Konfigurieren einer WildFire Echtzeitsignaturausnahme
Objective
Ermitteln Sie, wann eine ausgelöste wildfireVirusbedrohung ausschließlich in WildFire Echtzeit aufgetreten ist, und untersuchen Sie verschiedene Bedrohungsausnahmeoptionen.
Environment
- Palo Alto Networks
- WildFire ist für dynamische Echtzeitupdates konfiguriert.
Procedure
So stellen Sie fest, ob eine Virenbedrohung aufgrund von wildfireWildFire Echtzeit erkannt wurde
- Der Eintrag in den Bedrohungsprotokollen ist vom Typ wildfire-virus
- Wenn Sie nach dem UTIDsuchenThreat Vault, wird die "BedrohungID" und die "Aktuelle Version" in der Spalte "Freigabe" für "Signaturen" als "n/a"WildFire angezeigt.
- Wenn Sie in der PAN-OS suchen, finden Sie den UTID Eintrag in Echtzeit und DP Cache WildFire MP.CLI Beispiel:
MP Cache
> show wildfire-realtime-cache virus-pattern-type ALL | match <UTID>
Beispiel:
> show wildfire-realtime-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: No
DP Cache
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match <UTID>
Beispiel:
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: No
Hinzufügen einer Bedrohungsausnahme für WildFire Echtzeitsignaturen
Um eine Bedrohungsausnahme hinzuzufügen, fügen Sie sie einfach dem Abschnitt Ausnahmen im AntiVirus-Profil hinzu und übernehmen Sie UTID einen Commit. Anweisungen finden Sie in der Dokumentation zum Erstellen von Bedrohungsausnahmen .
Wenn ein Commit aufgrund von Einschränkungen nicht gepusht werden kann, kann die Signatur vorübergehend on-the-fly über die PAN-OS CLI. Bitte beachten Sie, dass diese Ausnahme nicht durch einen Neustart persistent ist und daher nur als Notlösung gedacht ist.
Temporäre Ausnahme hinzufügen:
- Suchen Sie zunächst mit den in Schritt 3 beschriebenen Befehlen nach dem Eintrag.
- Dann "löschen" Sie den Eintrag aus dem Cache und platzieren Sie effektiv die temporäre Ausnahme. Geben Sie dazu den Befehl ein:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID <UTID> virus-pattern <PATTERN>
Beispiel:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID 42496182 virus-pattern 0001000d0000000000000000000200021404004c00000006 Successfully deleted virus from WildFire real-time cache
- Verwenden Sie die in Schritt 3 beschriebenen Befehle, um zu überprüfen, ob die temporäre Ausnahme aktiv ist. Die Signatur wird als "Deaktiviert: Ja" aufgeführt. Beispiel:
MP Cache
> show wildfire-realtime-cache virus-pattern-type ALL | match <UTID>
Beispiel:
> show wildfire-realtime-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: Yes
DP Cache
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match <UTID>
Beispiel:
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: Yes
- Um die Signatur erneut hinzuzufügen oder die temporäre Ausnahme anderweitig zu "entfernen", geben Sie den Befehl ein:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID <UTID> virus-pattern <PATTERN>
Beispiel:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID 42496182 virus-pattern 0001000d0000000000000000000200021404004c00000006 Successfully added virus to WildFire real-time cache