WildFire の設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Configure WildFire
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-WildFire/ta-p/56165

 

概要

 

WildFireは、ユーザに悪意のあるアクティビティの有無を自動的に解析する Palo Alto Networks のセキュアかつクラウドベースの、仮想化された環境へファイルを提出することを可能にします。脆弱な環境でそのファイル実行させ、システムファイルを修正する、セキュリティ機能を無効にする、検出を回避するために様々な方法を使用する、などの特定悪意ある行動やふるまいをPalo Alto Networksは監視します。ZIP圧縮されたファイルや HTTP(GZIP) ファイルは検査され、内部の EXE や DLL ファイルを解析対象にすることが可能です。

WildFireポータルでは解析ファイルの解析結果の閲覧が可能で、標的にされたユーザー、利用されたアプリケーション、悪意のあるふるまいが確認できます。WildFireポータルでは、解析結果が利用可能になった際にEメールを送信することもできます。

 

構成

 1.png

設定方法:

  • Device > Setup > WildFire タブに移動
  • default-cloudを選択し、maximum file size を 2MBにする
  • WildFire に転送される情報を指定
    • Source IP—疑わしいファイルを送信した送信元IPアドレス
    • Source Port—疑わしいファイルを送信した送信元ポート
    • Destination IP—疑わしいファイルが送信された宛先IPアドレス
    • Destination Port—疑わしいファイルが送信された宛先ポート
    • Vsys—マルウェアの可能性が識別されたファイアウォール上のバーチャルシステム
    • Application—ファイル転送に利用されたユーザーアプリケーション
    • User—狙われたユーザ
    • URL—疑わしいファイルに関連するURL
    • Filename—送信されたファイルの名称

 

デフォルトでは、すべてのオプションが選択されていますが、Wildfireが動作するための必須情報ではありません。選択をはずした情報はWildFireクラウドに送信されません。

 

  • 復号化ポリシーを利用している場合、WildFireでは暗号化されたファイルのアップロードの有効化が可能
  • Device > Setup > Content-ID > Enable に移動し“Allow Forwarding of Decrypted Content”を有効化

        2.png

          デフォルトでは、暗号化されたファイルはWildFireクラウドに転送されません。PAN-OS 6.0では修正されるでしょう。(翻訳者注:要確認)

  • Objects > Security Profiles > File Blocking に移動
  • ルールを追加.
  • ルール名入力 (英字 31 文字以内)
    • Applications— anyを選択
    • File Types—exe, dll のファイルタイプを選択
    • Direction—ファイル転送の方向を選択 (Upload, Download, または Both)
    • Action—設定したファイルタイプを検知した際のアクションを設定 : Forward (ファイルを自動的にWildFireに送信)

 

 

  • 作成した File Blocking プロファイルを Policies > Security 内の Wildfire を利用したいルールに適用
  • OKをクリック
  • 設定をコミット

 

 

WildFire CLI コマンド

基本設定完了後、以下のコマンドで接続されたサーバの詳細が確認できます。接続性の確認 :

> test wildfire registration

This test may take a few minutes to finish. Do you want to continue? (y or n)

Test wildfire

        wildfire registration:        successful

        download server list:        successful

        select the best server:      va-s1.wildfire.paloaltonetworks.com

 

初回のレジストレーションは Active/Pasive 構成の Active ユニット上でのみ実施することができます。

 

Note: PINGでの接続性確認は実施しないでください。PingリクエストはWildFireサーバでは無効に設定されてます。接続性確認のベストプラクティスとして、サーバの443ポートへTelnetを実施する方法があります。

 

確認として、もしなんらかのファイルがサーバへ転送されている場合、以下のコマンドを利用します。

> show wildfire status

Connection info:

        Wildfire cloud:                default cloud

        Status:                        Idle

        Best server:                  va-s1.wildfire.paloaltonetworks.com

        Device registered:            yes

        Service route IP address:      10.30.24.52

        Signature verification:        enable

        Server selection:              enable

        Through a proxy:              no

Forwarding info:

        file size limit (MB):                  2

        file idle time out (second):            90

        total file forwarded:                  0

        forwarding rate (per minute):          0

        concurrent files:                      0

 

"total file forwarded" カウンタでサーバへ転送されたファイルの数が確認できるでしょう。

 

WildFireログの確認

  • Monitor > Logs > Data Filtering ページへ移動 :

 
"data filtering logs" にてファイルのステータスを確認します。
もし "forward" 以外に "wildfire-upload-success" と "wildfire-upload-skip" のどちらも確認できない場合、そのファイルは信頼された署名がされているか、クラウド上ですでに良性と判断されています。

 

以下はアクションについての説明です。

 

Forward

データプレーンが潜在的に実行可能ファイルをWildFireが有効化されたポリシー上で検知しています。このファイルはマネジメントプレーン上にバッファされています。

もし "forward" 以外に "wildfire-upload-success" と "wildfire-upload-skip" のどちらも確認できない場合、そのファイルは信頼された署名がされているか、クラウド上ですでに良性と判断されています。どちらのケースでも、このファイルに対して更なるアクションは実施されておらず、クラウド上にも送信されません (以前に良性であると判断されたファイルに関するセッション情報も送信されません)。これらのファイルに関する情報は WildFire Web ポータルにも記録されません。

 

どれだけのPEファイルがチェックされたか、クリーンまたはアップロードするために発見されたかについてのカウンタを確認するには、以下のコマンドを実施します:

> show wildfire statistics

statistics for wildfire

DP receiver reset count:                  12

File caching reset cnt:                  12

FWD_ERR_CONN_FAIL                        1

data_buf_meter                            0%

msg_buf_meter                            0%

ctrl_msg_buf_meter                        0%

fbf_buf_meter                            0%

 

wildfire-upload-success

これは、そのファイルは信頼された署名がされておらず、ファイルはまだクラウド上で確認されていないことを意味します。この場合、そのファイル(とセッション情報)は解析ためにクラウド上にアップロードされています。.

 

wildfire-upload-skip

これは、そのファイルがすでにクラウド上で確認されていることを意味します。

    • もしこのファイルが以前に悪意があると判断されている場合、その悪意があると判断された際のレポートがWildFireサーバ上に表示されす。
    • もしファイルが悪意のない良性のファイルであると判断されている場合、レポートはWildFireサーバ上では表示されません。

 

WildFire ポータル

WildFire Portal にアクセスするには、https://wildfire.paloaltonetworks.com にアクセスし、Palo Alto Networks のサポートアカウントまたは WildFire アカウントででログインします。ダッシュボードが表示され、WildFire アカウントまたはサポートアカウントに紐づくすべてのファイアウォールからのサマリレポート情報がリストされます。この画面では解析されたファイルの数とどのくらいのファイルが malware、 benign、 または pending と判定されたかが表示されます。

 

 

その他の便利なコマンド

  • show wildfire disk-usage
  • debug wildfire dp-status

 

See Also

Not All Files Appear on the WildFire Portal When Logs Show the Wildfire-Upload-Skip Message