※この記事は以下の記事の日本語訳です。
How to Configure WildFire
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-WildFire/ta-p/56165
WildFireは、ユーザに悪意のあるアクティビティの有無を自動的に解析する Palo Alto Networks のセキュアかつクラウドベースの、仮想化された環境へファイルを提出することを可能にします。脆弱な環境でそのファイル実行させ、システムファイルを修正する、セキュリティ機能を無効にする、検出を回避するために様々な方法を使用する、などの特定悪意ある行動やふるまいをPalo Alto Networksは監視します。ZIP圧縮されたファイルや HTTP(GZIP) ファイルは検査され、内部の EXE や DLL ファイルを解析対象にすることが可能です。
WildFireポータルでは解析ファイルの解析結果の閲覧が可能で、標的にされたユーザー、利用されたアプリケーション、悪意のあるふるまいが確認できます。WildFireポータルでは、解析結果が利用可能になった際にEメールを送信することもできます。
構成
設定方法:
デフォルトでは、すべてのオプションが選択されていますが、Wildfireが動作するための必須情報ではありません。選択をはずした情報はWildFireクラウドに送信されません。
デフォルトでは、暗号化されたファイルはWildFireクラウドに転送されません。PAN-OS 6.0では修正されるでしょう。(翻訳者注:要確認)
WildFire CLI コマンド
基本設定完了後、以下のコマンドで接続されたサーバの詳細が確認できます。接続性の確認 :
> test wildfire registration
This test may take a few minutes to finish. Do you want to continue? (y or n)
Test wildfire
wildfire registration: successful
download server list: successful
select the best server: va-s1.wildfire.paloaltonetworks.com
初回のレジストレーションは Active/Pasive 構成の Active ユニット上でのみ実施することができます。
Note: PINGでの接続性確認は実施しないでください。PingリクエストはWildFireサーバでは無効に設定されてます。接続性確認のベストプラクティスとして、サーバの443ポートへTelnetを実施する方法があります。
確認として、もしなんらかのファイルがサーバへ転送されている場合、以下のコマンドを利用します。
> show wildfire status
Connection info:
Wildfire cloud: default cloud
Status: Idle
Best server: va-s1.wildfire.paloaltonetworks.com
Device registered: yes
Service route IP address: 10.30.24.52
Signature verification: enable
Server selection: enable
Through a proxy: no
Forwarding info:
file size limit (MB): 2
file idle time out (second): 90
total file forwarded: 0
forwarding rate (per minute): 0
concurrent files: 0
"total file forwarded" カウンタでサーバへ転送されたファイルの数が確認できるでしょう。
WildFireログの確認
"data filtering logs" にてファイルのステータスを確認します。
もし "forward" 以外に "wildfire-upload-success" と "wildfire-upload-skip" のどちらも確認できない場合、そのファイルは信頼された署名がされているか、クラウド上ですでに良性と判断されています。
以下はアクションについての説明です。
Forward
データプレーンが潜在的に実行可能ファイルをWildFireが有効化されたポリシー上で検知しています。このファイルはマネジメントプレーン上にバッファされています。
もし "forward" 以外に "wildfire-upload-success" と "wildfire-upload-skip" のどちらも確認できない場合、そのファイルは信頼された署名がされているか、クラウド上ですでに良性と判断されています。どちらのケースでも、このファイルに対して更なるアクションは実施されておらず、クラウド上にも送信されません (以前に良性であると判断されたファイルに関するセッション情報も送信されません)。これらのファイルに関する情報は WildFire Web ポータルにも記録されません。
どれだけのPEファイルがチェックされたか、クリーンまたはアップロードするために発見されたかについてのカウンタを確認するには、以下のコマンドを実施します:
> show wildfire statistics
statistics for wildfire
DP receiver reset count: 12
File caching reset cnt: 12
FWD_ERR_CONN_FAIL 1
data_buf_meter 0%
msg_buf_meter 0%
ctrl_msg_buf_meter 0%
fbf_buf_meter 0%
wildfire-upload-success
これは、そのファイルは信頼された署名がされておらず、ファイルはまだクラウド上で確認されていないことを意味します。この場合、そのファイル(とセッション情報)は解析ためにクラウド上にアップロードされています。.
wildfire-upload-skip
これは、そのファイルがすでにクラウド上で確認されていることを意味します。
WildFire ポータル
WildFire Portal にアクセスするには、https://wildfire.paloaltonetworks.com にアクセスし、Palo Alto Networks のサポートアカウントまたは WildFire アカウントででログインします。ダッシュボードが表示され、WildFire アカウントまたはサポートアカウントに紐づくすべてのファイアウォールからのサマリレポート情報がリストされます。この画面では解析されたファイルの数とどのくらいのファイルが malware、 benign、 または pending と判定されたかが表示されます。
その他の便利なコマンド
Not All Files Appear on the WildFire Portal When Logs Show the Wildfire-Upload-Skip Message