如何配置WildFire实时签名异常

• 帕洛阿尔托网络
• WildFire 配置为实时动态更新。

如何识别一个wildfire- 病毒威胁检测的发生是因为WildFire即时的

1. 威胁日志中的条目属于wildfire-病毒

2. 搜索时Threat Vault为了UTID, “威胁ID”，以及“发布”列下的“当前发布”WildFire签名”将显示为“n/a”。

3. 如果您在PAN-OSCLI, 你会发现UTID进入WildFire即时的MP和DP缓存。 例子：

MP 缓存

> show wildfire-realtime-cache virus-pattern-type ALL | match <UTID>

例子：

> show wildfire-realtime-cache virus-pattern-type ALL | match 42496182
UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: No

DP 缓存

> debug dataplane show ctd wf-cache virus-pattern-type ALL | match <UTID>

例子：

> debug dataplane show ctd wf-cache virus-pattern-type ALL | match 42496182
UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: No

如何添加威胁例外WildFire实时签名

要添加威胁例外，只需添加UTID防病毒配置文件中的例外部分并提交。 见创建威胁例外文档说明。

如果由于限制无法推送 Commit , 签名可以是暂时地通过在飞行中除外PAN-OSCLI. 请注意，此异常是通过重启不持久因此只能作为权宜之计。

添加临时例外：

1. 首先使用步骤 3 中描述的命令搜索条目
2. 然后从缓存中“删除”条目，有效地放置临时异常。 为此，发出命令：

> request wildfire-realtime-cache delete virus-pattern-type PE UTID <UTID> virus-pattern <PATTERN>

例子：

> request wildfire-realtime-cache delete virus-pattern-type PE UTID 42496182 virus-pattern 0001000d0000000000000000000200021404004c00000006

Successfully deleted virus from WildFire real-time cache

3. 要验证临时异常是否处于活动状态，请使用步骤 3 中描述的命令。 签名将列为“已禁用：是”。 例子：

MP 缓存

> show wildfire-realtime-cache virus-pattern-type ALL | match <UTID>

例子：

> show wildfire-realtime-cache virus-pattern-type ALL | match 42496182
UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: Yes

DP 缓存

> debug dataplane show ctd wf-cache virus-pattern-type ALL | match <UTID>

例子：

> debug dataplane show ctd wf-cache virus-pattern-type ALL | match 42496182
UTID: 42496182, NPatterns: 1, PatternPos: 0, Disabled: Yes

4. 要重新“添加”签名，或以其他方式“删除”临时例外，请发出命令：

> request wildfire-realtime-cache delete virus-pattern-type PE UTID <UTID> virus-pattern <PATTERN>

例子：

> request wildfire-realtime-cache delete virus-pattern-type PE UTID 42496182 virus-pattern 0001000d0000000000000000000200021404004c00000006

Successfully added virus to WildFire real-time cache