Cómo configurar una WildFire excepción de firma en tiempo real
Objective
Identifique cuándo se produjo una amenaza de virus activada wildfireexclusivamente por WildFire tiempo real y explore diferentes opciones de excepción de amenaza.
Environment
- Palo Alto Networks
- WildFire está configurado para actualizaciones dinámicas en tiempo real.
Procedure
Cómo identificar si se produjo una wildfiredetección de amenaza de WildFire virus debido a Real-Time
- La entrada en los registros de amenazas es de tipo wildfire-virus
- Al buscar Threat Vault el UTID, la "Amenaza ID" y la "Versión actual" en la columna Liberación para "Firmas" se mostrarán como "WildFire n / a".
- Si busca en el PAN-OS CLI, encontrará la UTID entrada en tiempo WildFire real MP y DP caché. Ejemplo:
MP Caché
> show wildfire-realtime-cache virus-pattern-type ALL | match <UTID>
Ejemplo:
> show wildfire-realtime-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: No
DP Caché
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match <UTID>
Ejemplo:
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: No
Cómo agregar una excepción de amenaza para WildFire firmas en tiempo real
Para agregar una excepción de amenaza, simplemente agregue la UTID sección Excepciones en el perfil de antivirus y Confirmar. Consulte la documentación Crear excepciones de amenaza para obtener instrucciones.
Si no se puede enviar un commit debido a restricciones, la firma se puede exceptuar temporalmente sobre la marcha a través del PAN-OS CLIarchivo . Tenga en cuenta que esta excepción no es persistente a través de un reinicio y, por lo tanto, solo pretende ser una solución provisional.
Agregar excepción temporal:
- Primero busque la entrada utilizando los comandos descritos en el paso 3
- Luego "elimine" la entrada de la caché, colocando efectivamente la excepción temporal. Para hacerlo, ejecute el comando:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID <UTID> virus-pattern <PATTERN>
Ejemplo:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID 42496182 virus-pattern 0001000d0000000000000000000200021404004c00000006 Successfully deleted virus from WildFire real-time cache
- Para comprobar que la excepción temporal está activa, utilice los comandos descritos en el paso 3. La firma aparecerá como "Deshabilitado: Sí". Ejemplo:
MP Caché
> show wildfire-realtime-cache virus-pattern-type ALL | match <UTID>
Ejemplo:
> show wildfire-realtime-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: Yes
DP Caché
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match <UTID>
Ejemplo:
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: Yes
- Para volver a "agregar" la firma, o de otra manera "eliminar" la excepción temporal, emita el comando:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID <UTID> virus-pattern <PATTERN>
Ejemplo:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID 42496182 virus-pattern 0001000d0000000000000000000200021404004c00000006 Successfully added virus to WildFire real-time cache