Wie kann I überprüft werden, ob WildFire sein volles Potenzial genutzt wird?

Wie kann I überprüft werden, ob WildFire sein volles Potenzial genutzt wird?

1) Lassen Sie eine gültige WildFire Lizenz in der implementiert firewall haben.

2) Führen Sie PAN-OS 10.0 aus, um Die Vorteile von WildFire Inline- ML und Echtzeit-Signaturen zu nutzen.

3) Wählen Sie Ihre dynamischen Updates in WildFire Echtzeit passieren. Wenn noch nicht in 10.0, stellen Sie sie jede Minute auf Download-and-Installation ein.

4) Wählen Sie alle WildFire Aktionen zum Zurücksetzen sowohl im Antivirus-Profil aus.

5) Wählen Sie alle ML Inline-Aktionen zum Zurücksetzen im Antivirus-Profil aus.

6) Aktivieren Sie das Inline-Modul ML für die verfügbaren Machine Learning-Modelle (derzeit gibt es ein und zwei PE PowerShell-Modelle). ML

7) Stellen Sie sicher, dass SSL Decryption (Forward Proxy) implementiert ist.

8) Wenn Decryption aktiviert ist, stellen Sie sicher, dass Sie Daten aus entschlüsselten Inhalten weiterleiten (Sie können dies unter ID Inhaltseinstellungen unter Setup auf der Registerkarte Gerät finden), andernfalls werden Dateien, die aus einer entschlüsselten Sitzung extrahiert wurden, nicht an die WildFire Cloud weitergeleitet.

9) Wenn Sie über einen SMTP Server verfügen, deaktivieren Sie die STARTTLS Erweiterung in Ihrem Mailserver, um zu verhindern, dass die TLS Erkennung durch Verschlüsselung umgangen wird, oder extrahieren Sie das Zertifikat und den privaten Schlüssel von Ihrem E-Mail-Server und importieren Sie sie in Ihren firewall Zertifikatspeicher von ,,Um eingehende SSL Inspektionen für eingehenden SMTP Datenverkehr einzurichten.

10) Die CTD Inspektionswarteschlange kann zum Zeitpunkt der Inspektion voll sein und kann zu übersprungenen Erkennungen führen. Um dies zu verhindern, sollten die folgenden Optionen unter Geräte> Setup > Content- ID > Content-Einstellungen deaktiviert ID werden:

• Vorwärtssegmente, die TCP die Inhaltsinspektionswarteschlange überschreiten (uncheck)
• Weiterleitung von Datagrammen, die UDP die Inhaltsinspektionswarteschlange überschreiten (uncheck)

11) Legen Sie die WildFire Dateigrößen auf empfohlene Best Practice-Werte fest.

12) Bewerten Sie, ob es Dateitypen gibt, die nicht an die Public Cloud weitergeleitet werden sollten, und verhindern Sie, dass sie im Analyseprofil weitergeleitet WildFire werden.

13) Bewerten Sie, ob Sie verhindern möchten, dass HTTP Range (Download-Wiederaufnahme) erlaubt wird, andernfalls deaktivieren Sie es (obwohl dies Probleme mit http-Video-Anwendungen verursachen kann). Sie können dies über Die ID Inhaltseinstellungen unter Setup auf der Registerkarte Gerät deaktivieren). Das Kontrollkästchen heißt HTTP "Partial Response zulassen". Wenn ein Download abgerufen wird, um nach dem Blockieren durch die mit einem Offset fortzufahren, firewall schließt der Client den Download unbeirrt ab. Im Allgemeinen I raten Sie davon ab, da Antivirus in der firewall als eine Best-Effort-Lösung betrachtet werden sollte (und Sie möchten möglicherweise keinen Einfluss auf den http-Videoverkehr haben).

14) Wenn das tägliche Volumen an bösartigen Erkennungen verwaltbar ist, sollten Sie die Protokollweiterleitung an E-Mail-Warnungen für bösartige WildFire Erkennungen konfigurieren. A Eine ähnliche Option ist das Sourcing von Warnungen aus dem WildFire Portal.

15) Stellen Sie sicher, dass DSRI dies nicht im Sicherheitssystem konfiguriert Policy ist.