Microsoft Defender(无代理)将 Palo Alto 库检测为恶意软件

Microsoft Defender(无代理)将 Palo Alto 库检测为恶意软件

7907
Created On 08/05/24 05:04 AM - Last Modified 08/14/24 01:41 AM


Symptom


Microsoft Defender Agentless 将 Palo Alto 预构建库检测为恶意软件 (Trojan:Linux/Wacatac)。 下面是警报中报告的路径的一些示例。

  • hdd/s3iy2dlz.qh4/releases/10.1.10/RPMS
  • hdd/s0gyzo2f.ueu/releases/10.1.10/RPMS
  • 硬盘/toujmepf.b2o/releases/10.1.10/RPMS
  • hdd/yk0rtetk.5ys/base/10.2.0/RPMS
  • hdd/yk0rtetk.5ys/releases/10.2.8/RPMS
  • hdd/yk0rtetk.5ys/releases/10.2.8-h3/RPMS

Environment


  • PA-VM Azure

Cause


Palo Alto Networks 已从 Microsoft 客户服务和支持团队获得以下回复。 

“Microsoft利用各种检测方法,包括行为分析和机器学习,来识别可能的恶意软件。 有时,这些检测可能会对合法文件产生误报检测。 这些情况通常是 Microsoft 试图更好地抵御未知恶意软件的结果。修复方法各不相同,但通常会导致优化我们寻找的恶意软件指标的属性和行为。

Resolution


Palo Alto Networks 建议我们的客户与 Microsoft 支持团队启动初步调查。 需要从 Azure 门户中提取确切的文件,并将其上传到 Microsoft 票证以进行进一步调查。 

请注意,这些恶意软件警报对 Palo Alto Networks 至关重要,一旦调查得出真阳性结论,必须立即引起我们的注意。

Additional Information


Palo Alto Networks 产品安全保证和漏洞披露政策
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Tp3qCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language