Wildfire Cloud の判定は無害ですが、マルウェア判定アラートが引き続き受信されています
8513
Created On 07/15/22 14:45 PM - Last Modified 12/12/25 20:46 PM
Symptom
- 既知の無害なファイルに対して、Wildfire の「悪意のある」アラートを複数受信する
- Threat Vault内でサンプルファイルに対して署名が生成されていないことが確認されました
- TAC ケースを開いた後、ファイルは Wildfire パブリック クラウド内では無害であるものの、新しい Wildfire コンテンツの更新がインストールされた後でも悪意のある判定を受け続けていることが確認されました。
Environment
- パンOS
- WF500
Cause
一致サンプルに対して新しい Yara ルールが作成され、追加されると、各サンプルが新しい署名パターンにつながる可能性があります。さらに、顧客のオンプレミスの WF500 アプライアンスに適切に同期されないサンプルをホワイトリストに登録すると、判定は悪意のあるままとなり、顧客は無害なサンプル ファイルに対しても悪意のある判定を受け取ります。
Resolution
ファイアウォールのCLI経由で Wildfire のローカルコンテンツ更新をフラッシュします (オプション 1):
- PAN-OS 9.0の場合
- > コンテンツキャッシュの古いコンテンツを削除
- > delete content cache curr-content type all version [Tab キーを押して完全なリストを表示し、それぞれを削除します]
- デバイスを再起動する
- PAN-OS 10.0以降
- >デバッグデータプレーンリセット ctd wf-cache
- > debug データプレーン show ctd wf-cache (キャッシュカウンタが0にリセットされることを確認するために使用)
- デバイスの再起動は不要
CSP から動的コンテンツ パッケージをダウンロードし、ファイアウォールにパッケージをアップロードします (オプション 2)。
- カスタマー サポート ポータルから最新の AV、アプリケーションと脅威、Wildfire コンテンツ パッケージをダウンロードします。
- 以下の順序でファイアウォールに手動でインポートします。
- AVパッケージ
- アプリケーションと脅威
- 山火事パッケージ
- ファイアウォールを再起動する
オンプレミス Wildfire アプライアンスの場合:
- オンプレミスのWildfireアプライアンスを使用している場合、誤った判定がアプライアンスにキャッシュされる可能性があり、サンプルハッシュファイルの判定を手動で反転する必要があります。
- 判定を手動で反転するには、以下のCLIコマンドを実行します。
- > 送信 wildfire local-verdict-change コメント テスト ハッシュ c323891a87a8c43780b0f2377de2efc8bf856f02dd6b9e46e97f4a9652814b5c 判定 0 (注: 0 は無害なサンプル、1 はマルウェア、2 はグレイウェアを示します)
Additional Information
- 参考リンク:
- PAN-OS 10.0以降で無効になっているWildfire/AVシグネチャが引き続きトリガーされる理由に関する情報と解決策については、以下のリンクを参照してください。