为什么 wildfire 日志指示"恶意"文件操作是"允许的",当防病毒和恶意软件配置文件设置为阻止
45113
Created On 07/16/20 04:12 AM - Last Modified 06/03/22 00:58 AM
Question
I 将我的安全配置文件设置为阻止防病毒和 WildFire 签名。 不过, I 请收到一 WildFire 份提交报告,表明文件/流量判决是"恶意的",并且"允许"采取行动。
Environment
- PAN-OS 8.1 及以上。
- 帕洛阿尔托防火墙。
- 威胁防护许可证
- (可选) WildFire 许可证
Answer
这种报告的原因有很多,要 Wildfire 正确理解报告的结果,第一步是确定文件类型。
- WildFire 无法阻止提交是"链接"。
- 当电子邮件通过 firewall 使用邮件协议时, Firewall 会从邮件的正文中解析 http/s 网址。 这些链接称为"电子邮件链接"。
- 默认情况下,提取的电子邮件链接会 firewall 分批在本地排队(a) 100 个电子邮件链接或 (b) 在两分钟内收集的多个电子邮件链接。 然后,根据 WildFire 首先达到的限值,将电子邮件链接批次转发到。 firewall不存储或转发完整的电子邮件。
- WildFire URL使用 URL- 分析数据库确定判决结果,并将 WildFire 报告副本发送给 firewall 。 人们可以看到 WildFire 提交日志上的此判决,因为电子邮件链接是良性的、恶意的或网络钓鱼的。
- 请注意,防病毒和 WildFire 病毒阻止操作是在 WildFire 支持的文件(例如电子邮件附件)上执行的,但不是在电子邮件链接上执行的。
- 网络管理员可以 WildFire 提前报告。 由于在发送判决书之前有一个提前时间 WildFire ,用户可以错误地单击恶意链接,此链接将被任何其他保护配置文件(如 URL 过滤反间谍软件 DNS 或 DNS Security .
- 对于 PAN-OS >=10.0, URL 过滤内联 ML (机器学习)可以帮助缓解这一机会之窗。 URL 过滤内联 ML。
- 有关详细信息,请参阅 电子邮件链接分析。
- 如果文件类型为" LNK 文件",则无法阻止流量 firewall 。
- LNK 文件支持 WildFire 转发和沙盒,但没有当前的防病毒支持。
- 目的是为 Cortex XDR (终点)提供保险。
- 您可以为 LNK 文件类型配置文件阻止。
- 如果您需要自定义 LNK 阻止(特定 LNK 文件),则需要使用此处的文件数据上下文创建自定义签名。
- 帮助创建自定义签名不属于 PaloAlto 网络支持服务产品的范围。
- 该文件是未知 WildFire 的。
- A 样本的判决是未知的,当它穿越, firewall 并不知道 Firewall 和 WildFire 。如果第一次看到文件,这意味着防病毒签名尚未存在,因为未知样本之间的提前时间由 a 看到 firewall , WildFire 确定恶意判决,生成防病毒签名,并且 WildFire 病毒动态更新部署签名 firewall 。
- PAN-OS 10.0或更高可以减轻这个问题 PE 的'和PowerShell文件的帮助下WildFire ,实时签名更新 和WildFire 内联 ML。
- 过时的或陈旧的签名
- 当最近未在野外观察到与防病毒签名关联的示例(恶意文件)时;签名将移动到"替换"(老化)状态。 这意味着我们有关于文件的信息,但是,签名不包括在当前 AV 包中,因为它不是那么受欢迎。
- 旧防病毒包或 WildFire 包未及时更新
- 签名不存在,因为防病毒软件或 WildFire 病毒包没有通过动态更新及时更新
- DSRI 在安全中启用 Policy ,或
- 防威胁(防病毒功能)或 WildFire ( WildFire 病毒和 WildFire 内联 ML 功能)许可证已过期。
- 配置问题
- 用于传输示例的协议未配置为在防病毒配置文件中阻止。
- 为防病毒配置文件中的签名创建异常。 虽然, firewall 有签名要阻止,但是,由于签名的例外,它将被传递。
- CTD 检查队列已满。
- CTD在样品通过时,检查队列已满,需要检查。 为防止这种情况,应在设备->设置->内容 ID ->内容-设置下取消检查以下选项 ID :
- 超出 TCP 内容检查队列的转发段(未检查)
- 超出 UDP 内容检查队列的远期数据图(未检查)
- CTD在样品通过时,检查队列已满,需要检查。 为防止这种情况,应在设备->设置->内容 ID ->内容-设置下取消检查以下选项 ID :
Additional Information
- 有一个产品缺陷 PAN-79640 ()可以间歇性地显示一个"高严重度"文件,在提交日志中显示"允许操作 WildFire ",用于实际被阻止的文件。
- 要验证是否是这种情况,请单击 WildFire 放大镜图标上的提交日志条目的左侧打开详细的日志视图,并在下面板中探索相关日志条目。 浏览这些内容,因为可能有一个威胁防护功能确实屏蔽了文件。
- PAN-79640 目标为 PAN-OS 8.1.8、9.0.13和 PAN-OS 9.1.7.10.0不受影响。