Comment configurer une WildFire exception de signature en temps réel
Objective
Identifiez quand une menace virale déclenchée wildfires’est produite exclusivement en WildFire temps réel et explorez différentes options d’exception de menace.
Environment
- Palo Alto Networks
- WildFire est configuré pour les mises à jour dynamiques en temps réel.
Procedure
Comment identifier si une wildfiredétection de menace -virus s’est WildFire produite en temps réel
- L’entrée dans les journaux des menaces est de type wildfire-virus
- Lors de la recherche de Threat Vault , la « MenaceID » et la « Version actuelle » sous la colonne Libération pour « Signatures » s’afficheront comme « WildFiren/UTIDa ».
- Si vous effectuez une recherche dans le , vous trouverez l’entrée UTID dans le temps MP réel et DP le WildFire PAN-OS CLIcache. Exemple:
MP Cache
> show wildfire-realtime-cache virus-pattern-type ALL | match <UTID>
Exemple:
> show wildfire-realtime-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: No
DP Cache
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match <UTID>
Exemple:
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: No
Comment ajouter une exception de menace pour WildFire les signatures en temps réel
Pour ajouter une exception de menace, ajoutez simplement à la UTID section Exceptions du profil antivirus et validez. Consultez la documentation Créer des exceptions de menace pour obtenir des instructions.
Si une validation ne peut pas être poussée en raison de restrictions, la signature peut être temporairement exceptée à la volée via le PAN-OS CLIfichier . Veuillez noter que cette exception n’est pas persistante lors d’un redémarrage et n’est donc destinée qu’à être une solution provisoire.
Ajouter une exception temporaire :
- Recherchez d’abord l’entrée à l’aide des commandes décrites à l’étape 3
- Ensuite, « supprimez » l’entrée du cache, plaçant efficacement l’exception temporaire. Pour ce faire, exécutez la commande:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID <UTID> virus-pattern <PATTERN>
Exemple:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID 42496182 virus-pattern 0001000d0000000000000000000200021404004c00000006 Successfully deleted virus from WildFire real-time cache
- Pour vérifier que l’exception temporaire est active, utilisez les commandes décrites à l’étape 3. La signature sera répertoriée comme « Désactivé: Oui ». Exemple:
MP Cache
> show wildfire-realtime-cache virus-pattern-type ALL | match <UTID>
Exemple:
> show wildfire-realtime-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: Yes
DP Cache
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match <UTID>
Exemple:
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: Yes
- Pour « ajouter » la signature, ou autrement « supprimer » l’exception temporaire, exécutez la commande:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID <UTID> virus-pattern <PATTERN>
Exemple:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID 42496182 virus-pattern 0001000d0000000000000000000200021404004c00000006 Successfully added virus to WildFire real-time cache