Wildfire Cloud 판정은 양성이지만 여전히 맬웨어 판정 알림을 받고 있습니다.
8643
Created On 07/15/22 14:45 PM - Last Modified 12/16/25 14:49 PM
Symptom
- 알려진 양성 파일에 대해 여러 Wildfire '악성' 경고 수신
- Threat Vault 내에서 샘플 파일에 대해 생성된 서명이 없음을 확인했습니다.
- TAC 케이스를 열어본 결과, 해당 파일은 Wildfire Public Cloud에서는 무해한 것으로 확인되었지만, 새로운 Wildfire 콘텐츠 업데이트가 설치된 후에도 여전히 악성 판정을 받고 있습니다.
Environment
- 팬-오스
- WF500
Cause
새로운 Yara 규칙이 생성되어 매칭 샘플에 추가되면 각 샘플은 새로운 siggen 패턴으로 이어질 수 있습니다. 또한 고객의 온프레미스 WF500 기기에 제대로 동기화되지 않는 샘플을 허용 목록에 추가하면 판정은 악성으로 유지되고 고객은 여전히 양성 샘플 파일에 대해 악성 판정을 받게 됩니다.
Resolution
방화벽의 CLI 통해 Wildfire 로컬 콘텐츠 업데이트 플러시합니다(옵션 1):
- PAN-OS 9.0에서
- > 콘텐츠 캐시 삭제 old-content
- > 콘텐츠 캐시 삭제 현재 콘텐츠 유형 모든 버전 [전체 목록을 보고 각각 삭제하려면 탭을 누르세요]
- 장치 재부팅
- PAN-OS 10.0+에서
- > 디버그 데이터플레인 재설정 ctd wf-cache
- > 디버그 데이터플레인 쇼 ctd wf-cache ( 캐시 카운터가 0으로 재설정되는지 확인하는 데 사용됨)
- 디바이스 재부팅이 필요 없습니다
CSP에서 동적 콘텐츠 패키지를 다운로드하고 방화벽 에 패키지를 업로드합니다(옵션 2):
- 고객 지원 포털에서 최신 AV, 애플리케이션 및 위협, Wildfire 콘텐츠 패키지를 다운로드하세요.
- 아래 순서에 따라 수동으로 방화벽 으로 가져오세요.
- AV 패키지
- 응용 프로그램 및 위협
- 산불 패키지
- 방화벽 재부팅하세요
온프레미스 Wildfire Appliance의 경우:
- 온프레미스 Wildfire Appliance가 있는 경우 잘못된 판결이 어플라이언스에 캐시될 수 있으며 샘플 해시 파일의 수동 판결 반전이 필요할 수 있습니다.
- 아래 CLI 커맨드 수행하여 수동으로 판결을 뒤집으세요.
- > wildfire 로컬-판결-변경 코멘트 테스트 해시 c323891a87a8c43780b0f2377de2efc8bf856f02dd6b9e46e97f4a9652814b5c 판결 0 제출 ( 참고 : 0은 양성 샘플을 나타냅니다. 1은 멀웨어 나타냅니다. 2는 그레이웨어(grayware) 나타냅니다.)
Additional Information
- 참조 링크:
- PAN-OS 10.0+에서 비활성화된 Wildfire/AV 서명이 계속 트리거되는 이유에 대한 정보와 솔루션 아래 링크에서 찾을 수 있습니다.