設定方法WildFireリアルタイム署名の例外
9024
Created On 10/06/21 19:20 PM - Last Modified 01/19/24 13:20 PM
Objective
いつトリガーされたかを特定するwildfire-ウイルスの脅威は、WildFireリアルタイムで、さまざまな脅威の例外オプションを調べます。
Environment
- パロアルトネットワークス
- WildFire リアルタイムの動的更新用に構成されています。
Procedure
かどうかを識別する方法wildfire-ウイルス脅威の検出が発生した理由WildFireリアルタイム
- 脅威ログのエントリのタイプはwildfire-ウイルス
- で検索するとThreat VaultのためにUTID、 脅威ID"、および"のリリース列の下の"現在のリリース"WildFire署名」は「該当なし」と表示されます。
- で検索すると、PAN-OSCLI 、あなたは見つけるでしょうUTIDへのエントリーWildFireリアルタイムMPとDPキャッシュ。 例:
MP キャッシュ
> show wildfire-realtime-cache virus-pattern-type ALL | match <UTID>
例:
> show wildfire-realtime-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: No
DP キャッシュ
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match <UTID>
例:
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: No
脅威の例外を追加する方法WildFireリアルタイム署名
脅威の例外を追加するには、単純にUTIDAntiVirus プロファイルの Exceptions セクションに移動し、コミットします。 を参照してください脅威の例外を作成する手順のドキュメント。
制限によりコミットをプッシュできない場合、署名は一時的に経由でオンザフライで除外PAN-OSCLI. この例外は再起動しても持続しないしたがって、応急処置としてのみ使用することを意図しています。
一時的な例外を追加:
- ステップ 3 で説明したコマンドを使用して、最初にエントリを検索します。
- 次に、キャッシュからエントリを「削除」し、一時的な例外を効果的に配置します。 これを行うには、次のコマンドを発行します。
> request wildfire-realtime-cache delete virus-pattern-type PE UTID <UTID> virus-pattern <PATTERN>
例:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID 42496182 virus-pattern 0001000d0000000000000000000200021404004c00000006 Successfully deleted virus from WildFire real-time cache
- 一時的な例外がアクティブであることを確認するには、手順 3 で説明したコマンドを使用します。 署名は「無効: はい」と表示されます。 例:
MP キャッシュ
> show wildfire-realtime-cache virus-pattern-type ALL | match <UTID>
例:
> show wildfire-realtime-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: Yes
DP キャッシュ
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match <UTID>
例:
> debug dataplane show ctd wf-cache virus-pattern-type ALL | match 42496182 UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: Yes
- 署名を再度「追加」するか、一時的な例外を「削除」するには、次のコマンドを発行します。
> request wildfire-realtime-cache delete virus-pattern-type PE UTID <UTID> virus-pattern <PATTERN>
例:
> request wildfire-realtime-cache delete virus-pattern-type PE UTID 42496182 virus-pattern 0001000d0000000000000000000200021404004c00000006 Successfully added virus to WildFire real-time cache