Wildfire Cloud 判定结果为良性,但仍会收到恶意软件判定警报
8641
Created On 07/15/22 14:45 PM - Last Modified 12/16/25 14:49 PM
Symptom
- 收到多个有关已知良性文件的 Wildfire“恶意”警报
- 在威胁库中验证,样本文件未生成任何签名
- 在开启 TAC 案例后,确认该文件在 Wildfire 公有云中是良性的,但即使在安装了新的 Wildfire 内容更新后仍然收到恶意判决。
Environment
- 泛操作系统
- WF500
Cause
当为匹配样本创建并添加新的 Yara 规则时,每个样本都可能产生新的信号模式。此外,当将未正确同步到客户本地 WF500 设备的样本列入白名单时,判定结果仍为恶意,客户仍会收到针对良性样本文件的恶意判定。
Resolution
通过防火墙的CLI刷新 Wildfire 本地内容更新(选项 1):
- 在 PAN OS 9.0 中
- > 删除内容缓存旧内容
- > 删除内容缓存当前内容类型所有版本[点击 Tab 查看完整列表并删除每一个]
- 重启设备
- 在 PAN OS 10.0+ 中
- >>调试数据平面重置 ctd wf 缓存
- >调试数据平面显示 ctd wf 缓存(用于验证缓存计数器是否重置为 0)
- 无需重启设备
从 CSP 下载动态内容包并将包上传到防火墙(选项 2):
- 从客户支持门户下载最新的 AV、应用程序和威胁以及 Wildfire 内容包
- 按照以下顺序手动将它们导入防火墙:
- AV 包
- 应用和威胁
- 野火套餐
- 重启防火墙
对于本地 Wildfire 设备:
- 如果您有本地 Wildfire 设备,则错误的判定可能会缓存在设备上,并且需要手动翻转示例哈希文件的判定
- 执行以下CLI 命令来手动翻转判决结果:
- > 提交 wildfire 本地判定更改评论测试哈希 c323891a87a8c43780b0f2377de2efc8bf856f02dd6b9e46e97f4a9652814b5c 判定 0 (注意:0 表示良性样本;1 表示恶意软件;2 表示灰色软件)
Additional Information
- 参考链接:
- 有关为什么禁用的 Wildfire/AV 签名仍然在 PAN-OS 10.0+ 中触发的信息和解决方案可以在以下链接中找到