquer

Answer

Il peut y avoir de nombreuses raisons à de tels rapports, pour bien comprendre les résultats Wildfire du rapport, la première étape consiste à identifier le type de fichier.

1.  WildFire ne peut pas bloquer si les soumissions sont Elink.
   • Lorsqu’un e-mail traverse un firewall protocole de messagerie à l’aide d’un Firewall message, les URL http/s sont parsed à partir du corps du message postal. Ces liens sont appelés « liens électroniques ».
   • Par défaut, les liens e-mail extraits sont mis en file d’attente localement firewall dans les lots de (a)100 e-liens ou (b) un certain nombre de liens e-mail collectés au cours d’une fenêtre de deux minutes. Le lot de liens électroniques est ensuite transmis en fonction de WildFire la limite qui est touchée en premier. Le firewall ne stocke pas ou transmettre le message électronique complet.
   • WildFire détermine le URL verdict en utilisant la base de données URL- WildFire d’analyse, et envoie une copie du rapport à la firewall . On peut voir ce verdict sur les journaux WildFire de soumission que le lien électronique était bénin, malveillant, ou phishing.
   • Notez que les actions antivirus et WildFire de bloc de virus sont effectuées sur des fichiers pris en charge WildFire (par exemple, des pièces jointes par e-mail) mais pas sur des liens de messagerie.
   • L’administrateur du réseau peut prendre des mesures pour rendre compte WildFire à l’avance. Comme il ya un délai avant WildFire renvoie le verdict et les utilisateurs peuvent cliquer sur un lien malveillant par erreur, ce lien sera bloqué par l’un des autres profils de protection tels URL que le filtrage anti-spyware DNS ou DNS Security .
   • Pour PAN-OS >=10.0, URL filtering inline ML (machine learning) peut aider à atténuer cette fenêtre d’opportunité. URL Filtrage en ligne ML.

 

• Pour plus d’informations voir Email Link Analysis.

2. Si le type de fichier est " LNK Fichier « , le trafic ne peut pas être bloqué par le firewall .
   • LNK les fichiers sont pris en charge WildFire pour le forwarding et le sandboxing, mais il n’y a pas de support antivirus actuel.
   • L’objectif est de fournir une couverture pour Cortex XDR (Endpoint).
   • Vous pouvez configurer le blocage de fichiers pour LNK les types de fichiers.
   • Si vous avez besoin LNK d’un blocage personnalisé LNK (un fichier spécifique), vous devez créer une signature personnalisée en utilisant le contexte de données de fichiers ici.
   • L’aide à la création de signatures personnalisées ne relève pas du champ d’application de l’offre de services de soutien aux réseaux PaloAlto.
3. Le fichier est inconnu pour WildFire .
   • A verdict pour l’échantillon était inconnu au moment où il a traversé firewall le , et inconnu de et Firewall WildFire .Si un fichier est vu la première fois que cela signifie qu’une signature antivirus n’était pas encore présent, car il ya un délai entre un échantillon inconnu est vu par un firewall , détermine un verdict WildFire malveillant, une signature antivirus est produite, et WildFire un -Virus Dynamic Update déploie la signature dans le firewall .
   • PAN-OS 10.0 ou plus peut atténuer ce problème pour PE les fichiers PowerShell et à l’aide de WildFire mises à jour de signature en temps réel et en WildFire ligne ML.
4. Signatures périmées ou périmées
   • Lorsqu’un échantillon (fichier malveillant) associé à la signature Antivirus n’a pas été récemment observé dans la nature; la signature est déplacée vers le statut « remplacé » (vieilli). Cela signifie que nous avons les informations sur le fichier, cependant, la signature n’est pas inclus dans le AV paquet actuel car il n’est pas aussi populaire.
5. L’ancien paquet ou paquet anti-virus WildFire n’est pas mis à jour en temps opportun
   • La signature n’était pas présente parce que les paquets Antivirus ou WildFire -Virus n’étaient pas mis à jour en temps opportun via dynamic updates
   • DSRI est activé dans la sécurité Policy , ou
   • La licence De prévention des menaces (fonctionnalité antivirus) WildFire ou WildFire (-Virus WildFire et ML Inline) a expiré.
6. Problème de configuration
   • Le protocole utilisé pour la transmission de l’échantillon n’est pas configuré pour bloquer le profil Antivirus.
   • Une exception est créée pour la signature dans le profil AntiVirus. Bien que, firewall le a la signature à bloquer, cependant, en raison d’exceptions pour la signature, il sera adopté.
7. CTD file d’attente d’inspection est pleine.
   • La file CTD d’attente d’inspection était pleine au moment où l’échantillon a été passé, l’inspection était nécessaire. Pour éviter cela, les options suivantes doivent être décochées sous périphérique -> Setup -> Content- ID -> Content- ID Paramètres:
     • Segments avant dépassant la file TCP d’attente d’inspection du contenu (décocher)
     • Datagrams avancés dépassant la file UDP d’attente d’inspection du contenu (décocher)