Wildfire Cloud-Urteil ist harmlos, aber es werden weiterhin Malware-Urteilsbenachrichtigungen empfangen
8659
Created On 07/15/22 14:45 PM - Last Modified 12/16/25 14:49 PM
Symptom
- Empfangen mehrerer Wildfire-Warnmeldungen über „bösartige“ Dateien
- Innerhalb von Threat Vault wurde überprüft, dass für die Beispieldatei keine Signaturen generiert wurden.
- Nach dem Öffnen des TAC-Falls wurde bestätigt, dass die Datei in der Wildfire Public Cloud harmlos ist und dennoch immer noch als bösartig eingestuft wird, selbst nachdem neue Wildfire-Inhaltsupdates installiert wurden.
Environment
- PAN-OS
- WF500
Cause
Wenn neue Yara-Regeln zum Übereinstimmung von Samples erstellt und hinzugefügt wurden, kann jedes Sample zu einem neuen Signaturmuster führen. Darüber hinaus gilt das Urteil bei der Whitelistung von Samples, die nicht ordnungsgemäß mit den WF500-Geräten der Kunden vor Ort synchronisiert werden, weiterhin als bösartig und der Kunde erhält bei harmlosen Sample-Dateien weiterhin ein bösartiges Urteil.
Resolution
Leeren Sie das lokale Inhaltsaktualisierung von Wildfire über die CLI der Firewall (Option 1):
- In PAN-OS 9.0
- > Inhaltscache „alte Inhalte“ löschen
- > Inhaltscache löschen – aktueller Inhaltstyp, alle Versionen [Klicken Sie auf die Tabulatortaste, um die vollständige Liste anzuzeigen und jeden Eintrag zu löschen]
- Starten Sie das Gerät neu
- In PAN-OS 10.0+
- > Debuggen der Datenebene , Zurücksetzen des CTD-WF-Cache
- > debug Datenebene show ctd wf-cache ( wird verwendet, um zu überprüfen, ob der Cache-Zähler auf 0 zurückgesetzt wird)
- Kein Neustart des Gerät erforderlich
Laden Sie das dynamische Inhaltspaket von CSP herunter und laden Sie das Paket auf die Firewall hoch (Option 2):
- Laden Sie die neuesten AV-, Anwendungs- und Bedrohungs- und Wildfire-Inhaltspakete vom Kundensupportportal herunter.
- Importieren Sie sie manuell in der folgenden Reihenfolge in die Firewall :
- AV-Paket
- Anwendungen und Bedrohungen
- Wildfire Paket
- Starten Sie die Firewall neu
Für Wildfire-Geräte vor Ort:
- Sollten Sie über eine Wildfire Appliance vor Ort verfügen, könnte das falsche Urteil auf der Appliance zwischengespeichert sein und würde eine manuelle Urteilsumkehr der Beispiel-Hash-Datei erfordern.
- Führen Sie den folgenden CLI-Befehl aus, um das Urteil manuell umzukehren:
- > Wildfire Local-Verdict-Change-Kommentartest-Hash senden c323891a87a8c43780b0f2377de2efc8bf856f02dd6b9e46e97f4a9652814b5c Urteil 0 ( Hinweis : 0 steht für eine harmlose Probe; 1 steht für Malware; 2 steht für Grayware (Schadprogramm))
Additional Information
- Referenzlink:
- Informationen und Lösung dazu, warum deaktivierte Wildfire/AV-Signaturen in PAN-OS 10.0+ immer noch ausgelöst werden, finden Sie unter dem folgenden Link.