- Access exclusive content
- Connect with peers
- Share your expertise
- Find support resources
在防火墙上,防病毒配置文件阻止恶意文件。如果你怀疑被阻止的文件是良性的,你可以向PaloAlto支持部门申请改变该文件的判决。将文件判决改为良性将使签名失效。
环境
所有PAN-OS版本。
原因
一个良性的文件模式与一个恶意软件文件的模式相匹配。
解决方法
我们需要一些必要的项目来快速解决。请通过开案主动收集以下数据,以便我们能快速工作。
所需的信息
1. 防病毒和野火签名包的当前版本。
1)CLI的 "显示系统信息 "的输出。
2)或从 PA 防火墙的 "仪表板小工具-->一般信息 "显示当前版本信息。
2. 文件信息。
1)我们需要关于文件的信息;以下任何信息都足够好。
触发每个AV签名的实际样本文件,用密码 "已感染 "进行压缩(zip)。你可以使用任何简单的zip或压缩工具。保护ZIP文件的密码将确保附件在上传支持系统时不会被任何主机或基于网络的安全设备所剥离。同时添加sha256哈希值以确保文件的完整性。
2)如果它是一个众所周知的应用程序,请提供一个可公开访问的URL。请注意,"公共应用程序 "是指无需创建账户即可下载的文件。
3)如果该文件有敏感信息,并且你不想分享它,请提供该文件的sha256哈希值。如果不提供实际样本,我们可能无法确认假阳性。
3.威胁日志。
请以CSV格式导出这些事件的威胁日志,并上传至案件。必须过滤掉并只收集相关的日志;不必要的日志会使文件变大,难以上传。
4.围绕你为什么怀疑这些AV警报的背景是不真实的。
-这是你的应用程序,由你的内部团队开发?
-这个文件或应用程序是来自一个受信任的第三方吗?
-这个文件是由受信任的一方签署的吗?
-使用时的协议是什么?虽然这些信息可以通过威胁日志来识别,但是,如果能加上这些信息就更好了。
-这个文件是否经过内部分析?你是否检查过任何其他声誉来源,如VirusTotal的判决?
-重要提示:如果文件的哈希值不在VirusTotal中,我们不建议将样本上传到VT。 在VT中,任何人都可以看到并下载它,这意味着你与公众分享你的信息。
5.请提供触发的威胁警报的名称和线程ID。从威胁日志中获取触发的威胁警报的屏幕截图/文本输出。监控 > 威胁 -> 点击放大镜图标将为您提供更多细节,如下图所示。即,威胁ID为377248044,威胁名称:Virus/Win32.WGeneric.aplnvy