About kkawachi

※この記事は以下の記事の日本語訳です。 Unable to see Japan WildFire analysis report from GUI after upgrading deployment from 6.1.x to 7.1.x https://live.paloaltonetworks.com/t5/Management-Articles/Unable-to-see-Japan-WildFire-analysis-report-from-GUI-after/ta-p/193950 症状 下記の条件に合致していた場合、PANOSを6.1.x から7.1.xにバージョンアップした後に、Japan WildFire 分析レポートがGUIから確認できない症状が発生致します。こちらの症状が発生した場合、 WildFire分析レポートが表示される代わりに、 " Fetching WildFire server  jp.wildfire.paloaltonetworks.com :443 info failed! Please examine service route or proxy setting!"といったメッセージが表示されます。   1. 6.1.xをご利用だった時に、 "jp.wildfire.paloaltonetworks.com" をWildFire Serverとして利用していた。 2. WildFire Serverに接続するために、Firewallにおいてプロキシサーバを指定していた。 3. 6.1.x から 7.1.xにバージョンアップした後、 "jp.wildfire.paloaltonetworks.com"が WildFire Private Cloudとして設定されている。   原因 PANOS 7.0.xから、 WildFire Hybrid Cloudの機能がサポートされたことが起因しています。   WildFire Hybrid Cloudのサポートにより、本機能をご利用でいなかったとしても、6.1.x から 7.1.xにバージョンアップした結果、"jp.wildfire.paloaltonetworks.com"が WildFire Private Cloudとして自動的に設定されます。   解決策 こちらの症状が発生した場合、WildFire Private Cloudから"jp.wildfire.paloaltonetworks.com"を削除の上、 変更をコミットしてください。その後、WildFire分析レポートがGUI ("Monitor=>WildFire Submissions") から確認できるようになります。   https://live.paloaltonetworks.com/t5/Management-Articles/Unable-to-see-Japan-WildFire-analysis-report-from-GUI-after/ta-p/193950     著者: kkawachi ... View more

※この記事は以下の記事の日本語訳です。 Python script for querying a firewall for all available apps, their details and write results to CSV https://live.paloaltonetworks.com/t5/API-Articles/Python-script-for-querying-a-firewall-for-all-available-apps/ta-p/60483   添付されたスクリプトで、ご利用のFirewallに接続し(FirewallのマネジメントIP,管理ユーザー名、パスワードはスクリプトの引数として指定していただく必要があります)、インストールされているApplication Signature database から、利用可能なApplicationのリストと個々のApplicationの詳細を取得し、その内容をCSV形式で保存することが可能です。 CSVファイルは、MS Excelを使用して編集等を行うことができます。 注意: このスクリプトは、FirewallにHTTPSで接続し、 XML-APIで利用可能なApplicationのリストと個々のApplicationの詳細を取得するリクエストを送ります。   スクリプトの前提条件: Python 2.7.5/6   実行するために必要なPython libraries : sys httplib argparse lxml logging re csv   本スクリプトは以下の環境でテストされています。: - Windows 7 Enterprise Service Pack 1 (64-bit)  + python 2.7.5 - Ubuntu 14.04.1 LTS 64-bit + python 2.7.6   変更履歴: ** 1.0.0 - script作成 ** 3.0.0 - script修正(個々のApplicationのobsolete属性取得機能の追加のため） 修正されたscriptは、添付されたapp_list_export3.zipで提供されています。 scriptのサンプル出力は、applist657.zipで提供されています。 制約事項: - -oオプションの引数において、ファイルシステム形式のフルパスの指定には対応しておりません。   利用方法: app_list_export.py [-h] -i IPアドレス [-u ユーザー名] [-p パスワード] [-o csvのファイル名] 引数の説明:   -h, --help            ヘルプのメッセージを表示します。   -i IPアドレス, --IP IPアドレス        Firewallの管理IPアドレスを指定します。   -u ユーザー名, --user ユーザー名  Firewallにログインするユーザー名; デフォルトは 'admin'   -p パスワード, --password パスワード                         Firewallにログインするユーザー名のパスワード; デフォルトは 'admin'   -o csvのファイル名, --output csvのファイル名                         scriptがインストールされているディレクトリ上に出力されるファイル名; デフォルトは'app.csv'   利用例: 10.66.18.91のFirewall(パスワードとユーザー名がadmin/admin)に対して、スクリプトを利用し、出力をapplist.csvに保存する場合、実行例は以下のようになります。: $ python appv2.py -i 10.66.18.91 -u admin -p admin -o applist.csv   上記のコマンドにより、 applist.csvは、コマンドを実行した同一ディレクトリ内に生成されます。サンプルの出力は、applist455.csvという名前でこちらのKBに添付されています。   ライセンス: 本スクリプトは、Creative Commons Attribution 3.0 Unported Licenseに基づき作成されています。スクリプトのご利用ならびに配布については、特に制限されているものではございません。スクリプトのバグ等については、Palo Alto Networks DevCenterにご連絡ください。   著者: goku123 ... View more

概要 Content Version 734 より追加されたPAN-DB URL カテゴリ “Command-and-Control”に伴い、test urlコマンドにて "Command-and-Control"のカテゴリが正しく認識されるかどうかの確認方法を本KBで紹介致します。   前提条件 -弊社FirewallのURL Filtering機能において、PAN-DB URL Filteringをご利用であること -Content Update 734以降をインストールしていること   確認手順  手順1：ご利用のFirewallの管理WebGUIにアクセスし、管理者権限のユーザーでログインします。URLはhttps(もしくはhttp)://Firewallの管理IPになります。   手順2：Device=>Content-IDの順にクリックし、PAN-DB Serverにおいて値が指定されていないことを確認します。(画面1参照)　値が指定されている場合は、削除し、Commitしてください。 画面1   手順3：管理CLIに管理者権限のユーザーでログインします。ログイン後、"test url urlfiltering.paloaltonetworks.com/test-command-and-control"を実行します。画面2のように、"urlfiltering.paloaltonetworks.com/test-command-and-control command-and-control (Cloud db)”と表示されていれば、ご利用FirewallのPAN-DB URL Filtering機能により、正しく"Command-and-Control"のカテゴリが認識されていることを 示します。 画面2           ... View more

※この記事は以下の記事の日本語訳です。 Command-and-Control (C2) FAQ https://live.paloaltonetworks.com/t5/Management-Articles/Command-and-Control-C2-FAQ/ta-p/178617   概要 URL Filteringに新しいカテゴリが追加されました。新カテゴリは“command-and-control”となります。   注意：管理者はcommand-and-controlカテゴリに対してBLOCKに設定する必要があります。 下記は、command-and-controlカテゴリに関してのFAQとなります。   これまで、C2サイトに関わるアクセスはどのように保護されていたのでしょうか？   これまで、C2サイトに関わるアクセスは、"malware"カテゴリとして分類され保護されていました。   "malware"カテゴリと"command-and-control"カテゴリの違いはどういったものでしょうか？ユーザーは注意する必要があるのでしょうか。   Palo Alto Networkは、"malware"カテゴリに属する既知のサイトを、"command-and-control"カテゴリとして分類致しました。   マルウェア(悪意のあるコンテンツや実行ファイル、スクリプト、ウィルス、コード等)は、一般的にインターネットへのユーザーアクセスにより配布されます。こういった悪意のあるアクセスについては、"malware"カテゴリとして、firewallによりBLOCKされます。   C2サイトへのアクセスは、感染したエンドポイントが、外部のC2サーバに接続を試みることで発生し、こういった悪意のある接続については、"command-and-control"カテゴリとして、firewallによりBLOCKされます。   一般にセキュリティアナリストは、インシデント調査の中で、これら2つの悪意のある接続を、まったく異なるものとして区別しており、そのため、"command-and-control"カテゴリを追加致しました。 セキュリティアナリストは、Palo Alto Networks Firewallが "malware"カテゴリにより、マルウェア(悪意のあるコンテンツや実行ファイル、スクリプト、ウィルス、コード等)の配布に関わる接続をBLOCK している事により、ネットワーク内のエンドポイントが感染してないことを把握できます。さらに、"command-and-control"カテゴリにより、特定のエンドポイントが外部のC2サーバに接続しようとしていることをBLOCKしていることにより、そのエンドポイントがマルウェアに感染している可能性があり、対応が必要なことを把握できます。 "command-and-control"カテゴリをBLOCKとしていない場合、どういったことが起きますか？   "command-and-control"カテゴリをBLOCKとしていない場合は、ネットワーク内のマルウェアに感染したエンドポイントから発生する外部 のC2サーバへの接続がBLOCKされません。   "command-and-control"カテゴリは、デフォルトでBLOCKとされていないのはなぜですか？   PAN-OS 8.0.2以降のPANOSでは、 Content Update 738以降のバージョンをインストールしている場合、 自動的に "command-and-control"カテゴリは、デフォルトでBLOCKとされます。 それ以前のPANOSは、自動更新に対応していないため、"command-and-control"カテゴリは、デフォルトでALLOWとなります。こちらの詳細については、以下のKBをご参照ください。 https://live.paloaltonetworks.com/t5/%E3%83%8A%E3%83%AC%E3%83%83%E3%82%B8%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/Content-Version-734-%E3%82%88%E3%82%8A%E8%BF%BD%E5%8A%A0%E3%81%95%E3%82%8C%E3%81%9FPAN-DB-URL-%E3%82%AB%E3%83%86%E3%82%B4%E3%83%AA-Command-and-Control/ta-p/177744     "command-and-control"カテゴリは、どのように定義されたカテゴリですか？   "command-and-control"カテゴリは、マルウェアにより、ユーザーから搾取した情報(プライバシー情報や、機密情報など)や悪意のあるコマンドの送受信を行うことに利用されている外部サーバのドメインやURLを分類したものです。   "command-and-control"カテゴリのリリース時期は？   "command-and-control"カテゴリは、Content Version 734以降のContent Updateでリリースされています。管理者権限にて管理GUIから確認、ならびに変更が可能です。実際の"command-and-control"カテゴリの運用が開始されるまでの間に、"command-and-control"カテゴリのデフォルトアクションをBLOCKに変更ください。"command-and-control"カテゴリのデフォルトアクションをBLOCKに変更していただくことで、"command-and-control"カテゴリが運用開始になったタイミングで、すべての"command-and-control"カテゴリに分類されているURLやドメインへの接続がBLOCKされることになります。 "command-and-control"カテゴリが運用開始時期は？   運用開始は、US時間の2017年10月25日を予定しています。日本時間では、 2017年10月26日のおおよそ AM4:00となる見込みです。   "command-and-control"が動作しているか確認する方法について   こちらのURLにアクセスいただき、ご利用のFirewallでブロックされ、それがログに残れば、ご利用のFirewallで正しく構成されていることをご確認いただけます。 https://urlfiltering.paloaltonetworks.com/test-command-and-control     今回の変更は、PAN-DBやBrightcloudに対して適用されるものですか？     いいえ、今回の変更は、PAN-DBに対して適用されるもので、BrightCloudに対しては適用されません。   本FAQについては、"command-and-control"カテゴリが運用開始となった時点でアップデート致します。     こちらについても併せてご参照ください。 Command-and-Control カテゴリの確認方法 ... View more

対象 弊社FirewallのURL Filtering機能において、PAN-DB URL Filteringをご利用のお客様   ※FirewallのURL Filtering機能において、Bright Cloud URLFilteringをご利用の場合は該当致しません。   概要 Content Version 734以降のContent Updateをインストールすると、全てのPANOSにおいて、PAN-DB URL カテゴリ Command-and-Controlが追加されます。追加されたCommand-and-Controlのデフォルトアクションについては、PAN-OS 8.0.1 以前ではallow、PAN-OS 8.0.2以降ではContent Version 738以降のバージョンにてblockとなります。Command-and-Controlの推奨アクションについては、blockとなり、お客様により変更していただく必要がございます。   ※  Content Version 734にてリリースされた Command-and-Controlカテゴリは前準備であり、実際の利用開始については Content Version 734のリリースより30日後の2017年10月中旬を予定しております。   ※ PAN-OS 8.0.2以降でデフォルトアクションがblockになるのは事前定義されているdefaultプロファイルのみです。URL Filteringプロファイルを新規で作成する場合はすべてのアクションがallowになるため、事前に定義されているdefaultプロファイルをコピーして使用していただくことを推奨します。また、過去に作成されたURL Filteringプロファイルも同様にCommand-and-Controlカテゴリのアクションはallowになりますので、以下の手順にしたがってblockに変更してください。   Command-and-Controlのデフォルトアクションを、allowのまま御利用いただいている場合、Command-and-Controlの利用開始に伴い、C2Cサーバへの通信がblockされない結果に繋がりますので、必ずblockに変更いただくようお願い致します。   変更手順 手順1：御利用のFirewallで、PAN-DB URL Filteringを利用し、かつContent Version 734以降のContent Updateがインストールされているかどうか、show system infoの出力内容から確認します。ご利用のFirewallにて、以下の画面1のように、url-db: paloaltonetworksとapp-version: 734-4212となっていた場合、本件に該当致します。該当している場合、手順2以降を実施します。   ※Content Version 734以降のContent Updateをインストールしていた場合、app-versionには、インストールされているバージョンが表示されます。Content Version 735をインストールしていた場合、app-version: 735-4213となり、同様に手順2以降の操作が必要です。   ※こちらの手順は、PANOS8.0での実施例となりますが。他のPANOSでも同じ手順にて実施が可能です。   画面1：   手順2：ご利用のFirewallの管理WebGUIにアクセスし、管理者権限のユーザーでログインします。URLはhttps(もしくはhttp)://Firewallの管理IPになります。   手順3：ログイン後、"Objects"をクリック、" URL Filtering"をクリックします。画面2が表示されます。   画面2： 手順4：ご利用のURL Filtering Profileをクリックし(画面3)、"URL Filtering Profile"画面(画面4)を表示させます。 "URL Filtering Profile"画面にて、"command-and-control"の"Site Access"allowとなっていることを確認します。   ※画面3では、"kkawachi"という URL Filtering Profileが設定されている例となります。   画面3：   画面4：   手順5："URL Filtering Profile"画面にて、"command-and-control"の"Site Access"の"allow"をクリックし、プルダウンメニューから"block"を選択します。(画面5)   画面5：   手順6："command-and-control"の"Site Access"で"block"を選択されていることを確認し、"OK”を押し、"URL Filtering Profile"画面を閉じます。(画面6)　Commitをクリックします。(画面7)。"Commit"画面が表示されたら、Commitボタンを押します。(画面8)。これで必要な変更手順は完了致します。   画面6:   画面7：   画面8：     ... View more

対象 旧WildFire Japan クラウド wildfire.paloaltonetworks.jp をご利用されていた全てのお客様   概要 旧WildFire Japanクラウドドメイン(wildfire.paloaltonetworks.jp)に接続されてるファイアウォールに 対し、実施しておりました、現WildFire Japanクラウドドメイン(jp.wildfire.paloaltonetworks.com)へ のリダイレクト処理についてですが、2017年4月15日16:00(日本時間)まで延長させていただくことに致しました。   これにより、下記の”WildFire Japan アップデート”にてご案内致しておりましたリダイレクト期間は、下記のとおり延長させていただくことになりました。   　　移行期間開始日：2016年12月15日((日本時間) 　　移行期間終了日：2017年 4月15日(日本時間)   ”WildFire Japan アップデート”の内容をご確認いただく場合、こちらのURLの情報をご参照ください。 https://live.paloaltonetworks.com/t5/%E3%83%8A%E3%83%AC%E3%83%83%E3%82%B8%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/WildFire-Japan-%E3%82%A2%E3%83%83%E3%83%97%E3%83%87%E3%83%BC%E3%83%88/tac-p/132607#M251 お客様の機器で旧WildFire Japanクラウド(wildfire.paloaltonetworks.jp)が指定されていた場合、2017年4月15日16:00(日本時間)まではWildFireにて提供される、シグニチャのアップデートと脅威防御の機能をご利用いただけます。 2017年4月15日16:00(日本時間)以降上記のリダイレクト処理を停止致しますので、旧WildFire Japanクラウドドメイン(wildfire.paloaltonetworks.jp)に接続されてるファイアウォールはWildFire Japanクラウドへの接続処理やサンプルの転送が適切に実施されません。そのため、2017年4月15日16:00(日本時間)までに、下記の移行手順を実施くださいますようお願いいたします。移行手順を実施いただいていないファイアウォールは、FirewallによるWildFireクラウドへの未知の検体の転送処理/ならびに防御が正常に実施されません。   実施していない場合、Firewallでtest wildfire registrationを実施した場合、失敗し、wildfire registration:の結果がfailedとなります。以下がtest wildfire registrationコマンドが失敗した際のサンプル出力となります。 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> admin@PA-200> test wildfire registration This test may take a few minutes to finish. Do you want to continue? (y or n) Test wildfire Public Cloud Testing cloud server jp.wildfire.paloaltonetworks.com ... wildfire registration: failed >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>   移行手順 ファイアウォール上にて、WildFire Japan クラウドドメインの設定を jp.wildfire.paloaltonetworks.com に変更します。 WildFire Test PEファイルを使用し、新しいWildFire Japanクラウド設定が機能していることを確認します。 参考資料 1. PAN-OS 設定変更 PAN-OSにおけるWildFire クラウドのドメイン変更方法は以下に記載されています。 https://www.paloaltonetworks.com/documentation/70/pan-os/pan-os/getting-started/enable-wildfire WildFire 管理者ガイド: https://www.paloaltonetworks.jp/content/dam/paloaltonetworks-com/ja_JP/Assets/PDFs/technical-documen... WildFire FAQ 日本語版: https://live.paloaltonetworks.com/t5/Threat-Articles/WildFire-Japan-FAQ-日本語版/ta-p/54621 2. APIの変更 APIを使用する際もドメインをwildfire.paloaltonetworks.jp からjp.wildfire.paloaltonetworks.comへの変更が必要です。 例えば、WildFire Japanクラウドから検体のVerdictを取得するcurlコマンドは以下のようになります。 curl -F 'こちらにご利用のAPIキ-を指定してください' -F 'hash=こちら に対象のサンプルのsha256を指定してください' 'https://jp.wildfire.paloaltonetworks.com/publicapi/get/verdict' 以下はWildFire API に関するドキュメントとなります。 https://www.paloaltonetworks.com/documentation/71/wildfire/wf_api/about-the-wildfire-api ... View more

対象 旧WildFire Japan クラウド wildfire.paloaltonetworks.jp をご利用されていた全てのお客様   概要 2017年3月15日16:00 (日本時間) に、WildFireクラウドのバージョンアップの移行期間（90日）の完了をもちまして、wf10.wildfire.paloaltonetworks.jpを停止させていただきます。 これにより、wf10.wildfire.paloaltonetworks.jpを使用したWildFireポータルから、2016年12月15日9:00(日本時間) 以前に作成された以下のデータの取得が実施できないようになります。 ・過去のレポートの取得 ・Malware検体の取得 ・PCAPファイルの取得 WildFire Japan アップデート： https://live.paloaltonetworks.com/t5/ナレッジドキュメント/WildFire-Japan-アップデート/tac-p/132607#M251 2016年12月15日9:00(日本時間)以後に作成されたレポート/マルウェア検体/PCAPファイルについては、現状のWildFireクラウドのFQDN (jp.wildfire.paloaltonetworks.com) のWildFireポータルからの取得が行えます。 ※上記はWildFireポータルのほか、WildFire API、PAN-OS、Trapsからも可能です。 ※現状のWildFireクラウド (jp.wildfire.paloaltonetworks.com) のデータ保存期間については,以下のKBに添付 されておりますドキュメントをご参照ください。 https://live.paloaltonetworks.com/t5/Threat-Articles/WildFire-Japan-FAQ-日本語版/ta-p/54621 旧ドメイン(wildfire.paloaltonetworks.jp)に接続されているFirewallについては、 お客様の作業にて、新ドメイン (jp.wildfire.paloaltonetworks.com) をWildFireの設定情報として 変更する必要があります。実施いただかない場合、FirewallによるWildFireクラウドへの未知の検体の転送処理/ならびに防御が正常に実施されません。 上記の構成変更を実施していない場合、Firewallでtest wildfire registrationを実施した場合、失敗し、 wildfire registration:の結果がfailedとなります。 以下がtest wildfire registrationコマンドが失敗した際のサンプル出力となります。   >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> admin@PA-200> test wildfire registration This test may take a few minutes to finish. Do you want to continue? (y or n) Test wildfire Public Cloud Testing cloud server jp.wildfire.paloaltonetworks.com ... wildfire registration: failed >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 参考資料: PAN-OSにおけるWildFire クラウドのドメイン変更方法は以下のURLもしくは、WildFire 管理者ガイドをご参照ください。 https://www.paloaltonetworks.com/documentation/70/pan-os/pan-os/getting-started/enable-wildfire   WildFire 管理者ガイド: https://www.paloaltonetworks.jp/content/dam/paloaltonetworks-com/ja_JP/Assets/PDFs/technical-documentation/wildfire-70/WildFire_Administrator_Guide-7.0-Japanese.pdf ... View more

※この記事は以下の記事の日本語訳です。 Firewall unable to respond 'reset' to malicious content and HTTP response https://live.paloaltonetworks.com/t5/Management-Articles/Firewall-unable-to-respond-reset-to-malicious-content-and-HTTP/ta-p/98405   症状 Antivirus Profile Actionにreset-bothを適切に構成していても、脅威の存在するコンテンツとHTTPレスポンス コードがひとつのパケットで送信された場合では、FirewallがRSTで応答しないケースがあります。   この動作については制限事項となり、本ナレッジベースではその詳細を説明しております。本制限事項は、eicar test file (eicar_com.zip)を、Eicarのサイト(http://www.eicar.org/)からダウンロードする試験をした場合、発生することがあります。 その際、以下の点が確認できます。   ブラウザからeicar test file (eicar_com.zip)を、Eicarのサイト(http://www.eicar.org/)よりダウンロードした場合、Firewall は "Virus/Spyware Download Blocked" ページをブラウザに応答します。 "Virus/Spyware Download Blocked" ページが応答に使用されているにも関わらず、構成されたアクション(今回の場合は、reset-both) がThreat logのイベントにおいて、トリガされたアクションとして記録されます。 対して、お客様がeicar test file (eicar_com.zip) を、お客様社内のWebサーバ上に置き、Firewallを経由して eicar test file (eicar_com.zip)をダウンロードする試験をした場合、以下の点が確認できます。   "reset-both" が期待通り応答に利用され、FirewallからブラウザにRST が送信される。 構成されたアクション(今回の場合 reset-both)が期待通り、Threat logのイベントにおいてトリガされたアクションとして記録されます。   ケース 1 ケース1では、本制約がどのように症状に関わってくるのかを説明しております。 例として、ブラウザからeicar test file (eicar_com.zip)を、Eicarのサイト(http://www.eicar.org/)よりダウンロードした場合にやり取りされるHTTP通信を使用します。この通信では、EicarのサイトのIPアドレスを188.40.238.250、ブラウザのIPアドレスを1.1.1.4とします。   以下のスクリーンショットは、 eicar test file (eicar_com.zip)をEicarのサイト(http://www.eicar.org/)よりダウンロードした場合にやり取りされるHTTP通信のパケットキャプチャとなります。 ブラウザとEicarのサイト間で実施されているHTTP通信において、以下の内容が順番に発生していることが上記のスクリーンショットから判ります。   ブラウザが、No 809 のパケットで "GET /download/eicar_com.zip HTTP/1.1"を送信しています。 Eicarのサイトが、No 812のパケットで EicarのTestvirusのパターンとHTTPレスポンスコード200を一つのパケットとして送信しています。 Firewallが、No 813のパケットで "HTTP/1.1 503 Service Unavailable" を"Download of the virus/spyware has been blocked in accordance with company policy. Please contact your system administrator if you believe this is in error"とともにブラウザに対し送信しています。(RSTが送信されていない。) 以下のスクリーンショットは、ケース1の通信により発生したイベントがThreat Logに記録された内容となります。 Firewallが"HTTP/1.1 503 Service Unavailable"をブラウザに送信しているにも関わらず、reset-both がThreat logのイベントにおいて、トリガされたアクションとして記録されています。 ケース 2 ケース2では、FirewallがEicarのTestVirusに対し、 構成されたアクションのとおりRST を送信している動作を説明しております。例として、ブラウザからeicar test file (eicar_com.zip)を、お客様の社内サイトよりダウンロードした場合にやり取りされるHTTP通信を使用します。この通信では、お客様の社内サイトのIPアドレスを10.128.128.218、ブラウザのIPアドレスを1.1.1.4とします。   以下のスクリーンショットは、 eicar test file (eicar_com.zip)をお客様の社内サイトよりダウンロードした場合にやり取りされるHTTP通信のパケットキャプチャとなります。  お客様の社内サイトよりダウンロードした場合に、お客様の社内サイトがEicarのTestvirusのパターンとHTTPレスポンスコード200を2つのパケットに分割して、No 2004 とNo 2005のパケットで送信している点に留意してください。上のスクリーンショットで赤く囲われた箇所が、パケットの分割が実施されている様子を示す内容です。   ブラウザとお客様の社内サイト間で実施されているHTTP/TCP通信において、以下の内容が順番に発生していることが上記のスクリーンショットから判ります。   ブラウザが、No 2002のパケットで、"GET /download/eicar_com.zip HTTP/1.1"を送信しています。 お客様の社内サイトが、No 2004とNo 2005のパケットにおいて、EicarのTestvirusのパターンとHTTPレスポンスコード200を2つのパケットに分割して送信しています。 次に、No 2010のパケットで、FirewallがRSTをブラウザに送信しています。("HTTP/1.1 503 Service Unavailable"ではなく) さらに以下のスクリーンキャプチャでは、 No 2002とNo 2010 のパケットが同じTCPストリームで扱われていることが判ります。 以下のスクリーンショットでは、No 2004とNo 2005のパケットにおいて、2つに分割されたEicarのTestvirusのパターンとHTTPレスポンスコード200をお客様の社内サイトから受信した後に、FirewallがRSTをブラウザに送信している様子が判ります。   以下のスクリーンショットは、ケース2の通信により発生したイベントがThreat Logに記録された内容となります。 FirewallがRSTを送信し、reset-bothが期待通り、Threat logのイベントにおいて、トリガされたアクションとして記録されています。   著者: kkawachi ... View more

WildFire Japan アップデート   対象 WildFire Japan クラウドwildfire.paloaltonetworks.jp を利用されている全てのお客様   概要 お客様のセキュリティ、またプライバシーに関わるニーズに応えるために、分散されたWildFireクラウドを統合する取り組みを行ってきましたが、その一環として弊社Palo Alto Networks はWildFire Japanクラウドのアップデートを行います。   本アップデートにより、下記の改善/機能が提供されます。 WildFireクラウドにおけるマルウェア検知ロジックの最適化 False positive/False negativeの改善 Mac OSXの対応、柔軟なシステム拡張、アップグレードを可能とするクラウド基盤 AutoFocusとの連携 本アップデート後、WildFire Japanクラウドをご利用中のお客様は、ファイアウォールの設定変更が必要となります。 なお、ファイアウォールの前段にてプロキシサーバをご利用で、かつこれまで、WildFire Japanクラウドの通信を 制御されていた場合は、下記のFQDN/ポート番号の通信を許可して頂く必要があります。   FQDN: jp.wildfire.paloaltonetworks.com ポート番号:443   実施時期 12月9日から12月15日   ※実施時間は、下記の予定となりました。 アップグレード開始時間：US時間 12月13日PM4:00　（日本時間 12月14日AM9:00） アップグレード終了時間：US時間 12月13日PM5:00　（日本時間 12月14日AM10:00） アップグレードに要する時間は、1時間ほどとなります。   アップグレード後のご連絡 -2016年12月14日の午前9:35(日本時間)に、 wildfire.paloaltonetworks.jpをご利用のお客様のファイアウォールで当該サイトに接続できない、ならびに当該FQDNのWildFireポータルにもログインできない問題が発生しておりました。これらの問題については、2016年12月14日の午後12:05(日本時間)に解決し、WildFireJapanのサービスが完全に復旧していることをお知らせ致します。現時点では、特に復旧等のために実施いただく操作はございません。 問題の根本原因の調査を行ったところ、WildFireのアップグレードを行うために必要なDNS構成の変更が適切に実施されておらず、それが根本原因として起因していることが判りました。今回の問題により、お客様にご迷惑をお掛けし、誠に申し訳ございませんでした。   -2016年12月15日時点で、WildFireJapanのアップグレードが完了したことをお知らせ致します。 WildFireJapanのアップグレードをもちまして、移行期間については、以下のとおり確定致しましたのでご案内致します。 引き続き弊社製品/サービスのご利用くださいますようお願い申し上げます。また、今回のWildFireJapanのアップグレードにおいて、お客様に頂戴致しました、ご協力ならびにご理解に重ねて御礼申し上げます。wf10.wildfire.paloaltonetworks.jpによる、 アップグレード前のWildFire Japanクラウドにアップロードされた情報と解析レポートにつきましても、本移行期間中の御提供となります。 　　　移行期間開始日：2016年12月15日(日本時間) 　　　移行期間終了日：2017年 3月15日(日本時間)     詳細 WildFire ポータル アドレスの変更 アップデート後、WildFire Japan ポータルのURLが変更されます。 アップグレードの正式アナウンスの後にjp.wildfire.paloaltonetworks.com へのアクセスが可能となります。   現状のURL:  wildfire.paloaltonetworks.jp アップデート後のURL:  jp.wildfire.paloaltonetworks.com   既存データの扱い 過去にWildFire Japanクラウドにアップロードされた情報と解析レポートは今回のアップデートによって全て削除されます。そのため、既存のデータに対する以下の処理が影響を受けます。アップグレード後、wf10.wildfire.paloaltonetworks.jpにアクセスいただくことで、移行期間は、APIとポータルからこれらのデータのダウンロードが可能です。   過去のレポートの取得 マルウェア検体の取得 PCAPファイルの取得 ※移行期間については、本KBの"移行期間（90日）"をご参照ください。   ※例えば、APIでwf10.wildfire.paloaltonetworks.jpから行う場合、検体のVerdictを取得するcurlコマンドは以下のようになります。 curl -F 'こちらにご利用のAPIキ-を指定してください' -F 'hash=こちらに対象のサンプルのsha256を指定してください' 'https://wf10.wildfire.paloaltonetworks.jp/publicapi/get/verdict'   移行期間（90日） WildFire Japanクラウドをご利用のお客様がスムーズに新しいドメインjp.wildfire.paloaltonetworks.com に移行できるよう、90日間の移行期間が設けてあります。 この移行期間はクラウドのアップデートが完了後に始まります。現状の予定は以下のとおりです。 以下はUS時間です。 2016年12月13日(日本時間12月14日)：新しいWildFire Japan クラウドjp.wildfire.paloaltonetworks.com の利用開始 2017年3月13日(日本時間3月14日)：以前のWildFire Japanクラウド wildfire.paloaltonetworks.jpアクセス停止   ※アップグレードの正式アナウンスが実施された直後は、切り替わりにより、一時的にファイアウォール上でWildFire Japanクラウドとの切断 を示すメッセージが記録される可能性がございます。   ※アップグレードの正式アナウンスが実施された後90日間は、wildfire.paloaltonetworks.jpがファイアウォール上で利用するWildFire Japan クラウドとして指定されていても、ファイアウォールは、jp.wildfire.paloaltonetworks.comに検体を送信します。 移行手順 ファイアウォール上にて、WildFire Japan クラウドの設定を jp.wildfire.paloaltonetworks.com に変更します。 WildFire Test PEファイルを使用し、新しいWildFire Japanクラウド設定が機能していることを確認します。 （上記の変更は90日間の移行期間内に完了してください） 参考資料 1. PAN-OS 設定変更 PAN-OSにおけるWildFire クラウドのドメイン変更方法は以下に記載されています。 https://www.paloaltonetworks.com/documentation/70/pan-os/pan-os/getting-started/enable-wildfire   WildFire 管理者ガイド: https://www.paloaltonetworks.jp/content/dam/paloaltonetworks-com/ja_JP/Assets/PDFs/technical-documentation/wildfire-70/WildFire_Administrator_Guide-7.0-Japanese.pdf   WildFire FAQ 日本語版: https://live.paloaltonetworks.com/t5/Threat-Articles/WildFire-Japan-FAQ-日本語版/ta-p/54621 [注: WildFire Japanクラウドのアップデートが完了したタイミングでFAQ内の記載も更新する予定です。 "wildfire.paloaltonetworks.jp" → “jp.wildfire.paloaltonetworks.com”]   2. APIの変更 APIを使用する際もドメインをwildfire.paloaltonetworks.jp からjp.wildfire.paloaltonetworks.comへの変更が必要です。 例えば、WildFire Japanクラウドから検体のVerdictを取得するcurlコマンドは以下のようになります。 curl -F 'こちらにご利用のAPIキ-を指定してください' -F 'hash=こちら に対象のサンプルのsha256を指定してください' 'https://jp.wildfire.paloaltonetworks.com/publicapi/get/verdict'   以下はWildFire API に関するドキュメントとなります。 https://www.paloaltonetworks.com/documentation/71/wildfire/wf_api/about-the-wildfire-api ... View more

※この記事は以下の記事の日本語訳です。 How to Identify Unused Policies on a Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Identify-Unused-Policies-on-a-Palo-Alto-Networks-Device/ta-p/53202   概要 このドキュメントは、Palo Alto Networks Device上で使用されてないポリシーの特定方法を紹介しています。 詳細 Web UIを利用した場合 使用されてないポリシーを特定するには、以下を実施します。 Policies > Securityの順にクリックします。 表示された画面下にある、Highlight Unused Rulesにチェックをいれます。 データプレーンが起動してから、未使用のルールがハイライト表示されます。 データプレーンが起動した際に、未使用のルールに関わるカウンター値は初期化され、それらはデータプレーンの再起動とともにクリアされます。   ハイライト表示されたルールが使用されているのかどうか確認するためには、Security Policiesレポートを 生成して確認します。このレポートはルール、セッションに関するバイト数、セッションの量を表示します。 Monitor > Reportsの順にクリックします。 表示された画面の右端のTraffic Reports > Security Rulesを順にクリックします。 日数を指定し、レポートを作成します。   CLIを利用した場合 vsys1における使用されてないポリシーを表示させる場合、以下のコマンドを実行します。 > show running rule-use rule-base security type unused vsys vsys1   その他の使用されてないポリシーを表示させる場合 (NAT, decryption, app-override, PBF, QOSや Captive Portal)は、 <option> に必要な引数を指定することで表示できます。 > show running rule-use rule-base <option> type unused vsys vsys1 <option> に指定できる引数は以下のいずれかになります。   app-override   application override policy   cp             captive portal policy   decryption     ssl decryption policy   dos            dos protection policy   nat            nat policy   pbf            policy based forwarding policy   qos            qos policy   security       security policy   WebUIのケースと同じように、CLIでの表示もデータプレーンが起動してから使用されてないポリシーが表示されます。   著: nayubi ... View more

※この記事は以下の記事の日本語訳です。 How to Generate and Upload a Tech Support File Using the WebGUI and CLI https://live.paloaltonetworks.com/t5/Featured-Articles/How-to-Generate-and-Upload-a-Tech-Support-File-Using-the-WebGUI/ta-p/60757   概要 本ドキュメントでは、WebGUIもしくはCLIを使用した、tech support fileを作成方法/アップロード方法を説明しています。   手順 Tech Support Fileの作成  WebGUIを使用した場合: Device > Supportの順にクリックします。Panoramaの場合, Panorama > Supportの順にクリックします。 Tech Support Fileの下にあるGenerate Tech Support Fileをクリックします。 Note: Device Administratorの権限をもつユーザーでログインしていた場合、本機能は使用できません。Web UIからTech Support Fileを作成するには、Super Userの権限が必要です。 Tech Support Fileが作成されるまで待ちます。 注意: Tech Support Fileが最後に作成された時間が Web UIから確認することができます。 Download Tech Support Fileが表示されたら、Click Download Tech Support Fileをクリックし保存します。 Device > Support , showing you where to generate the Tech Support file from the WebGUI. CLIを使用した場合: SSHもしくはTelnetを使用して、Palo Alto Networks deviceに接続します。 注意: ファイルが保存できるTFTP/SCPサーバが必要となります。 Tech Support Fileを作成するために以下のコマンドを実行します。 > request tech-support dump 準備しているサーバに応じ、Tech Support Fileを保存するため、 以下のいずれかのコマンドを実行します。 > tftp export tech-support to <tftp host> > scp export tech-support to <username@host:path>   Tech Support File をアップロード 以下のいずれかの方法で、Palo Alto Networks support caseの調査用のTech Support fileをアップロードします。Tech Support fileをアップロードするためには、事前にケースオープンが必要です。   方法 1: Palo Alto Networks Support Portalを利用する場合  https://support.paloaltonetworks.comから、Palo Alto Networks Support Portalにログインします。 Case Managementをクリックします。 Palo Alto Networks Support Portal showing where the Case Management option is. case numberもしくはcase subjectをクリックします。注意: edit ボタンはクリックしないでください. Case Filesを表示させるため、画面を一番下までスクロールさせます。 Upload File(s)をクリックし、Tech Support Fileをアップロードします。 Upload file option inside of Support site.   方法 2: TAC Upload Service を利用する場合 tacupload.paloaltonetworks.com にアクセスします。 ケース番号とケースオープン時に利用した email addressを入力します。 ログインします。 .Tech Support File をChoose Fille から選択し、Upload ボタンでアップロードします。 注意: 一度に一つのファイルのみ選択/アップロードできます。 正常にファイルがアップロードされると, 自動送信されたメールにより通知がされます   方法 3: CLIでTAC Upload Server に直接アップロードする場合 SCP export tech-support to xxxxxxxx @ tacupload.paloaltonetworks.com:/   xxxxxxxxはケース番号になります。ケース番号には、最初に00が続きます。 例: 00654321@tacupload.paloaltonetworks.com:/   実行するには、ケースオープン時に利用したemail addressをパスワードとして入力する必要があります。     よく聞かれる質問:  'Tech support file' にはどういったデータが含まれるのでしょうか？装置に関わる設定ファイルはすべて含まれるのですか？PaloAltoサポートに提供することは安全なのでしょうか。   答え: Tech Support fileには、装置に関わる構成ファイル、システムに関わる情報、ログ等が含まれます。(Trafficログは含まれません。) PaloAltoサポートでは、提供された情報を安全に管理します。Tech Support fileは、サポートエンジニアがお客様の設定を理解する上で必要な情報で、調査を円滑に進めることを可能にするものです。すべての情報は安全に管理されます。 ... View more

※この記事は以下の記事の日本語訳です。 SNMP for Monitoring Palo Alto Networks Devices https://live.paloaltonetworks.com/t5/Management-Articles/SNMP-for-Monitoring-Palo-Alto-Networks-Devices/ta-p/61052     概要 下記のリストは、 Palo Alto Networks Devicesに対し、SNMP監視を行うために役立つOIDのリストとなります。   各ハードウェアモデル毎のOIDs PA-200: 1.3.6.1.4.1.25461.2.3.12 PA-500: 1.3.6.1.4.1.25461.2.3.6 PA-2020: 1.3.6.1.4.1.25461.2.3.4 PA-2050: 1.3.6.1.4.1.25461.2.3.3 PA-3020: 1.3.6.1.4.1.25461.2.3.18 PA-3050: 1.3.6.1.4.1.25461.2.3.17 PA-4020: 1.3.6.1.4.1.25461.2.3.2 PA-4050: 1.3.6.1.4.1.25461.2.3.1 PA-4060: 1.3.6.1.4.1.25461.2.3.5 PA-5020: 1.3.6.1.4.1.25461.2.3.11 PA-5050: 1.3.6.1.4.1.25461.2.3.9 PA-5060: 1.3.6.1.4.1.25461.2.3.8 M-100: 1.3.6.1.4.1.25461.2.3.30 Panorama: 1.3.6.1.4.1.25461.2.3.7 PA-VM: 1.3.6.1.4.1.25461.2.3.29   Useful PAN-OS OID Examples Item Name OID Source MIB Description CPU util on management plane hrProcessorLoad.1 1.3.6.1.2.1.25.3.3.1.2.1 HOST-RESOURCES-MIB CPU load average over last 60 seconds. This value will match the value shown on the GUI dashboard-> resource information-> % CPU in PAN-OS 3.x Utilization of CPUs on dataplane that are used for system functions hrProcessorLoad.2 1.3.6.1.2.1.25.3.3.1.2.2 HOST-RESOURCES-MIB CPU load average over last 60 seconds Management plane memory and dataplane packet buffer hrStorageTable 1.3.6.1.2.1.25.2.3 HOST-RESOURCES-MIB **New in PAN-OS 6.0** Names of each interface on the device ifDescr.1 1.3.6.1.2.1.2.2.1.2.1 RFC1213-MIB example: MGMT   ifDescr.2 1.3.6.1.2.1.2.2.1.2.2 RFC1213-MIB example: HA   ifDescr.3 1.3.6.1.2.1.2.2.1.2.3 RFC1213-MIB example: ethernet1/1   ifDescr.4 1.3.6.1.2.1.2.2.1.2.4 RFC1213-MIB example: ethernet1/2   ifDescr.5 1.3.6.1.2.1.2.2.1.2.5 RFC1213-MIB example: ethernet1/3   ifDescr.6 1.3.6.1.2.1.2.2.1.2.6 RFC1213-MIB example: ethernet1/4   ifDescr.7 1.3.6.1.2.1.2.2.1.2.7 RFC1213-MIB example: ethernet1/5   ifDescr.8 1.3.6.1.2.1.2.2.1.2.8 RFC1213-MIB example: ethernet1/6   ifDescr.9 1.3.6.1.2.1.2.2.1.2.9 RFC1213-MIB example: ethernet1/7   ifDescr.10 1.3.6.1.2.1.2.2.1.2.10 RFC1213-MIB example: ethernet1/8 Interface up/down status ifOperStatus.1 1.3.6.1.2.1.2.2.1.8.1 RFC1213-MIB 1: UP 2: DOWN   ifOperStatus.2 1.3.6.1.2.1.2.2.1.8.2 RFC1213-MIB 1: UP 2: DOWN   ifOperStatus.3 1.3.6.1.2.1.2.2.1.8.3 RFC1213-MIB 1: UP 2: DOWN   ifOperStatus.4 1.3.6.1.2.1.2.2.1.8.4 RFC1213-MIB 1: UP 2: DOWN   ifOperStatus.5 1.3.6.1.2.1.2.2.1.8.5 RFC1213-MIB 1: UP 2: DOWN   ifOperStatus.6 1.3.6.1.2.1.2.2.1.8.6 RFC1213-MIB 1: UP 2: DOWN   ifOperStatus.7 1.3.6.1.2.1.2.2.1.8.7 RFC1213-MIB 1: UP 2: DOWN   ifOperStatus.8 1.3.6.1.2.1.2.2.1.8.8 RFC1213-MIB 1: UP 2: DOWN   ifOperStatus.9 1.3.6.1.2.1.2.2.1.8.9 RFC1213-MIB 1: UP 2: DOWN   ifOperStatus.10 1.3.6.1.2.1.2.2.1.8.10 RFC1213-MIB 1: UP 2: DOWN Interface in counters ifInOctets.1 1.3.6.1.2.1.2.2.1.10.1 RFC1213-MIB     ifInOctets.2 1.3.6.1.2.1.2.2.1.10.2 RFC1213-MIB     ifInOctets.3 1.3.6.1.2.1.2.2.1.10.3 RFC1213-MIB     ifInOctets.4 1.3.6.1.2.1.2.2.1.10.4 RFC1213-MIB     ifInOctets.5 1.3.6.1.2.1.2.2.1.10.5 RFC1213-MIB     ifInOctets.6 1.3.6.1.2.1.2.2.1.10.6 RFC1213-MIB     ifInOctets.7 1.3.6.1.2.1.2.2.1.10.7 RFC1213-MIB     ifInOctets.8 1.3.6.1.2.1.2.2.1.10.8 RFC1213-MIB     ifInOctets.9 1.3.6.1.2.1.2.2.1.10.9 RFC1213-MIB     ifInOctets.10 1.3.6.1.2.1.2.2.1.10.10 RFC1213-MIB   Interface in errors ifInErrors.1 1.3.6.1.2.1.2.2.1.14.1 RFC1213-MIB     ifInErrors.2 1.3.6.1.2.1.2.2.1.14.2 RFC1213-MIB     ifInErrors.3 1.3.6.1.2.1.2.2.1.14.3 RFC1213-MIB     ifInErrors.4 1.3.6.1.2.1.2.2.1.14.4 RFC1213-MIB     ifInErrors.5 1.3.6.1.2.1.2.2.1.14.5 RFC1213-MIB     ifInErrors.6 1.3.6.1.2.1.2.2.1.14.6 RFC1213-MIB     ifInErrors.7 1.3.6.1.2.1.2.2.1.14.7 RFC1213-MIB     ifInErrors.8 1.3.6.1.2.1.2.2.1.14.8 RFC1213-MIB     ifInErrors.9 1.3.6.1.2.1.2.2.1.14.9 RFC1213-MIB     ifInErrors.10 1.3.6.1.2.1.2.2.1.14.10 RFC1213-MIB   Interface out counters ifOutOctets.1 1.3.6.1.2.1.2.2.1.16.1 RFC1213-MIB     ifOutOctets.2 1.3.6.1.2.1.2.2.1.16.2 RFC1213-MIB     ifOutOctets.3 1.3.6.1.2.1.2.2.1.16.3 RFC1213-MIB     ifOutOctets.4 1.3.6.1.2.1.2.2.1.16.4 RFC1213-MIB     ifOutOctets.5 1.3.6.1.2.1.2.2.1.16.5 RFC1213-MIB     ifOutOctets.6 1.3.6.1.2.1.2.2.1.16.6 RFC1213-MIB     ifOutOctets.7 1.3.6.1.2.1.2.2.1.16.7 RFC1213-MIB     ifOutOctets.8 1.3.6.1.2.1.2.2.1.16.8 RFC1213-MIB     ifOutOctets.9 1.3.6.1.2.1.2.2.1.16.9 RFC1213-MIB     ifOutOctets.10 1.3.6.1.2.1.2.2.1.16.10 RFC1213-MIB   Interface out errors ifOutErrors.1 1.3.6.1.2.1.2.2.1.20.1 RFC1213-MIB     ifOutErrors.2 1.3.6.1.2.1.2.2.1.20.2 RFC1213-MIB     ifOutErrors.3 1.3.6.1.2.1.2.2.1.20.3 RFC1213-MIB     ifOutErrors.4 1.3.6.1.2.1.2.2.1.20.4 RFC1213-MIB     ifOutErrors.5 1.3.6.1.2.1.2.2.1.20.5 RFC1213-MIB     ifOutErrors.6 1.3.6.1.2.1.2.2.1.20.6 RFC1213-MIB     ifOutErrors.7 1.3.6.1.2.1.2.2.1.20.7 RFC1213-MIB     ifOutErrors.8 1.3.6.1.2.1.2.2.1.20.8 RFC1213-MIB     ifOutErrors.9 1.3.6.1.2.1.2.2.1.20.9 RFC1213-MIB     ifOutErrors.10 1.3.6.1.2.1.2.2.1.20.10 RFC1213-MIB   System uptime hrSystemUptime.0 1.3.6.1.2.1.25.1.1.0 RFC1514-MIB   GlobalProtect gateway utilization panGPGatewayUtilization 1.3.6.1.4.1.25461.2.1.2.5.1 PAN-COMMON-MIB **New in PAN-OS 6.0** GlobalProtect gateway % utilization panGPGWUtilizationPct.0 1.3.6.1.4.1.25461.2.1.2.5.1.1 PAN-COMMON-MIB **New in PAN-OS 6.0** GlobalProtect gateway max tunnels panGPGWUtilizationMaxTunnels.0 1.3.6.1.4.1.25461.2.1.2.5.1.2 PAN-COMMON-MIB **New in PAN-OS 6.0** GlobalProtect gateway active tunnels panGPGWUtilizationActiveTunnels.0 1.3.6.1.4.1.25461.2.1.2.5.1.3 PAN-COMMON-MIB **New in PAN-OS 6.0** % session utilization panSessionUtilization.0 1.3.6.1.4.1.25461.2.1.2.3.1.0 PAN-COMMON-MIB   Max Sessions for the device panSessionMax.0 1.3.6.1.4.1.25461.2.1.2.3.2.0 PAN-COMMON-MIB   Per VSYS session utilization panVsysTable 1.3.6.1.4.1.25461.2.1.2.3.9 PAN-COMMON-MIB **New in PAN-OS 6.0** VSYS ID panVsysId.1 1.3.6.1.4.1.25461.2.1.2.3.9.1.1.1 PAN-COMMON-MIB **New in PAN-OS 6.0** VSYS Name panVsysName.1 1.3.6.1.4.1.25461.2.1.2.3.9.1.2.1 PAN-COMMON-MIB **New in PAN-OS 6.0** VSYS session % utilization panVsysSessionUtilizationPct.1 1.3.6.1.4.1.25461.2.1.2.3.9.1.3.1 PAN-COMMON-MIB **New in PAN-OS 6.0** VSYS active sessions panVsysActiveSessions.1 1.3.6.1.4.1.25461.2.1.2.3.9.1.4.1 PAN-COMMON-MIB **New in PAN-OS 6.0** VSYS max sessions panVsysMaxSessions.1 1.3.6.1.4.1.25461.2.1.2.3.9.1.5.1 PAN-COMMON-MIB **New in PAN-OS 6.0** Total Active Sessions panSessionActive.0 1.3.6.1.4.1.25461.2.1.2.3.3.0 PAN-COMMON-MIB   Active TCP Sessions panSessionActiveTcp.0 1.3.6.1.4.1.25461.2.1.2.3.4.0 PAN-COMMON-MIB   Active UDP Sessions panSessionActiveUdp.0 1.3.6.1.4.1.25461.2.1.2.3.5.0 PAN-COMMON-MIB   Active ICMP Sessions panSessionActiveICMP.0 1.3.6.1.4.1.25461.2.1.2.3.6.0 PAN-COMMON-MIB     TRAPS PAN-OS は RFC-1907で定義されている主要なtrapsをサポートしています。 そのほかに、システムログや、トラフィックログ、脅威ログや構成ログなど、ログに記載されるメッセージも、SNMP Trapsとして送信することが可能です。     参考情報: Supported MIBs 著者: tlozano   ... View more

※この記事は以下の記事の日本語訳です。 How to Configure Dynamic Block List (DBL) or External Block List (EBL) https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Dynamic-Block-List-DBL-or-External-Block-List/ta-p/53414      概要 本ドキュメントは、Dynamic Block List (DBL) や External Block List(EBL)の構成方法について紹介しています。   手順 Objects > Dynamic Block Listの順にクリックします。 Addをクリックします。 今回の例では、source フィールドのURLは、 動的に取得される複数のIPアドレスが定義されたdbl.txtというファイルで構成されています。このファイルは、構成を行う前にWebサーバ上に作成されている必要があります。 指定されたファイルにアクセスできるかどうか, Test Source URLをクリックします。 source フィールドで指定したURLにアクセスすることで、ファイルがWebサーバに存在していることを確認します。 } request system external-list show name <name> を実行し、ファイルから詳細が取得できることを確認します。   参考情報： Working with External Block List (EBL) Formats and Limitations   著者: ssunku ... View more

※この記事は以下の記事の日本語訳です。 Any/Any/Deny Security Rule Changes Default Behavior https://live.paloaltonetworks.com/t5/Learning-Articles/Any-Any-Deny-Security-Rule-Changes-Default-Behavior/ta-p/54248     概要 Palo Alto Networks firewallsすべてで下記の2つの暗黙のセキュリティルールが存在しています。 それぞれのゾーン間のトラヒックは許可されない 同一ゾーン間のトラヒックは許可される 明示的に2つのゾーンに跨る通信を許可するルールが存在しない限り、デフォルトルールが適用されます。デフォルトルールに適用されるトラヒックについてはログに記録されません。すべてのゾーンに跨るあらゆるすべてのトラヒックを許可しない、Deny All ruleを追加して初めて、トラヒックが許可されなかったことを示すトラフィックログの書き込みを確認できたというユーザーもいます。 この deny allが適用されたとき、しばしば、デフォルトで許可されている同一ゾーンのトラヒックがドロップされてしまうという想定しない結果につながります。trust zoneから開始、終了するトラヒックは、deny ruleの Any/Any zonesに合致します。最終的に、SSL VPN, BGP, IPSECや同じゾーン間で受信、応答が実施されるその他のプロトコルやトラヒックが許可されない結果に至ります。   GlobalProtectの場合、Any/Any/Denyルールは下記の症状をトリガする可能性があります: GlobalProtect (GP) クライアントによる接続はUntrust Zoneから開始し、Untrust Zoneで終了するものであるため、結果的にAny/Any/Deny ruleによって拒否され、それにより発生するGlobalProtect (GP) クライアントの接続不具合 同一ゾーン間のトラヒックを許可するポリシーが存在しない環境下で、GlobalProtectが動作することが起因し、それにより発生する同一ゾーンの内部サービス間接続不良。 下記は、Any/Any/DenyルールとSSL VPNを組み合わせた例となります。 この例では、仮想ルーターのインターネット側インターフェースがインターネットへのアクセスを提供し、SSL VPNトラヒックを終端させます。 このインターフェースは、UNTRUSTというゾーンの一部として設定されています。すべてのSSL VPN接続要求は、UNTRUSTのインターフェースから入り、SSL VPN接続応答は、UNTRUSTのインターフェースから出て行きます。   この内容を意図通りに動作させるためには、下記の例にある2つのルールを設定します。 もし、ルーティングプロトコルやその他のプロトコルにより同一ゾーン内でトラヒックが発生するのであれば、さらに追加のルールを設定する必要があります。   デフォルトのポリシー(暗黙のセキュリティルール)によるログ書き込みをテストする場合、以下のコマンドで 確認が可能です。 > set system setting logging default-policy-logging <value> where <value> is 0-300   著者: panagent   ... View more

※この記事は以下の記事の日本語訳です。 Cisco Link Aggregation Traffic Through a Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Configuration-Articles/Cisco-Link-Aggregation-Traffic-Through-a-Palo-Alto-Networks/ta-p/61067     バーチャル ワイヤ モードが有効になっている場合、Palo Alto Networks デバイスは、Cisco リンク アグリゲーション  コントロール プロトコル トラフィックを通すことができます。この例では、デバイスはリンク アグリゲーションを構成する役割は持っていません。2つのスイッチを接続し、LACPトラフィックをパススルーさせるのみです。 注意:  PAN-OS 6.1以前では、 LACP は対応しておらず、複数のネットワーク ポートを論理的な一つのポートに集約するといった要件の中で、Palo Alto Networks デバイスを使用することはできません。 この例の中では、静的なポート設定での利用が 想定されています。   トポロジー例   Switch 1 Configuration Switch 2 Configuration port-channel load-balance dst-ip interface Port-channel5 switchport access vlan 10 switchport mode access   interface GigabitEthernet0/1 switchport access vlan 10 switchport mode access channel-group 5 mode active ! interface GigabitEthernet0/2 switchport access vlan 10 switchport mode access channel-group 5 mode active ! interface GigabitEthernet0/3 switchport access vlan 10 switchport mode access !   port-channel load-balance dst-ip interface Port-channel10 switchport access vlan 10 switchport mode access !   interface GigabitEthernet0/13 switchport access vlan 10 switchport mode access channel-group 10 mode active ! interface GigabitEthernet0/14 switchport access vlan 10 switchport mode access channel-group 10 mode active ! interface GigabitEthernet0/15 switchport access vlan 10 b switchport mode access !   ファイアウォールの設定   802.3ad リンク アグリゲーションの詳細情報は、wikipediaのLink aggregation をご参照ください。 著者: wtam   ... View more

※この記事は以下の記事の日本語訳です。 How to Create an Application Filter to Block High-Risk Applications https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-an-Application-Filter-to-Block-High-Risk/ta-p/62794       概要 本ドキュメントでは、 peer-to-peer テクノロジーを利用したhigh-risk (5) file-sharing applicationsをブロックするためのセキュリティポリシーの作成方法を説明しています。   手順 Policies タブからSecurityを選択し、セキュリティ ポリシーの追加を行います。 General, Source,User,Destination タブの必要情報を入力します。その後、Applicationタブを選択します。 Addを選択し、 ドロップダウン リストの一番下までスクロールさせ、Application Filterを選択します。 作成するApplication Filterに対し、名前をつけます。 peer-to-peer technologyベースのhigh-risk (5) file-sharing applicationsに対して制御を行いたいため、以下の流れで指定します。 Category カラムの下にある、 highlight general-internetをクリックします。 Subcategoryの下にあるfile-sharingを選択します。 技術的な部分では、peer-to-peer Risk が 5 OKをクリックし、保存します。Application Filterがルール上に表示されます。 Security Policyの設定の残りを入力します。 Service/Urlカテゴリは、Anyを選択し、ActionについてはDenyを選択することが推奨となります。   これまでの手順を実施することで、ファイアウォールを経由するトラフィックは、application filterによりカテゴライズされます。   注: アプリケーション フィルターは、動的なものです。ビルト イン カテゴリ が選択された場合は、グループがルール内で利用できるようになります。この結果、選択されたカテゴリに該当するものはすべてグループに含まれる結果となります。 アプリケーションはリカテゴライズされたり、 もしくは、新しいアプリケーションがそのカテゴリに追加されるため、 そういったアプリケーションは、アプリケーションフィルターから動的に追加されたり、削除されたりすることになります。この動作により問題が発生する可能性があります。なぜなら、リカテゴライズにより、過去許可していたアプリケーションが突然ブロックされたり、過去ブロックしていたアプリケーションが突然許可されることが発生するからです。アプリケーション グループを使用していたケースでも、アプリケーションは、サービス グループやアドレス グループと同様に分類されます。ブロック、許可を行う対象のアプリケーションが追加されるたび、使用しているアプリケーション グループに手動で追加していく必要が見込まれます。   参考情報 セキュリティ ポリシー内で、効果的にHigh-Risk Appを活用したい場合、アプリケーションの依存関係について深い理解を得る必要があります。こちらのドキュメントをご参照ください。 How to Check if an Application Needs to have Explicitly Allowed Dependency Apps  (英文)   著者: sodhegba     ... View more

※この記事は以下の記事の日本語訳です。 How to Revert to a Previous Configuration https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Revert-to-a-Previous-Configuration/ta-p/61313   詳細 GUIから以前使用していた設定に戻す場合: PAN-OS 5.0 以上であった場合:   Device > Setup > Operationsの順にクリックします。 表示された画面上のLoad かRevert のいずれかの操作をクリックします。 コミットします。   CLIから以前使用していた設定ファイルに戻す場合、以下のコマンドを実行します。 > configure # load config + key          key > from         Filename > last-saved   Last saved configuration > partial      partial config loading > version      Version # commit   著者: panagent ... View more

※この記事は以下の記事の日本語訳です。 https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Upgrade-PAN-OS-and-Panorama/ta-p/58700   本ドキュメントでは、PAN-OS や Panoramaのアップグレード手順を紹介しています。メジャー/マイナーリリースは、新機能、複数の問題の修正を含みます。メンテナンスリリースは、複数の問題の修正を含みます。リリース番号の最初の数字がメジャーリリースの番号を示します。(例.6.0.0) リリース番号の最初の数字、2番目の数字がマイナーリリースの番号を示します。(6.1.0) リリース番号の最後の数字がメンテナンスリリースの番号を示します。(6.1.1)   リリースの種類 提供されるもの 判別方法 メジャー 機能 & 修正 6.0.0 マイナー 機能 & 修正 6.1.0 メンテナンス 修正 6.1.1   注意: アップグレードを行う前に必ずリリースノートを確認するようにしてください。   以下の内容について言及します。   要件 新しいPAN-OS メジャーリリースにアップグレードする手順 ダウングレードする手順 Panoramaをアップグレードする手順 PanoramaからDevicesをアップグレードする手順 HA Pairをアップグレードする手順 HA Pairをダウングレードする手順 Intermediate Operating Systemをインストールする必要性   The Palo Alto Networks firewallやPanoramaは、最新のPAN-OSを入手できるよう、有効なサポートサブスクリプションとともに登録されている必要があります。有効なサポートサブスクリプションと装置の登録は、Customer Support Portal で行えます。   要件 新しいPAN-OSのメジャーリリースにアップグレードするためには、firewallやPanoramaはアップグレード可能なPAN-OSを起動させている必要があります。 例えば、6.1.xにアップグレードしたい場合、事前に6.0.0を起動させておく必要があります。一般的には, 以前のリリースのどのバージョンからでも新しいリリースへのアップグレードが可能です。例えば、PAN-OS 6.0.5 から、PAN-OS 6.1へアップグレードする場合、より新しいPAN-OS 6.0.x をダウンロードする必要はありません。PAN-OS 5.0.x からPAN-OS 6.1に直接アップグレードすることはできません。ハードウェアがサポートされているもので、インターネットに接続されていれば、現状でサポートされているPAN-OSのバージョンは、Check Nowをクリックすれば自働的に検出されます。このCheck Nowは、Device > Software ページの左下にあります。   装置とPanoramaが、信頼性のある電源設備から、正常に電源供給されていることを確認してください。アップグレードの最中に電源障害が発生すると、装置が故障してしまう可能性があります。 既存設定のバックアップを取得します。Save named configuration snapshotをクリックすることで取得可能です。本機能は、GUIのDevice=>SetupもしくはPanorama=>SetupのOperationsにあります。 アップグレードを行うためにminimum content versionを考慮する必要があるか、リリースノートのUpgrade/Downgrade Procedures を確認します。 アップグレードを行うPAN-OSの最新版をダウンロードする前に、 そのPAN-OSのベースイメージをPanoramaもしくは装置上にダウンロードしておく必要があります。PAN-OSのベースイメージは、通常x.x.0といったバージョンです。アップグレードを行う装置上にインストールしておく必要はなく、ダウンロードしておくのみで結構です。 例えば、もし、Palo Alto Networks deviceをPAN-OS 5.0.8から6.1.3にアップグレードする場合、 6.0.0 ベースリリースをダウンロードのみします。(インストールしません) 6.0.13といった最新の6.0.xメンテナンスリリースをダウンロードし、インストールし、リブートします。 6.1.0ベースリリースをダウンロードのみします。(インストールしません) 6.1.13といった最新の6.1.xメンテナンスリリースをダウンロードし、インストールし、リブートします。 注意:インストールが完了したら、インストールした新しいOSを反映させるため、Palo Alto Networks deviceを再起動する必要があります。 Panoramaから装置をアップグレードする場合、Panoramaを最初にアップグレードします。手順は、Panoramaをアップグレードする手順のとおり実施してください。 PAN-OSのアップグレードを行う場合、 関連するソフトウェアのアップグレードを行う必要性が見込まれます。必要の有無は、リリースノート内のAssociated Software Versions項目を確認しご判断ください。 新しいPAN-OS メジャーリリースにアップグレードする手順 Device > Softwareの順にクリックします。 Check Nowをクリックします (左下)。Palo Alto Networksで利用可能なPAN-OSが表示されます。アップグレードするPAN-OSの変更内容を確認するために、Release Notesをクリックします。 PAN-OSのダウンロードとインストール Web UIから実施する場合: アップグレードするPAN-OSの隣にある、Downloadをクリックします。ダウンロードが完了すると、Downloadedのカラムにチェックマークがつきます。 アップグレードするPAN-OSの隣にある、Installをクリックします。インストールが開始されてます。 インストールの最中に、インストールが完了したら自働的に装置を再起動させる機能が利用可能になります。本機能が有効であった場合、インストールが完了した時点で装置は自動的に再起動します。 注意: 再起動はこの時点で実施する必要性はありません。ただし、インストールされたソフトウェアは再起動するまで有効となりません。 手動でダウンロード、インストールを実施する場合: ブラウザでサポートサイトを開きます。 Software Updates ページに行き、インストールしたいPAN-OSをダウンロードします。 Web UIで Device > Softwareの順にクリックし、Uploadをクリックします。ダウンロードしたPAN-OSを選択しOKボタンを押します。装置にPAN-OSがアップロードされます。 Install from Fileをクリックし、アップロードしたPAN-OSを選択します。 OKを押します。アップグレードが開始します。 注意: 古いリリースを削除する場合、Device > Softwareの順にクリックし、リリースの隣にあるXをクリックします。 ベースとなるPAN-OSリリースは削除しないでください。   ダウングレードする手順 装置をダウングレードする必要があった場合、こちらのKBを参照ください。How to Downgrade PAN-OS   Panoramaをアップグレードする手順 Panorama GUIから、Panorama タブをクリックし、次に Software タブをクリックします。注意: Panorama > Device Deployment > Softwareの順ではありません。 Check Nowをクリックします (左下)。Panoramaで利用可能なPAN-OSが表示されます。 アップグレードするPAN-OSをPanoramaにダウンロードするため、Downloadをクリックします。(VMware ESXを使用している場合、対応しているイメージを選択してください。) ダウンロードが完了した後、Installリンクをクリックし、アップグレードを実施します。要求されたら、リブートします。 PanoramaからDevicesをアップグレードする手順 Panorama タブをクリックします。Device Deployment > Softwareの順にクリックし、Check Nowをクリックします。Palo Alto Networksで利用可能なPAN-OSが表示されます。 Downloadをクリックし、アップグレードする装置の種類に応じたソフトウェアをダウンロードします。プラットフォームリストが表示されます。上記で説明した同じルールが 適用されます。 正しいイメージをダウンロードした後、Installをクリックします。 次にソフトウェアをインストールしたい装置を選択します。画面下部にある、Upload only to device (do not install)とReboot device after installに注意してください。  3.Panorama > Managed Devicesの順にクリックし、画面下部にあるInstallをクリックすることでも、ソフトウェアをインストールすることが可能です。       'install'をクリックすることで、上記の手順での同じインストール画面が表示されます。     HA Pairをアップグレードする手順 HA Pairをアップグレードする手順については、こちらのKBを参照ください。How to Upgrade a High Availability (HA) Pair   HA Pairをダウングレードする手順 2つ目の装置をアップグレードする前にフォールバックさせるには、以下の手順を実施します。 アップグレードした装置をSuspendします。パッシブ装置がアクティブになります。サスペンドされた装置がダウングレードできるようになります。ダウングレードの手順については、こちらのKBを参照ください。 How to Downgrade PAN-OS ダウングレードが完了した後、GUIで装置をアクティブにし、設定が正しくロードされていることを確認します。   Intermediate operating systemをインストールする必要性 アップグレードパスに応じて、ターゲットとするPAN-OSにアップグレードするために、intermediate operating systemをインストールする必要があります。たとえば6.0から7.0にアップグレードする場合、まず最初に、6.1をIntermediate Operating Systemとしてインストールする必要があります。   アップグレード中の問題を防ぐために、最新のメンテナンスリリースバージョンを、Intermediate Operating Systemとしてインストールすることを推奨します。例えば、6.0.5から7.0.6にアップグレードする場合、6.0.5から6.1.13、6.1.13から7.0.6といった流れで実施します。   参考情報： How to Downgrade PAN-OS How to Upgrade a High Availability (HA) Pair How to Downgrade PAN-OS   著者: jdelio   ... View more

※この記事は以下の記事の日本語訳です。 How to Save an Entire Configuration for Import into Another Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Save-an-Entire-Configuration-for-Import-into-Another-Palo/ta-p/61476   概要 異なる Palo Alto Networks デバイスへの設定のインポートは、正常に完了せず、結果としてデバイスの不良や移行の失敗につながる可能性があります。下記の前提条件を満たすことで、 ご利用のデバイス 設定やセキュリティ ポリシーは、デバイス間でインポート、エクスポートが可能となります。 移行元、移行先でハードウェアのモデルが同じであること(PA-500 から PA-500, PA-5020 から PA-5020) 移行元、移行先でハードウェアのモデルが異なる状況での設定のインポートは対応しておりません。 移行元、移行先でPAN-OSのバージョンが同じであること (4.1.x から 4.1.x, 5.0.x から 5.0.x ) 正しく設定のインポートを行う場合、事前に同じPAN-OSのバージョンをデバイスにインストールしてください。   準備しておくこと ライセンスを正しくデバイスが認識していること。 移行先のデバイスで、移行元と同じPAN-OSのバージョンがインストールされていることを確認した後、移行元と同じアンチウィルス、アプリケーションおよび脅威、URLフィルタリング、Wildfireのデータベースがインストールされていることを確認します。   手順 名前付き設定スナップショットを保存します。 GUIより、 Device > Setup > Operationsの順序で選択し、"Save named configuration snapshot."をクリックします。 CLIから実施する場合、以下のコマンドを実行することで、名前付き設定スナップショットを保存することができます。 > configure # save config to 2014-09-22_CurrentConfig.xml # exit > 名前付き設定スナップショットをエクスポートします。 GUIより、  Device > Setup > Operations の順序で選択し、"Export named configuration snapshot"をクリックします。 CLIから実施する場合、以下のコマンドを実行することで、名前付きスナップショットをエクスポートすることができます。 > scp export configuration [tab for command help] For example, > scp export configuration from 2014-09-22_CurrentConfig.xml to username@scpserver/PanConfigs Note: ユーザーのホーム ディレクトリに保存する場合は、username@scpserver:~/ となります。 username@scpserver ://と指定をした場合、"/”ディレクトリに保存されます。 デバイスの交換の場合、最初に カスタマー サポート ポータル上で、ライセンスの移行を行います。 移行元のデバイスのシリアル番号から、移行先のデバイスのシリアル番号に対し実施します。 次に、インポートする設定と同じマネジメントIPをManagement Interface に指定します。Management Interface からインターネットにアクセス可能なことを確認してください。 Retrieve license keys from license serverをクリックし、ライセンスを取得します。 移行先のデバイスのPAN-OSが移行元のデバイスと同じバージョンであることを確認し、移行元と同じアンチウィルス、アプリケーションおよび脅威、URLフィルタリング、Wildfireのデータベースをインストールします。 移行先のデバイスに、名前付き設定スナップショットをインポートします。 GUIから実施する場合、 Device > Setup > Operationsの順序で選択し、"Import named configuration snapshot"をクリックします。 CLIから実施する場合、以下のように実施します。 > scp import configuration username@scpserver/PanConfigs/ 2014-09-22_CurrentConfig.xml インポートした名前付き設定スナップショットをロードします。 GUIから実施する場合、 Device > Setup > Operationsの順序で選択し、"Load named configuration snapshot"をクリックします。 ロードする 名前付き設定スナップショットを選択し、 OK をクリックします。そのあとコミットします。 CLIから実施する場合、以下のように実施します。 > configure # load config from 2014-09-22_CurrentConfig.xml # commit # exit >   参考 設定のバックアップ取得方法については、各PAN-OSバージョンの管理者ガイドを参照ください。   著者: jjosephs ... View more

※この記事は以下の記事の日本語訳です。 How to submit an Anti-Virus false positive https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-submit-an-Anti-Virus-false-positive/ta-p/74600     概要 ウイルス シグネチャ誤検知を申告いただく場合、下記で記述した情報を御提供くださいますようお願い致します。     取得する情報 "show system info" コマンドの出力結果もしくは、WebGUI の Dashboard > "一般的な情報" のスクリーン キャプチャ。 AVシグネチャをトリガしたサンプル ファイル。サンプル ファイルを御提供いただく場合、必ずパスワードで圧縮し、解凍用のパスワードとともに御提供ください。 サンプル ファイルのSHA256/MD5 ハッシュ値。 トリガされた脅威イベント ログの詳細のスクリーンショット、脅威ID/脅威名。(例えば、Threat ID 2000002 | Net-Worm/Win32.Conficker.cr) ウイルス シグネチャ誤検知と判断された情報。例えば下記の情報。 - VirusTotalによるサンプル検査結果 - サンプルはお客様により作成されたもの - サンプルは第三者機関の電子署名をされている - サンプルを解析し、悪意のあるファイルではないことを確認されている     上記の情報を採取いただき、サポート ケース上にご提供いただくことで、ウイルス シグネチャ誤検知の調査が可能となります。   ... View more