El veredicto de Wildfire Cloud es benigno, pero aún se reciben alertas de veredicto de malware
8655
Created On 07/15/22 14:45 PM - Last Modified 12/16/25 14:49 PM
Symptom
- Recepción de múltiples alertas "maliciosas" de Wildfire en un archivo conocido como benigno
- Se verificó dentro de Baúl de amenazas que no hay firmas generadas para el archivo de muestra
- Después de abrir el caso TAC, se confirmó que el archivo es benigno dentro de la nube pública de Wildfire y, sin embargo, sigue recibiendo veredictos maliciosos incluso después de que se hayan instalado nuevas actualizaciones de contenido de Wildfire.
Environment
- PAN-OS
- WF500
Cause
Cuando se crean y agregan nuevas reglas de Yara para las muestras coincidente , cada muestra puede generar un nuevo patrón de firma. Además, cuando se incluyen en la lista blanca muestras que no se sincronizan correctamente con los dispositivos WF500 locales de los clientes, el veredicto sigue siendo malicioso y el cliente seguirá recibiendo un veredicto malicioso sobre los archivos de muestra benignos.
Resolution
Limpiar la actualización de contenido local de Wildfire a través de la CLI del firewall (Opción 1):
- En PAN-OS 9.0
- > eliminar caché de contenido contenido antiguo
- > eliminar contenido de caché tipo de contenido actual todas las versiones [Presione la tecla tab para ver la lista completa y eliminar cada una]
- Reiniciar el dispositivo
- En PAN-OS 10.0+
- > depuración del plano de datos restablecer ctd wf-cache
- > debug plano de datos show ctd wf-cache ( se usa para verificar que el contador de caché se restablezca a 0)
- No es necesario reiniciar el dispositivo
Descargue el paquete de contenido dinámico de CSP y cargue el paquete en el cortafuegos (Opción 2):
- Descargue los últimos paquetes de contenido de AV, aplicaciones y amenazas, y Wildfire desde el Portal de soporte al cliente
- Importarlos manualmente al cortafuegos en el siguiente orden:
- Paquete AV
- Aplicaciones y amenazas
- Paquete contra incendios forestales
- Reiniciar el cortafuegos
Para el dispositivo Wildfire local:
- Si tiene un dispositivo Wildfire local, el veredicto incorrecto podría almacenarse en caché en el dispositivo y requeriría una inversión manual del veredicto del archivo hash de muestra.
- Ejecute el siguiente comando de CLI para cambiar manualmente el veredicto:
- > enviar comentario de cambio de veredicto local de wildfire prueba hash c323891a87a8c43780b0f2377de2efc8bf856f02dd6b9e46e97f4a9652814b5c veredicto 0 ( nota : 0 indica una muestra benigna; 1 indica malware; 2 indica grayware)
Additional Information
- Enlace de referencia:
- En el siguiente enlace se puede encontrar información y solución sobre por qué las firmas Wildfire/AV deshabilitadas aún se activan en PAN-OS 10.0+