設定方法WildFireリアルタイム署名の例外

9024

Created On 10/06/21 19:20 PM - Last Modified 01/19/24 13:20 PM

Objective

いつトリガーされたかを特定するwildfire-ウイルスの脅威は、WildFireリアルタイムで、さまざまな脅威の例外オプションを調べます。

Environment

パロアルトネットワークス
WildFire リアルタイムの動的更新用に構成されています。

Procedure

かどうかを識別する方法wildfire-ウイルス脅威の検出が発生した理由WildFireリアルタイム

脅威ログのエントリのタイプはwildfire-ウイルス

で検索するとThreat VaultのためにUTID、脅威ID"、および"のリリース列の下の"現在のリリース"WildFire署名」は「該当なし」と表示されます。

で検索すると、PAN-OSCLI 、あなたは見つけるでしょうUTIDへのエントリーWildFireリアルタイムMPとDPキャッシュ。例：

MP キャッシュ

> show wildfire-realtime-cache virus-pattern-type ALL | match <UTID>

例：

> show wildfire-realtime-cache virus-pattern-type ALL | match 42496182
UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: No

DP キャッシュ

> debug dataplane show ctd wf-cache virus-pattern-type ALL | match <UTID>

例：

> debug dataplane show ctd wf-cache virus-pattern-type ALL | match 42496182
UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: No

脅威の例外を追加する方法WildFireリアルタイム署名

脅威の例外を追加するには、単純にUTIDAntiVirus プロファイルの Exceptions セクションに移動し、コミットします。を参照してください脅威の例外を作成する手順のドキュメント。

制限によりコミットをプッシュできない場合、署名は一時的に経由でオンザフライで除外PAN-OSCLI. この例外は再起動しても持続しないしたがって、応急処置としてのみ使用することを意図しています。

一時的な例外を追加:

ステップ 3 で説明したコマンドを使用して、最初にエントリを検索します。
次に、キャッシュからエントリを「削除」し、一時的な例外を効果的に配置します。これを行うには、次のコマンドを発行します。

> request wildfire-realtime-cache delete virus-pattern-type PE UTID <UTID> virus-pattern <PATTERN>

例：

> request wildfire-realtime-cache delete virus-pattern-type PE UTID 42496182 virus-pattern 0001000d0000000000000000000200021404004c00000006

Successfully deleted virus from WildFire real-time cache

一時的な例外がアクティブであることを確認するには、手順 3 で説明したコマンドを使用します。署名は「無効: はい」と表示されます。例：