Professional Documents
Culture Documents
WildFire_AdminGuide_51-Chinese_Traditional
WildFire_AdminGuide_51-Chinese_Traditional
WildFire_AdminGuide_51-Chinese_Traditional
WildFire 管理者指南
http://www.paloaltonetworks.com/contact/contact/
關於本指南
本指南說明使用和維護 Palo Alto Networks WildFire 功能所需的管理作業。
涵蓋的主題包括授權資訊、設定防火牆轉送檔案以供檢驗、檢視報告,
以及如何設定和管理 WF-500 WildFire 設備。
如需詳細資訊,請參閱以下來源:
S Palo Alto Networks 管理者指南 —有關其他功能的資訊及設定防火牆
功能的說明。
S https://live.paloaltonetworks.com — 可存取知識庫、完整說明文件集、
討論區和視訊。
S https://support.paloaltonetworks.com — 可聯絡支援人員、取得支援計
畫資訊,或管理您的帳號或設備。
對於文件若有任何意見,請致函:
documentation@paloaltonetoworks.com
ii
目錄
WildFire 概要介紹. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
關於 WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
WildFire 如何運作?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
WildFire 報告包含那些內容? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
偵測到惡意軟體後,我應該採取什麼動作? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
有哪些部署可用? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
WildFire 使用授權享有哪些權益? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
監控、追蹤和避免網路上的惡意軟體 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
關於 WildFire 日誌 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
使用 WildFire Cloud 監控提交 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
自訂 WildFire 入口網站設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
WildFire 入口網站使用者帳戶 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
新增 WildFire 使用者帳戶 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
檢視 WildFire 報告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
WildFire 報告包含那些內容? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
設定對於偵測到的惡意軟體所發出的警示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
WildFire 的運作. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
iv WildFire 管理者指南
1 WildFire 概要介紹
本章概要介紹 WildFire 功能,包括支援的部署、使用授權需求,以及偵測到您的環境出現惡意軟
體時所採取步驟的描述。本章包含以下幾節:
S 關於 WildFire
S WildFire 如何運作?
S WildFire 報告包含那些內容?
S 偵測到惡意軟體後,我應該採取什麼動作?
S 有哪些部署可用?
S WildFire 使用授權享有哪些權益?
WildFire 管理員指南 1
關於 WildFire WildFire 概要介紹
關於 WildFire
現今的惡意軟體主導目前最複雜的網路攻擊,而且愈來愈能夠規避傳統的安全性解決方案。Palo
Alto Networks 開發出整合式方法,因應整個惡意軟體生命週期,其中包括避免感染、識別零時差
惡意軟體(也就是其他防毒廠商不曾識別的惡意軟體)或指向性惡意軟體(鎖定特定產業或企業
的惡意軟體),以及突顯和破壞進行中感染。
Palo Alto Networks WildFire 引擎透過 WildFire 系統內的虛擬環境中進行的直接監測,讓零時差和指
向性惡意軟體無所遁形。WildFire 功能特別採用 Palo Alto Networks App-ID 技術,不僅監控電子郵
件附件或瀏覽器的檔案下載,而且能夠識別應用程式內的檔案傳輸。
Palo Alto Networks WildFire 功能的主要優點在於能夠發覺零時差惡意軟體,而且能夠快速產生特徵
碼,以針對所有偵測到的惡意軟體防範後續感染。防火牆能夠在偵測到網路出現惡意軟體時,傳
送電子郵件警示、系統日誌警示或 SNMP 陷阱,提供立即的警示。這能夠讓您快速識別下載惡意
軟體的使用者,並且在造成大規模損壞或傳播到其他使用者前予以清除。此外,WildFire 產生的
各個特徵碼會自動傳播到以威脅防範及 / 或 WildFire 使用授權保護的各個 Palo Alto Networks 防火牆,
因此,即使在網路中未找到惡意軟體,仍然能夠提供自動保護。Palo Alto Networks 目前每週探索
數千個零時差攻擊並產生相應的特徵碼,而這個數字仍然持續增加中。
WildFire 如何運作?
2 WildFire 管理員指南
WildFire 概要介紹 關於 WildFire
WildFire 報告包含那些內容?
對於 WildFire 分析的各個檔案,都會在檔案提交時產生詳細的行為報告。端視檔案如何提交到
WildFire 以及防火牆上啟用什麼使用授權而定,防火牆的 WildFire 日誌、WildFire 入口網站
(https://wildfire.paloaltonetworks.com)或 WildFire API 查詢將提供這些報告。這些報告顯示檔案詳
細的行為資訊、目標使用者、傳遞檔案的應用程式,以及用於檔案傳遞或回撥活動的所有 URL 相
關的資訊。如需如何存取連接埠的詳細資訊和報告欄位的描述,請參閱第 50 頁的「檢視 WildFire
報告」。
偵測到惡意軟體後,我應該採取什麼動作?
偵測到網路有惡意軟體時,必須迅速採取動作,避免惡意軟體散佈到其他系統。為了確保網路上
偵測到惡意軟體時能夠立即警示,請將防火牆設定為在 WildFire 對於從防火牆轉送的檔案傳回惡
意軟體裁定時,傳送電子郵件通知、SNMP 陷阱及 / 或系統日誌。這能夠讓您迅速檢視 WildFire 分
析報告,並識別下載惡意軟體的使用者、判斷使用者是否執行遭感染的檔案,並評估惡意軟體是
否自行散佈到網路上其他的主機。如果您判斷使用者已執行檔案,您可以迅速中斷電腦的網路連
線,避免惡意軟體散佈,並按照必要的事件回應和補救程序。如需 WildFire 報告的詳細資訊和
WildFire 運作的範例,請參閱第 45 頁的「監控、追蹤和避免網路上的惡意軟體」。
WildFire 管理員指南 3
關於 WildFire WildFire 概要介紹
有哪些部署可用?
WildFire 使用授權享有哪些權益?
WildFire 使用惡意軟體沙箱以及惡意軟體的特徵碼型偵測和封鎖兩者的組合,偵測和防範零時差
惡意軟體。若要使用 WildFire 掌握零時差惡意軟體,只需要設定檔案封鎖設定檔,啟用防火牆將
樣本轉送到 WildFire 進行分析。不需要使用授權,即可使用 WildFire 將檔案從 Palo Alto Networks 防
火牆傳送到 WildFire Cloud 進行沙箱作業。
為了在 WildFire 偵測到惡意軟體後偵測並封鎖已知的惡意軟體,需要威脅防範及 / 或 WildFire 使用授
權。威脅防範使用授權能夠使防火牆接收每日防毒特徵碼更新,涵蓋全球的 WildFire 對於具備威
脅防範使用授權的所有客戶所偵測到的所有惡意軟體樣本。威脅防範使用授權也提供每週內容更
新,其中包括新的弱點防護和反間諜軟體特徵碼。
4 WildFire 管理員指南
WildFire 概要介紹 關於 WildFire
WildFire 管理員指南 5
關於 WildFire WildFire 概要介紹
6 WildFire 管理員指南
2 使用 WF-500 WildFire 設備分析檔案
本章說明 WF-500 WildFire 設備,以及如何設定和管理設備準備接收檔案進行分析。此外,本章提
供設定 Palo Alto Networks 防火牆轉送檔案到 WildFire 設備進行檔案分析的步驟。
S 關於 WF-500 WildFire 設備
S 設定 WF-500 WildFire 設備
S 將檔案轉送至 WF-500 WildFire 設備
WildFire 管理員指南 7
關於 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案
關於 WF-500 WildFire 設備
WF-500 WildFire 設備提供內部部署的 WildFire 私人雲端,能夠讓您在沙箱環境中分析可疑的檔案,
完全不需要將檔案傳送到網路之外。若要使用 WF-500 設備取代 WildFire 公共雲端,請在防火牆設
定 WildFire Cloud 設定指向 WF-500 設備,而非指向 default-cloud 設定。WF-500 設備會在本機進
行所有檔案的沙箱作業,並使用 WildFire 公共雲端系統所用的同一個引擎分析檔案是否有惡意行
為。在幾分鐘內,設備會以 WildFire 日誌將分析結果傳回防火牆。
依預設,WF-500 設備不會將任何檔案傳送到 Palo Alto Networks WildFire Cloud。不過,惡意軟體必
須傳送到 WildFire 公共雲端,才能收到設備發現的惡意軟體相關的防毒特徵碼。WF-500 設備有自
動提交功能,只會將確認的惡意軟體傳送到公共雲端進行特徵碼產生。特徵碼接著會散佈到收到
Palo Alto Networks 發出的 WildFire 及防毒特徵碼更新所有的客戶。您最多可以設定 100 個 Palo Alto
Networks 防火牆轉送到一個 WildFire 設備;各個防火牆都必須具備有效的 WildFire 使用授權,才能
將檔案轉送到 WildFire 設備。
WildFire 設備有兩個介面:
• MGT — 接收所有從防火牆轉送的檔案,並且將載明結果的日誌傳回防火牆。
• Virtual Machine Interface(虛擬電腦介面)(vm-interface)— 提供分析沙箱的網路存取,讓
WildFire 能夠更有效分析檔案在沙箱中執行所產生的行為,因為這能夠觀測到沒有網路存取便
不會顯現的一些惡意行為,例如回撥活動。不過,為了避免惡意軟體從沙箱進入網路,務必
在有網際網路連線的隔離網路設定此介面,以便虛擬電腦上執行的惡意軟體能夠與網際網路
進行通訊。如需 vm-interface 的詳細資訊,請參閱第 15 頁的「設定虛擬電腦介面」。
您必須先設定此介面,才能交付設備的任何變更。
8 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備
設定 WF-500 WildFire 設備
本節說明在網路上設定 WildFire 設備所需的步驟,以及如何設定 Palo Alto Networks 防火牆將檔案
轉送到設備進行分析。
本節包括以下主題:
S 開始之前
S 執行初始設定
S 驗證 WF-500 WildFire 設備設定
S 設定虛擬電腦介面
S 更新 WF-500 WildFire Appliance Software
開始之前
• 備妥電腦透過主控台纜線或以太網路纜線連線到設備取得初始設定。
WildFire 管理員指南 9
設定 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案
執行初始設定
10 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備
將 WILDFIRE 設備整合於網路(續)
WildFire 管理員指南 11
設定 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案
將 WILDFIRE 設備整合於網路(續)
後續動作:
• 若要驗證 WF-500 設備設定,請參閱第 13 頁的「驗證 WF-500 WildFire 設備設定」。
• 若要開始從防火牆轉送檔案,請參閱第 22 頁的「將檔案轉送至 WF-500 WildFire 設備」。
• 若要更新 WildFire 設備軟體,請參閱第 19 頁的「更新 WF-500 WildFire Appliance Software」。
• 若要設定設備進行惡意軟體分析所用的 vm-interface,請參閱第 15 頁的「設定虛擬電腦介面」。
12 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備
3. 對於已啟用自動提交的設備,請輸入下列命令,驗證
WildFire 設備是否能夠與 Palo Alto Networks WildFire Cloud
進行通訊:
admin@WF-500> test wildfire registration
注意 如果啟用自動提交,設備只會將檔案轉送到 WildFire
Cloud。如需啟用自動提交的詳細資訊,請參閱第
10 頁的「執行初始設定」中的步驟。
WildFire 管理員指南 13
設定 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案
驗證 WILDFIRE 設備設定(續)
在此範例中,已啟用自動提交,這表示經識別為惡意軟
體的檔案將轉送到 Palo Alto Networks WildFire Cloud。接
著即可產生特徵碼,防範惡意軟體日後暴露。狀態 Idle
表示設備準備接收檔案。Device registered 顯示
yes,這表示設備已向 WildFire Cloud 系統註冊。
2. 若要驗證設備是否正接收來自防火牆的檔案,並驗證其
是否正傳送檔案到 WildFire Cloud 以產生特徵碼(如果
已啟用自動提交),請輸入下列命令:
3. 若要檢視更細部的統計資料,請輸入下列命令:
admin@WF-500> show wildfire latest
[analysis |samples | sessions | uploads]
例如,若要顯示最後 30 個分析結果的詳細資訊,請輸
入下列命令:
admin@WF-500> show wildfire latest
analysis
14 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備
驗證 WILDFIRE 設備設定(續)
對於傳送檔案到設備的各個已註冊防火牆,輸出應該顯
示下列資訊:防火牆序號、註冊日期、IP 位址、軟體版
本、硬體機型和狀態。如果未列出任何防火牆,防火牆
與設備之間可能有網路連線問題。檢查網路,確認防火
牆與 WildFire 設備能夠通訊。
對於閘道位址或其他一個設定為轉送到設備的防火牆,
請從設備使用 ping 測試。例如,如果其中一個防火牆的
IP 位址是 10.0.5.254,從設備執行下列 CLI 命令時將顯示
回覆:
admin@WF-500> ping host 10.0.5.254
設定虛擬電腦介面
什麼是虛擬電腦介面?
WildFire 管理員指南 15
設定 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案
網際網路
選項 2
vm-interface 乙太網路連接埠 1 不信任區域
與公用 IP 位址直接連接到網
際網路,而且是與所有內部伺 公司防火牆
服器 / 主機相隔離。 WildFire 區域 信任區域
選項 1
vm-interface 乙太網路連接埠 1
10.16.0.20/22 MGT 介面連接埠
此介面連接至您防火牆上際網路 10.10.0.5/22
及政策,卻不具有任如果啟用自動 的 WildFire 區域,其具備網何內部的
提交,並且將惡意軟體轉送到伺服 存取權。接收從公司防火牆轉送的檔
器 / 主機。 案,WildFire Cloud。
WildFire 設備
• 選項 1(建議):vm-interface 連接到政策僅允許網際網路連線的防火牆上專屬區域之中的介面。
這相當重要,因為 WildFire 虛擬電腦中執行的惡意軟體可能用此介面自行傳播。這是建議的選
項,因為防火牆日誌可用來掌握 vm-interface 產生的任何流量。
16 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備
設定虛擬電腦介面
設定虛擬電腦介面
WildFire 管理員指南 17
設定 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案
設定防火牆控制虛擬電腦介面的流量
18 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備
設定虛擬電腦網路的防火牆介面(續)
例如:
admin@WF-500> ping source 10.16.0.20 host
10.16.0.1
WildFire 管理員指南 19
設定 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案
例如:
admin@WF-500> request system software
download file WildFire_m-5.1.0
2. 使用下列命令,驗證檔案已完成下載:
admin@WF-500> show jobs pending
或者
admin@WF-500> show jobs all
3. 下載檔案後,使用下列命令安裝檔案:
admin@WF-500> request system software
install file filename
例如:
步驟 3 安裝新版後,重新啟動設備。 1. 使用下列命令,監控升級狀態:
admin@WF-500> show jobs pending
2. 升級完成後,使用下列命令重新啟動設備:
admin@WF-500> request restart system
3. 重新啟動後,執行下列 CLI 命令,然後檢查 sw-version
欄位,驗證已安裝新版。
admin@WF-500> show system info
20 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備
手動軟體更新
如果 WildFire 設備沒有網路連線可連線到 1. 導覽至 https://support.paloaltonetworks.com/,並且在 Manage
Palo Alto Networks 更新伺服器,您可以手 Devices(管理設備)部分中,按一下 Software Updates
動升級軟體。 (軟體更新)。
2. 將要安裝的 WildFire 設備軟體影像檔案下載到執行 SCP
伺服器軟體的電腦。
3. 從 SCP 伺服器匯入軟體影像:
scp import software from
username@ip_address/foldername imagefile
例如:
admin@WF-500> scp import software from
user1@10.0.3.4:/tmp/WildFire_m-5.1.0
4. 安裝影像檔案:
admin@WF-500> request system software
install file imagefilename
5. 升級完成後,重新啟動設備:
admin@WF-500> request restart system
6. 重新啟動後,輸入下列 CLI 命令,然後檢查 sw-version
欄位,驗證已安裝新版。
admin@WF-500> show system info
WildFire 管理員指南 21
將檔案轉送至 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案
22 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 將檔案轉送至 WF-500 WildFire 設備
預設會停用此選項,因此除非將選項設為 no 或 yes,
否則不會在設定中顯示該選項。您也可以執行命令
來檢查正在執行的設定:
admin@PA-200# show config running |
match wildfire
隨後將顯示所有 WildFire 設定。
WildFire 管理員指南 23
將檔案轉送至 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案
24 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 將檔案轉送至 WF-500 WildFire 設備
WildFire 管理員指南 25
將檔案轉送至 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案
動態更新最佳作法
• 防毒 — 新的房讀內容更新每天發行。若要取得最新內容,請將這些更新排定在每天最低限度
的時間間隔。若要更積極的排程,請排定每小時更新。
• 應用程式及威脅 — 新的 App-ID、弱點防護和反間諜軟體特徵碼都會每週更新內容(通常在星
期二)。若要收到最新內容,請將這些更新排定在每週最低限度的時間間隔。若要更積極的
排程,確保防火牆在最新的內容發行後立即收到這些內容(包括不定期的排程外緊急內容發
行),並排程每天進行。
26 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 將檔案轉送至 WF-500 WildFire 設備
驗證防火牆上的 WildFire 設定
WildFire 管理員指南 27
將檔案轉送至 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案
28 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 將檔案轉送至 WF-500 WildFire 設備
Forwarding info:
file size limit (MB): 2
file idle time out (second): 90
total file forwarded: 0
forwarding rate (per minute): 0
concurrent files: 0
WildFire 管理員指南 29
將檔案轉送至 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案
30 WildFire 管理員指南
3 使用 WildFire Cloud 分析檔案
本章說明開始直接從防火牆、手動從入口網站或以程式設計方式透過 WildFire API 將檔案上載到
Palo Alto Networks WildFire Cloud 進行檔案分析所需的步驟。本章包含以下幾節:
S 將檔案轉送至 WildFire Cloud
S 將檔案上載至 WildFire Cloud 入口網站
S 使用 WildFire API 上載檔案
WildFire 管理員指南 31
將檔案轉送至 WildFire Cloud 使用 WildFire Cloud 分析檔案
32 WildFire 管理員指南
使用 WildFire Cloud 分析檔案 將檔案轉送至 WildFire Cloud
設定檔案封鎖設定檔並新增到安全性設定檔(續)
WildFire 管理員指南 33
將檔案轉送至 WildFire Cloud 使用 WildFire Cloud 分析檔案
設定檔案封鎖設定檔並新增到安全性設定檔(續)
34 WildFire 管理員指南
使用 WildFire Cloud 分析檔案 將檔案轉送至 WildFire Cloud
動態更新最佳作法
• 防毒 — 新的防毒內容更新每天發行。若要取得最新內容,請將這些更新排定在每天最低限度
的時間間隔。若要更積極的排程,請排定每小時更新。
• 應用程式及威脅 — 新的 App-ID、弱點防護和反間諜軟體特徵碼都會每週更新內容(通常在星
期二)。若要收到最新內容,請將這些更新排定在每週最低限度的時間間隔。若要更積極的
排程,確保防火牆在最新的內容發行後立即收到這些內容(包括不定期的排程外緊急內容發
行),並排程每天進行。
WildFire 管理員指南 35
將檔案轉送至 WildFire Cloud 使用 WildFire Cloud 分析檔案
驗證防火牆上的 WildFire 設定
如果此欄位不允許編輯,請檢查下列設定,並確定
設定為「否」:
36 WildFire 管理員指南
使用 WildFire Cloud 分析檔案 將檔案轉送至 WildFire Cloud
WildFire 管理員指南 37
將檔案轉送至 WildFire Cloud 使用 WildFire Cloud 分析檔案
Forwarding info:
file size limit (MB): 2
file idle time out (second): 90
total file forwarded: 0
forwarding rate (per minute): 0
concurrent files: 0
38 WildFire 管理員指南
使用 WildFire Cloud 分析檔案 將檔案轉送至 WildFire Cloud
WildFire 管理員指南 39
將檔案上載至 WildFire Cloud 入口網站 使用 WildFire Cloud 分析檔案
步驟 2 檢視分析結果。大約需要五分鐘, 1. 重新整理瀏覽器顯示的入口網站頁面。
WildFire 才能完成檔案分析。 2. 入口網站頁面的 Device(設備)清單將顯示 Manual(手
注意 由於手動上載並未與特定防火牆產 動)行項目,並且將顯示分析結果 Malware(惡意軟體)
生關聯,因此手動上載將與註冊的 或 Benign(良性)。按一下 Manual(手動)這個字。
防火牆分開顯示。 3. 報告頁面也將顯示已上載到您帳戶的所有檔案清單。找
出上載的檔案,並按一下資料欄位左邊的詳細資料圖示。
入口網站將顯示檔案分析的完整報告,詳細列出觀測道
的檔案行為,包括被鎖定成為目標的使用者、傳遞惡意
軟體的應用程式,以及與樣本的傳遞或回撥活動相關聯
的所有 URL。
如果 WildFire 識別檔案是惡意軟體,將產生特徵碼散佈
到設定進行威脅防範的所有 Palo Alto Networks 防火牆。
具備 WildFire 使用授權的防火牆可在每小時內下載這些
特徵碼。
40 WildFire 管理員指南
使用 WildFire Cloud 分析檔案 使用 WildFire API 上載檔案
使用下列方法可將檔案提交到 WildFire:
S 使用提交檔案方法將檔案提交到 WildFire
S 使用 submit-url 方法將檔案提交至 WildFire
WildFire 管理員指南 41
使用 WildFire API 上載檔案 使用 WildFire Cloud 分析檔案
使用提交檔案方法將檔案提交到 WildFire
URL https://wildfire.paloaltonetworks.com/submit-file
方法 POST
參數 檔案 將分析的樣本檔案
apikey 您的 WildFire API 金鑰
URL https://wildfire.paloaltonetworks.com/submit-url
方法 POST
42 WildFire 管理員指南
使用 WildFire Cloud 分析檔案 使用 WildFire API 上載檔案
URL https://wildfire.paloaltonetworks.com/get-report-xml
方法 POST
URL https://wildfire.paloaltonetworks.com/publicapi/report
方法 POST
格式 XML
WildFire 管理員指南 43
使用 WildFire API 上載檔案 使用 WildFire Cloud 分析檔案
提交及查詢的程式碼範例
key=$1
file=$2
44 WildFire 管理員指南
4 監控、追蹤和避免網路上的惡意軟體
本章說明 WildFire 報告及日誌記錄系統,並且將顯示管理員如何此使用此功能追蹤威脅,並識別
遭惡意軟體鎖定的使用者。
S 關於 WildFire 日誌
S 使用 WildFire Cloud 監控提交
S 自訂 WildFire 入口網站設定
S WildFire 入口網站使用者帳戶
S 檢視 WildFire 報告
S 設定對於偵測到的惡意軟體所發出的警示
S WildFire 的運作
WildFire 管理員指南 45
關於 WildFire 日誌 監控、追蹤和避免網路上的惡意軟體
關於 WildFire 日誌
設定為將檔案轉送到 WildFire 的各個防火牆將在資料過濾日誌中記錄轉送動作,在 WildFire 分析檔
案後,結果將送回防火牆,並且將在 WildFire 日誌中顯示(需要 WildFire 使用授權)。按一下
View WildFire Report(檢視 WildFire 報告)按鈕,即可在詳細的 WildFire 日誌中顯示各個檔案的
詳細分析報告。接著將從 WildFire 設備或 WildFire Cloud 擷取報告。如果並未安裝 WildFire 使用授
權,而且防火牆正在將檔案轉送到 WildFire Cloud,則可從位於 https://wildfire.paloaltonetworks.com
的 WildFire 入口網站檢視分析報告。
46 WildFire 管理員指南
監控、追蹤和避免網路上的惡意軟體 使用 WildFire Cloud 監控提交
WildFire 管理員指南 47
使用 WildFire Cloud 監控提交 監控、追蹤和避免網路上的惡意軟體
自訂 WildFire 入口網站設定
本節說明可對於入口網站帳戶自訂的設定,例如各個防火牆的時區及電子郵件通知。您也可以刪
除將檔案轉送到 WildFire Cloud 的各個防火牆本身的日誌。
WILDFIRE 入口網站設定
48 WildFire 管理員指南
監控、追蹤和避免網路上的惡意軟體 WildFire 入口網站使用者帳戶
WildFire 入口網站使用者帳戶
WildFire 入口網站帳戶是由超級使用者(或 Palo Alto Networks 設備的註冊擁有者)所建立,能夠讓
使用者登錄 WildFire Web 入口網站,並檢視超級使用者或註冊擁有者特別授予的設備相關的
WildFire 資料。超級使用者是註冊 Palo Alto Networks 防火牆且擁有設備主要支援帳戶的人員。
WildFire 使用者可以是屬於任何帳戶(包括子帳戶、上層帳戶或系統中的其他任何帳戶)的現有
支援網站使用者,另一方面,如果使用者完全沒有 Palo Alto Networks 支援帳戶,也可取得僅存取
WildFire 入口網站和特定防火牆的權限。
新增 WildFire 使用者帳戶
步驟 3 將防火牆指派給新的使用者帳戶, 1. 按照序號選取要授予存取權的防火牆,並填寫選擇性的
並存取 WildFire 入口網站。 帳戶詳細資料。
2. 接著將寄送電子郵件給該使用者。擁有現有支援帳戶的
使用者將收到列出防火牆清單的電子郵件,這些防火牆
可供 WildFire 報告檢視之用。如果使用者沒有支援帳
戶,將傳送說明如何存取入口網站和如何設定新密碼的
電子郵件。
3. 使用者此時即可登入 https://wildfire.paloaltonetworks.com
檢視已取得存取權的防火牆相關的 WildFire 報告。使用
者也可以設定這些設備的自訂電子郵件警示,以便收到
所分析的檔案相關的警示。使用者可選擇接收惡意及 /或
良性檔案的報告。
WildFire 管理員指南 49
檢視 WildFire 報告 監控、追蹤和避免網路上的惡意軟體
檢視 WildFire 報告
檢視傳送到 WildFire Cloud 或 WildFire 設備的 WildFire 報告主要的方法是,存取將檔案轉送到
WildFire 的防火牆,然後從 [monitor(監控)] 頁籤檢視 WildFire 日誌。按一下 WildFire 日誌項目左
邊的日誌詳細資料圖示,檢視工作階段的詳細資料,然後按一下 View WildFire Reports(檢視
WildFire 報告)圖示,檢視詳細的 WildFire 分析報告。如果防火牆正在將日誌轉送到 Panorama,
即可在同一個區域中從 Panorama 檢視日誌。
將檔案提交到 WildFire 入口網站(透過防火牆轉送、手動上載或 WildFire API)時,即可從防火牆及
WildFire 入口網站存取報告。若要從入口網站存取報告,請登入 https://wildfire.paloaltonetworks.com,
並且按一下 WildFire 入口網站頁面頂端的 Reports(報告)按鈕。隨即出現一份清單,顯示接收
檔案的日期、轉送檔案的防火牆序號(如果手動上載檔案或使用 WildFire API 則為手動),以及檔
案名稱或 URL。頁面頂端也有搜尋選項,內含有分頁控制功能。
若要從入口網站檢視個別的報告,請按一下報告名稱左側的 Reports(報告)圖示。若要列印詳
細的報告,請使用瀏覽器列印選項。下列為範例報告:
WildFire 報告包含那些內容?
50 WildFire 管理員指南
監控、追蹤和避免網路上的惡意軟體 檢視 WildFire 報告
報告標題 說明
網路活動 顯示樣本所產生的網路活動,例如存取網路上其他的主機和回撥活動。
主機活動 列出設定、修改或刪除的任何登錄機碼。
程序 列出開始上層程序的檔案、程序名稱和程序執行的動作。
檔案 列出開始子程序的檔案、程序名稱和程序執行的動作。
WildFire 管理員指南 51
設定對於偵測到的惡意軟體所發出的警示 監控、追蹤和避免網路上的惡意軟體
設定對於偵測到的惡意軟體所發出的警示
本節說明設定 Palo Alto Networks 防火牆在每次 WildFire 將威脅日誌傳送到防火牆指出偵測到惡意
軟體所需的步驟。此範例說明如何設定電子郵件警示。若要設定系統日誌記錄、SNMP 陷阱及 / 或
將日誌轉送到 Panorama,請確定是以 SNMP 伺服器資訊設定防火牆,而且防火牆由 Panorama 管
理。接著,可以連同電子郵件選取 Panorama、系統日誌或 SNMP,如下列步驟所述:
如需警示及日誌轉送的詳細資訊,請參閱《Palo Alto Networks 入門指南》的「設定電子郵件警示」、
「定義系統日誌伺服器」及「設定 SNMP 設陷目的地」部分。
設定對於惡意軟體所發出的警示
52 WildFire 管理員指南
監控、追蹤和避免網路上的惡意軟體 設定對於偵測到的惡意軟體所發出的警示
設定對於惡意軟體所發出的警示 (續)
步驟 3 設定日誌轉送設定檔。日誌轉送設 1. 導覽至 Objects(物件)> Log Forwarding(日誌轉送)。
定檔將決定受監控的流量及觸發警 2. 按一下 Add(新增),並且將設定檔命名。例如,
示通知的嚴重性。 WildFire-Log-Forwarding。
3. 在 Threat Settings(威脅設定)部分中,選擇 Email(電
子郵件)欄的電子郵件設定檔做為 Medium(中)嚴重
性。這裡使用 [ 中 ] 的原因是因為 WildFire 惡意軟體日誌
出現 Medium(中)嚴重性。若要對於 WildFire 良性日
誌發出警示,請選取嚴重性 Informational(資訊)。
4. 按一下 OK(確定)儲存變更。
WildFire 管理員指南 53
WildFire 的運作 監控、追蹤和避免網路上的惡意軟體
WildFire 的運作
下列範例案例說明整個 WildFire 生命週期。在此範例中,Palo Alto Networks 的銷售代表下載由銷售
合作夥伴上載到 Dropbox 的新軟體銷售工具。銷售合作夥伴在不知情的情況下上載受感染的銷售
工具安裝檔案,然後銷售代表下載這個受感染的檔案。
這個範例將說明 Palo Alto Networks 防火牆搭配 WildFire 如何在即使流量經過 SSL 加密的情況下,
找出使用者下載的零時差惡意軟體。辨識出惡意軟體時,管理員將收到通知,下載該檔案的使用
者將獲得聯繫,而且防火牆將自動下載新特徵碼以防範惡意軟體日後暴露。雖然某些檔案共享網
站有防毒功能可在上載檔案時檢查檔案,不過充其量只能防範「已知」的惡意軟體。
如需設定 WildFire 的詳細資訊,請參閱第 32 頁的「將檔案轉送至 WildFire Cloud」或第 22 頁的「將
檔案轉送至 WF-500 WildFire 設備」。
此範例以使用 SSL 加密的網站為例,因此必須在防火牆設定解密,並且必須啟用 Allow
forwarding of decrypted content (允許轉寄解密的內容)。如需設定解密的詳細資訊,
請參閱《Palo Alto Networks 入門指南》。如需啟動解密資料轉送的詳細資訊,請參閱第 32 頁
的 「將檔案轉送至 WildFire Cloud」或第 22 頁的 「將檔案轉送至 WF-500 WildFire 設備」。
WILDFIRE 範例案例
54 WildFire 管理員指南
監控、追蹤和避免網路上的惡意軟體 WildFire 的運作
WildFire 管理員指南 55
WildFire 的運作 監控、追蹤和避免網路上的惡意軟體
步驟 6 由於已設定電子郵件中威脅警示的日誌轉送設定檔,因此安全性管理員立即收到說明銷售代表下
載惡意軟體的電子郵件。
56 WildFire 管理員指南
監控、追蹤和避免網路上的惡意軟體 WildFire 的運作
使用 WildFire 詳細分析報告後,桌面支援人員即可檢查分析報告中指出的檔案、程序和登錄資訊,
驗證惡意軟體是否在系統上執行。如果已執行惡意軟體,支援人員可嘗試手動清理系統,也可重
新製作系統映像。
WildFire 分析報告的部份檢視
WildFire 管理員指南 57
WildFire 的運作 監控、追蹤和避免網路上的惡意軟體
所有這些都是在大多數防毒軟體廠商察覺這個零時差惡意軟體前完成的。在此範例中,惡意軟體不再
屬於零時差惡意軟體,因為 Palo Alto Networks 已掌握惡意軟體,而且已經為客戶提供防護。
58 WildFire 管理員指南
5 WildFire 設備軟體 CLI 參考
本章說明 WF-500 WildFire 設備軟體特有的 CLI 命令。所有其他的命令(例如設定介面、交付設定
及設定系統資訊等)與 PAN-OS 相同,也以階層方式顯示。如需 PAN-OS 命令的相關資訊,請參
閱《Palo Alto 網路 PAN-OS 命令行介面參考指南》。
S 關於 WildFire 設備軟體
S 設定模式命令
S 操作模式命令
WildFire 管理員指南 59
關於 WildFire 設備軟體 WildFire 設備軟體 CLI 參考
關於 WildFire 設備軟體
本節介紹與說明如何使用 WildFire 設備軟體命令列介面 (CLI):
S 關於 WildFire 設備軟體 CLI 結構
S 存取 CLI
S 使用 WildFire 設備軟體 CLI 命令
• 設定模式 — 檢視與修改設定階層。
60 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 存取 CLI
存取 CLI
本節說明如何存取及開始使用 WildFire 設備軟體 CLI:
S 建立直接主控台連線
S 建立 SSH 連線
建立直接主控台連線
如需直接連線主控台,請使用下列設定:
• 資料範圍:9600
• 資料位元:8
• 同位檢查:無
• 停止位元:1
• 流量控制:無
建立 SSH 連線
WildFire 管理員指南 61
存取 CLI WildFire 設備軟體 CLI 參考
基本的命令提示併入設備的使用者名稱與主機:
username@hostname>
例如:
msimpson@wf-corp1>
username@hostname> (操作模式)
username@hostname> configure
Entering configuration mode
[edit]
username@hostname# (設定模式)
在設定模式中,目前的階層內容會顯示在命令發出時以方括號所顯示的 [edit...] 橫幅旁。
CLI 命令訊息
訊息會在命令發出時顯示。訊息會提供內容資訊,並協助更正無效的命令。在下列範例中,訊息
以粗體顯示。
例如:未知命令
username@hostname# application-group
Unknown command: application-group
[edit network]
username@hostname#
例如:變更模式
username@hostname# exit
Exiting configuration mode
username@hostname>
62 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 存取 CLI
例如:無效的語法
username@hostname> debug 17
Unrecognized command
Invalid syntax.
username@hostname>
CLI 會檢查每個命令的語法。如果語法正確,它會執行命令,候選階層的變更則會記錄下來。如
果語法不正確,便會顯示無效的語法訊息,如以下範例所示:
username@hostname# set zone application 1.1.2.2
Unrecognized command
Invalid syntax.
[edit]
username@hostname#
存取操作與設定模式
[edit]
username@hostname#
username@hostname>
WildFire 管理員指南 63
存取 CLI WildFire 設備軟體 CLI 參考
使用 ?(或 Meta-H)以根據內容顯示命令選項清單:
• 若要顯示操作命令清單,請在命令提示中輸入 ?。
username@hostname> ?
clear Clear runtime parameters
configure Manipulate software configuration information
debug Debug and diagnose
exit Exit this session
grep Searches file for lines containing a pattern match
less Examine debug file content
ping Ping hosts and networks
quit Exit this session
request Make system-level requests
scp Use ssh to copy file to another host
set Set operational parameters
show Show operational parameters
ssh Start a secure shell to another host
tail Print the last 10 lines of debug file content
username@hostname>
• 若要顯示所指定命令的可用選項,請在該命令後加上 ?。
例如:
username@hostname> ping ?
+ bypass-routing Bypass routing table, use specified interface
+ count Number of requests to send (1..2000000000 packets)
+ do-not-fragment Don't fragment echo request packets (IPv4)
+ inet Force to IPv4 destination
+ interface Source interface (multicast, all-ones, unrouted packets)
+ interval Delay between requests (seconds)
+ no-resolve Don't attempt to print addresses symbolically
+ pattern Hexadecimal fill pattern
+ record-route Record and report packet's path (IPv4)
+ size Size of request packets (0..65468 bytes)
+ source Source address of echo request
+ tos IP type-of-service value (0..255)
+ ttl IP time-to-live value (IPv6 hop-limit value) (0..255 hops)
+ verbose Display detailed output
+ wait Delay after sending last packet (seconds)
<host> Hostname or IP address of remote host
64 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 存取 CLI
命令選項符號
選項前面的符號可提供有關命令語法的額外資訊。
符號 說明
* 此選項為必要。
> 此命令有額外的巢狀選項。
+ 此命令在此層級有額外的命令選項。
| 有選項可指定以「例外值」或「符合值」限制命令。
注意:單引號在此範例中也為無效。
下列範例顯示如何使用這些符號。
例如:在下列命令中,from 為必要關鍵字:
username@hostname> scp import configuration ?
+ remote-port SSH port number on remote host
* from Source (username@host:path)
username@hostname> scp import configuration
WildFire 管理員指南 65
存取 CLI WildFire 設備軟體 CLI 參考
[edit]
username@hostname# set rulebase security rules rule1
每個有 + 的選項皆可新增至此命令。
設定檔關鍵字(有 >)有額外的選項:
username@hostname# set rulebase security rules rule1 profiles ?
+ virus Help string for virus
+ spyware Help string for spyware
+ vulnerability Help string for vulnerability
+ group Help string for group
<Enter> Finish input
[edit]
username@hostname# set rulebase security rules rule1 profiles
限制命令輸出
某些操作命令包含可限制顯示輸出的選項。若要限制輸出,請輸入直立線符號,後面加上 except
或 match 及要排除或包含的值:
例如:
以下為 show system info 命令輸出範例:
username@hostname> show system info
hostname: wf-corp1
ip-address: 192.168.2.20
netmask: 255.255.255.0
default-gateway: 192.168.2.1
mac-address: 00:25:90:95:84:76
vm-interface-ip-address: 10.16.0.20
vm-interface-netmask: 255.255.252.0
vm-interface-default-gateway: 10.16.0.1
vm-interface-dns-server: 10.0.0.247
time: Mon Apr 15 13:31:39 2013
uptime: 0 days, 0:02:35
family: m
model: WF-500
serial: 009707000118
sw-version: 5.1.0
logdb-version: 5.0.2
platform-family: m
username@hostname>
下列範例僅顯示系統型號資訊:
username@hostname> show system info | match model
model: WF-500
username@hostname>
66 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 存取 CLI
權限等級
權限等級將決定使用者所能排除的命令以及所能檢視的資訊。
層級 說明
超級讀取者 具備設備的完整唯讀存取權。
超級使用者 具備設備的完整讀寫存取權。
WildFire 管理員指南 67
CLI 命令模式 WildFire 設備軟體 CLI 參考
CLI 命令模式
本章說明用於與 WildFire 設備軟體 CLI 互動的模式:
S 關於設定模式
S 關於操作模式
關於設定模式
在設定模式中輸入命令以修改候選設定。修改後的候選設定會儲存於設備記憶體,並在設備執行
時予以維護。
每個設定命令皆與動作有關,並也包含關鍵字、選項與值。
本節說明設定模式與設定階層:
S 設定模式命令用法
S 關於設定階層
S 導覽階層
設定模式命令用法
使用下列命令可儲存與套用設定變更:
• save 命令 — 將候選設定儲存在設備的非揮發性儲存體。所儲存的設定會予以保留,直到遭到
後續的 save 命令覆寫為止。請注意,此命令不會讓設定生效。
• commit 命令 — 將候選設定套用至設備。交付的設定會變成設備的使用中設定。
• set 命令 — 變更候選設定中的值。
• load 命令 — 將最後儲存的設定或指定的設定指定為候選設定。
68 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 CLI 命令模式
交付 儲存
載入
設定
• 可針對類似的功能調整命令。
例如,設定兩個乙太網路介面時,每個介面的 IP 位址不同,您可以先編輯第一個介面的設
定、複製命令、僅修改介面與 IP 位址,然後將變更套用到第二個介面。
• 命令結構始終一致。
由於候選設定始終是唯一的設定,因此對候選設定的所有授權變更將互相一致。
WildFire 管理員指南 69
CLI 命令模式 WildFire 設備軟體 CLI 參考
關於設定階層
階層路徑
輸入命令時,會透過階層追蹤路徑,如下所示:
deviceconfig
setting system
...
management wildfire
...
... ...
no yes
70 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 CLI 命令模式
deviceconfig
setting system
...
primary secondary
10.0.0.246
導覽階層
表示相關內容為階層的最上層,而
[edit deviceconfig]
使用所列的命令在整個設定階層內導覽。
層級 說明
edit 設定命令階層內的設定內容。
up 將內容變更為階層中的上一層。
top 將內容變更為階層中的最高層。
WildFire 管理員指南 71
CLI 命令模式 WildFire 設備軟體 CLI 參考
關於操作模式
為設定命令設定輸出格式
72 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 設定模式命令
設定模式命令
本節包含下列 WildFire 設備軟體所特有設定模式命令參考資訊。為 WildFire 設備軟體一部分的所有
其他命令則與 PAN-OS 相同,請參閱《Palo Alto 網路 PAN-OS 命令行介面參考指南》以取得這些
命令的資訊。
所有 WildFire 特有的命令在下列階層輸出中皆以藍色字體顯示,並有描述的超連結。
deviceconfig {
system {
login-banner <value>;
hostname <value>;
domain <value>;
speed-duplex
auto-negotiate|10Mbps-half-duplex|10Mbps-full-duplex|100Mbps-half-duplex|100Mbps-full-
duplex|
1Gbps-full-duplex;
ip-address <ip/netmask>;
netmask <value>;
default-gateway <ip/netmask>;
vm-interface{
ip-address <ip/netmask>;
netmask <value>;
default-gateway <ip/netmask>;
mtu 576-1500;
speed-duplex
auto-negotiate|10Mbps-half-duplex|10Mbps-full-duplex|100Mbps-half-duplex|100Mbps
-full-duplex|
1Gbps-full-duplex;
link-state up|down;
dns-server <ip/netmask>;
}
geo-location {
latitude <float>;
longitude <float>;
}
timezone
dns-setting {
servers {
primary <ip/netmask>;
secondary <ip/netmask>;
}
}
ntp-server-1 <value>;
ntp-server-2 <value>;
update-server <value>;
secure-proxy-server <value>;
secure-proxy-port 1-65535;
secure-proxy-user <value>;
WildFire 管理員指南 73
設定模式命令 WildFire 設備軟體 CLI 參考
secure-proxy-password <value>;
service {
disable-ssh yes|no;
disable-icmp yes|no;
}
}
setting {
wildfire {
cloud-server <value>;
auto-submit yes|no;
vm-network-enable yes|no;
}
management {
admin-lockout {
failed-attempts 0-10;
lockout-time 0-60;
}
idle-timeout 1-1440;
}
}
}
mgt-config {
users {
REPEAT...
<name> {
phash <value>;
permissions {
role-based {
superreader yes;
OR...
superuser yes;
}
}
}
}
}
predefined;
shared {
log-settings {
system {
informational {
send-syslog {
using-syslog-setting <value>;
}
}
low {
send-syslog {
using-syslog-setting <value>;
}
74 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 設定模式命令
}
medium {
send-syslog {
using-syslog-setting <value>;
}
}
high {
send-syslog {
using-syslog-setting <value>;
}
}
critical {
send-syslog {
using-syslog-setting <value>;
}
}
}
config {
any {
send-syslog {
using-syslog-setting <value>;
}
}
}
syslog {
REPEAT...
<name> {
server {
REPEAT...
<name> {
server <value>;
port 1-65535;
facility
LOG_USER|LOG_LOCAL0|LOG_LOCAL1|LOG_LOCAL2|LOG_LOCAL3|LOG_LOCAL4|LOG_LOCAL5|LOG_LOCAL6|
LOG_LOCAL7;
}
}
}
}
}
}
WildFire 管理員指南 75
設定模式命令 WildFire 設備軟體 CLI 參考
vm-interface
說明
階層位置
語法
set vm-interface {
ip-address <ip_address>;
netmask <ip_address>;
default-gateway <ip_address>;
dns-server <ip_address>;
選項
76 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 設定模式命令
範例輸出
下列為設定的 vm-interface。
vm-interface {
ip-address 10.16.0.20;
netmask 255.255.252.0;
default-gateway 10.16.0.1;
dns-server 10.0.0.246;
}
需要權限層級
superuser、superreader
WildFire 管理員指南 77
設定模式命令 WildFire 設備軟體 CLI 參考
wildfire
說明
階層位置
語法
wildfire {
cloud-server <value>;
auto-submit yes|no;
vm-network-enable yes|no;
}
選項
範例輸出
78 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 設定模式命令
需要權限層級
超級使用者、超級讀取者
WildFire 管理員指南 79
操作模式命令 WildFire 設備軟體 CLI 參考
操作模式命令
本節包含下列 WildFire 設備軟體所特有操作模式命令的命令參考資訊。為 WildFire 設備軟體一部分
的所有其他命令則與 PAN-OS 相同,請參閱《Palo Alto 網路 PAN-OS 命令行介面參考指南》以取
得這些命令的資訊。
所有 WildFire 特有的命令在下列階層輸出中皆以藍色字體顯示,並有描述的超連結。
test {
wildfire {
registration;
}
}
set {
wildfire {
portal-admin {
password <value>;
}
}
OR...
management-server {
unlock {
admin <value>;
}
OR...
logging on|off|import-start|import-end;
}
OR...
password;
OR...
ssh-authentication {
public-key <value>;
}
OR...
cli {
config-output-format default|xml|set|json;
OR...
pager on|off;
OR...
confirmation-prompt on|off;
OR...
scripting-mode on|off;
OR...
timeout {
idle 1-1440;
}
OR...
hide-ip;
80 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令
OR...
hide-user;
}
OR...
clock {
date <value>;
time <value>;
}
}
request {
system {
software {
info;
OR...
check;
OR...
download {
version <value>;
OR...
file <value>;
}
OR...
install {
version <value>;
OR...
file <value>;
load-config <value>;
}
}
OR...
raid {
remove <value>;
OR...
copy {
from <value>;
to <value>;
}
OR...
add {
REPEAT...
<name> {
force {
no-format;
}
}
}
}
}
OR...
password-hash {
password <value>;
WildFire 管理員指南 81
操作模式命令 WildFire 設備軟體 CLI 參考
username <value>;
}
OR...
commit-lock {
add {
comment <value>;
}
OR...
remove {
admin <value>;
}
}
OR...
config-lock {
add {
comment <value>;
}
OR...
remove;
}
OR...
tech-support {
dump;
}
OR...
stats {
dump;
}
OR...
shutdown {
system;
}
OR...
system {
software {
info;
OR...
check;
OR...
download {
version <value>;
OR...
file <value>;
}
OR...
install {
version <value>;
OR...
file <value>;
load-config <value>;
}
}
82 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令
}
OR...
license {
info;
OR...
fetch {
auth-code <value>;
}
OR...
install <value>;
}
OR...
restart {
system;
OR...
software;
}
OR...
support {
info;
OR...
check;
}
}
check {
pending-changes;
OR...
data-access-passwd {
system;
}
}
save {
config {
to <value>;
}
}
load {
config {
key <value>;
last-saved;
OR...
from <value>;
OR...
version <value>1-1048576;
OR...
partial {
from <value>;
from-xpath <value>;
to-xpath <value>;
WildFire 管理員指南 83
操作模式命令 WildFire 設備軟體 CLI 參考
mode merge|replace|append;
}
}
OR...
device-state;
}
load {
config {
key <value>;
last-saved;
OR...
from <value>;
OR...
version <value>;
OR...
partial {
from <value>;
from-xpath <value>;
to-xpath <value>;
mode merge|replace|append;
}
OR...
repo {
device <value>;
file <value>;
OR...
version <value>;
}
}
}
delete {
config {
saved <value>;
OR...
repo {
device <value>;
file <value>;
OR...
running-config;
}
}
OR...
software {
image <value>;
OR...
version <value>;
}
}
clear {
84 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令
job {
id 0-4294967295;
}
OR...
log {
config;
OR...
system;
}
OR...
counter {
device;
}
}
show {
arp management|ethernet1/1|ethernet1/2|all;
OR...
neighbor management|ethernet1/1|ethernet1/2|all;
OR...
web-server {
log-level;
}
OR...
config {
diff;
OR...
running {
xpath <value>;
}
OR...
candidate;
}
OR...
interface management|ethernet1/1;
OR...
management-clients;
OR...
counter {
management-server;
OR...
interface management|ethernet1/1;
OR...
device;
}
OR...
ntp;
OR...
clock;
OR...
wildfire {
sample-status {
WildFire 管理員指南 85
操作模式命令 WildFire 設備軟體 CLI 參考
sha256 {
equal <value>;
}
}
OR...
status;
OR...
statistics;
OR...
latest {
analysis {
filter malicious|benign;
sort-by SHA256|Submit Time|Start Time|Finish Time|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
sessions {
filter malicious|benign;
sort-by SHA256|Create Time|Src IP|Src Port|Dst Ip|Dst Port|File|Device
ID|App|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
samples {
filter malicious|benign;
sort-by SHA256|Create Time|File Name|File Type|File Size|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
uploads {
sort-by SHA256|Create Time|Finish Time|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
}
OR...
last-device-registration {
all;
}
}
OR...
cli {
info;
OR...
86 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令
idle-timeout;
OR...
hide-ip;
OR...
hide-user;
OR...
permissions;
}
OR...
jobs {
all;
OR...
pending;
OR...
processed;
OR...
id 1-4294967296;
}
OR...
location {
ip <ip/netmask>;
}
OR...
system {
software {
status;
}
OR...
masterkey-properties;
OR...
info;
OR...
resources {
follow;
}
OR...
raid {
detail;
}
OR...
disk-space;
OR...
disk-partition;
OR...
files;
OR...
state {
filter <value>;
OR...
filter-pretty <value>;
OR...
browser;
WildFire 管理員指南 87
操作模式命令 WildFire 設備軟體 CLI 參考
}
OR...
environmentals {
fans;
OR...
thermal;
OR...
power;
}
OR...
setting {
multi-vsys;
}
}
OR...
high-availability {
all;
OR...
state;
OR...
control-link {
statistics;
}
OR...
transitions;
OR...
path-monitoring;
OR...
local-state;
}
OR...
log {
config {
direction {
equal forward|backward;
}
csv-output {
equal yes|no;
}
query {
equal <value>;
}
receive_time {
in
last-60-seconds|last-15-minutes|last-hour|last-6-hrs|last-12-hrs|last-24-hrs|last-cale
ndar-day|last-7-days|last-30-days|last-calendar-month;
}
start-time {
equal <value>;
}
end-time {
equal <value>;
88 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令
}
serial {
equal <value>;
OR...
not-equal <value>;
}
client {
equal web|cli;
OR...
not-equal web|cli;
}
cmd {
equal
add|clone|commit|create|delete|edit|get|load-from-disk|move|rename|save-to-disk|set;
OR...
not-equal
add|clone|commit|create|delete|edit|get|load-from-disk|move|rename|save-to-disk|set;
}
result {
equal succeeded|failed|unauthorized;
OR...
not-equal succeeded|failed|unauthorized;
}
}
OR...
system {
direction {
equal forward|backward;
}
csv-output {
equal yes|no;
}
query {
equal <value>;
}
receive_time {
in
last-60-seconds|last-15-minutes|last-hour|last-6-hrs|last-12-hrs|last-24-hrs|last-cale
ndar-day|last-7-days|last-30-days|last-calendar-month;
}
start-time {
equal <value>;
}
end-time {
equal <value>;
}
serial {
equal <value>;
OR...
not-equal <value>;
}
opaque {
contains <value>;
WildFire 管理員指南 89
操作模式命令 WildFire 設備軟體 CLI 參考
}
severity {
equal critical|high|medium|low|informational;
OR...
not-equal critical|high|medium|low|informational;
OR...
greater-than-or-equal critical|high|medium|low|informational;
OR...
less-than-or-equal critical|high|medium|low|informational;
}
subtype {
equal <value>;
OR...
not-equal <value>;
}
object {
equal <value>;
OR...
not-equal <value>;
}
eventid {
equal <value>;
OR...
not-equal <value>;
}
id {
equal <value>;
OR...
not-equal <value>;
}
}
}
}
debug {
web-server {
reset-cache;
OR...
log-level {
info;
OR...
warn;
OR...
crit;
OR...
debug;
}
}
OR...
delete {
sample {
sha256 {
90 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令
equal <value>;
}
}
}
OR...
swm {
list;
OR...
log;
OR...
history;
OR...
status;
OR...
unlock;
OR...
revert;
}
OR...
tac-login {
permanently-disable;
OR...
challenge;
OR...
response;
}
OR...
software {
restart {
management-server;
OR...
web-server;
OR...
ntp;
}
OR...
core {
management-server;
OR...
web-server;
}
OR...
trace {
management-server;
OR...
web-server;
}
}
OR...
cli on|off|detail|show;
OR...
system {
WildFire 管理員指南 91
操作模式命令 WildFire 設備軟體 CLI 參考
maintenance-mode;
OR...
disk-sync;
OR...
ssh-key-reset {
management;
OR...
all;
}
}
OR...
device {
set queue|all;
OR...
unset queue|all;
OR...
on error|warning|info|debug|dump;
OR...
off;
OR...
show;
OR...
clear;
OR...
dump {
queues;
OR...
queue-stats;
OR...
queue <value>;
}
OR...
flush {
queue <value>;
}
OR...
set-watermark {
queue <value>;
type high|low;
value 0-4000;
}
}
OR...
vardata-receiver {
set {
third-party libcurl|all;
OR...
all;
}
OR...
unset {
third-party libcurl|all;
92 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令
OR...
all;
}
OR...
on normal|debug|dump;
OR...
off;
OR...
show;
OR...
statistics;
}
OR...
wildfire {
reset {
forwarding;
}
}
OR...
management-server {
client {
disable authd|useridd|ha_agent;
OR...
enable authd|useridd|ha_agent;
}
OR...
conn;
OR...
on error|warn|info|debug|dump;
OR...
off;
OR...
clear;
OR...
show;
OR...
set {
all;
OR...
comm basic|detail|all;
OR...
panorama basic|detail|all;
OR...
proxy basic|detail|all;
OR...
server basic|detail|all;
}
OR...
unset {
all;
OR...
comm basic|detail|all;
WildFire 管理員指南 93
操作模式命令 WildFire 設備軟體 CLI 參考
OR...
panorama basic|detail|all;
OR...
proxy basic|detail|all;
OR...
server basic|detail|all;
}
}
}
upload {
generic_chunks {
todir <value>;
tofile <value>;
offset 0-419430600;
endoffile yes|no;
content <value>;
}
OR...
generic {
name <value>;
path <value>;
content <value>;
todir <value>;
tofile <value>;
}
OR...
config {
name <value>;
path <value>;
content <value>;
}
OR...
software {
name <value>;
path <value>;
content <value>;
}
OR...
license {
name <value>;
path <value>;
content <value>;
}
OR...
certificate {
name <value>;
passphrase <value>;
path <value>;
content <value>;
certificate-name <value>;
format pkcs12|pem;
94 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令
}
OR...
private-key {
name <value>;
passphrase <value>;
path <value>;
content <value>;
certificate-name <value>;
format pkcs12|pem;
}
OR...
keypair {
name <value>;
passphrase <value>;
path <value>;
content <value>;
certificate-name <value>;
format pkcs12|pem;
}
OR...
ssl-optout-text {
name <value>;
path <value>;
content <value>;
}
OR...
ssl-cert-status-page {
name <value>;
path <value>;
content <value>;
}
OR...
logo {
name <value>;
path <value>;
content <value>;
}
OR...
custom-logo {
login-screen {
name <value>;
path <value>;
}
OR...
main-ui {
name <value>;
path <value>;
}
OR...
pdf-report-header {
name <value>;
path <value>;
WildFire 管理員指南 95
操作模式命令 WildFire 設備軟體 CLI 參考
}
OR...
pdf-report-footer {
name <value>;
path <value>;
}
}
}
download {
certificate {
certificate-name <value>;
include-key yes|no;
format pem|pkcs12;
passphrase <value>;
}
OR...
csv;
OR...
techsupport;
OR...
statsdump;
OR...
generic {
file <value>;
}
}
scp {
import {
configuration {
from <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
license {
from <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
software {
from <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
}
OR...
export {
mgmt-pcap {
from <value>;
96 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
configuration {
from <value>;
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
tech-support {
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
}
}
tftp {
import {
configuration {
from <value>;
file <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
certificate {
from <value>;
file <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
certificate-name <value>;
passphrase <value>;
format pkcs12|pem;
}
OR...
private-key {
from <value>;
file <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
passphrase <value>;
certificate-name <value>;
format pkcs12|pem;
}
OR...
keypair {
from <value>;
file <value>;
WildFire 管理員指南 97
操作模式命令 WildFire 設備軟體 CLI 參考
remote-port 1-65535;
source-ip <ip/netmask>;
passphrase <value>;
certificate-name <value>;
format pkcs12|pem;
}
OR...
license {
from <value>;
file <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
software {
from <value>;
file <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
}
OR...
export {
config-bundle {
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
core-file {
control-plane {
from <value>;
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
}
OR...
device-state {
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
mgmt-pcap {
from <value>;
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
configuration {
98 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令
from <value>;
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
tech-support {
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
log-file {
management-plane {
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
}
}
}
load {
config {
key <value>;
last-saved;
OR...
from <value>;
OR...
version <value>1-1048576;
OR...
partial {
from <value>;
from-xpath <value>;
to-xpath <value>;
mode merge|replace|append;
}
}
OR...
device-state;
}
less {
mp-log <value>;
OR...
mp-backtrace <value>;
}
grep {
invert-match yes|no;
line-number yes|no;
ignore-case yes|no;
WildFire 管理員指南 99
操作模式命令 WildFire 設備軟體 CLI 參考
no-filename yes|no;
count yes|no;
max-count 1-65535;
context 1-65535;
before-context 1-65535;
after-context 1-65535;
pattern <value>;
mp-log <value>;
OR...
dp-log <value>;
}
tail {
follow yes|no;
lines 1-65535;
mp-log <value>;
}
ssh {
inet yes|no;
port 0-65535;
source <value>;
v1 yes|no;
v2 yes|no;
host <value>;
}
telnet {
8bit yes|no;
port 0-65535;
host <value>;
}
traceroute {
ipv4 yes|no;
first-ttl 1-255;
max-ttl 1-255;
port 1-65535;
tos 1-255;
wait 1-99999;
pause 1-2000000000;
do-not-fragment yes|no;
debug-socket yes|no;
gateway <ip/netmask>;
no-resolve yes|no;
bypass-routing yes|no;
source <value>;
host <value>;
}
netstat {
route yes|no;
interfaces yes|no;
groups yes|no;
statistics yes|no;
verbose yes|no;
numeric yes|no;
numeric-hosts yes|no;
numeric-ports yes|no;
numeric-users yes|no;
symbolic yes|no;
extend yes|no;
programs yes|no;
continuous yes|no;
listening yes|no;
all yes|no;
timers yes|no;
fib yes|no;
cache yes|no;
}
ping {
bypass-routing yes|no;
count 1-2000000000;
do-not-fragment yes|no;
interval 1-2000000000;
source <value>;
no-resolve yes|no;
pattern <value>;
size 0-65468;
tos 1-255;
ttl 1-255;
verbose yes|no;
host <value>;
}
說明
階層位置
操作模式的最上層。
語法
test {
wildfire {
registration;
}
}
選項
無額外的選項。
範例輸出
需要權限層級
超級使用者、超級讀取者
說明
入口網站管理帳戶是唯一可從日誌中檢視報告的帳戶;密碼可以變更,但帳戶名稱無
法變更,且無法建立其他的帳戶。
階層位置
操作模式的最上層。
語法
set {
wildfire {
portal-admin {
password <value>;
}
}
選項
無額外的選項。
範例輸出
以下為此命令的輸出。
admin@wf-corp1> set wildfire portal-admin password
Enter password :
Confirm password :
需要權限層級
超級使用者、超級讀取者
raid
說明
階層位置
request system
語法
raid {
remove <value>;
OR...
copy {
from <value>;
to <value>;
}
OR...
add {
選項
> add Add a drive into the corresponding RAID Disk Pair
> copy Copy and migrate from one drive to other drive in the bay
> remove drive to remove from RAID Disk Pair
範例輸出
需要權限層級
超級使用者、超級讀取者
show wildfire
說明
顯示 WildFire 設備登錄資訊、活動、已分析的最近樣本,以及虛擬機器資訊。
階層位置
show wildfire
語法
sample-status {
sha256 {
equal <value>;
}
}
OR...
status;
OR...
statistics;
OR...
latest {
analysis {
filter malicious|benign;
sort-by SHA256|Submit Time|Start Time|Finish Time|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
sessions {
filter malicious|benign;
sort-by SHA256|Create Time|Src IP|Src Port|Dst Ip|Dst Port|File|Device
ID|App|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
samples {
filter malicious|benign;
sort-by SHA256|Create Time|File Name|File Type|File Size|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
uploads {
sort-by SHA256|Create Time|Finish Time|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
last-device-registration {
all;
}
}
選項
範例輸出
以下為此命令的輸出。
admin@wf-corp1> show wildfire last-device-registration all
+--------------+---------------------+-------------+------------+----------+--
--
----+
| Device ID | Last Registered | Device IP | SW Version | HW Model | Sta
tus |
+--------------+---------------------+-------------+------------+----------+--
--
----+
| 001606000114 | 2013-03-12 08:34:09 | 192.168.2.1 | 5.0.2 | PA-200 | OK
|
+--------------+---------------------+-------------+------------+----------+--
--
Sample information:
+---------------------+-------------------+-----------+-----------+-----------+-------
------------+
| Create Time | File Name | File Type | File Size | Malicious | Status
|
+---------------------+-------------------+-----------+-----------+-----------+-------
------------+
| 2013-03-07 10:22:00 | 5138e1fa13a66.exe | PE | 261420 | No | analysis
complete |
| 2013-03-07 10:22:00 | 5138e1fa13a66.exe | PE | 261420 | No | analysis
complete |
+---------------------+-------------------+-----------+-----------+-----------+-------
------------+
Session information:
+---------------------+----------------+----------+--------------+----------+---------
----------+--------------+--------------+-----------+-----------+
| Create Time | Src IP | Src Port | Dst IP | Dst Port | File
| Device ID | App | Malicious | Status |
+---------------------+----------------+----------+--------------+----------+---------
----------+--------------+--------------+-----------+-----------+
| 2013-03-07 10:22:42 | 46.165.211.184 | 80 | 192.168.2.10 | 53620 |
5138e223a1069.exe | 001606000114 | web-browsing | No | completed |
| 2013-03-07 10:22:02 | 46.165.211.184 | 80 | 192.168.2.10 | 53618 |
5138e1fb3e5fb.exe | 001606000114 | web-browsing | No | completed |
| 2013-03-07 10:22:00 | 46.165.211.184 | 80 | 192.168.2.10 | 53617 |
5138e1fa13a66.exe | 001606000114 | web-browsing | No | completed |
+---------------------+----------------+----------+--------------+----------+---------
----------+--------------+--------------+-----------+-----------+
Analysis information:
+---------------------+---------------------+---------------------+-----------+-------
----+
| Submit Time | Start Time | Finish Time | Malicious | Status
|
+---------------------+---------------------+---------------------+-----------+-------
----+
| 2013-03-07 10:22:01 | 2013-03-07 10:22:01 | 2013-03-07 10:27:02 | No |
completed |
+---------------------+---------------------+---------------------+-----------+-------
----+
Samples (error) : 0
Malware sent to cloud : 0
Connection info:
Wildfire cloud: wildfire-public-cloud
Status: Idle
Auto-Submit: disabled
VM internet connection: disabled
Best server:
Device registered: no
Service route IP address: 192.168.2.20
Signature verification: enable
Server selection: enable
Through a proxy: no
需要權限層級
超級使用者、超級讀取者
說明
階層位置
show system
語法
raid{
detail;
選項
無額外的選項。
範例輸出
Disk id B2 Present
model : ST91000640NS
size : 953869 MB
partition_1 : active sync
partition_2 : active sync
需要權限層級
超級使用者、超級讀取者