wildfireアンチウイルスおよびマルウェアプロファイルがブロックするように設定されている場合、ログが「悪意のある」ファイルアクションを「許可」と示す理由

wildfireアンチウイルスおよびマルウェアプロファイルがブロックするように設定されている場合、ログが「悪意のある」ファイルアクションを「許可」と示す理由

45119
Created On 07/16/20 04:12 AM - Last Modified 06/03/22 00:58 AM


Question


I 私のセキュリティプロファイルは、ウイルス対策と署名にブロックするように設定 WildFire されています。 それでも、 I WildFire ファイル/トラフィックの評決が「悪意のある」とアクションが「許可されている」ことを示す提出レポートを受け取ります。

Environment


  • PAN-OS 8.1以上。
  • パロアルトファイアウォール。
  • 脅威対策ライセンス
  • (オプション) WildFire ライセンス

Answer



このようなレポートの結果を正しく理解するには、 Wildfire ファイルタイプを特定する必要があります。
  1.  WildFire 提出物が Elink の場合はブロックできません。
    • メールプロトコルを使用して電子メールをスキャンすると firewall 、そのメールは Firewall メールメッセージの本文からhttp/s URLを解析しました。 これらのリンクは「電子メールリンク」と呼ばれます。
    • デフォルトでは、抽出された電子メールリンクは firewall 、(a)100メールリンクまたは(b)2分間のウィンドウ中に収集された電子メールリンクの数のバッチ内でローカルにキューに入れられます。 電子メールリンクのバッチは、 WildFire 最初にヒットした制限に応じて転送されます。 firewall完全な電子メール メッセージを保存または転送しません。
    • WildFire URL分析データベースを使用して判定を決定 URL- し、 WildFire レポートのコピーを firewall に送信します。 WildFire電子メール リンクが無害、悪意のある、またはフィッシングであったとして、送信ログでこの評決を見ることができます。
    • ウイルス対策と WildFire -virus ブロックのアクションは WildFire 、サポートされているファイル (電子メールの添付ファイルなど) に対して実行されますが、電子メールリンクでは実行されないことに注意してください。
    • ネットワーク管理者は、事前にレポートに対してアクションを実行できます WildFire 。 評決を送り返す前にリードタイムがあり WildFire 、ユーザーが誤って悪意のあるリンクをクリックする可能性があるので、このリンクは URL スパイウェア対策のフィルタリングや DNS DNS Security .
    • PAN-OS>= 10.0 では、 URL インラインフィルター ML (機械学習) は、この機会のウィンドウを軽減するのに役立ちます。 URL インラインでフィルタする ML:
 
ユーザー追加イメージ
  1. ファイルの種類が LNK "File" の場合、トラフィックを firewall ブロックすることはできません。
    • LNK ファイルは WildFire 転送とサンドボックスでサポートされていますが、現在のウイルス対策サポートはありません。
    • 目的は(エンドポイント)のカバレッジを提供 Cortex XDR することです。
    • ファイルタイプのファイルブロックを設定できます LNK 。
    • カスタム ブロック LNK (特定のファイル) が必要な場合 LNK は、ここでfile-data コンテキストを使用してカスタム署名を作成する必要があります。
    • カスタム署名の作成を支援する PaloAlto ネットワークサポート サービスの範囲外です。
  2. ファイルは不明です WildFire 。
    • A サンプルの評決は、 を通過した時点では firewall 不明であり、 と に知られていません Firewall WildFire 。ウイルス対策署名がまだ存在していなかったことを意味するファイルが初めて見られる場合は、 によって不明なサンプルが見られる間にリードタイムが存在し firewall WildFire 、悪意のある判定が判別され、ウイルス対策署名が生成され WildFire 、-Virus Dynamic Update が . firewall
    • PAN-OS 10.0 以上は、 PE WildFire リアルタイムシグネチャの更新 とインラインの助けを借りて、's および PowerShell ファイルのこの問題WildFire を ML軽減できます。
  3. 期限切れまたは古い署名
    • ウイルス対策署名に関連付けられているサンプル(悪意のあるファイル)が最近野生で観察されていない場合。署名は「置換」(期限切れ)状態に移動されます。 つまり、ファイルに関する情報はありますが、シグネチャは現在のパッケージに含まれていません AV 。
  4. 古いアンチウイルスパッケージまたは WildFire パッケージがタイムリーに更新されません
    • ウイルス対策または WildFire -Virus パッケージが動的更新によってタイムリーに更新されなかったため、署名が存在しませんでした。
    • DSRI は 、 セキュリティ 、 または で有効になっています Policy 。
    • 脅威対策 (ウイルス対策機能) または WildFire WildFire (-ウイルスおよび WildFire インライン ML 機能) ライセンスの期限が切れました。
  5. 構成の問題
    • サンプルの送信に使用されるプロトコルは、ウイルス対策プロファイルでブロックするように構成されていません。
    • ウイルス対策プロファイルのシグネチャに対して例外が作成されます。 ただし、ブロック firewall するシグネチャは、署名の例外により渡されます。
  6. CTD 検査キューがいっぱいです。
    • CTD検査キューは、検査が必要なサンプルが通過した時点で満杯でした。 これを防ぐには、[デバイス -> セットアップ - > コンテンツ - -> コンテンツ - 設定] で、次のオプションをオフにする必要があります ID ID 。
      • コンテンツ検査キューを超えるセグメントを転送 TCP する (オフ)
      • コンテンツ検査キューを超えるデータグラム UDP を転送する (オフ)

Additional Information


  • 実際にブロックされたファイルの PAN-79640 送信ログに「重大度の高い」ファイルを断続的に表示できる製品の欠陥 ( ) があります WildFire 。
  • その場合は、虫眼鏡アイコンの提出ログエントリの左をクリックして詳細ログビューを開 WildFire き、下部パネルで相関ログエントリを確認します。 実際にファイルをブロックした脅威防止機能がある可能性があるため、これらを調べていきます。
  • PAN-79640 PAN-OSは、8.1.8、9.0.13、および 9.1.7 で解決されることを目標とします PAN-OS 。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UshCAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language