WildFire Japan アップデート
対象
WildFire Japan クラウドwildfire.paloaltonetworks.jp を利用されている全てのお客様
概要
お客様のセキュリティ、またプライバシーに関わるニーズに応えるために、分散されたWildFireクラウドを統合する取り組みを行ってきましたが、その一環として弊社Palo Alto Networks はWildFire Japanクラウドのアップデートを行います。
本アップデートにより、下記の改善/機能が提供されます。
- WildFireクラウドにおけるマルウェア検知ロジックの最適化
- False positive/False negativeの改善
- Mac OSXの対応、柔軟なシステム拡張、アップグレードを可能とするクラウド基盤
- AutoFocusとの連携
本アップデート後、WildFire Japanクラウドをご利用中のお客様は、ファイアウォールの設定変更が必要となります。
なお、ファイアウォールの前段にてプロキシサーバをご利用で、かつこれまで、WildFire Japanクラウドの通信を
制御されていた場合は、下記のFQDN/ポート番号の通信を許可して頂く必要があります。
FQDN: jp.wildfire.paloaltonetworks.com
ポート番号:443
実施時期
12月9日から12月15日
※実施時間は、下記の予定となりました。
アップグレード開始時間:US時間 12月13日PM4:00 (日本時間 12月14日AM9:00)
アップグレード終了時間:US時間 12月13日PM5:00 (日本時間 12月14日AM10:00)
アップグレードに要する時間は、1時間ほどとなります。
アップグレード後のご連絡
-2016年12月14日の午前9:35(日本時間)に、 wildfire.paloaltonetworks.jpをご利用のお客様のファイアウォールで当該サイトに接続できない、ならびに当該FQDNのWildFireポータルにもログインできない問題が発生しておりました。これらの問題については、2016年12月14日の午後12:05(日本時間)に解決し、WildFireJapanのサービスが完全に復旧していることをお知らせ致します。現時点では、特に復旧等のために実施いただく操作はございません。
問題の根本原因の調査を行ったところ、WildFireのアップグレードを行うために必要なDNS構成の変更が適切に実施されておらず、それが根本原因として起因していることが判りました。今回の問題により、お客様にご迷惑をお掛けし、誠に申し訳ございませんでした。
-2016年12月15日時点で、WildFireJapanのアップグレードが完了したことをお知らせ致します。
WildFireJapanのアップグレードをもちまして、移行期間については、以下のとおり確定致しましたのでご案内致します。
引き続き弊社製品/サービスのご利用くださいますようお願い申し上げます。また、今回のWildFireJapanのアップグレードにおいて、お客様に頂戴致しました、ご協力ならびにご理解に重ねて御礼申し上げます。wf10.wildfire.paloaltonetworks.jpによる、
アップグレード前のWildFire Japanクラウドにアップロードされた情報と解析レポートにつきましても、本移行期間中の御提供となります。
移行期間開始日:2016年12月15日(日本時間)
移行期間終了日:2017年 3月15日(日本時間)
詳細
WildFire ポータル アドレスの変更
アップデート後、WildFire Japan ポータルのURLが変更されます。 アップグレードの正式アナウンスの後にjp.wildfire.paloaltonetworks.com へのアクセスが可能となります。
現状のURL: wildfire.paloaltonetworks.jp
アップデート後のURL: jp.wildfire.paloaltonetworks.com
既存データの扱い
過去にWildFire Japanクラウドにアップロードされた情報と解析レポートは今回のアップデートによって全て削除されます。そのため、既存のデータに対する以下の処理が影響を受けます。アップグレード後、wf10.wildfire.paloaltonetworks.jpにアクセスいただくことで、移行期間は、APIとポータルからこれらのデータのダウンロードが可能です。
- 過去のレポートの取得
- マルウェア検体の取得
- PCAPファイルの取得
※移行期間については、本KBの"移行期間(90日)"をご参照ください。
※例えば、APIでwf10.wildfire.paloaltonetworks.jpから行う場合、検体のVerdictを取得するcurlコマンドは以下のようになります。
curl -F 'こちらにご利用のAPIキ-を指定してください' -F 'hash=こちらに対象のサンプルのsha256を指定してください' 'https://wf10.wildfire.paloaltonetworks.jp/publicapi/get/verdict'
移行期間(90日)
WildFire Japanクラウドをご利用のお客様がスムーズに新しいドメインjp.wildfire.paloaltonetworks.com に移行できるよう、90日間の移行期間が設けてあります。 この移行期間はクラウドのアップデートが完了後に始まります。現状の予定は以下のとおりです。
以下はUS時間です。
2016年12月13日(日本時間12月14日):新しいWildFire Japan クラウドjp.wildfire.paloaltonetworks.com の利用開始
2017年3月13日(日本時間3月14日):以前のWildFire Japanクラウド wildfire.paloaltonetworks.jpアクセス停止
※アップグレードの正式アナウンスが実施された直後は、切り替わりにより、一時的にファイアウォール上でWildFire Japanクラウドとの切断
を示すメッセージが記録される可能性がございます。
※アップグレードの正式アナウンスが実施された後90日間は、wildfire.paloaltonetworks.jpがファイアウォール上で利用するWildFire Japan クラウドとして指定されていても、ファイアウォールは、jp.wildfire.paloaltonetworks.comに検体を送信します。
移行手順
- ファイアウォール上にて、WildFire Japan クラウドの設定を jp.wildfire.paloaltonetworks.com に変更します。
- WildFire Test PEファイルを使用し、新しいWildFire Japanクラウド設定が機能していることを確認します。
(上記の変更は90日間の移行期間内に完了してください)
参考資料
1. PAN-OS 設定変更
PAN-OSにおけるWildFire クラウドのドメイン変更方法は以下に記載されています。
https://www.paloaltonetworks.com/documentation/70/pan-os/pan-os/getting-started/enable-wildfire
WildFire 管理者ガイド:
https://www.paloaltonetworks.jp/content/dam/paloaltonetworks-com/ja_JP/Assets/PDFs/technical-documen...
WildFire FAQ 日本語版:
https://live.paloaltonetworks.com/t5/Threat-Articles/WildFire-Japan-FAQ-日本語版/ta-p/54621
[注: WildFire Japanクラウドのアップデートが完了したタイミングでFAQ内の記載も更新する予定です。
"wildfire.paloaltonetworks.jp" → “jp.wildfire.paloaltonetworks.com”]
2. APIの変更
APIを使用する際もドメインをwildfire.paloaltonetworks.jp からjp.wildfire.paloaltonetworks.comへの変更が必要です。
例えば、WildFire Japanクラウドから検体のVerdictを取得するcurlコマンドは以下のようになります。
curl -F 'こちらにご利用のAPIキ-を指定してください' -F 'hash=こちら
に対象のサンプルのsha256を指定してください' 'https://jp.wildfire.paloaltonetworks.com/publicapi/get/verdict'
以下はWildFire API に関するドキュメントとなります。
https://www.paloaltonetworks.com/documentation/71/wildfire/wf_api/about-the-wildfire-api
