为什么 wildfire 日志指示"恶意"文件操作是"允许的",当防病毒和恶意软件配置文件设置为阻止

为什么 wildfire 日志指示"恶意"文件操作是"允许的",当防病毒和恶意软件配置文件设置为阻止

45113
Created On 07/16/20 04:12 AM - Last Modified 06/03/22 00:58 AM


Question


I 将我的安全配置文件设置为阻止防病毒和 WildFire 签名。 不过, I 请收到一 WildFire 份提交报告,表明文件/流量判决是"恶意的",并且"允许"采取行动。

Environment


  • PAN-OS 8.1 及以上。
  • 帕洛阿尔托防火墙。
  • 威胁防护许可证
  • (可选) WildFire 许可证

Answer



这种报告的原因有很多,要 Wildfire 正确理解报告的结果,第一步是确定文件类型。
  1.  WildFire 无法阻止提交是"链接"。
    • 当电子邮件通过 firewall 使用邮件协议时, Firewall 会从邮件的正文中解析 http/s 网址。 这些链接称为"电子邮件链接"。
    • 默认情况下,提取的电子邮件链接会 firewall 分批在本地排队(a) 100 个电子邮件链接或 (b) 在两分钟内收集的多个电子邮件链接。 然后,根据 WildFire 首先达到的限值,将电子邮件链接批次转发到。 firewall不存储或转发完整的电子邮件。
    • WildFire URL使用 URL- 分析数据库确定判决结果,并将 WildFire 报告副本发送给 firewall 。 人们可以看到 WildFire 提交日志上的此判决,因为电子邮件链接是良性的、恶意的或网络钓鱼的。
    • 请注意,防病毒和 WildFire 病毒阻止操作是在 WildFire 支持的文件(例如电子邮件附件)上执行的,但不是在电子邮件链接上执行的。
    • 网络管理员可以 WildFire 提前报告。 由于在发送判决书之前有一个提前时间 WildFire ,用户可以错误地单击恶意链接,此链接将被任何其他保护配置文件(如 URL 过滤反间谍软件 DNS 或 DNS Security .
    • 对于 PAN-OS >=10.0, URL 过滤内联 ML (机器学习)可以帮助缓解这一机会之窗。 URL 过滤内联 ML
 
用户添加的图像
  1. 如果文件类型为" LNK 文件",则无法阻止流量 firewall 。
    • LNK 文件支持 WildFire 转发和沙盒,但没有当前的防病毒支持。
    • 目的是为 Cortex XDR (终点)提供保险。
    • 您可以为 LNK 文件类型配置文件阻止。
    • 如果您需要自定义 LNK 阻止(特定 LNK 文件),则需要使用此处的文件数据上下文创建自定义签名。
    • 帮助创建自定义签名不属于 PaloAlto 网络支持服务产品的范围。
  2. 该文件是未知 WildFire 的。
    • A 样本的判决是未知的,当它穿越, firewall 并不知道 Firewall 和 WildFire 。如果第一次看到文件,这意味着防病毒签名尚未存在,因为未知样本之间的提前时间由 a 看到 firewall , WildFire 确定恶意判决,生成防病毒签名,并且 WildFire 病毒动态更新部署签名 firewall 。
    • PAN-OS 10.0或更高可以减轻这个问题 PE 的'和PowerShell文件的帮助下WildFire ,实时签名更新WildFire 内联 ML
  3. 过时的或陈旧的签名
    • 当最近未在野外观察到与防病毒签名关联的示例(恶意文件)时;签名将移动到"替换"(老化)状态。 这意味着我们有关于文件的信息,但是,签名不包括在当前 AV 包中,因为它不是那么受欢迎。
  4. 旧防病毒包或 WildFire 包未及时更新
    • 签名不存在,因为防病毒软件或 WildFire 病毒包没有通过动态更新及时更新
    • DSRI 在安全中启用 Policy ,或
    • 防威胁(防病毒功能)或 WildFire ( WildFire 病毒和 WildFire 内联 ML 功能)许可证已过期。
  5. 配置问题
    • 用于传输示例的协议未配置为在防病毒配置文件中阻止。
    • 为防病毒配置文件中的签名创建异常。 虽然, firewall 有签名要阻止,但是,由于签名的例外,它将被传递。
  6. CTD 检查队列已满。
    • CTD在样品通过时,检查队列已满,需要检查。 为防止这种情况,应在设备->设置->内容 ID ->内容-设置下取消检查以下选项 ID :
      • 超出 TCP 内容检查队列的转发段(未检查)
      • 超出 UDP 内容检查队列的远期数据图(未检查)

Additional Information


  • 有一个产品缺陷 PAN-79640 ()可以间歇性地显示一个"高严重度"文件,在提交日志中显示"允许操作 WildFire ",用于实际被阻止的文件。
  • 要验证是否是这种情况,请单击 WildFire 放大镜图标上的提交日志条目的左侧打开详细的日志视图,并在下面板中探索相关日志条目。 浏览这些内容,因为可能有一个威胁防护功能确实屏蔽了文件。
  • PAN-79640 目标为 PAN-OS 8.1.8、9.0.13和 PAN-OS 9.1.7.10.0不受影响。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UshCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language