ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Set the Maximum File Size Limit for WildFire https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Set-the-Maximum-File-Size-Limit-for-WildFire/ta-p/60500       概要 本記事では、WildFireへファイル アップロードするためのファイルの上限値の設定の仕方について記載しています。   PAN-OS 6.1 において、WildFire は以下のファイル タイプとサイズをサポートしています。 ファイル タイプ サイズの範囲       デフォルトのサイズ制限 pe 1-10 MB 10 MB apk 1-50 MB 10 MB pdf 100-1000 KB 500 KB ms-office 200-10000 KB  500 KB jar 1-10 MB 1 MB PAN-OS 7.1 以降では、 WildFire は以下のファイル タイプとサイズをサポートしています  。 ファイル タイプ サイズの範囲       デフォルトのサイズ制限 pe 1-10 MB 10 MB apk 1-50 MB 10 MB pdf 100-1000 KB 500 KB ms-office 200-10000 KB  500 KB jar 1-10 MB 1 MB flash 1-10 MB 5 MB MacOSX 1-50 MB 1 MB アプリケーションおよび脅威のバージョン 741 より、'archive'(.7zip と .rar)ファイル タイプのサポートが追加されました。 (PAN-OS 7.1 以降においてのみのサポート) ファイル タイプ サイズの範囲 デフォルトのサイズ制限 archive 1-50 MB 10 MB   アプリケーションおよび脅威のバージョン  745 より、'linux'(.elf)ファイル タイプのサポートが追加されました。  (PAN-OS 8.0以降においてのみのサポート)   ファイル タイプ サイズの範囲 デフォルトのサイズ制限 linux 1-10 MB 2 MB   詳細 Device > セットアップ > WildFire > 一般設定 へ移動し、サポートされている各ファイル タイプのサイズ制限の値を必要に応じて変更します。   PAN-OS 6.1:   PAN-OS 7.1:   PAN-OS 8.0: アプリケーションおよび脅威のバージョン 745 より、'linux' ファイル タイプのサポートが追加されました。(PAN-OS 8.0以降においてのみのサポート) 注: アプリケーションおよび脅威のバージョンのリリースによって デフォルトのサイズ制限の値が変更になった場合、新しいサイズ制限をキューの値に反映させるためには、以下の手順が必要となります。(詳細は後述)   WildFireの設定において、サイズ制限の確認と値の変更をします。 (Device > セットアップ > WildFire) コンフィグのコミットを行います   警告:WildFireにファイルをアップロードする際には、ファイルはファイアウォール内部のキューに一旦バッファされます。バッファできるファイルの数の上限はプラットフォーム毎に異なり、APKを除いたファイル タイプの内の一番大きいサイズ制限の値によって決定されます。ファイル タイプのサイズ制限を上げる際には、この点をよく理解した上で行ってください。   APKを除いたファイル タイプの内の一番大きいサイズ制限の値を確認します。 プラットフォーム毎のキャパシティを以下のサイトで確認します。https://www.paloaltonetworks.com/documentation/80/wildfire/wf_admin/submit-files-for-wildfire-analysis/firewall-file-forwarding-capacity-by-model バッファできるファイル数は、次の計算式で決定されます。[キャパシティ] / [サイズ制限の最大値] CLIにて "show wildfire disk-usage" コマンドを実行し、File Limit に出てくる値と上記で算出した値を比較します。 例えば、PA-200 プラットフォームにおけるキャパシティは 100MBであるため、サイズ制限の最大値が 10MB であった場合、File limit の値は 100 / 10 = 10 になります。   admin@PA-200> show wildfire disk-usage   Disk usage for wildfire: Total disk usage:                               0 Total temporary files:                           0 File limit:             10   (Global),   10   (Channel)   値が一致しない場合は、上記の"注"の箇所にある手順 (1と2) を行うことで値が反映されます。     注:PAN-OS 9.0 にて仕様変更が行われたため、本記事の内容はPAN-OS 9.0以降には該当しません。  
記事全体を表示
ymiyashita ‎10-27-2019 11:50 PM
4,551件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 What are suspicious DNS queries? https://live.paloaltonetworks.com/t5/Threat-Vulnerability-Articles/What-are-suspicious-DNS-queries/ta-p/71454   PAN-OS装置にて、疑わしい(Suspicious)DNSクエリがトリガーした脅威ログを示しています。   Detail of Threat log with Suspicious DNS Query.   疑わしい(Suspicious)DNSクエリのシグネチャとは? 疑わしい(Suspicious)DNSクエリのシグネチャは、潜在的にC2トラフィックに関連するドメインへのDNS名前解決をチェックします。このC2トラフィックはマシンが乗っ取られた兆候の可能性もあります。   疑わしいDNSクエリ・シグネチャは、多層防御を提供するために、キルチェーンの中のあらゆるポイントに保護を適用するPalo Alto Networks のアプローチのひとつです。これにより、攻撃者は攻撃を成功させるために追加の検査ポイントを回避する必要がでてきます。昨今の脅威環境は動的であるため、アンチウイルス、脆弱性エクスプロイトの検出、URLフィルタリングは有効ですが、さらに多くのことが可能です。 それは、潜在的な悪意のある接続先への接続を、名前解決が行われる前に切断することです。   疑わしいDNSシグネチャはアラート設定や、接続をリセットまたはドロップすることによって名前解決をブロックする設定、もしくは製品に備わっているDNSシンクホール機能を利用して被疑対象に接続しないような設定ができます。 パロアルト ネットワークスのベスト プラクティスは、疑わしいDNSクエリの送信元IPを特定できるように、シンクホールに設定することです。   不審なDNSクエリー・シグネチャはどのように機能しますか? どのように提供されますか? 疑わしいDNSクエリー・シグネチャ(以降、SDNSシグネチャ)は、シグネチャが存在するドメインへの名前ルックアップを検査するPAN-OSアプライアンスを通過するDNSトラフィックを元に動作します。 パケットのキャプチャがSDNSシグニチャで有効化されている場合、その中には単順に特定のドメインへのDNSクエリーが含まれます。     SDNSシグネチャは、パロアルト ネットワーク ス  バックエンドのインテリジェンス情報収集の結果です。 WildFireサンドボックスにて検体を走らせた際の結果、外部インテリジェンス フィード、および研究者からの分析、などがその例です。   作成されたシグニチャは、次の2つの方法でPAN-OS機器に送られます。   WildFireコンテンツ、脅威ID 3,800,000  - 3,999,999 。 デバイスのWildFireコンテンツ アップデート スケジュールの更新頻度の設定、およびシグネチャがまだ有効かどうかに応じて、15分ごとに更新することも可能です。 これらのシグネチャは、次のフォーマットで脅威ログに表示されます。Malwarefamilyname:domain(例: None:google[.]com)シグネチャを生成するために使用されたサンプルにファミリーネームが関連付けられていない場合は、「None」が代わりに使用されます。   アンチウイルス コンテンツ、 脅威ID  4,000,000  - 4,199,999 。 アンチウイルス  コンテンツは、通常、およそ午前7時(EST)に、24時間に1度リリースされます。これらのシグネチャは、次の形式で脅威ログに表示されます。 Suspicious DNS Query:  Malwarefamilyname:domain(例:Suspicious DNS Query: None:google[.]com)シグネチャを生成するために 使用されたサンプルにファミリーネームが関連付けられていない場合は、 「None」が代わりに使用されます。 シグネチャは、コンテンツの「スパイウェア」部分に表示されます。 シグネチャ の脅威ID番号によって識別できるものの詳細については、 このリンク(英文)を参照ください。 (※ 訳注:前述した脅威IDの範囲についても、最新情報はこのリンク先の記事を参照してください。)      以前に検知されたSDNS クエリー シグネチャは、脅威モニターで名前が変更されていることに気が付いているかもしれません。なぜ起こったのか疑問に思うかもしれません。   現在のSDNSシグネチャの実装について、コンテンツの場合は一般的に、現在のコンテンツ内で各脅威にはIDが割り当てられています。割り当てられるコンテンツ スペースは無限でないため、とある時点において、SDNSコンテンツ スペースで最もアクティブで危険な脅威を保つことが優先事項です。脅威の状況が急速に変化するため、シグネチャは置き換えられることがあります。   脅威モニターUIの現在の実装では、現在ファイアウォールにインストールされているコンテンツ データベースから直接「名前」フィールドが照会されます。これが意味することは、一旦脅威モニターがロードされると、あるドメインで読み取られた以前のシグネチャトリガーが、現在のシグネチャに関連されたものに置き換わって表示されるようになることです。   例: WildFireコンテンツ1では、Google[.]comがSDNS脅威ID 3,800,000に割当てられています。 この脅威が検知されると、 脅威ID  3,800,000 Google[.]com が脅威ログに記録されます。 WildFireコンテンツ2がインストールされます。 WildFireコンテンツ2では、Bing[.]comがGoogle[.]comに代わってSDNS 脅威ID  3,800,000が割当てられています。 以前、脅威ログに記録されていたものは、Bing[.]comとして誤って表示されます。   今のところ、最も単純な回避策は、DNSトラフィックが通過しているセキュリティ ルールに割り当てられたアンチスパイウェア プロファイルを開いて、SDNSシグネチャでパケット キャプチャ採取を有効にすることです。 パケット キャプチャは静的なデータであり、変更されません。     DNSシグネチャが変更される理由については この記事 を参照ください。   不審なDNSクエリー・シグネチャの発生を検知したらどうすべきですか? SDNSシグネチャ トリガーは、必ずしもスパイウェア感染を指し示すものではありませんが、他のインジケーターと共に使用して、危険にさらされている可能性のあるホストを特定するのに利用できます。ホストは、悪意のある行為であると言い切れない外向けネットワーク接続パターンを表示している可能性があります。   ホストがSDNSシグネチャが存在するドメインへのトラフィックを生成すると、プロアクティブなセキュリティ アナリストは、ネットワーク上のトラフィックを特定して検査やその他のアクションを保証するのに役立ちます。 もしホスト・トリガーにてSDNSシグネチャが検知されたのと同時に、AV検出、脆弱性シグネチャー検出、またはマルウェアとして分類されたURLのWeb閲覧などが見受けられた場合は、SDNSシグネチャを使用したことにより、そのホストに対してさらなるアクションが必要であることに確信が持てます。   AutoFocusのご使用の場合は、WildFireサンプルやその他の公開サンプルを調べ、マルウェアの判定を受けかつ特定のドメインに到達したサンプルを検索することができます。これにより、アナリストは、インシデント レスポンス アクションに備えるために、シグネチャが存在する理由と、疑わしいドメインへのトラフィックを生成したサンプルの動作を理解するのに役立ちます。 AutoFocus showing a query on a suspicious DNS domain. そのシグネチャーをさらに調べるために、サードパーティーからのオープンソースの情報源は、セキュリティ コミュニティがどのような種類のインテリジェンスを、そのドメインに対して持っているかを調べるのに、とても良い方法です。   いくつかのサードパーティーを利用した調査サンプル例: VirusTotal URLスキャンを使用して、他のベンダーの検査結果を確認します。 PassiveTotalを使用して、ドメインのパッシブDNS履歴を確認します。 WHOISを活用して、ドメインの所有者、登録日時、その他のデータの詳細を確認します。   アラートが調査するに値すると決まったら、ホスト上のパケットキャプチャによって、ユーザのアクティビティや疑わしいトラフィックなどのコンテキストデータを参照することは、さらなるアクションが必要かどうかの追加設定の助けとなります。   上記のすべてを行っても、特定のSDNSシグネチャが大量のアラートを生成していて、かつ、あなたが確認する限りそのドメインに対してネガティブな活動が見受けられない場合はどうしたらいいでしょうか?   この場合、Palo Alto Networksのサポートは、シグネチャが無効にすべき候補であるかどうかを特定する手助けをいたします。多くのお客様にシグネチャが重大なノイズを生成しているように見える場合は、脅威ログの調査に時間を浪費しないようにして欲しいと思います。 ただし、そのシグネチャに対し確証がある場合は、スパイウェア プロファイルの例外機能を活用して、トラフィックを許可してアラートを停止することができます。   不審なDNSクエリー・シグネチャのサンプル例:   SHA256の”932836effd33218470e1c78dad3505d59af31ecff599e875ed79f47114552883”をサンプル例としてみてみましょう。   このサンプルはPEファイルで、一旦実行すると、いくつかの不審なC2 HTTPトラフィックを作り出します。     結果、該当ドメインへのトラフィックを止めるためのC2ドメイン・シグネチャが生成されました。  
記事全体を表示
kkondo ‎08-14-2018 07:02 AM
6,162件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 WildFire Counters Descriptions https://live.paloaltonetworks.com/t5/Threat-Vulnerability-Articles/WildFire-Counters-Descriptions/ta-p/54434     概要 この記事では、CLIにて show wildfire statistics コマンド 、また show wildfire status コマンドを実行した際に結果に表示されるWildFireのカウンタの詳細について記載しています。   詳細 show wildfire statistics コマンド出力のカウンタの説明 カウンタ 説明 Total msg rcvd WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したメッセージの総数。 Total bytes rcvd WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信した総バイト数。 Total msg lost WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したが、データ バッファがフルになっていたか、不正なパケット ヘッダのためにマネジメント プレーンがドロップしたメッセージの総数。 Total bytes lost WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したが、データ バッファがフルになっていたか、不正なパケットヘッダのためにマネジメント プレーンがドロップした総バイト数。 Total msg read WildFireへファイルをフォワードするために、データ プレーンから受信し、マネジメント プレーンによって処理されたメッセージの総数。 Total bytes read WildFireへファイルをフォワードするために、データ プレーンから受信し、マネジメント プレーンによって処理された総バイト数。 Total msg lost by read WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したが、なんらかのエラー(不正なパケットヘッダや壊れたデータ)によって処理することができなかったメッセージの総数。 DP receiver reset count データ プレーン側において、自動(デバイスのリセット等)または手動でコマンドラインからリセットされたWildFireへのフォワード数。 Total file count WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したファイルの総数。 CANCEL_BY_DP データ プレーンからマネジメント プレーンへ送られたが、データ プレーンによってキャンセルされたファイル数。これは、ファイルがAVシグネチャーにマッチしアクションがdropに設定されている場合や、その他のファイアウォール上のポリシーによってセッションがドロップされた場合、またクライアントまたはサーバーが転送をキャンセルした場合にカウントされます。 CANCEL_TIME_OUT データ プレーンからマネジメント プレーンへ送られたが、データ転送でタイムアウトが発生しマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_OFFSET_NO_MATCH データ プレーンからマネジメント プレーンへ送られたが、データ プレーンからのファイル ストリームにおいて予期しないパケット(out-of-orderもしくはその他のエラー条件)が見つかったためにマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_NO_MEMORY データ プレーンからマネジメント プレーンへ送られたが、マネジメント プレーン上でデータ バッファが枯渇しマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_FILE_DUP_EARLY データ プレーンからマネジメント プレーンへ送られたが、第一キャッシュ レベルにヒットしたためにマネジメント プレーンによってキャンセルされたファイル数。これは、二つの同一ファイルの転送がほぼ同時に行われ、一つが許可され、他方がキャンセルされた場合に発生します。 CANCEL_FILE_DUP データ プレーンからマネジメント プレーンへ送られたが、第二キャッシュ レベルにヒットしたためにマネジメント プレーンによってキャンセルされたファイル数。これは、過去の一定期間の間にデバイスにおいて同じファイルが処理された場合に発生します。 CANCEL_FILESIZE_LIMIT データ プレーンからマネジメント プレーンへ送られたが、ユーザが定義したWildFireクラウドへフォワードするファイルの上限サイズに到達したためにマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_FILENUM_LIMIT データ プレーンからマネジメント プレーンへ送られたが、同時ファイル転送数が規定の上限値に達したためにマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_DISK_IO_FAIL マネジメント プレーンがWildFireクラウドへ転送する前に一時ファイルをディスクに書き込めなかった回数。これは、一般的なディスクの異常、またはディスクのバッファが割当て上限に近い場合に発生します。 CANCEL_FWD_PIPE_FULL データ プレーンからマネジメント プレーンへ送られたが、データを保持するためのバッファがディスク上で枯渇したためにマネジメント プレーンによってキャンセルされたファイル数。 DROP_NO_MEMORY WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、マネジメント プレーンにおいてデータ バッファが枯渇したためにマネジメント プレーンによってドロップされたパケット数。 DROP_NO_MATCH_FILE WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、パケットがマネジメント プレーンがバッファリングしているどのファイルにもマッチしなかったためにマネジメント プレーンによってドロップされたパケット数。 DROP_HASH_LIMIT_HIT WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、同時ファイル転送数が規定の上限値に達したためにマネジメント プレーンによってドロップされたパケット数。 DROP_DECODE_FAIL WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、パケットが壊れており正常にデコードできなかったためにマネジメント プレーンによってドロップされたパケット数。 DROP_FWD_PIPE_FULL WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、データを保持するためのバッファがディスク上で枯渇したためにマネジメント プレーンによってドロップされたパケット数。 DROP_CTLMSG_BUF_FULL バッファの枯渇を理由にマネジメント プレーンからデータ プレーンへ送信されたファイル転送のキャンセル メッセージの数。 File caching reset cnt キャッシュしているファイルのハッシュ値がリセットされた回数。これは、自動、またはコマンドラインから手動でリセットした場合に発生します。 FWD_CNT_LOCAL_FILE WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、ローカルのファイル ハッシュ キャッシュをベースに新しいファイルだと判断されたファイルの数。 FWD_CNT_LOCAL_DUP WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、ローカルのファイル ハッシュ キャッシュをベースに既知のファイルだと判断されたファイルの数。 FWD_CNT_LOCAL_FILE_CLEAN WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、ローカルのファイル ハッシュ キャッシュをベースにBenignファイルだと判断されたファイルの数。例えば、ファイルに信頼された署名が付いている場合など。 FWD_CNT_REMOTE_FILE WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で未知のファイルであったためWildFireクラウドへのクエリーを行い、その結果をベースに新しいファイルだと判断されたファイルの数。 FWD_CNT_REMOTE_DUP_CLEAN WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で未知のファイルであったためWildFireクラウドへのクエリーを行い、その結果をベースにBenignファイルだと判断されたファイルの数。 FWD_CNT_REMOTE_DUP_TBD WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で未知のファイルであったためWildFireクラウドへのクエリーを行い、その時点でVerdictが付いていなかったファイルの数。 FWD_CNT_REMOTE_DUP_MAL WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で未知のファイルであったためWildFireクラウドへのクエリーを行い、その結果をベースにMalwareファイルだと判断されたファイルの数。 FWD_CNT_CACHE_SYNC WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で既知のファイルであったがWildFireクラウド上では未知であったファイルの数。これは、デバイスでファイルのハッシュがキャッシュされ、かつそのファイルがなんらかの通信の問題でクラウドへ送信されなかった場合に発生します。この場合、ローカルのキャッシュ エントリは削除されます。 LOG_CNT_CACHE_EXPIRED WildFireへファイルをフォワードするために、マネジメント プレーンが受信した際、デバイス上にハッシュのキャッシュがあったが、キャッシュ エントリーの期限が切れていたのでWildFireクラウドへの再度クエリーをしキャッシュのリフレッシュを行う必要があったファイルの数。PAN-OS 5.0において実装。 LOG_CNT_DAILY_CAP_HIT WildFireのサブスクリプションがないデバイスにおいて、そのデバイスで既にデイリーのアップロード数の上限に達している状態で、マネジメント プレーンがWildFireクラウドへ送信するために受信したファイルの数。 FWD_ERR_UNKNOWN_QUERY_RESPONSE デバイスがWildFireクラウドへVerdictのクエリーを行った際に、認識不可能な結果を受信した回数。 FWD_ERR_CONN_FAIL デバイスとWildFireクラウド間でSSLトンネルの確立が失敗した回数。コネクションは即座にリトライされるか、もしくは1分間隔で行なわれます。どちらになるかは機能に依存します。 FWD_ERR_CONN_TIMEOUT WildFireクラウドへファイルをアップロードを試みている最中にタイムアウトが発生したためにファイルがドロップされた回数。 FWD_ERR_READ_FILE 予期せずファイルが壊れたか、バッファ内のファイルが削除されたかを理由にファイルがドロップされた回数。 FWD_ERR_SERVER_BUSY WildFireアプライアンス上のキューがlow water markに近づいているために、ファイルがキューされた回数。 LOG_ERR_REPORT_LOG_GEN_FAIL ソフトウェアの通信障害のためにデバイス上でWildFireのログ エントリーの生成に失敗した回数。PAN-OS 5.0において実装。 LOG_ERR_REPORT_CACHE_NOMATCH クラウドからのレポート データに基づき、既にログ イベントが生成されるものに対してWildFireクラウドからレポート データが送られてきた回数。これは異常を示すイベントではありません。PAN-OS 5.0において実装。 CANCEL_NO_LICENSE 有効なWildFireのライセンスが無いためにWildFireクラウドやWF-500にフォワードされなかったアドバンスド ファイル タイプ(APK, PDF, Microsoftオフィス ファイル, Javaアプレット)の数。 CANCEL_CONCURRENT_LIMIT その時点でディスクに保持できるファイル数の上限に達したためにキャンセルされたファイルの数。PAN-OS 6.0において実装。 Service connection reset cnt デバイスとWildFireクラウド間のSSLトンネルがリセットされた回数。これは、自動、またはコマンドラインから手動でリセットした場合のどちらでも発生します。コネクションがリセットされた際には、クラウドへ送信するためにディスクのバッファに残っているファイルも同様にリセットされます。 Log cache reset cnt ログ キャッシュがリセットされた回数。これは、自動、またはコマンドラインから手動でリセットした場合のどちらでも発生します。PAN-OS 5.0において実装。 Report cache reset cnt レポート キャッシュがリセットされた回数。これは、自動、またはコマンドラインから手動でリセットした場合のどちらでも発生します。PAN-OS 5.0において実装。 data_buf_meter WildFireへファイルをフォワードする際、マネジメント プレーンがデータ プレーンからのパケット ペイロードを蓄積しファイルの再構築を行うために使うメモリ バッファの使用率をパーセンテージで示したもの。 msg_buf_meter WildFireへファイルをフォワードする際、マネジメント プレーンがデータ プレーンからのパケット ヘッダを蓄積しファイルの再構築を行うために使うメモリ バッファの使用率をパーセンテージで示したもの。 ctrl_msg_buf_meter マネジメント プレーンからデータ プレーンへファイル キャンセル メッセージを行う際に、そのメッセージをバッファするために使うマネジメント プレーン上のメモリ バッファの使用率をパーセンテージで示したもの。 fbf_buf_meter WildFireクラウドへファイルが送信される前に、ディスク上にバッファされたファイルの位置をポイントするのに使われるマネジメント プレーン上のメモリ バッファの使用率をパーセンテージで示したもの。   show wildfire status コマンド出力のカウンタの説明 カウンタ 説明 Wildfire cloud: パブリック クラウド、またはWF-500のIPアドレスが表示されます。 Status: 正常にセットアップされている場合は、"idle"と表示されます。ファイル ブロッキング プロファイルの設定にて、アクションがforwardまたはcontinue-forwardになっていない場合は、"Disabled due to configuration"と表示されます。 Best server: 接続されているWildFireサーバー、またはWF-500のIPアドレスが表示されます。 Device registered: 正常にセットアップされ、WildFireクラウドまたはWF-500に対してレジスターされている場合は"yes"と表示されます。WildFireにレジスターされていない場合は"no"と表示されます。 Valid wildfire license: 有効なWildFireライセンスが使用されている場合は、"yes"と表示されます。 Service route IP address: WildFireに対してコネクションを張る際に使われるIPアドレスが表示されます。 Signature verification シグネチャーの照合が有効になっているかどうかを表示します。 Through a proxy WildFireへの接続がプロキシ経由かどうかを表示します。 File size limit info アップロードするファイルサイズの上限を表示します。 Forwarding info: アイドル タイムアウト値、フォワードされたファイル数の累積値、最後の1分間にフォワードされたファイル数、フォワード待ちでバッファされているファイル数、を表示します。   著者: sdarapuneni
記事全体を表示
ymiyashita ‎07-20-2017 05:03 PM
8,497件の閲覧回数
0 Replies
「WildFire」のプライベートクラウドで実現する「Palo Alto Networks WF-500アプライアンス」をご紹介します。
記事全体を表示
tkobayashi ‎07-06-2017 07:24 PM
8,433件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。  WildFire API Frequently Asked Questions (FAQ) https://live.paloaltonetworks.com/t5/Threat-Articles/WildFire-API-Frequently-Asked-Questions-FAQ/ta-p/78950     本記事では、WildFire API のよくある質問をまとめています。     1. デイリーのアップロード/クエリー上限に達するとどうなりますか? デイリーのアップロード/クエリー上限に達すると、それ以降、その日のアップロード/クエリー(上限に達した方)は行えなくなります。WildFireクラウドからは、"Quota Exceeded" のエラーが返ります。     2. デイリーのアップロード/クエリー数が残っていた場合、それは次の日に持ち越されますか? いいえ。値は日本時間の9:00 AMにリセットされます。     3. デイリーのアップロード/クエリー上限に達する前に通知メールを受け取ることはできますか? いいえ。デイリーのアップロード/クエリーの上限数の管理は、APIを使用するクライアント側で、APIの使用数を一日単位で追跡することで管理してください。     4. Carbon Black (Bit9) からWildFire API Keyを利用してファイルアップロードを行う場合、デイリーのアップロード数は消費されますか? はい。     5. Proof Point からWildFire API Keyを利用してファイルアップロードを行う場合、デイリーのアップロード数は消費されますか? いいえ。Proof Point の実装はカスタムであるため、デイリーのアップロード リミットは消費されません。     6. ファイアウォールとWildFireクラウド間の通信 (アップロード/クエリー) でAPI Keyの使用数は消費されますか? いいえ。ファイアウォールとWildFire間の通信はAPI Keyの制限は受けません。     7. 手動アップロードをした際はどうなりますか? WildFireポータルにてファイルを手動アップロードをした際にも、API Keyの使用数は消費されます。     8. WildFireポータルで表示される "manual upload limit:5" は何を意味しますか? WildFire Only ユーザは、WildFireポータルで行えるデイリー アップロードの数が5で制限されています。     9. WildFire API Key を使ったデイリーのアップロード/クエリー上限数はいくつですか? - デイリー アップロードの上限数: 1000 - デイリー クエリーの上限数: 10000   Traps用API Keyの場合: - デイリー アップロードの上限数: 1000000 - デイリー クエリーの上限数: 1000000     10. デイリーのAPI Keyの使用数はどのように消費されますか? デイリーのAPI Keyの使用数はAPIを使ったリクエストによって消費されます。リクエスト毎に数が消費されるため、全く同じリクエストをAPIを使って複数回行った場合にもその回数分消費されます。また、リクエストに対して有効なレスポンスが無かった場合も同様です。例えば、WildFireクラウドにレポートが存在しないハッシュ値でクエリー リクエストを出したとします。この際、レポートの取得はできませんがAPI Keyの使用数は消費されます。同様に、未サポートのファイルタイプの検体をクラウドにアップロードしようとした場合、アップロード自体は失敗しますがAPI Keyの使用数は消費されます。     11. WildFire API Key はどのように生成されますか? WildFire API key はCSPアカウント毎に生成されます。(ファイアウォール毎でもWildFireサブスクリプション毎でもありません。)基本的にはひとつのアカウントにつき、ひとつのAPI Keyが生成されます。 WildFireサブスクリプションを最初にアクティベートしたタイミングでAPI Keyは自動で即生成されます。ファイアウォール デバイスをあるアカウントから別のアカウントへ移動(トランスファー)した際には、そのデバイスがWildFireサブスクリプションを持っていたとしてもWildFire API Keyは自動では生成されません。このような場合はパロアルト ネットワークス カスタマー サポートにお問い合わせいただき、WildFire API Keyの生成をリクエストしてください。     12. WildFire API Key 有効期限はどのように更新されますか? ひとつのCSPアカウント配下にWildFireサブスクリプションを持つ複数のファイアウォール デバイスがある場合、そのうちの最も長い期限を持つライセンスがWildFire API Keyの有効期限として反映されます。WildFireサブスクリプションが更新されると、WildFire API Keyの有効期限もそれに合わせて更新されます。ライセンス更新の際にWildFire API Key自体は変更されません。つまり、ライセンス更新によって新しいAPI Keyが生成されるようなことはありません。 ファイアウォール デバイスをあるアカウントから別のアカウントへ移動(トランスファー)した際には、WildFire API Keyの有効期限は更新されません。このような場合はパロアルト ネットワークス カスタマー サポートにお問い合わせいただき、WildFire API Keyの有効期限の更新をリクエストしてください。  
記事全体を表示
ymiyashita ‎06-20-2017 12:38 AM
8,340件の閲覧回数
0 Replies
対象 旧WildFire Japan クラウド wildfire.paloaltonetworks.jp をご利用されていた全てのお客様   概要 2017年3月15日16:00 (日本時間) に、WildFireクラウドのバージョンアップの移行期間(90日)の完了をもちまして、wf10.wildfire.paloaltonetworks.jpを停止させていただきます。 これにより、wf10.wildfire.paloaltonetworks.jpを使用したWildFireポータルから、2016年12月15日9:00(日本時間) 以前に作成された以下のデータの取得が実施できないようになります。 ・過去のレポートの取得 ・Malware検体の取得 ・PCAPファイルの取得 WildFire Japan アップデート: https://live.paloaltonetworks.com/t5/ナレッジドキュメント/WildFire-Japan-アップデート/tac-p/132607#M251 2016年12月15日9:00(日本時間)以後に作成されたレポート/マルウェア検体/PCAPファイルについては、現状のWildFireクラウドのFQDN (jp.wildfire.paloaltonetworks.com) のWildFireポータルからの取得が行えます。 ※上記はWildFireポータルのほか、WildFire API、PAN-OS、Trapsからも可能です。 ※現状のWildFireクラウド (jp.wildfire.paloaltonetworks.com) のデータ保存期間については,以下のKBに添付 されておりますドキュメントをご参照ください。 https://live.paloaltonetworks.com/t5/Threat-Articles/WildFire-Japan-FAQ-日本語版/ta-p/54621 旧ドメイン(wildfire.paloaltonetworks.jp)に接続されているFirewallについては、 お客様の作業にて、新ドメイン (jp.wildfire.paloaltonetworks.com) をWildFireの設定情報として 変更する必要があります。実施いただかない場合、FirewallによるWildFireクラウドへの未知の検体の転送処理/ならびに防御が正常に実施されません。 上記の構成変更を実施していない場合、Firewallでtest wildfire registrationを実施した場合、失敗し、 wildfire registration:の結果がfailedとなります。 以下がtest wildfire registrationコマンドが失敗した際のサンプル出力となります。   >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> admin@PA-200> test wildfire registration This test may take a few minutes to finish. Do you want to continue? (y or n) Test wildfire Public Cloud Testing cloud server jp.wildfire.paloaltonetworks.com ... wildfire registration: failed >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 参考資料: PAN-OSにおけるWildFire クラウドのドメイン変更方法は以下のURLもしくは、WildFire 管理者ガイドをご参照ください。 https://www.paloaltonetworks.com/documentation/70/pan-os/pan-os/getting-started/enable-wildfire   WildFire 管理者ガイド: https://www.paloaltonetworks.jp/content/dam/paloaltonetworks-com/ja_JP/Assets/PDFs/technical-documentation/wildfire-70/WildFire_Administrator_Guide-7.0-Japanese.pdf
記事全体を表示
kkawachi ‎03-09-2017 10:29 PM
5,283件の閲覧回数
0 Replies
WildFire Japan アップデート   対象 WildFire Japan クラウドwildfire.paloaltonetworks.jp を利用されている全てのお客様   概要 お客様のセキュリティ、またプライバシーに関わるニーズに応えるために、分散されたWildFireクラウドを統合する取り組みを行ってきましたが、その一環として弊社Palo Alto Networks はWildFire Japanクラウドのアップデートを行います。   本アップデートにより、下記の改善/機能が提供されます。 WildFireクラウドにおけるマルウェア検知ロジックの最適化 False positive/False negativeの改善 Mac OSXの対応、柔軟なシステム拡張、アップグレードを可能とするクラウド基盤 AutoFocusとの連携 本アップデート後、WildFire Japanクラウドをご利用中のお客様は、ファイアウォールの設定変更が必要となります。 なお、ファイアウォールの前段にてプロキシサーバをご利用で、かつこれまで、WildFire Japanクラウドの通信を 制御されていた場合は、下記のFQDN/ポート番号の通信を許可して頂く必要があります。   FQDN: jp.wildfire.paloaltonetworks.com ポート番号:443   実施時期 12月9日から12月15日   ※実施時間は、下記の予定となりました。 アップグレード開始時間:US時間 12月13日PM4:00 (日本時間 12月14日AM9:00) アップグレード終了時間:US時間 12月13日PM5:00 (日本時間 12月14日AM10:00) アップグレードに要する時間は、1時間ほどとなります。   アップグレード後のご連絡 -2016年12月14日の午前9:35(日本時間)に、 wildfire.paloaltonetworks.jpをご利用のお客様のファイアウォールで当該サイトに接続できない、ならびに当該FQDNのWildFireポータルにもログインできない問題が発生しておりました。これらの問題については、2016年12月14日の午後12:05(日本時間)に解決し、WildFireJapanのサービスが完全に復旧していることをお知らせ致します。現時点では、特に復旧等のために実施いただく操作はございません。 問題の根本原因の調査を行ったところ、WildFireのアップグレードを行うために必要なDNS構成の変更が適切に実施されておらず、それが根本原因として起因していることが判りました。今回の問題により、お客様にご迷惑をお掛けし、誠に申し訳ございませんでした。   -2016年12月15日時点で、WildFireJapanのアップグレードが完了したことをお知らせ致します。 WildFireJapanのアップグレードをもちまして、移行期間については、以下のとおり確定致しましたのでご案内致します。 引き続き弊社製品/サービスのご利用くださいますようお願い申し上げます。また、今回のWildFireJapanのアップグレードにおいて、お客様に頂戴致しました、ご協力ならびにご理解に重ねて御礼申し上げます。wf10.wildfire.paloaltonetworks.jpによる、 アップグレード前のWildFire Japanクラウドにアップロードされた情報と解析レポートにつきましても、本移行期間中の御提供となります。    移行期間開始日:2016年12月15日(日本時間)    移行期間終了日:2017年 3月15日(日本時間)     詳細 WildFire ポータル アドレスの変更 アップデート後、WildFire Japan ポータルのURLが変更されます。 アップグレードの正式アナウンスの後にjp.wildfire.paloaltonetworks.com へのアクセスが可能となります。   現状のURL:  wildfire.paloaltonetworks.jp アップデート後のURL:  jp.wildfire.paloaltonetworks.com   既存データの扱い 過去にWildFire Japanクラウドにアップロードされた情報と解析レポートは今回のアップデートによって全て削除されます。そのため、既存のデータに対する以下の処理が影響を受けます。アップグレード後、wf10.wildfire.paloaltonetworks.jpにアクセスいただくことで、移行期間は、APIとポータルからこれらのデータのダウンロードが可能です。   過去のレポートの取得 マルウェア検体の取得 PCAPファイルの取得 ※移行期間については、本KBの"移行期間(90日)"をご参照ください。   ※例えば、APIでwf10.wildfire.paloaltonetworks.jpから行う場合、検体のVerdictを取得するcurlコマンドは以下のようになります。 curl -F 'こちらにご利用のAPIキ-を指定してください' -F 'hash=こちらに対象のサンプルのsha256を指定してください' 'https://wf10.wildfire.paloaltonetworks.jp/publicapi/get/verdict'   移行期間(90日) WildFire Japanクラウドをご利用のお客様がスムーズに新しいドメインjp.wildfire.paloaltonetworks.com に移行できるよう、90日間の移行期間が設けてあります。 この移行期間はクラウドのアップデートが完了後に始まります。現状の予定は以下のとおりです。 以下はUS時間です。 2016年12月13日(日本時間12月14日):新しいWildFire Japan クラウドjp.wildfire.paloaltonetworks.com の利用開始 2017年3月13日(日本時間3月14日):以前のWildFire Japanクラウド wildfire.paloaltonetworks.jpアクセス停止   ※アップグレードの正式アナウンスが実施された直後は、切り替わりにより、一時的にファイアウォール上でWildFire Japanクラウドとの切断 を示すメッセージが記録される可能性がございます。   ※アップグレードの正式アナウンスが実施された後90日間は、wildfire.paloaltonetworks.jpがファイアウォール上で利用するWildFire Japan クラウドとして指定されていても、ファイアウォールは、jp.wildfire.paloaltonetworks.comに検体を送信します。 移行手順 ファイアウォール上にて、WildFire Japan クラウドの設定を jp.wildfire.paloaltonetworks.com に変更します。 WildFire Test PEファイルを使用し、新しいWildFire Japanクラウド設定が機能していることを確認します。 (上記の変更は90日間の移行期間内に完了してください) 参考資料 1. PAN-OS 設定変更 PAN-OSにおけるWildFire クラウドのドメイン変更方法は以下に記載されています。 https://www.paloaltonetworks.com/documentation/70/pan-os/pan-os/getting-started/enable-wildfire   WildFire 管理者ガイド: https://www.paloaltonetworks.jp/content/dam/paloaltonetworks-com/ja_JP/Assets/PDFs/technical-documentation/wildfire-70/WildFire_Administrator_Guide-7.0-Japanese.pdf   WildFire FAQ 日本語版: https://live.paloaltonetworks.com/t5/Threat-Articles/WildFire-Japan-FAQ-日本語版/ta-p/54621 [注: WildFire Japanクラウドのアップデートが完了したタイミングでFAQ内の記載も更新する予定です。 "wildfire.paloaltonetworks.jp" → “jp.wildfire.paloaltonetworks.com”]   2. APIの変更 APIを使用する際もドメインをwildfire.paloaltonetworks.jp からjp.wildfire.paloaltonetworks.comへの変更が必要です。 例えば、WildFire Japanクラウドから検体のVerdictを取得するcurlコマンドは以下のようになります。 curl -F 'こちらにご利用のAPIキ-を指定してください' -F 'hash=こちら に対象のサンプルのsha256を指定してください' 'https://jp.wildfire.paloaltonetworks.com/publicapi/get/verdict'   以下はWildFire API に関するドキュメントとなります。 https://www.paloaltonetworks.com/documentation/71/wildfire/wf_api/about-the-wildfire-api
記事全体を表示
kkawachi ‎12-14-2016 05:26 PM
16,091件の閲覧回数
9 Replies
セキュリティプラットフォームによる多層防御のアプローチと、 次世代ファイアウォールの各機能について ご紹介致します。
記事全体を表示
ykato ‎09-16-2016 01:15 AM
14,362件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Wildfire Configuration, Testing, and Monitoring https://live.paloaltonetworks.com/t5/Management-Articles/Wildfire-Configuration-Testing-and-Monitoring/ta-p/57722   Wildfireは Palo Alto ファイアウォールと統合し、マルウェアの検出や防止を提供するクラウドベースのサービスです。 PAN-OS 7.0以前のWildfireはファイル ブロッキング プロファイルとして、PAN-OS 7.0 からは WildFire 分析プロファイルとして設定され、分析が必要なトラフィックにマッチするセキュリティ ポリシーに適用することができます。     セキュリティ ポリシーにて:   厳格なセキュリティー ポリシーが適用されている場合、管理インターフェースからインターネットへの出力トラフィックにおいて "paloalto-wildfire-cloud" アプリケーションが許可されているか確認してください。本アプリケーションは "paloalto-updates" および同様のサービスを含む既存のサービス ポリシーに追加しなければならない場合があります。また、外部インターフェースへ wildfire-cloud を統合するためには、サービス ルートを追加する必要があります。     Wildfire は ファイル ブロッキング プロファイルのフォワード アクションとしてセットアップすることができます。 Forward: ファイルは "Wildfire" クラウドへ自動的に送信されます。 Continue and Forward: ユーザーはダウンロードと Wildfire への情報転送の前に "continue" アクションを促されます。 PAN-OS 7.0 でもファイル ブロッキング プロファイルでまだ "continue" アクションを選択することができますが、WildFire 分析プロファイルでは単純に"public-cloud" または "WF-500" アプライアンスが利用可能な場合は"private-cloud"に送信するように設定することができます。   Wildfire 設定で決定したファイル タイプが Wildfire クラウドによってマッチングされます。 Palo Alto Networks ファイアウォールはファイルのハッシュを計算し、Wildfire クラウドに計算されたハッシュのみを送信します。 クラウド内のハッシュはファイアウォール上のハッシュと比較されます。ハッシュがマッチしなかった場合、Wildfire ポータル (https://wildfire.paloaltonetworks.com/) 上にアップロードされ、検査したファイルの詳細を閲覧したりできます。 ファイルは解析のために Wildfire ポータルへ手動でアップロードすることもできます。   Wildfire のテスト/モニタリング: 管理ポートが Wildfire と通信できるかCLIで "test wildfire registration" コマンドを使用することで確認することができます。 > test wildfire registration This test may take a few minutes to finish. Do you want to continue? (y or n) Test wildfire         wildfire registration:        successful         download server list:          successful         select the best server:        va-s1.wildfire.paloaltonetworks.com 有効な Wildfire ライセンスが存在する場合、デバイスは Wildfire クラウドに登録されます。   以下のコマンドは WildFire の動作を確認するために使用することができます: > show wildfire status Connection info: Signature verification: enable Server selection: enable File cache: enable WildFire Public Cloud: Server address: wildfire.paloaltonetworks.com Status: Idle Best server: eu-west-1.wildfire.paloaltonetworks.com Device registered: yes Through a proxy: no Valid wildfire license: yes Service route IP address: File size limit info: pe 2 MB apk 10 MB pdf 200 KB ms-office 500 KB jar 1 MB flash 5 MB ... cut for brevity > show wildfire statistics Packet based counters: Total msg rcvd: 1310 Total bytes rcvd: 1424965 Total msg read: 1310 Total bytes read: 1393525 ... cut for brevity > show wildfire cloud-info Public Cloud channel info: Cloud server type: wildfire cloud Supported file types: jar flash ms-office pe pdf apk email-link   Wildfireへの送信ログは Wildfire アクションの詳細を提供します: wildfire-upload-success: ファイルは WildFire クラウドへのアップロードに成功しました wildfire-upload-skip: Wildfire クラウドは既にファイルを検査しており、ファイルのアップロードはされません。Benignファイルについては、Wildfire ポータル上でレポートは作成されません。     ファイルがアップロードされているか既に過去に分析されておりアップロードされなかった場合においても、この sha256に対する ログ エントリは Wildfire レポートと共に生成されます。ファイルが直近でアップロードされている場合には、WildFire 解析がまだ完了していない可能性があり、その場合レポートはまだ利用できません。                                   著者: tpiens  
記事全体を表示
tsakurai ‎07-17-2016 05:21 PM
10,745件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Threat landscape: Why DNS Signatures and URL categorizations for malware change https://live.paloaltonetworks.com/t5/Threat-Articles/Threat-landscape-Why-DNS-Signatures-and-URL-categorizations-for/ta-p/71052     問題 - "Suspicious DNS signature" (WildFire: 3,800,000 - 3,999,999, AV: 4,000,000 - 4,199,999) の内容が以前と異なる。 - 悪意のあるサイトがMalwareとして分類されていない、あるいは、以前はMalwareと分類されていたけれども現在は別カテゴリに分類されている。     解説 脅威は日々、変化と進化を遂げています。現在、エクスプロイト キットの作成者はセキュリティをかいくぐるための複雑なメカニズムを熟知しています。最近の事例に関しては、このリンクを参照してください。悪意のあるサイトは、サイトに訪れるユーザーに対してエクスプロイトやマルウェアを隠すように巧みにフィルターすることができます。それには、ロケーション、ブラウザの動作、クッキーの値、過去の訪問履歴、訪問した時間など、様々な要素が用いられます。   サイトが常に悪意のある行いをし、訪問する全てのユーザに対して影響を与えるようでなければ、そのサイトを運行している全てのドメインをMalwareと定義することは理想的ではありません。なぜならば、そうすることによって正規のコンテンツやサービスまでブロックされる恐れがあるためです。   DNSシグネチャは利用できるアクティブなデータを元に、短い期間で変更されていきます。WildFireのコンテンツは15分おきに更新されるため、DNSの分類も最短で15分で更新されます。ただし、この更新周期はデバイス上でのWildFireコンテンツの更新スケジュールの設定に依存します。   ブロックと防御へのアプローチは、攻撃者が利用するテクニックにマッチするために順応でなければなりません。柔軟、かつ正確に検知を行い、正規のトラフィックをブロックしないようにすることが最もな理想です。実際に悪意のあるコンテンツの配信を検知することは、評判をベースにしたブラックリストに比べれば(サイトの分類判断基準として)より正確です。   最近の脅威に常に対応できるように、我々のシグネチャは絶えず更新され続けます。仮に、現在アクティブとなっている脅威をベースとしてテスト/更新/削除がなされなければ、その防御は意味を成さないものになるでしょう。     著者: rcole    
記事全体を表示
ymiyashita ‎07-10-2016 06:46 PM
3,458件の閲覧回数
0 Replies
日々変化するサイバー脅威のトレンドと、それに対抗する弊社セキュリティプラットフォームを使った多層化防御アプローチに関する資料となります。
記事全体を表示
ykato ‎06-19-2016 11:33 PM
9,013件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to submit an Anti-Virus false positive https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-submit-an-Anti-Virus-false-positive/ta-p/74600     概要 ウイルス シグネチャ誤検知を申告いただく場合、下記で記述した情報を御提供くださいますようお願い致します。     取得する情報 "show system info" コマンドの出力結果もしくは、WebGUI の Dashboard > "一般的な情報" のスクリーン キャプチャ。 AVシグネチャをトリガしたサンプル ファイル。サンプル ファイルを御提供いただく場合、必ずパスワードで圧縮し、解凍用のパスワードとともに御提供ください。 サンプル ファイルのSHA256/MD5 ハッシュ値。 トリガされた脅威イベント ログの詳細のスクリーンショット、脅威ID/脅威名。(例えば、Threat ID 2000002 | Net-Worm/Win32.Conficker.cr) ウイルス シグネチャ誤検知と判断された情報。例えば下記の情報。 - VirusTotalによるサンプル検査結果 - サンプルはお客様により作成されたもの - サンプルは第三者機関の電子署名をされている - サンプルを解析し、悪意のあるファイルではないことを確認されている     上記の情報を採取いただき、サポート ケース上にご提供いただくことで、ウイルス シグネチャ誤検知の調査が可能となります。  
記事全体を表示
kkawachi ‎06-08-2016 05:10 AM
5,040件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How does WildFire handle links within emails? https://live.paloaltonetworks.com/t5/Threat-Articles/How-does-WildFire-handle-links-within-emails/ta-p/72628     ファイアウォールから電子メール リンクを受信すると、WildFireは各リンクを実際に訪れ該当のウェブページが悪意のあるコンテンツを含んでいるかどうかを判断します(単にエクスプロイトかどうかをチェックするだけではありません)。もしWildFireがそのページ自体を無害だと判断すれば、ログは生成されません。   逆に、もしそのページが悪意のあるものだと判断されれば、 malicious という判定が下され、かつ以下の処理が行われます: 詳細な解析レポートが生成され、リンクを転送したファイアウォールにおいてWildFireへの送信ログ(WildFire Submission log)が記録されます。このログにはセッション情報と電子メールのヘッダ情報(電子メール送信者、受信者、件名)が記録されるため、メッセージを特定しメール サーバーから該当メールを削除したり、受信者を特定することで仮にその電子メールが通過し開かれたとしても脅威の影響を最小限にとどめることができるようになります。 該当URLがPAN-DBにマルウェア カテゴリとして追加されます。 ファイアウォールは電子メールに含まれるリンク数が100に達した際にまとめてWildFireに転送します。また、100に達していなくても2分毎に転送を行います。ファイアウォールではプラットフォーム毎に1分間にアップロードできる上限が決まっていますが、このまとめて行われる転送(バッチ アップロード)は1回のアップロードとしてカウントされます。   WildFireは電子メールに含まれるリンク先からダウンロードしてきたファイルを解析しますか?  この場合、WildFireはファイルの解析を行いませんが、仮にユーザが実際に電子メールに含まれるリンクをクリックしファイルのダウンロードが発生した場合は、ファイアウォールは設定に基づきそのファイルをWildFireに転送します。   ファイアウォールが電子メール リンクを転送しているかどうかはどのように確認できますか。 以下のコマンドで確認できます。 admin@PA-200> show wildfire statistics   コマンド結果に表示される email-link カウンタの箇所を参照してください。   電子メール リンクが送られると、以下のカウンタがカウントされます。 – FWD_CNT_APPENDED_BATCH—電子メール リンクがバッチに追加された数を表示します。なお、バッチはまだWildFireへのアップロード待ちの状態です。 – FWD_CNT_LOCAL_FILE— WildFireへ送信された電子メール リンクの総数を示します。   ファイアウォールは画像ファイルをWildFireに送信しませんが、今回のようにURLをWildFireに送信した場合、ウェブページが動的に解析される事になります。そのため、悪意のあるコンテンツを含む画像が存在するウェブページを開いた際には、WildFireは動的に解析を行いそのコンテンツから判定結果を導き出します。
記事全体を表示
ymiyashita ‎06-08-2016 04:38 AM
3,461件の閲覧回数
0 Replies
tkobayashi ‎06-05-2016 07:27 PM
7,603件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to enable email link forwarding with WildFire https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-enable-email-link-forwarding-with-WildFire/ta-p/62034     PAN-OS 6.1   概要 PAN-OS 6.1 以降のバージョンのPalo Alto Networksファイアウォールにおいて、SMTPとPOP3のプロトコルを使って送受信される電子メールに含まれるHTTPおよびHTTPSのリンクを抽出する機能が追加されています。これにより、抽出したリンクをファイアウォールからWildFireに転送し解析するように設定することができます。リンクが転送されると、WildFireによってリンク先のサイトが悪意のある振る舞いを行うかどうか検査されます。WildFireによってそのリンクが悪意のあるものだと判定されると、電子メールのヘッダ情報と共に詳細なレポートが作成されファイアウォールに送られます。また、そのURLはPAN-DBにMalwareカテゴリとして追加されます。   注:この機能はWildFireクラウドでのみサポートされています。WF-500アプライアンスではサポートされていないため、email linkを転送したり解析したりすることはできません。   以下のリストはこの機能をフルに活用するための必要条件です。 WildFireサブスクリプションが有効である WildFireのシグネチャ更新がダウンロードおよびインストールに設定されている(最小の設定は15分ごと) PAN-DBを使用しており、URLフィルタリング プロファイルでMalwareカテゴリをblockするように設定されている   手順 Device > セットアップ > WildFire に移動し、WildFireサーバーとしてWildFireクラウドが設定されていることを確認します。 ファイル ブロッキング プロファイルを作成し、ファイル タイプに'email-link'を含めます。 より詳細について、次のビデオも参照してください。Video Link : 1287 作成したファイル ブロッキング プロファイルをセキュリティ ルールに適用します。 電子メールのヘッダ情報をWildFireクラウドに送信するように設定します。 Device > セットアップ > WildFire へ移動し、セッション情報送信項目設定 (Session Information Settings) の編集アイコンをクリックします。 注: より詳細については、 Wildfire Administrator Guide 6.1 (40ページ目) を参照してください。(訳注:2016年4月時点でリンクが切れています。) "電子メール送信者" (Email sender)、"電子メール受信者" (Email recipient)、"電子メール件名" (Email subject) を選択します。 設定をコミットします。   著者: jwebb
記事全体を表示
ymiyashita ‎04-14-2016 10:14 PM
2,905件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure WildFire https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-WildFire/ta-p/56165   概要   WildFireは、ユーザに悪意のあるアクティビティの有無を自動的に解析する Palo Alto Networks のセキュアかつクラウドベースの、仮想化された環境へファイルを提出することを可能にします。脆弱な環境でそのファイル実行させ、システムファイルを修正する、セキュリティ機能を無効にする、検出を回避するために様々な方法を使用する、などの特定悪意ある行動やふるまいをPalo Alto Networksは監視します。ZIP圧縮されたファイルや HTTP(GZIP) ファイルは検査され、内部の EXE や DLL ファイルを解析対象にすることが可能です。 WildFireポータルでは解析ファイルの解析結果の閲覧が可能で、標的にされたユーザー、利用されたアプリケーション、悪意のあるふるまいが確認できます。WildFireポータルでは、解析結果が利用可能になった際にEメールを送信することもできます。   構成   設定方法: Device > Setup > WildFire タブに移動 default-cloudを選択し、maximum file size を 2MBにする WildFire に転送される情報を指定 Source IP—疑わしいファイルを送信した送信元IPアドレス Source Port—疑わしいファイルを送信した送信元ポート Destination IP—疑わしいファイルが送信された宛先IPアドレス Destination Port—疑わしいファイルが送信された宛先ポート Vsys—マルウェアの可能性が識別されたファイアウォール上のバーチャルシステム Application—ファイル転送に利用されたユーザーアプリケーション User—狙われたユーザ URL—疑わしいファイルに関連するURL Filename—送信されたファイルの名称   デフォルトでは、すべてのオプションが選択されていますが、Wildfireが動作するための必須情報ではありません。選択をはずした情報はWildFireクラウドに送信されません。   復号化ポリシーを利用している場合、WildFireでは暗号化されたファイルのアップロードの有効化が可能 Device > Setup > Content-ID > Enable に移動し“Allow Forwarding of Decrypted Content”を有効化                    デフォルトでは、暗号化されたファイルはWildFireクラウドに転送されません。PAN-OS 6.0では修正されるでしょう。(翻訳者注:要確認) Objects > Security Profiles > File Blocking に移動 ルールを追加. ルール名入力 (英字 31 文字以内) Applications— anyを選択 File Types—exe, dll のファイルタイプを選択 Direction—ファイル転送の方向を選択 (Upload, Download, または Both) Action—設定したファイルタイプを検知した際のアクションを設定 : Forward (ファイルを自動的にWildFireに送信)     作成した File Blocking プロファイルを Policies > Security 内の Wildfire を利用したいルールに適用 OKをクリック 設定をコミット     WildFire CLI コマンド 基本設定完了後、以下のコマンドで接続されたサーバの詳細が確認できます。接続性の確認 : > test wildfire registration This test may take a few minutes to finish. Do you want to continue? (y or n) Test wildfire         wildfire registration:        successful         download server list:        successful         select the best server:      va-s1.wildfire.paloaltonetworks.com   初回のレジストレーションは Active/Pasive 構成の Active ユニット上でのみ実施することができます。   Note: PINGでの接続性確認は実施しないでください。PingリクエストはWildFireサーバでは無効に設定されてます。接続性確認のベストプラクティスとして、サーバの443ポートへTelnetを実施する方法があります。   確認として、もしなんらかのファイルがサーバへ転送されている場合、以下のコマンドを利用します。 > show wildfire status Connection info:         Wildfire cloud:                default cloud         Status:                        Idle         Best server:                  va-s1.wildfire.paloaltonetworks.com         Device registered:            yes         Service route IP address:      10.30.24.52         Signature verification:        enable         Server selection:              enable         Through a proxy:              no Forwarding info:         file size limit (MB):                  2         file idle time out (second):            90         total file forwarded:                  0         forwarding rate (per minute):          0         concurrent files:                      0   "total file forwarded" カウンタでサーバへ転送されたファイルの数が確認できるでしょう。   WildFireログの確認 Monitor > Logs > Data Filtering ページへ移動 :   "data filtering logs" にてファイルのステータスを確認します。 もし "forward" 以外に "wildfire-upload-success" と "wildfire-upload-skip" のどちらも確認できない場合、そのファイルは信頼された署名がされているか、クラウド上ですでに良性と判断されています。   以下はアクションについての説明です。   Forward データプレーンが潜在的に実行可能ファイルをWildFireが有効化されたポリシー上で検知しています。このファイルはマネジメントプレーン上にバッファされています。 もし "forward" 以外に "wildfire-upload-success" と "wildfire-upload-skip" のどちらも確認できない場合、そのファイルは信頼された署名がされているか、クラウド上ですでに良性と判断されています。どちらのケースでも、このファイルに対して更なるアクションは実施されておらず、クラウド上にも送信されません (以前に良性であると判断されたファイルに関するセッション情報も送信されません)。これらのファイルに関する情報は WildFire Web ポータルにも記録されません。   どれだけのPEファイルがチェックされたか、クリーンまたはアップロードするために発見されたかについてのカウンタを確認するには、以下のコマンドを実施します: > show wildfire statistics statistics for wildfire DP receiver reset count:                  12 File caching reset cnt:                  12 FWD_ERR_CONN_FAIL                        1 data_buf_meter                            0% msg_buf_meter                            0% ctrl_msg_buf_meter                        0% fbf_buf_meter                            0%   wildfire-upload-success これは、そのファイルは信頼された署名がされておらず、ファイルはまだクラウド上で確認されていないことを意味します。この場合、そのファイル(とセッション情報)は解析ためにクラウド上にアップロードされています。.   wildfire-upload-skip これは、そのファイルがすでにクラウド上で確認されていることを意味します。 もしこのファイルが以前に悪意があると判断されている場合、その悪意があると判断された際のレポートがWildFireサーバ上に表示されす。 もしファイルが悪意のない良性のファイルであると判断されている場合、レポートはWildFireサーバ上では表示されません。   WildFire ポータル WildFire Portal にアクセスするには、https://wildfire.paloaltonetworks.com にアクセスし、Palo Alto Networks のサポートアカウントまたは WildFire アカウントででログインします。ダッシュボードが表示され、WildFire アカウントまたはサポートアカウントに紐づくすべてのファイアウォールからのサマリレポート情報がリストされます。この画面では解析されたファイルの数とどのくらいのファイルが malware、 benign、 または pending と判定されたかが表示されます。     その他の便利なコマンド show wildfire disk-usage debug wildfire dp-status   See Also Not All Files Appear on the WildFire Portal When Logs Show the Wildfire-Upload-Skip Message  
記事全体を表示
dyamada ‎04-08-2016 12:31 AM
10,718件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community