Wildfire の設定、テスト、モニタリングについて

※この記事は以下の記事の日本語訳です。
Wildfire Configuration, Testing, and Monitoring
https://live.paloaltonetworks.com/t5/Management-Articles/Wildfire-Configuration-Testing-and-Monitori...

Wildfireは Palo Alto ファイアウォールと統合し、マルウェアの検出や防止を提供するクラウドベースのサービスです。
PAN-OS 7.0以前のWildfireはファイル ブロッキング プロファイルとして、PAN-OS 7.0 からは WildFire 分析プロファイルとして設定され、分析が必要なトラフィックにマッチするセキュリティ ポリシーに適用することができます。

セキュリティ ポリシーにて：

厳格なセキュリティー ポリシーが適用されている場合、管理インターフェースからインターネットへの出力トラフィックにおいて "paloalto-wildfire-cloud" アプリケーションが許可されているか確認してください。本アプリケーションは "paloalto-updates" および同様のサービスを含む既存のサービス ポリシーに追加しなければならない場合があります。また、外部インターフェースへ wildfire-cloud を統合するためには、サービス ルートを追加する必要があります。

Wildfire は ファイル ブロッキング プロファイルのフォワード アクションとしてセットアップすることができます。

1. Forward: ファイルは "Wildfire" クラウドへ自動的に送信されます。
2. Continue and Forward: ユーザーはダウンロードと Wildfire への情報転送の前に "continue" アクションを促されます。

PAN-OS 7.0 でもファイル ブロッキング プロファイルでまだ "continue" アクションを選択することができますが、WildFire 分析プロファイルでは単純に"public-cloud" または "WF-500" アプライアンスが利用可能な場合は"private-cloud"に送信するように設定することができます。

Wildfire 設定で決定したファイル タイプが Wildfire クラウドによってマッチングされます。

Palo Alto Networks ファイアウォールはファイルのハッシュを計算し、Wildfire クラウドに計算されたハッシュのみを送信します。
クラウド内のハッシュはファイアウォール上のハッシュと比較されます。ハッシュがマッチしなかった場合、Wildfire ポータル (https://wildfire.paloaltonetworks.com/) 上にアップロードされ、検査したファイルの詳細を閲覧したりできます。
ファイルは解析のために Wildfire ポータルへ手動でアップロードすることもできます。

Wildfire のテスト/モニタリング:

管理ポートが Wildfire と通信できるかCLIで "test wildfire registration" コマンドを使用することで確認することができます。

> test wildfire registration
This test may take a few minutes to finish. Do you want to continue? (y or n)
Test wildfire
        wildfire registration:         successful
        download server list:          successful
        select the best server:        va-s1.wildfire.paloaltonetworks.com

有効な Wildfire ライセンスが存在する場合、デバイスは Wildfire クラウドに登録されます。

以下のコマンドは WildFire の動作を確認するために使用することができます:

> show wildfire status 

Connection info: 
  Signature verification:        enable
  Server selection:              enable
  File cache:                    enable

WildFire Public Cloud:
  Server address:                wildfire.paloaltonetworks.com
  Status:                        Idle
  Best server:                   eu-west-1.wildfire.paloaltonetworks.com
  Device registered:             yes
  Through a proxy:               no
  Valid wildfire license:        yes
  Service route IP address:     

File size limit info: 
  pe                                           2 MB
  apk                                         10 MB
  pdf                                        200 KB
  ms-office                                  500 KB
  jar                                          1 MB
  flash                                        5 MB

... cut for brevity

> show wildfire statistics

Packet based counters:
        Total msg rcvd:                           1310
        Total bytes rcvd:                      1424965
        Total msg read:                           1310
        Total bytes read:                      1393525

... cut for brevity

> show wildfire cloud-info

Public Cloud channel info: 
  Cloud server type:             wildfire cloud
  Supported file types:         
                                 jar
                                 flash
                                 ms-office
                                 pe
                                 pdf
                                 apk
                                 email-link

Wildfireへの送信ログは Wildfire アクションの詳細を提供します:
wildfire-upload-success: ファイルは WildFire クラウドへのアップロードに成功しました

wildfire-upload-skip: Wildfire クラウドは既にファイルを検査しており、ファイルのアップロードはされません。Benignファイルについては、Wildfire ポータル上でレポートは作成されません。

ファイルがアップロードされているか既に過去に分析されておりアップロードされなかった場合においても、このsha256に対するログ エントリは Wildfire レポートと共に生成されます。ファイルが直近でアップロードされている場合には、WildFire 解析がまだ完了していない可能性があり、その場合レポートはまだ利用できません。

著者: tpiens