Le verdict de Wildfire Cloud est bénin mais continue de recevoir des alertes de verdict de malware

Le verdict de Wildfire Cloud est bénin mais continue de recevoir des alertes de verdict de malware

8657
Created On 07/15/22 14:45 PM - Last Modified 12/16/25 14:49 PM


Symptom


  • Réception de plusieurs alertes « malveillantes » Wildfire sur un fichier connu comme bénin
  • Vérifié dans Archivage sécurisé des menaces qu'aucune signature n'est générée pour le fichier d'exemple
  • Après l'ouverture du dossier TAC, il a été confirmé que le fichier est bénin dans le cloud public Wildfire et qu'il continue pourtant à recevoir des verdicts malveillants même après l'installation de nouvelles mises à jour de contenu Wildfire.

Environment


  • PAN-OS
  • WF500

Cause


Lorsque de nouvelles règles Yara ont été créées et ajoutées pour les échantillons correspondance , chaque échantillon peut conduire à un nouveau modèle de signal. De plus, lors de la mise sur liste blanche d'échantillons qui ne sont pas correctement synchronisés avec les appareils WF500 sur site des clients, le verdict reste malveillant et le client recevra toujours un verdict malveillant sur des fichiers d'échantillons bénins.

Resolution


mise à jour du contenu local de Flush Wildfire via la CLI du pare-feu (option 1) :
  • Dans PAN-OS 9.0
    • > supprimer le cache de contenu ancien-contenu
    • > supprimer le cache de contenu type de contenu actuel toutes les versions [Appuyez sur Tab pour voir la liste complète et supprimer chacune d'elles]
    • Redémarrer l'appareil
  • Dans PAN-OS 10.0+
    • > débogage du plan de données réinitialiser ctd wf-cache
    • > debug plan de données show ctd wf-cache ( utilisé pour vérifier que le compteur de cache est réinitialisé à 0)
    • Pas besoin de redémarrer l' appareil

Téléchargez le package de contenu dynamique depuis CSP et chargez le package sur le pare-feu (option 2) :
  • Téléchargez les derniers packages de contenu AV, Applications et menaces et Wildfire à partir du portail d'assistance client
  • Importez-les manuellement dans le pare-feu dans l'ordre ci-dessous :
    1. Pack AV
    2. Applications et menaces
    3. Forfait incendie de forêt
  • Redémarrer le pare-feu
( Remarque : l'une ou l'autre des options ci-dessus éliminera le package de contenu avec le verdict obsolète)
Pour les appareils Wildfire sur site :
  • Si vous disposez d'un appareil Wildfire sur site, le verdict incorrect peut être mis en cache sur l'appareil et nécessiterait une inversion manuelle du verdict du fichier de hachage d'échantillon.
  • Exécutez la commande CLI ci-dessous pour inverser manuellement le verdict :
    • > soumettre le commentaire de changement de verdict local de wildfire test hash c323891a87a8c43780b0f2377de2efc8bf856f02dd6b9e46e97f4a9652814b5c verdict 0 ( remarque : 0 indique un échantillon bénin ; 1 indique un logiciel malveillant; 2 indique un logiciel indésirable)

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wl0ECAQ&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language