Professional Documents
Culture Documents
WildFire_AdminGuide_61-Chinese_Traditional
WildFire_AdminGuide_61-Chinese_Traditional
WildFire 管理者指南
版本 6.1
聯絡資訊
企業總部:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
關於本指南
如需其他功能資訊,以及在防火牆上設定功能的指示,請參閱
https://www.paloaltonetworks.com/documentation。
如需存取知識庫、完整說明文件集、討論區和視訊的詳細資訊,請參閱
https://live.paloaltonetworks.com。
如需聯絡支援人員、取得支援計畫資訊,或管理您的帳號或設備的詳細資訊,請參閱
https://support.paloaltonetworks.com。
如需最新的版本資訊,請前往軟體下載網頁,網址為
https://support.paloaltonetworks.com/Updates/SoftwareUpdates。
若要提供文件的回饋,請以下列方式寄給我們:documentation@paloaltonetworks.com。
ii
目錄
WildFire 概要介紹. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
關於 WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
WildFire 概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
檔案 / 電子郵件連結轉送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
支援的檔案類型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
WildFire 虛擬沙箱. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
WildFire 特徵碼 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
WildFire 電子郵件連結分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
WildFire 警示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
WildFire 日誌記錄與報告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
惡意軟體測試樣本 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
WildFire 部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
WildFire 使用授權需求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
讓特徵碼保持最新狀態的最佳作法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
參考:依平台的防火牆檔案轉送容量. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
WF-500 設備檔案分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
關於 WF-500 設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
設定 WF-500 設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
設定 WF-500 設備的先決條件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
將 WF-500 設備整合於網路 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
驗證 WF-500 設備設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
在 WF-500 設備上設定虛擬電腦介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
虛擬電腦介面概要介紹. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
在 WF-500 設備上設定虛擬電腦介面. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
設定防火牆控制 WF-500 虛擬電腦介面的流量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
在 WF-500 設備上管理內容更新. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
直接從更新伺服器安裝內容更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
從啟用 SCP 的伺服器安裝內容更新. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
將檔案轉送至 WF-500 設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
設定防火牆將樣本轉送至 WF-500 設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
驗證轉送至 WF-500 設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
在 WF-500 設備上產生特徵碼 / URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
允許在 WF-500 設備上產生特徵碼 / URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
設定防火牆從 WF-500 設備擷取更新. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
更新 WF-500 設備並啟用 Windows 7 64 位元支援. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
WildFire 報告. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
WildFire 日誌 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
在 WildFire 日誌中啟用電子郵件標頭資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
使用 WildFire 入口網站監控提交 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
自訂 WildFire 入口網站設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
新增 WildFire 入口網站使用者帳戶 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
檢視 WildFire 報告. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
WildFire 報告內容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
設定對於偵測到的惡意軟體所發出的警示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
WildFire 的運作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
WildFire API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
關於 WildFire 使用授權及 API 金鑰. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
使用 WildFire API. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
WildFire API 檔案提交方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
使用提交檔案方法將檔案提交到 WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
使用提交 URL 方法將檔案提交至 WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
查詢 WildFire PDF 或 XML 報告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
使用 API 擷取樣本惡意軟體測試檔案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
使用 API 擷取樣本檔案或 PCAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
在 WF-500 設備上使用 WildFire API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
在 WildFire 設備上產生 API 金鑰 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
在 WildFire 設備上管理 API 金鑰 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
在 WildFire 設備上使用 WildFire API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
iv WildFire 管理者指南
存取 CLI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
建立直接主控台連線 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
建立 SSH 連線. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
使用 CLI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
存取操作與設定模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
顯示 WildFire 設備軟體 CLI 命令選項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
限制命令輸出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
為設定命令設定輸出格式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
設定模式命令參考 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
set deviceconfig setting wildfire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
set deviceconfig system update-schedule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
set deviceconfig system vm-interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
操作模式命令參考 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
create wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
delete wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
delete wildfire-metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
edit wildfire api-key. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
load wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
request system raid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
request system wildfire-vm-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
request wf-content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
save wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
set wildfire portal-admin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
show system raid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
show wildfire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
測試 wildfire 登錄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
WildFire 管理者指南 v
vi WildFire 管理者指南
WildFire 概要介紹
WildFire 使用惡意軟體沙箱、特徵碼型偵測和封鎖惡意軟體的組合,偵測和防範零時差惡意軟體。
WildFire 擴展 Palo Alto Networks 新一代防火牆的功能,可識別並封鎖已鎖定及未知的惡意軟體。
下列主題說明 WildFire 及如何將它整合至您的環境:
關於 WildFire
WildFire 概念
WildFire 部署
WildFire 使用授權需求
讓特徵碼保持最新狀態的最佳作法
參考:依平台的防火牆檔案轉送容量
WildFire 管理者指南 1
關於 WildFire WildFire 概要介紹
關於 WildFire
現今的惡意軟體主導目前最複雜的網路攻擊,而且愈來愈能夠規避傳統的安全性解決方案。Palo
Alto Networks 開發出整合式方法,因應整個惡意軟體生命週期,其中包括避免感染、識別零時差
惡意軟體(未發現的惡意軟體)或指向性惡意軟體(鎖定特定產業或企業的惡意軟體),以及突
顯和破壞進行中感染。
Palo Alto Networks WildFire 引擎透過 WildFire 系統內的虛擬環境中進行的直接監測,讓零時差和指向
性惡意軟體無所遁形。WildFire 功能特別採用 Palo Alto Networks App-ID 技術,不僅監控電子郵件附
件或瀏覽器的檔案下載,而且能夠識別應用程式內的檔案傳輸。
如需 Palo Alto Networks WildFire 隱私權政策的相關資訊,請參閱
https://live.paloaltonetworks.com/docs/DOC-2880 。
圖:高階 WildFire 決策工作流程說明基本 WildFire 工作流程,圖:詳細的 WildFire 決策流程說明整個
WildFire 生命週期,這段時間從使用者下載惡意檔案到 WildFire 產生特徵碼,以供 Palo Alto Networks
防火牆用來防範日後暴露於惡意軟體。
2 WildFire 管理員指南
WildFire 概要介紹 關於 WildFire
WildFire 管理者指南 3
關於 WildFire WildFire 概要介紹
4 WildFire 管理員指南
WildFire 概要介紹 WildFire 概念
WildFire 概念
檔案 / 電子郵件連結轉送
支援的檔案類型
WildFire 虛擬沙箱
WildFire 特徵碼
WildFire 電子郵件連結分析
WildFire 警示
WildFire 日誌記錄與報告
惡意軟體測試樣本
檔案 / 電子郵件連結轉送
支援的檔案類型
WildFire 可分析下列檔案類型:
PDF — 可攜式文件格式。
WildFire 管理者指南 5
WildFire 概念 WildFire 概要介紹
PE — 可攜式執行檔,包括執行檔、物件碼、DLL、FON(字型)及其他內容。
WildFire 虛擬沙箱
WildFire 會在虛擬環境中執行可疑的檔案,並觀察惡意活動的徵兆,例如會變更瀏覽器安全性設
定、將程式碼插入其他程序、修改 Windows 系統資料夾的檔案,或修改樣本嘗試存取的網域。
WildFire 引擎完成分析時,會產生詳細的取證報告,摘要說明觀察到的行為,並指派惡意軟體或良
性的裁定。同樣地,WildFire 將擷取 SMTP 和 POP3 電子郵件訊息中的 HTTP/HTTPS,並造訪連結
來判斷對應的網頁是否主導任何人侵行為。若 WildFire 偵測到惡意行為,它將產生報告並提交 URL
至 PAN-DB,並將 URL 分類為惡意軟體。請注意,WildFire 不會為良性電子郵件連結產生日誌。
WildFire 針對下列作業系統環境提供沙箱支援:
Microsoft Windows XP 32 位元
Microsoft Windows 7 32 位元
Microsoft Windows 7 64 位元
WildFire 特徵碼
6 WildFire 管理員指南
WildFire 概要介紹 WildFire 概念
WildFire 電子郵件連結分析
檢視檔案轉送計數器下的檔案類型:email-link 計數器區段。
當電子郵件轉送時,下列計數器將增加:
– FWD_CNT_APPENDED_BATCH — 表示等候上載至 WildFire 的批次所新增的電子郵件連
結數量。
– FWD_CNT_LOCAL_FILE — 表示上載至 WildFire 的電子郵件連結總數。
若要確保您獲得此功能的完整優點,請在將轉送樣本至 WildFire 的防火牆上確認下列內容。
已安裝有效的 WildFire 使用授權。
WildFire 內容更新已設定為頻繁下載並安裝(最少每 15 分鐘)。
PAN-DB 是使用中的 URL 過濾廠商。
WildFire 警示
WildFire 管理者指南 7
WildFire 概念 WildFire 概要介紹
WildFire 日誌記錄與報告
8 WildFire 管理員指南
WildFire 概要介紹 WildFire 概念
惡意軟體測試樣本
該檔案的裁定必為惡意。
WildFire 管理者指南 9
WildFire 部署 WildFire 概要介紹
WildFire 部署
Palo Alto Networks 新一代的防火牆支援下列 WildFire 部署:
WildFire 設備能夠啟用惡意軟體的本機沙箱,以免良性的檔案無法傳出客戶網路。依照預設,
WildFire 設備不會篹改任何檔案至 WildFire Cloud,但您可以設定設備上的雲端智慧選項以轉送
惡意樣本或惡意樣本的報告至 Palo Alto Networks。若您不希望設備傳送惡意軟體至 Palo Alto
Networks,建議您至少將設備設定為傳送惡意軟體報告。報告可協助 Palo Alto Networks 收集惡
意軟體的統計資訊以進一步了解惡意軟體的普遍程度,並洞悉惡意軟體傳播。
10 WildFire 管理員指南
WildFire 概要介紹 WildFire 使用授權需求
WildFire 使用授權需求
WildFire 使用惡意軟體沙箱以及惡意軟體的特徵碼型偵測和封鎖兩者的組合,偵測和防範零時差
惡意軟體。不需要使用授權,即可使用 WildFire 將檔案從 Palo Alto Networks 防火牆傳送到 WildFire
Cloud 進行沙箱作業。
為讓防火牆執行偵測並封鎖 WildFire 發現的已知惡意軟體,防火牆需要威脅防範和 / 或 WildFire 使
用授權。威脅防範使用授權能夠使防火牆接收每日防毒特徵碼更新,涵蓋 WildFire 在全球發現的
所有惡意軟體樣本。威脅防範使用授權也提供每週內容更新,其中包括新的弱點防護和反間諜軟
體特徵碼。
若要讓 WF-500 設備進行本機分析,您僅需安裝一個支援授權。這將讓設備與 Palo Alto Networks 更
新伺服器通訊以下載作業系統影像檔及每日內容更新。這些內容更新支援在本機 WF-500 設備上產
生特徵碼的能力,且會為設備配備最新的威脅資訊,以精確偵測惡意軟體並提升設備區分惡意及
良性軟體的能力。
若要享有 WildFire 服務的完整權益,各個防火牆必須具備 WildFire 使用授權,此授權提供下列:
WildFire 管理者指南 11
讓特徵碼保持最新狀態的最佳作法 WildFire 概要介紹
讓特徵碼保持最新狀態的最佳作法
本節說明利用最新防護,將威脅防範和 WildFire 使用授權維持為最新狀態的最佳作法。為了簡化
工作流程,請使用 Panorama 透過 Panorama 範本將動態更新排程推送到受管理的防火牆。這可確保
所有防火牆相互一致,並簡化更新排程的管理。
這些方針提供兩個排程選項:最低限度的建議排程和更積極的排程。選擇更積極的做法將使得設備
更頻繁執行下載 / 安裝,其中某些更新可能相當大(超過 100MB 的防毒更新)。另外,在罕見的情
況下,特徵碼更新可能會發生錯誤。因此,請考慮數小時後再安裝新的更新。使用閾值(小時)欄
位,指定執行內容更新前須等候的發行後時間長度。
防毒 — Palo Alto Networks 每天都會發行新的防毒內容更新。若要取得最新內容,請將這些更新
排定在每天最低限度的時間間隔。若要更積極的排程,請排定每小時更新。
應用程式及威脅 — Palo Alto Networks 每週都會發行新的 App-ID、弱點防護和反間諜軟體特徵碼
內容更新(通常在星期二)。若要收到最新內容,請將這些更新排定在每週最低限度的時間
間隔。若要更積極的排程,請確保防火牆在最新的內容發行後立即收到這些內容(包括不定
期的排程外緊急內容發行),並將防火牆排程為每天下載 / 安裝。
WildFire — 新的 WildFire 防毒特徵碼每 15 分鐘發行。端視 WildFire 在發行週期內何時發現新的
惡意軟體而定,WildFire 發現後,將在 15 到 30 分鐘內提供 WildFire 特徵碼。若要取得最新的
WildFire 特徵碼,請將這些更新排定在每小時或每半小時執行。若要更積極的排程,可將防火
牆設定為每 15 分鐘檢查更新。
WF-Private — 若已在 WF-500 上特定特徵碼 / URL 產生(PAN-DB 的防毒特徵碼、DNS 特徵碼
及 URL 項目),您可將防毒軟體設定為使用 WF-Private 動態更新來下載 / 安裝更新。在設備接
收惡意樣本後,通常會在 5 分鐘內產生特徵碼。將防火牆設定為接收更新時,設定排程以每
小時或每半小時下載及安裝。若要更積極的排程(建議),可將防火牆設定為每 15 分鐘檢查
下載及安裝更新。若您將防火牆設定為接收 WF-Private 更新,強烈建議防火牆也從 Palo Alto
Networks 下載內容更新(防毒、應用程式 / 威脅和 WildFire)以確保防火牆具備最新防護。這
十分重要,因為當 WF-Private 更新的本機儲存在設備上已滿時,新的特徵碼 / URL 分類將覆
寫現有的內容,從最舊的開始。如需本機特徵碼產生的詳細資訊,請參閱在 WF-500 設備上產
生特徵碼 / URL。
12 WildFire 管理員指南
WildFire 概要介紹 參考:依平台的防火牆檔案轉送容量
參考:依平台的防火牆檔案轉送容量
本節說明各個 Palo Alto Network 防火牆平台可提交檔案至 WildFire Cloud 或 WF-500 設備已進行分析
的每分鐘速率上限。如果到達每分鐘限制,防火牆便會將樣本排入佇列。
下表的保留磁碟空間欄列出針對佇列檔案保留的防火牆磁碟空間。如果達到限制,防火牆將取消
轉送新檔案至 WildFire,直到佇列中有更多空間時。
平台 每分鐘檔案數上限 保留磁碟空間
VM-100 5 100MB
VM-200 10 200MB
VM-300 20 200MB
PA-200 5 100MB
PA-500 10 200MB
PA-2000 系列 20 200MB
PA-3020 50 200MB
PA-3050 50 500MB
PA-3060 50 500MB
PA-4020 20 200MB
PA-4050/4060 50 500MB
PA-5020/5050 50 500MB
WildFire 管理者指南 13
參考:依平台的防火牆檔案轉送容量 WildFire 概要介紹
14 WildFire 管理員指南
WF-500 設備檔案分析
本主題說明 WF-500 設備,以及如何設定和管理設備準備接收檔案進行分析。此外,本主題說明將
Palo Alto Networks 防火牆設定為轉送檔案至 WildFire 設備以進行檔案分析的步驟,也說明如何將設備
設定為產生本機特徵碼,讓您無須傳送樣本至 WildFire Cloud。您也可以使用 WildFire API 從 WF-500
設備提交及擷取內容。
關於 WF-500 設備
設定 WF-500 設備
在 WF-500 設備上設定虛擬電腦介面
在 WF-500 設備上管理內容更新
將檔案轉送至 WF-500 設備
在 WF-500 設備上產生特徵碼 / URL
設定防火牆從 WF-500 設備擷取更新
更新 WF-500 設備並啟用 Windows 7 64 位元支援
WildFire 管理者指南 15
關於 WF-500 設備 WF-500 設備檔案分析
關於 WF-500 設備
WF-500 設備提供內部部署的 WildFire 私人雲端,能夠讓您在沙箱環境中分析可疑的檔案,完全不
需要讓防火牆將檔案傳送到網路之外。若要使用 WF-500 設備取代 WildFire 雲端,請在防火牆設定
WildFire 伺服器設定以指向 WF-500 設備,而非指向 WildFire 公共雲端伺服器。WF-500 設備會在本
機進行所有檔案的沙箱作業,並使用 WildFire 雲端系統所用的同一個引擎分析檔案是否有惡意行
為。在幾分鐘內,設備會以「WildFire 提交」日誌將分析結果傳回防火牆。
依預設,WF-500 設備不會將任何檔案傳送到 Palo Alto Networks WildFire Cloud 以產生特徵碼。不過,
您可以將設備設定為在本機上產生特徵碼,連線的防火牆即可直接從設備擷取更新。如需設定本
機特徵碼產生的相關資訊及瞭解設備可提供的內容更新類型,請參閱在 WF-500 設備上產生特徵碼 /
URL。
WF-500 設備有自動提交功能,只會將確認的惡意軟體傳送到公共雲端進行特徵碼產生。您也可以
將此功能(雲端智慧)設定為只傳送惡意軟體報告,這可協助 Palo Alto Networks 收集惡意軟體的
統計資料。建議您將設備設定為傳送惡意軟體樣本至 WildFire Cloud,以產生特徵碼並提供給所有
客戶。若您不想自動傳送所有偵測到的惡意軟體至 WildFire Cloud,您可手動從 WildFire 分析報告
頁籤下載惡意軟體,並手動上載至 WildFire 入口網站。
您可以設定高達 100 個 Palo Alto Networks 防火牆轉送至單一 WildFire 設備。防火牆必須具備有效的
WildFire 使用授權,才能將檔案轉送到 WildFire 設備。
WildFire 設備有兩個介面:
16 WildFire 管理員指南
WF-500 設備檔案分析 設定 WF-500 設備
設定 WF-500 設備
下列主題說明如何將 WildFire 設備整合至網路:
設定 WF-500 設備的先決條件
將 WF-500 設備整合於網路
驗證 WF-500 設備設定
設定 WF-500 設備的先決條件
將 WF-500 設備整合於網路
WildFire 管理者指南 17
設定 WF-500 設備 WF-500 設備檔案分析
將 WF-500 設備整合於網路(續)
18 WildFire 管理員指南
WF-500 設備檔案分析 設定 WF-500 設備
將 WF-500 設備整合於網路(續)
WildFire 管理者指南 19
設定 WF-500 設備 WF-500 設備檔案分析
將 WF-500 設備整合於網路(續)
20 WildFire 管理員指南
WF-500 設備檔案分析 設定 WF-500 設備
將 WF-500 設備整合於網路(續)
步驟 12 選擇設備將用於分析檔案的虛擬電腦 若要檢視可用虛擬電腦清單,以判定最能代表您環境的虛擬
影像檔。影像檔應以最能代表使用者 電腦:
電腦所安裝軟體的屬性為基礎。每個 admin@WF-500> show wildfire vm-images
虛擬影像皆包含不同版本的作業系統
請執行下列命令檢視目前的虛擬電腦影像,並參閱選取的
與軟體,例如 Windows XP、Windows 7
VM 欄位:
32 位元或 64 位元、特定版本的 Adobe
admin@WF-500> show wildfire status
Reader 及 Flash。雖然您將設備設定
為使用一個虛擬電腦影像檔設定,但 選取設備將用於分析檔案的影像:
設備會使用影像檔的多個執行個體以 admin@WF-500# set deviceconfig setting wildfire
active-vm <vm-image-number>
提升效能。
例如,若要使用 vm-1:
admin@WF-500# set deviceconfig setting wildfire
active-vm vm-1
後續動作:
• 驗證 WF-500 設備設定
• 將檔案轉送至 WF-500 設備
• 更新 WF-500 設備並啟用 Windows 7 64 位元支援
• 在 WF-500 設備上設定虛擬電腦介面
WildFire 管理者指南 21
設定 WF-500 設備 WF-500 設備檔案分析
驗證 WF-500 設備設定
驗證 WF-500 設備設定
22 WildFire 管理員指南
WF-500 設備檔案分析 設定 WF-500 設備
驗證 WF-500 設備設定(續)
3. (選用)檢視其他詳細統計資料:
admin@WF-500> show wildfire latest [analysis
|samples | sessions | uploads]
例如,若要顯示最近分析結果的詳細資訊,請輸入:
admin@WF-500> show wildfire latest analysis
WildFire 管理者指南 23
設定 WF-500 設備 WF-500 設備檔案分析
驗證 WF-500 設備設定(續)
步驟 3 確認設定為轉送檔案至設備的防火牆 1. 顯示已將向設備註冊的防火牆清單:
已經向 WildFire 設備成功註冊。 admin@WF-500> show wildfire
last-device-registration all
對於已向設備註冊的防火牆,輸出將包括下列資訊:防
火牆序號、註冊日期、IP 位址、軟體版本、硬體機型和
狀態。如果未列出任何防火牆,防火牆與設備之間可能
有網路連線問題。檢查網路,確認防火牆與 WildFire 設
備能夠通訊。
對於閘道位址或設定為轉送檔案到設備的防火牆之一,
您可從設備使用 ping 測試。例如,如果防火牆的 IP 位址
是 10.0.5.254,從設備執行下列 CLI 命令時您將看到回覆:
admin@WF-500> ping host 10.0.5.254
若要針對正轉送至設備的防火牆驗證其 WildFire 設定,請
參閱驗證轉送至 WF-500 設備。
24 WildFire 管理員指南
WF-500 設備檔案分析 在 WF-500 設備上設定虛擬電腦介面
在 WF-500 設備上設定虛擬電腦介面
虛擬電腦介面 (vm-interface) 可讓您從 WF-500 設備中的沙箱虛擬電腦連線至外部網路,以便觀察惡
意行為,其中分析的檔案會尋找網路存取。下列各節說明虛擬電腦介面及設定此介面所需的步
驟。您可以選擇性地透過虛擬電腦介面啟用 Tor 功能,如有任何源自 WF-500 設備,且經虛擬電腦
介面傳送而來的惡意流量,此功能將予以遮罩,使得惡意網站即便收到該流量,亦無法偵測您的
公開 IP 位址。
此節也說明將虛擬電腦介面連接到 Palo Alto Networks 防火牆專用連接埠以啟用網際網路連線所需
的步驟。
虛擬電腦介面概要介紹
在 WF-500 設備上設定虛擬電腦介面
設定防火牆控制 WF-500 虛擬電腦介面的流量
虛擬電腦介面概要介紹
雖然建議您啟用虛擬電腦介面,不過請勿將介面連接到允許存取任何伺服器 / 主機的網路,因為
WildFire 虛擬電腦中執行的惡意軟體可能使用此介面自行傳播。
此連線可以是專用的 DSL 線路,也可以是僅允許虛擬電腦介面直接存取網際網路並限制內部伺
服器 / 用戶端主機進行任何存取的網路連線。
WildFire 管理者指南 25
在 WF-500 設備上設定虛擬電腦介面 WF-500 設備檔案分析
下圖顯示將虛擬電腦介面連接到網路的兩個選項。
虛擬電腦介面範例
網際網路
選項 2
虛擬電腦介面 Ethernet 不信任區域
連接埠 1 與公用 IP 位址
直接連接到網際網路,而 公司防火牆
且是 與所有內部並且將 WildFire 區域 信任區域
惡意軟體轉送到
選項 1
虛擬電腦介面 Ethernet 連接
埠 1 10.16.0.20/22 此介面連接 MGT 介面連接埠
至您防火牆上際網路及政策, 10.10.0.5/22
如果雲端智慧已啟用,系統便會接收
卻不具有任 如果啟用自動提 從公司防火牆轉送的檔案,並將惡意
交,並 且將惡意軟體轉送到 軟體轉送到 WildFire 雲端。
WildFire 設備
選項 -1(建議)— 將虛擬電腦介面連接到政策僅允許網際網路連線的防火牆上專屬區域之中的
介面。這相當重要,因為 WildFire 虛擬電腦中執行的惡意軟體可能用此介面自行傳播。這是建
議的選項,因為防火牆日誌可用來掌握虛擬電腦介面產生的任何流量。
選項 -2 — 使用 DSL 之類的專用網際網路供應商連線,將虛擬電腦介面連接到網際網路。確定此
連線未存取內部伺服器 / 主機。雖然這是簡單的解決方案,不過不會記錄虛擬電腦介面之外惡
意軟體產生的流量,除非您在 WildFire 設備與 DSL 連線之間設有防火牆或流量監控工具。
在 WF-500 設備上設定虛擬電腦介面
IP 位址:192.168.2.1
網路遮罩:255.255.255.0
26 WildFire 管理員指南
WF-500 設備檔案分析 在 WF-500 設備上設定虛擬電腦介面
預設閘道:192.168.2.254
DNS:192.168.2.254
如果計劃啟用此介面,請使用網路適當的設定來設定此介面。如果不計劃使用此介面,請保留預
設設定。請注意,此介面必須設定網路值,否則將發生交付失敗。
設定虛擬電腦介面
步驟 2 啟用虛擬電腦介面。 1. 啟用虛擬電腦介面:
admin@WF-500# set deviceconfig setting wildfire
vm-network-enable yes
2. 交付設定:
admin@WF-500# commit
步驟 3 測試虛擬電腦介面的連線能力。 偵測系統並指定虛擬電腦介面作為來源。例如,若虛擬電腦
介面 IP 位址為 10.16.0.20,請執行下列命令,其中 ip-or-hostname
為啟用偵測伺服器 / 網路的 IP 或主機名稱:
admin@WF-500> ping source 10.16.0.20 host
ip-or-hostname
例如:
admin@WF-500> ping source 10.16.0.20 host 10.16.0.1
WildFire 管理者指南 27
在 WF-500 設備上設定虛擬電腦介面 WF-500 設備檔案分析
28 WildFire 管理員指南
WF-500 設備檔案分析 在 WF-500 設備上設定虛擬電腦介面
步驟 4 驗證虛擬電腦介面正在傳輸和接收 1. 檢視虛擬電腦介面設定:
流量。 admin@WF-500> show interface vm-interface
2. 驗證接收 / 傳輸計數器確實增加。您可執行下列命令來產
生虛擬電腦介面到外部裝置的偵測流量:
admin@WF-500> ping source vm-interface-ip host
<gateway-ip>
例如:
admin@WF-500> ping source 10.16.0.20 host 10.16.0.1
WildFire 管理者指南 29
在 WF-500 設備上管理內容更新 WF-500 設備檔案分析
在 WF-500 設備上管理內容更新
WF-500 設備的每日內容更新會為設備配備最新的威脅資訊,以精確偵測惡意軟體並提升設備區分
惡意及良性軟體的能力。更新也可確保設備在啟用特徵碼 / URL 產生時,擁有產生特徵碼所需的
最新資訊。如需啟用特徵碼產生的相關資訊,請參閱在 WF-500 設備上產生特徵碼 / URL。
直接從更新伺服器安裝內容更新
從啟用 SCP 的伺服器安裝內容更新
直接從更新伺服器安裝內容更新
直接從更新伺服器安裝內容更新
步驟 2 下載並安裝最新的內容更新。 1. 下載最新的內容更新:
admin@wf-500> request wf-content upgrade download
latest
2. 檢視下載狀態:
admin@wf-500> show jobs all
您可執行 show jobs pending(顯示擱置中的工作)
來檢視擱置中的工作。下列輸出顯示下載 (job id 5) 已完
成下載(狀態為 FIN):
Enqueued ID Type Status Result Completed
---------------------------------------------------------
2014/04/22 03:42:20 5 Downld FIN OK 03:42:23
3. 下載完成後,安裝更新:
admin@wf-500> request wf-content upgrade install
version latest
再次執行 show jobs all(顯示所有工作)命令以監
控安裝狀態。
30 WildFire 管理員指南
WF-500 設備檔案分析 在 WF-500 設備上管理內容更新
直接從更新伺服器安裝內容更新(續)
步驟 4 (選用)將內容更新排程為在防火牆 1. 將設備排程為下載並安裝內容更新:
上以設定間隔安裝最新更新。 admin@WF-500# set deviceconfig system
update-schedule wf-content recurring [daily |
您可以將設備設定為每天或每週安裝 weekly] action [download-and-install |
更新,和僅下載或下載並安裝更新。 download-only]
例如,每天早上 8:00 下載並安裝更新:
admin@WF-500# set deviceconfig system
update-schedule wf-content recurring daily action
download-and-install at 08:00
2. 交付設定:
admin@WF-500# commit
WildFire 管理者指南 31
在 WF-500 設備上管理內容更新 WF-500 設備檔案分析
步驟 3 驗證內容更新。 驗證內容版本:
admin@wf-500> show system info | match
wf-content-version
下列輸出現在顯示版本 2-253:
wf-content-version: 2-253
32 WildFire 管理員指南
WF-500 設備檔案分析 將檔案轉送至 WF-500 設備
將檔案轉送至 WF-500 設備
下列主題說明如何將防火牆設定為轉送檔案至 WF-500 設備以進行分析,以及如何驗證設定。若您
將 WF-500 設備設定為產生特徵碼及 URL 更新,您也可將防火牆設定為從裝置擷取內容更新。請
參閱在 WF-500 設備上產生特徵碼 / URL。
如果您使用 Panorama 來管理防火牆,則可簡化 WildFire 軟體,方法是使用 Panorama 範本將 WildFire
伺服器資訊、允許的檔案大小及工作階段資訊設定推送到防火牆。使用 Panorama 設備群組,設定
並推送檔案封鎖設定檔和安全性政策規則。從 PAN-OS 6.0 開始,WildFire 日誌會顯示每個防火牆用
於檔案分析的 WildFire 系統(WildFire Cloud、WF-500 設備和 / 或 WildFire Japan Cloud)。在 Panorama
上設定 WildFire 伺服器時(Panorama > 設定 > WildFire),請輸入防火牆使用的 WildFire 伺服器。
例如,若您的防火牆會轉送樣本到 WildFire Cloud,Panorama 的設定應指向名稱為 wildfire-public-cloud
的雲端伺服器。若您的防火牆會轉送到 WF-500 設備,Panorama 的設定應指向設備的 IP 位址或
FQDN。
設定防火牆將樣本轉送至 WF-500 設備
驗證轉送至 WF-500 設備
設定防火牆將樣本轉送至 WF-500 設備
設定防火牆將樣本轉送至 WF-500 設備
WildFire 管理者指南 33
將檔案轉送至 WF-500 設備 WF-500 設備檔案分析
34 WildFire 管理員指南
WF-500 設備檔案分析 將檔案轉送至 WF-500 設備
WildFire 管理者指南 35
將檔案轉送至 WF-500 設備 WF-500 設備檔案分析
驗證轉送至 WF-500 設備
36 WildFire 管理員指南
WF-500 設備檔案分析 將檔案轉送至 WF-500 設備
驗證轉送至 WF-500 設備
WildFire 管理者指南 37
將檔案轉送至 WF-500 設備 WF-500 設備檔案分析
Forwarding info:
file idle time out (second): 90
total file forwarded: 13
file forwarded in last minute: 0
concurrent files: 0
38 WildFire 管理員指南
WF-500 設備檔案分析 將檔案轉送至 WF-500 設備
WildFire 管理者指南 39
在 WF-500 設備上產生特徵碼 / URL WF-500 設備檔案分析
40 WildFire 管理員指南
WF-500 設備檔案分析 在 WF-500 設備上產生特徵碼 / URL
步驟 2 檢查是否有最新的更新。 1. 按一下立即檢查(位於視窗的左下角)以檢查最新更
新。動作欄中的連結表示更新是否可用:
• 下載 — 表示可使用新的更新檔案。按一下連結以開始
將檔案直接下載到防火牆。成功下載後,動作欄中的
連結會從下載變更為安裝。
下列螢幕擷取畫面顯示 [ 動態更新 ] 中的新 WF-Private 區
段。您可在這裡從 WF-500 設備下載更新。
若要檢查動作的狀態,請按一下工作(位於視窗的右
下角)。
• 還原 — 表示防火牆先前已下載對應的更新。按一下還
原以安裝先前的更新版本。
WildFire 管理者指南 41
在 WF-500 設備上產生特徵碼 / URL WF-500 設備檔案分析
步驟 3 安裝更新。 按一下動作欄中的安裝連結。完成安裝後,目前已安裝欄會
顯示核取標記。
42 WildFire 管理員指南
WF-500 設備檔案分析 更新 WF-500 設備並啟用 Windows 7 64 位元支援
WF-500 設備升級
WildFire 管理者指南 43
更新 WF-500 設備並啟用 Windows 7 64 位元支援 WF-500 設備檔案分析
WF-500 設備升級(續)
44 WildFire 管理員指南
WF-500 設備檔案分析 更新 WF-500 設備並啟用 Windows 7 64 位元支援
WF-500 設備升級(續)
2. 升級完成後,重新啟動設備:
admin@WF-500> request restart system
3. 確認 sw-version 欄位顯示 6.1:
admin@WF-500> show system info | match sw-version
WildFire 管理者指南 45
更新 WF-500 設備並啟用 Windows 7 64 位元支援 WF-500 設備檔案分析
46 WildFire 管理員指南
WildFire Cloud 檔案分析
下列主題說明如何設定 Palo Alto Networks 防火牆,使其將檔案轉送至 WildFire Cloud 進行分析,也
說明如何使用 WildFire 入口網站手動上傳檔案。您也可以使用 WildFire API 將樣本提交到 WildFire
Cloud。
將樣本轉送至 WildFire Cloud
驗證轉送至 WildFire Cloud
使用 WildFire Cloud 入口網站上載檔案
WildFire 管理者指南 47
將樣本轉送至 WildFire Cloud WildFire Cloud 檔案分析
設定檔案封鎖設定檔並新增到安全性設定檔
48 WildFire 管理員指南
WildFire Cloud 檔案分析 將樣本轉送至 WildFire Cloud
設定檔案封鎖設定檔並新增到安全性設定檔(續)
WildFire 管理者指南 49
將樣本轉送至 WildFire Cloud WildFire Cloud 檔案分析
設定檔案封鎖設定檔並新增到安全性設定檔(續)
50 WildFire 管理員指南
WildFire Cloud 檔案分析 將樣本轉送至 WildFire Cloud
設定檔案封鎖設定檔並新增到安全性設定檔(續)
WildFire 管理者指南 51
驗證轉送至 WildFire Cloud WildFire Cloud 檔案分析
52 WildFire 管理員指南
WildFire Cloud 檔案分析 驗證轉送至 WildFire Cloud
Forwarding info:
file size limit for pe (MB): 10
file size limit for jar (MB): 1
file size limit for apk (MB): 2
file size limit for pdf (KB): 500
file size limit for ms-office (KB): 10000
file idle time out (second): 90
total file forwarded: 1
file forwarded in last minute: 0
concurrent files: 0
WildFire 管理者指南 53
驗證轉送至 WildFire Cloud WildFire Cloud 檔案分析
file type: pe
Error counters:
LOG_ERR_REPORT_CACHE_NOMATCH 880
Reset counters:
DP receiver reset cnt: 2
File cache reset cnt: 2
Service connection reset cnt: 1
Log cache reset cnt: 2
Report cache reset cnt: 2
Resource meters:
data_buf_meter 0%
msg_buf_meter 0%
ctrl_msg_buf_meter 0%
54 WildFire 管理員指南
WildFire Cloud 檔案分析 驗證轉送至 WildFire Cloud
WildFire 管理者指南 55
使用 WildFire Cloud 入口網站上載檔案 WildFire Cloud 檔案分析
手動上載至 WildFire
步驟 2 檢視分析結果。大約需要五分鐘, 1. 重新整理瀏覽器顯示的入口網站頁面。
WildFire 才能完成檔案分析。 2. 按一下來源欄下的 Manual(手動)以檢視手動樣本上載
由於手動上載並未與特定防火 結果。
牆產生關聯,因此手動上載將 3. 報告頁面也將顯示已上載到您帳戶的所有檔案清單。找出
與註冊的防火牆分開顯示,且 已上載的檔案,並按一下日期欄位左邊的詳細資料圖示。
不會在報告中顯示工作階段 入口網站會顯示檔案分析的完整報告,詳述所觀察到的
資訊。 檔案行為。如果 WildFire 識別檔案是惡意軟體,將產生
特徵碼,並散佈到利用 WildFire 或威脅防範使用授權設
定的所有 Palo Alto Networks 防火牆。
56 WildFire 管理員指南
WildFire 報告
偵測到網路有惡意軟體時,必須迅速採取動作,避免傳播到網路上的其他系統。為了確保網路上
偵測到惡意軟體時能夠立即警示,請將防火牆設定為在 WildFire 針對樣本傳回惡意軟體裁定時,
傳送電子郵件通知、SNMP 陷阱及 / 或系統日誌。這能夠讓您迅速檢視 WildFire 分析報告,並識別下
載惡意軟體的使用者、判斷使用者是否執行遭感染的檔案或存取惡意電子郵件連結,並評估惡意
軟體是否自行散佈到其他的主機。如果您判斷使用者已存取惡意內容,您可以迅速中斷電腦的網
路連線,避免惡意軟體散佈,並按照必要的事件回應和補救程序。
下列主題說明 WildFire 報告及日誌記錄系統,並說明如何此使用此功能追蹤威脅,並識別遭惡意軟
體鎖定的使用者。
WildFire 日誌
在 WildFire 日誌中啟用電子郵件標頭資訊
使用 WildFire 入口網站監控提交
自訂 WildFire 入口網站設定
新增 WildFire 入口網站使用者帳戶
檢視 WildFire 報告
WildFire 報告內容
設定對於偵測到的惡意軟體所發出的警示
WildFire 的運作
WildFire 管理者指南 57
WildFire 日誌 WildFire 報告
WildFire 日誌
您設定為將樣本轉送至 WildFire 的各個防火牆,均會在資料過濾日誌中記錄轉送動作。樣本經 WildFire
分析後,如裁定結果為惡意軟體,WildFire 會將結果傳回到防火牆上的 WildFire 提交日誌。您也可以
針對透過電子郵件或包含在 SMTP 及 POP3 訊息中的 HTTP/HTTPS 連結所傳送的檔案,將防火牆設
定為記錄其電子郵件標頭資訊。如需詳細資訊,請參閱在 WildFire 日誌中啟用電子郵件標頭資訊。
由 WildFire 為各檔案或各電子郵件連結所分析的詳細分析報告,即位於 WildFire 提交日誌的詳細檢
視中。您也可以在 WildFire 入口網站上檢視分析報告。
動作 說明
58 WildFire 管理員指南
WildFire 報告 WildFire 日誌
裁定為良性的電子郵件連結將不會記錄。
WildFire 管理者指南 59
在 WildFire 日誌中啟用電子郵件標頭資訊 WildFire 報告
在 WildFire 日誌中啟用電子郵件標頭資訊
防火牆可擷取電子郵件標頭資訊 — 電子郵件寄件者、收件者和主旨 — 並將這些資訊以及對應的電
子郵件附件和轉送的電子郵件連結傳送至 WildFire。若 WildFire 判斷電子郵件附件或連結為惡意,
它將在傳回防火牆的 WildFire 提交日誌中包括電子郵件標頭資訊。此資訊可協助您快速追蹤並修復
在您使用者所接收電子郵件中偵測到的威脅。請注意,防火牆或 WildFire 都不會接收、儲存或檢視
實際的電子郵件內容。
下列工作流程說明如何啟用電子郵件標頭選項、如何設定 User-ID 屬性,以及如何記錄資訊,以
協助您找出下載惡意附件或接收包含惡意連結電子郵件的收件者。
設定 WildFire 日誌的電子郵件標頭選項
60 WildFire 管理員指南
WildFire 報告 在 WildFire 日誌中啟用電子郵件標頭資訊
設定 WildFire 日誌的電子郵件標頭選項(續)
WildFire 管理者指南 61
使用 WildFire 入口網站監控提交 WildFire 報告
使用 WildFire 入口網站監控提交
瀏覽到 Palo Alto Networks WildFire 入口網站,使用您的 Palo Alto Networks 支援認證或 WildFire 帳戶
登入。入口網站會開啟並顯示儀表板,列出所有防火牆的摘要報告資訊,這些防火牆與特定
WildFire 使用授權或支援帳戶相關。入口網站將針對每個列出的設備顯示偵測到的惡意軟體檔案
數、已分析的良性樣本數和等待分析的擱置檔案數這三項統計資料。
62 WildFire 管理員指南
WildFire 報告 自訂 WildFire 入口網站設定
自訂 WildFire 入口網站設定
本節說明可對於入口網站帳戶自訂的設定,例如各個防火牆的時區及電子郵件通知。您也可以針
對將樣本轉送到 WildFire Cloud 的每個防火牆刪除儲存在入口網站上的日誌。
自訂 WildFire 入口網站設定
WildFire 管理者指南 63
新增 WildFire 入口網站使用者帳戶 WildFire 報告
新增 WildFire 入口網站使用者帳戶
WildFire 入口網站帳戶是由超級使用者(或 Palo Alto Networks 設備的註冊擁有者)所建立,能夠讓
使用者登錄 WildFire Web 入口網站,並檢視超級使用者或註冊擁有者特別授予的設備相關的
WildFire 資料。超級使用者是註冊 Palo Alto Networks 防火牆且擁有設備主要支援帳戶的人員。
WildFire 使用者可以是屬於任何帳戶(包括子帳戶、上層帳戶或系統中的其他任何帳戶)的現有
支援網站使用者,另一方面,如果使用者完全沒有 Palo Alto Networks 支援帳戶,也可取得僅存取
WildFire 入口網站和特定防火牆的權限。
新增 WildFire 使用者帳戶
步驟 3 將防火牆指派給新的使用者帳戶,並 1. 按照序號選取要授予存取權的防火牆,並填寫選擇性的
存取 WildFire 入口網站。 帳戶詳細資料。
接著將寄送電子郵件給該使用者。擁有現有支援帳戶的
使用者將收到列出防火牆清單的電子郵件,這些防火牆
可供 WildFire 報告檢視之用。如果使用者沒有支援帳
戶,入口網站將傳送說明如何存取入口網站和如何設定
新密碼的電子郵件。
2. 新使用者此時即可登入 WildFire 入口網站檢視已取得存取
權的防火牆相關的 WildFire 報告。使用者也可以設定這
些設備的自訂電子郵件警示,以便收到所分析的檔案相關
的警示。使用者可選擇接收惡意及 / 或良性檔案的報告。
64 WildFire 管理員指南
WildFire 報告 檢視 WildFire 報告
檢視 WildFire 報告
檢視傳送到 WildFire Cloud 或 WildFire 設備的 WildFire 報告主要的方法是,存取將檔案轉送到 WildFire
的防火牆,然後選取 Monitor(監控)> Logs(日誌)> WildFire Submissions(WildFire 提交),
再選取 WildFire Analysis Report(WildFire 分析報告)頁籤。您可以從該處直接檢視報告,或按
一下位於報告右上角的下載 PDF 圖示來下載報告。如果防火牆正在將日誌轉送到 Panorama,也可
從 Panorama 日誌存取日誌。您也可以使用 WildFire XML API 從 WildFire 入口網站或 WF-500 設備擷
取報告。如需詳細資訊,請參閱查詢 WildFire PDF 或 XML 報告。
將檔案提交到 WildFire Cloud(透過防火牆轉送、手動上載或 WildFire API)時,您可從防火牆及 WildFire
入口網站存取報告。若要從入口網站存取報告,請登入 WildFire 入口網站,並且按一下 WildFire 入
口網站頁面頂端的 Reports(報告)按鈕。入口網站隨即顯示一份清單,顯示接收檔案的日期、
轉送檔案的防火牆序號、檔案名稱或 URL,以及裁定(惡意軟體或良性)。頁面頂端也有搜尋功
能可供使用,您可以依檔案名稱或雜湊值搜尋。
若要從入口網站檢視個別的報告,請按一下報告名稱左側的 Reports(報告)圖示。若要儲存詳細的
報告,請按一下頁面右上角的 Download as PDF(下載為 PDF)按鈕。以下顯示防火牆所提交的樣本
檔案清單:
WildFire 管理者指南 65
WildFire 報告內容 WildFire 報告
WildFire 報告內容
WildFire 報告顯示 WildFire 系統分析的檔案詳細的行為資訊,以及目標使用者、電子郵寄標頭資訊
(若啟用)、傳遞檔案的應用程式和用於檔案傳遞或回撥活動的所有 URL 相關的資訊。取決於分
析樣本的 WildFire 系統(WildFire Cloud 或 WF-500 設備),報告的組成部分可能有所不同。取決於
在轉送檔案的防火牆上設定的工作階段資訊,以及所觀測到的行為,報告將包含下列表格所述的
部分或全部資訊。
報告標題 說明
66 WildFire 管理員指南
WildFire 報告 WildFire 報告內容
報告標題 說明
涵蓋狀態 按一下總病毒數連結檢視其他廠商已識別樣本的端點防毒涵蓋資訊。如
果任何列出的廠商先前不曾發現該檔案,將顯示找不到檔案。
此 外,當 報 告 在 防 火 牆 上 呈 現 時,特 徵 碼 的 最 新 資 訊 以 及 Palo Alto
Networks 目前為防護威脅所提供的 URL 過濾涵蓋情況也會一併在此區段
中顯示。由於資訊以動態方式擷取,因此將不會顯示在 PDF 報告中。
下列螢幕擷取畫面顯示在防火牆上呈現報告之後顯示的涵蓋範圍:
下列涵蓋資訊針對使用中的特徵碼所提供:
• 涵蓋類型 — Palo Alto Networks 提供的防護類型(病毒、DNS、WildFire
或惡意軟體 URL)。
• 特徵碼 ID — 指派給 Palo Alto Networks 提供的每個特徵碼的唯一 ID。
• 詳細資料 — 病毒的已知名稱。
• 發行日期 — Palo Alto Networks 發行涵蓋範圍以防護惡意軟體的日期。
• 內容版本 — 提供惡意軟體防護所發行內容的版本號碼。
如果防火牆設定為將檔案轉送到 WildFire 設備,防火牆將查詢
設備和 WildFire Cloud 以判斷涵蓋範圍資訊是否可用。若兩個系
統(Cloud / 設備)均可使用涵蓋狀態,每個系統都會顯示獨立
表格。
工作階段資訊 在流量周遊轉送樣本的防火牆時,包含以流量為基礎的工作階段資訊。
若要定義 WildFire 將在報告中包含的工作階段資訊,請選取 Device(裝
置)> Setup(設 定)> WildFire> Session Information Settings(工 作
階段資訊設定)。
以下為可用選項:
• 來源 IP
• 來源連接埠
• 目的地 IP
• 目的地連接埠
• 虛擬系統(如果在防火牆上設定 multi-vsys)
• 應用程式
• 使用者(如果在防火牆上設定 User-ID)
• URL
• 檔案名稱
• 電子郵件寄件者
• 電子郵件收件者
• 電子郵件主旨
WildFire 管理者指南 67
WildFire 報告內容 WildFire 報告
報告標題 說明
以下說明各種分析行為:
• 網路活動 — 顯示樣本所執行的網路活動,例如存取網路上的其他主機、
DNS 查詢,以及回撥活動。在此會提供可下載封包擷取的連結。
• 主機活動(依照流程)— 列出在主機上執行的活動,例如設定、修改或
刪除的登錄機碼。
• 程序活動 — 列出開始上層程序的檔案、程序名稱和程序執行的動作。
• 檔案 — 列出開始子程序的檔案、程序名稱和程序執行的動作。
• Mutex — 如果樣本檔案產生其他程式執行緒,則將在此欄位中記錄
mutexname 與上層程序。
• 活動時間軸 — 逐一列出該樣本所有已記錄的活動。這有助於瞭解分析
期間所發生事件的順序。
活動時間軸僅以 PDF 版的 WildFire 匯出報告形式提供。
68 WildFire 管理員指南
WildFire 報告 WildFire 報告內容
報告標題 說明
WildFire 管理者指南 69
設定對於偵測到的惡意軟體所發出的警示 WildFire 報告
設定對於偵測到的惡意軟體所發出的警示
本節說明設定 Palo Alto Networks 防火牆在每次 WildFire 識別惡意檔案或電子郵件連結後傳送警示所
需的步驟。您也可以針對良性檔案設定警示,但無法針對良性電子郵件連結設定。此外,亦可從
WildFire 入口網站設定警示,請參閱使用 WildFire 入口網站監控提交。此範例說明如何設定電子郵
件警示;不過,您也可以將日誌轉送設為透過系統日誌、SNMP 陷阱和 / 或 Panorama 接收警示。
設定對於惡意軟體所發出的電子郵件警示
70 WildFire 管理員指南
WildFire 報告 設定對於偵測到的惡意軟體所發出的警示
設定對於惡意軟體所發出的電子郵件警示(續)
WildFire 管理者指南 71
設定對於偵測到的惡意軟體所發出的警示 WildFire 報告
設定對於惡意軟體所發出的電子郵件警示(續)
72 WildFire 管理員指南
WildFire 報告 WildFire 的運作
WildFire 的運作
下列範例案例說明整個 WildFire 生命週期。在此範例中,Palo Alto Networks 的銷售代表下載由銷售
合作夥伴上載到 Dropbox 的新軟體銷售工具。銷售合作夥伴在不知情的情況下上載受感染的銷售
工具安裝檔案,然後銷售代表下載這個受感染的檔案。
這個範例將說明 Palo Alto Networks 防火牆搭配 WildFire 如何在即使流量經過 SSL 加密的情況下,找
出使用者下載的零時差惡意軟體。在 WildFire 識別惡意軟體後,日誌將傳送至防火牆,而防火牆會
警示管理員,讓管理員連絡使用者以清除惡意軟體。WildFire 接著將產生惡意軟體的新特徵碼,而
具備威脅防護或 WildFire 使用授權的防火牆會自動下載特徵碼以防範日後暴露。雖然某些檔案共享
網站有防毒功能可在上載檔案時檢查檔案,不過充其量只能防範「已知」的惡意軟體。
如需設定 WildFire 的詳細資訊,請參閱將樣本轉送至 WildFire Cloud 或 將檔案轉送至 WF-500 設
備。
Wildfire 範例案例
WildFire 管理者指南 73
WildFire 的運作 WildFire 報告
Wildfire 範例案例(續)
74 WildFire 管理員指南
WildFire 報告 WildFire 的運作
Wildfire 範例案例(續)
WildFire 管理者指南 75
WildFire 的運作 WildFire 報告
Wildfire 範例案例(續)
步驟 8 目前管理員已發現惡意軟體,而且正在檢查使用者的系統時,如何防範日後暴露?答案:在此範
例中,管理員排定在防火牆每隔 15 分鐘下載安裝 WildFire 特徵碼一次,並且每天下載安裝防毒更
新一次。在銷售代表下載受感染的檔案後不到一個半小時內,WildFire 辨識出零時差惡意軟體,並
產生特徵碼,然後將特徵碼新增到 Palo Alto Networks 提供的 WildFire 更新特徵碼資料庫,防火牆
隨後下載並安裝新的特徵碼。設定為下載 WildFire 與防毒特徵碼的這個防火牆和任何其他的 Palo
Alto Networks 防火牆現在即受到保護,不受這個新發現惡意軟體的侵害。下列螢幕擷取畫面顯示
WildFire 更新排程:
76 WildFire 管理員指南
WildFire 報告 WildFire 的運作
Wildfire 範例案例(續)
這些都是在大多數防毒軟體廠商察覺這個零時差惡意軟體前完成的。在此範例中,在極短的時間
內,惡意軟體不再屬於零時差惡意軟體,因為 Palo Alto Networks 已發現惡意軟體,而且已經為客戶
提供防護以防範日後暴露。
WildFire 管理者指南 77
WildFire 的運作 WildFire 報告
78 WildFire 管理員指南
WildFire API
WildFire API 讓您能夠以程式設計方式,透過簡單的 XML API 介面,將檔案分析工作傳送到
WildFire 並查詢報告資料,且受 WildFire Cloud 和 WF-500 設備支援。WF-500 設備也支援 WildFire
Cloud 所支援的所有 API 功能,但在使用設備的情況下,您所產生的 API 存取金鑰,將用於存取設
備上的 WildFire,而非 Palo Alto Networks 支援網站。用來存取 WildFire Cloud 與 WildFire 設備的
URL 也有所不同。本節中的範例以 WildFire Cloud 為基礎。如需在 WF-500 設備上使用 API 的範
例,請參閱在 WF-500 設備上使用 WildFire API。
關於 WildFire 使用授權及 API 金鑰
使用 WildFire API
WildFire API 檔案提交方法
查詢 WildFire PDF 或 XML 報告
使用 API 擷取樣本惡意軟體測試檔案
使用 API 擷取樣本檔案或 PCAP
在 WF-500 設備上使用 WildFire API
WildFire 管理者指南 79
關於 WildFire 使用授權及 API 金鑰 WildFire API
80 WildFire 管理者指南
WildFire API 使用 WildFire API
使用 WildFire API
WildFire API 使用標準 HTTP 要求來傳送和接收資料。直接從 cURL 之類的命令列公用程式,或使
用支援 REST 服務的任何指令碼及應用程式架構,即可進行 API 呼叫。
API 方法位在 WildFire 入口網站,而且需要 HTTPS 通訊協定(而非 HTTP),以便保護 API 金鑰
以及與服務交換的任何其他資料。
WildFire API 允許每天最多 1000 次樣本上載和每天最多 10,000 次報告查詢。
若要在 WF-500 設備上使用 WildFire API,您會直接從設備產生 API 金鑰,並在用來尋找設備的 URL
中使用 IP 位址或 FQDN。所有其他功能就和您在 WildFire Cloud 上使用 API 時一樣。例如,用來從
WildFire Cloud 擷取報告的 URL 為 https://wildfire.paloaltonetworks.com/publicapi/get/report 。用來從 IP
位址為 10.3.4.50 的 WF-500 設備擷取報告的 URL 將顯示如下:https://10.3.4.50/publicapi/get/report。
如需範例,請參閱在 WF-500 設備上使用 WildFire API。
WildFire 管理者指南 81
WildFire API 檔案提交方法 WildFire API
使用提交檔案方法將檔案提交到 WildFire
URL https://wildfire.paloaltonetworks.com/publicapi/submit/file
方法 POST
檔案 將分析的樣本檔案
傳回 200 OK 表示成功並將傳回報告
401 Unauthorized API 金鑰無效
405 Method Not Allowed 已使用 POST 以外的方法
413 Request Entity Too Large 樣本檔案大小超過上限
418 Unsupported File Type 不支援樣本檔案類型
419 Max Request Reached 超過每天上載次數上限
500 內部錯誤
513 檔案上載失敗
82 WildFire 管理者指南
WildFire API WildFire API 檔案提交方法
URL https://wildfire.paloaltonetworks.com/publicapi/submit/url
方法 POST
檔案提交的程式碼範例
key=$1
file=$2
WildFire 管理者指南 83
查詢 WildFire PDF 或 XML 報告 WildFire API
URL https://wildfire.paloaltonetworks.com/publicapi/get/report
方法 POST
84 WildFire 管理者指南
WildFire API 使用 API 擷取樣本惡意軟體測試檔案
使用 API 擷取樣本惡意軟體測試檔案
以下說明可擷取樣本惡意軟體檔案的 API 語法,可用於測試端對端 WildFire 樣本處理。
如需樣本檔案的詳細資訊,請參閱惡意軟體測試樣本。
若要使用 API 擷取檔案:
API : GET https://wildfire.paloaltonetworks.com/publicapi/test/pe
這將傳回測試檔案,每一個 API 呼叫都會傳回類似的檔案,但其 SHA256 值不同。
如果擷取檔案時發生問題,將傳回「500 內部伺服器」錯誤。
若要使用 cURL 擷取測試檔案:
curl –k https://wildfire.paloaltonetworks.com/publicapi/test/pe
使用 API 擷取樣本檔案
使用 API 擷取封包擷取 (PCAP)
使用 API 擷取樣本檔案
方法 POST
WildFire 管理者指南 85
使用 API 擷取樣本惡意軟體測試檔案 WildFire API
下表說明可用的平台參數:
平台 ID 說明
1 Windows XP、Adobe Reader 9.3.3、Office 2003
2 Windows XP、Adobe Reader 9.4.0、Flash 10、Office 2007
3 Windows XP、Adobe Reader 11、Flash 11、Office 2010
4 Windows 7 32 位元、Adobe Reader 11、Flash 11、Office 2010
5 Windows 7 64 位元、Adobe Reader 11、Flash 11、Office 2010
201 Android 2.3、API 10、avd2.3.1
方法 POST
平台 * 目標分析環境
傳回 200 OK 表示成功並將傳回 PCAP
86 WildFire 管理者指南
WildFire API 使用 API 擷取樣本惡意軟體測試檔案
* 選用參數
WildFire 管理者指南 87
在 WF-500 設備上使用 WildFire API WildFire API
產生 API 金鑰
此命令也會顯示金鑰產生的日期以及上一次使用金鑰的日期。
在此範例中,設備建立了名稱為 my-api-key 的下列金鑰:
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F1424
94BC43D4A1
88 WildFire 管理者指南
WildFire API 在 WF-500 設備上使用 WildFire API
管理 API 金鑰
WildFire 管理者指南 89
在 WF-500 設備上使用 WildFire API WildFire API
管理 API 金鑰(續)
例如:
admin@WF-500> save wildfire api-key to my-api-keys
使用安全複製功能將 API 金鑰安全複製到已啟用此功能的
伺服器:
admin@WF-500> scp export wildfire-api-keys to
username@host:path
例如:
admin@WF-500> scp export wildfire-api-keys to
bart@10.10.10.5:c:/scp/
您也可以將 API 金鑰匯入已啟用安全複製功能的伺服器:
admin@WF-500> scp import wildfire-api-keys from
bart@10.10.10.5:c:/scp/my-api-keys
90 WildFire 管理者指南
WildFire API 在 WF-500 設備上使用 WildFire API
2. 檢視 API 金鑰:
admin@WF-500> show wildfire api-key all
3. 請確定金鑰狀態為 「已啟用」,然後反白並複製金鑰。下列螢幕擷取畫面顯示名為 my-api-key 的
範例 API 金鑰。
若設備未顯示樣本檔案,請確認主機電腦和設備間是否具有連線能力,接著確認資料夾 / 檔案路徑是否正
確。您也可以執行 show wildfire status (狀態應顯示為 Idle)和 show wildfire statistics 來確認設備
已準備好分析檔案。如需疑難排解的詳細資訊,請參閱 Palo Alto Networks WildFire 管理者指南。
WildFire 管理者指南 91
在 WF-500 設備上使用 WildFire API WildFire API
92 WildFire 管理者指南
WildFire 設備軟體 CLI 參考
本節說明 WF-500 設備軟體特有的 CLI 命令。所有其他的命令(例如設定介面、交付設定及設定系
統資訊等)與 PAN-OS 相同,也以階層方式顯示。如需 PAN-OS 命令的相關資訊,請參閱《Palo
Alto Networks PAN-OS 命令行參考指南》。
WildFire 設備軟體 CLI 概念
WildFire CLI 命令模式
存取 CLI
使用 CLI
設定模式命令參考
操作模式命令參考
WildFire 管理者指南 93
WildFire 設備軟體 CLI 概念 WildFire 設備軟體 CLI 參考
設定模式 — 檢視與修改設定階層。
基本的命令提示併入設備的使用者名稱與主機:
username@hostname>
例如:
admin@WF-500>
94 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 WildFire 設備軟體 CLI 概念
訊息會在命令發出時顯示。訊息會提供內容資訊,並協助更正無效的命令。在下列範例中,訊息
以粗體顯示。
例如:未知命令
username@hostname# application-group
Unknown command: application-group
[edit network]
username@hostname#
例如:變更模式
username@hostname# exit
Exiting configuration mode
username@hostname>
例如:無效的語法
username@hostname> debug 17
Unrecognized command
Invalid syntax.
username@hostname>
CLI 會檢查每個命令的語法。如果語法正確,它會執行命令,候選階層的變更則會記錄下來。如
果語法不正確,便會顯示無效的語法訊息,如以下範例所示:
username@hostname# set deviceconfig setting wildfire cloud-intelligence
submit-sample yes
Unrecognized command
Invalid syntax.
[edit]
username@hostname#
命令選項符號
選項前面的符號可提供有關命令語法的額外資訊。
符號 說明
* 此選項為必要。
> 此命令有額外的巢狀選項。
+ 此命令在此層級有額外的命令選項。
| 有選項可指定以「例外值」或「符合值」限制命令。
WildFire 管理者指南 95
WildFire 設備軟體 CLI 概念 WildFire 設備軟體 CLI 參考
符號 說明
單引號在此範例中也為無效。
下列範例顯示如何使用這些符號。
例如:在下列命令中,from 為必要關鍵字:
username@hostname> scp import configuration ?
+ remote-port SSH port number on remote host
* from Source (username@host:path)
username@hostname> scp import configuration
例如:This command output shows options designated with + and >.
username@hostname# set rulebase security rules rule1 ?
+ action action
+ application application
+ destination destination
+ disabled disabled
+ from from
+ log-end log-end
+ log-setting log-setting
+ log-start log-start
+ negate-destination negate-destination
+ negate-source negate-source
+ schedule schedule
+ service service
+ source source
+ to to
> profiles profiles
<Enter> Finish input
[edit]
username@hostname# set rulebase security rules rule1
每個有 + 的選項皆可新增至此命令。
96 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 WildFire 設備軟體 CLI 概念
設定檔關鍵字(有 >)有額外的選項:
username@hostname# set rulebase security rules rule1 profiles ?
+ virus Help string for virus
+ spyware Help string for spyware
+ vulnerability Help string for vulnerability
+ group Help string for group
<Enter> Finish input
[edit]
username@hostname# set rulebase security rules rule1 profiles
權限等級
權限等級將決定使用者所能排除的命令以及所能檢視的資訊。
層級 說明
superreader 具備設備的完整唯讀存取權。
superuser 具備設備的完整讀寫存取權。
WildFire 管理者指南 97
WildFire CLI 命令模式 WildFire 設備軟體 CLI 參考
設定模式
在設定模式中輸入命令以修改候選設定。修改後的候選設定會儲存於設備記憶體,並在設備執行
時予以維護。
每個設定命令皆與動作有關,並也包含關鍵字、選項與值。
本節說明設定模式與設定階層:
設定模式命令用法
設定階層
導覽階層
設定模式命令用法
使用下列命令可儲存與套用設定變更:
save — 將候選設定儲存在設備上的非揮發性儲存體。所儲存的設定會予以保留,直到遭到後
續的 save 命令覆寫為止。請注意,此命令不會讓設定生效。
commit — 將候選設定套用至設備。交付的設定會變成設備的使用中設定。
set — 變更候選設定中的值。
load — 將最後儲存的設定或指定的設定指定為候選設定。
98 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 WildFire CLI 命令模式
區分儲存與提交概念可同時進行多項變更,並減少系統弱點。
命令結構始終一致。
由於候選設定始終是唯一的設定,因此對候選設定的所有授權變更將與彼此一致。
設定階層
WildFire 管理者指南 99
WildFire CLI 命令模式 WildFire 設備軟體 CLI 參考
階層路徑
輸入命令時,會透過階層追蹤路徑,如下所示:
導覽階層
表示相關內容為階層的最上層,而
[edit deviceconfig]
層級 說明
edit 設定命令階層內的設定內容。
上 將內容變更為階層中的上一層。
top 將內容變更為階層中的最高層。
操作模式
存取 CLI
本節說明如何存取及開始使用 WildFire 設備軟體 CLI:
建立直接主控台連線
建立 SSH 連線
建立直接主控台連線
如需直接連線主控台,請使用下列設定:
資料範圍:9600
資料位元:8
同位檢查:無
停止位元:1
流量控制:None
建立 SSH 連線
啟動 WildFire CLI
2. 輸入管理使用者名稱。預設值為 admin。
3. 輸入管理密碼。預設值為 admin。
WildFire 設備軟體 CLI 以操作模式開啟,並顯示 CLI 提示:
username@hostname>
使用 CLI
存取操作與設定模式
顯示 WildFire 設備軟體 CLI 命令選項
限制命令輸出
為設定命令設定輸出格式
存取操作與設定模式
使用 ?(或 Meta-H)以根據內容顯示命令選項清單:
若要顯示操作命令清單,請在命令提示中輸入 ?。
username@hostname> ?
clear Clear runtime parameters
configure Manipulate software configuration information
debug Debug and diagnose
exit Exit this session
grep Searches file for lines containing a pattern match
less Examine debug file content
ping Ping hosts and networks
quit Exit this session
request Make system-level requests
scp Use ssh to copy file to another host
set Set operational parameters
show Show operational parameters
ssh Start a secure shell to another host
tail Print the last 10 lines of debug file content
username@hostname>
若要顯示所指定命令的可用選項,請在該命令後加上 ?。
例如:
username@hostname> ping ?
+ bypass-routing Bypass routing table, use specified interface
+ count Number of requests to send (1..2000000000 packets)
+ do-not-fragment Don't fragment echo request packets (IPv4)
+ inet Force to IPv4 destination
+ interface Source interface (multicast, all-ones, unrouted packets)
+ interval Delay between requests (seconds)
+ no-resolve Don't attempt to print addresses symbolically
+ pattern Hexadecimal fill pattern
+ record-route Record and report packet's path (IPv4)
+ size Size of request packets (0..65468 bytes)
+ source Source address of echo request
+ tos IP type-of-service value (0..255)
+ ttl IP time-to-live value (IPv6 hop-limit value) (0..255 hops)
+ verbose Display detailed output
+ wait Delay after sending last packet (seconds)
<host> Hostname or IP address of remote host
限制命令輸出
username@hostname>
下列範例僅顯示系統型號資訊:
username@hostname>
為設定命令設定輸出格式
設定模式命令參考
本節包含下列 WF-500 設備軟體所特有設定模式命令參考資訊。為 WildFire 設備軟體一部分的所有
其他命令則與 PAN-OS 相同,如《Palo Alto Networks PAN-OS 命令行參考指南》中所述。
set deviceconfig setting wildfire
set deviceconfig system update-schedule
set deviceconfig system vm-interface
說明
階層位置
語法
wildfire {
active-vm;
cloud-server <value>;
vm-network-enable {no | yes};
vm-network-use-tor {enable | disable};
cloud-intelligence {
submit-report {no | yes};
submit-sample {no | yes};
signature-generation {
av {no | yes};
dns {no | yes};
url {no | yes};
{
{
{
選項
範例輸出
需要權限層級
superuser, deviceadmin
說明
在 WF-500 設備上排程內容更新。這些內容更新會為設備配備最新的威脅資訊,以精確偵測惡意軟
體並提升設備區分惡意及良性軟體的能力。
階層位置
語法
wf-content recurring {
daily at <value> action {download-and-install | download-only};
weekly {
action {download-and-install | download-only};
at <value>;
day-of-week {friday | monday | saturday | sunday | thursday | tuesday | wednesday};
}
}
選項
範例輸出
admin@WF-500# show
update-schedule {
wf-content {
recurring {
weekly {
at 19:00;
action download-and-install;
day-of-week friday;
}
}
}
}
需要權限層級
superuser, deviceadmin
說明
階層位置
語法
set vm-interface {
default-gateway <ip_address>;
dns-server <ip_address>;
ip-address <ip_address>;
link-state;
mtu;
netmask <ip_address>;
speed-duplex;
{
選項
範例輸出
下列為設定的 vm-interface。
vm-interface {
ip-address 10.16.0.20;
netmask 255.255.252.0;
default-gateway 10.16.0.1;
dns-server 10.0.0.246;
}
需要權限層級
superuser, deviceadmin
操作模式命令參考
本節包含下列 WF-500 設備軟體所特有操作模式命令的參考資訊。為 WildFire 設備軟體一部分的所
有其他命令則與 PAN-OS 相同,請參閱《Palo Alto Networks PAN-OS 命令行參考指南》以取得這些
命令的資訊。
create wildfire api-key
delete wildfire api-key
delete wildfire-metadata
edit wildfire api-key
load wildfire api-key
request system raid
request system wildfire-vm-image
request wf-content
save wildfire api-key
set wildfire portal-admin
show system raid
show wildfire
測試 wildfire 登錄
說明
語法
create {
wildfire {
api-key {
key <value>;
name <value>;
{
{
{
選項
範例輸出
需要權限層級
superuser, deviceadmin
說明
語法
delete {
wildfire {
api-key {
key <value>;
{
{
{
選項
範例輸出
APIKey A0418F8EADABA4C78CD3106D71147321462C5AA085B2979136447B1EC334655A
deleted
需要權限層級
superuser, deviceadmin
delete wildfire-metadata
說明
語法
delete {
wildfire-metadata update <value>;
{
選項
範例輸出
需要權限層級
superuser, deviceadmin
說明
語法
edit {
wildfire {
api-key [name | status] key <value>;
{
{
選項
範例輸出
在下列命令中,您無須輸入舊的金鑰名稱;輸入新的金鑰名稱即可。
顯示 stu-key1 已停用的範例輸出:
admin@WF-500> show wildfire api-keys all
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
| Apikey | Name | Status | Create Time |
Last Used Time |
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
|
| B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288 | stu-key1 | Disabled | 2014-08-21 07:23:34 |
|
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
需要權限層級
superuser, deviceadmin
說明
語法
load {
wildfire {
from <value> mode [merge | replace];
{
{
選項
需要權限層級
superuser, deviceadmin
說明
階層位置
request system
語法
raid {
remove <value>;
OR...
copy {
from <value>;
to <value>;
}
OR...
add {
選項
> add Add a drive into the corresponding RAID Disk Pair
> copy Copy and migrate from one drive to other drive in the bay
> remove drive to remove from RAID Disk Pair
範例輸出
需要權限層級
superuser, deviceadmin
階層位置
request system
語法
request {
system {
wildfire-vm-image {
upgrade install file <value>;
}
}
}
選項
範例輸出
若要列出可用的 VM 影像檔,請執行下列命令:
admin@WF-500> request system wildfire-vm-image upgrade install file ?
需要權限層級
superuser, deviceadmin
request wf-content
在 WF-500 設備上執行內容更新。這些內容更新會為設備配備最新的威脅資訊,以精確偵測惡意軟
體並提升設備區分惡意及良性軟體的能力。若要排程內容更新以自動安裝,請參閱 set deviceconfig
system update-schedule,若要在 WF-500 上刪除內容更新,請參閱 delete wildfire-metadata。
階層位置
request
語法
request wf-content
{
downgrade install {previous | <value>};
升級
{
check
download latest
info
install {
file <filename>
version latest;
}
}
}
選項
範例輸出
若要列出可用的內容更新,請執行下列命令:
admin@WF-500> request wf-content upgrade check
需要權限層級
superuser, deviceadmin
說明
階層位置
save
語法
save {
wildfire {
api-key to <value>;
{
{
選項
需要權限層級
superuser, deviceadmin
說明
階層位置
set wildfire
語法
set {
wildfire {
portal-admin {
password <value>;
}
}
範例輸出
以下為此命令的輸出。
admin@WF-500> set wildfire portal-admin password
Enter password:
Confirm password:
需要權限層級
superuser, deviceadmin
說明
階層位置
show system
語法
raid {
detail;
{
選項
無額外的選項。
範例輸出
需要權限層級
superuser, superreader
show wildfire
說明
階層位置
show wildfire
語法
api-keys
all {
details;
}
key <value>;
}
last-device-registration all |
latest {
analysis {
filter malicious|benign;
sort-by SHA256|Submit Time|Start Time|Finish Time|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
samples {
filter malicious|benign;
sort-by SHA256|Create Time|File Name|File Type|File Size|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
sessions {
filter malicious|benign;
sort-by SHA256|Create Time|Src IP|Src Port|Dst Ip|Dst Port|File|Device
ID|App|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
uploads {
選項
範例輸出
以下為此命令的輸出。
admin@WF-500> show wildfire api-keys all
+------------------------------------------------------------------+----------------+-
--------+---------------------+---------------------+
| Apikey | Name |
Status | Create Time | Last Used Time |
+------------------------------------------------------------------+----------------+-
--------+---------------------+---------------------+
| C625DE87CBFB6EF0B1A8183A74AB5B61287F7F63B6E14E2FFC704AABF5640D62 | my-api-key-stu |
Enabled | 2014-06-24 16:38:50 | |
| D414CC910E93E9E05942A5E6F94DA36777B444543E71761CF5E9ACFA547F7D6F | |
Enabled | 2014-06-25 09:05:30 | 2014-06-26 14:49:35 |
+------------------------------------------------------------------+----------------+-
--------+---------------------+---------------------+
Sample information:
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
| Create Time | File Name |
File Type | File Size | Malicious | Status |
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
| 2014-08-04 11:49:41 | 25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf |
Adobe Flash File | 64502 | No | analysis complete |
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
Session information:
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
| Create Time | Src IP | Src Port | Dst IP | Dst Port | File
| Device ID | App |
Malicious | Status |
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
| 2014-08-04 11:49:41 | 10.10.10.50 | 80 | 192.168.2.10 | 64108 |
25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf | 001606000114 | flash |
No | completed |
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
Analysis information:
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
| Submit Time | Start Time | Finish Time | Malicious | VM Image
| Status |
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
| 2014-08-04 11:49:41 | 2014-08-04 11:49:41 | 2014-08-04 11:56:52 | No | Windows
7 x64 SP1, Adobe Reader 11, Flash 11, Office 2010 | completed |
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
Connection info:
Wildfire cloud: s1.wildfire.paloaltonetworks.com
Status: Idle
Submit sample: disabled
Submit report: disabled
Selected VM: vm-5
VM internet connection: disabled
VM network using Tor: disabled
Best server: s1.wildfire.paloaltonetworks.com
Device registered: yes
Service route IP address: 10.3.4.99
Signature verification: enable
Server selection: enable
Through a proxy: no
需要權限層級
superuser, superreader
測試 wildfire 登錄
說明
語法
test {
wildfire {
registration;
}
}
選項
無額外的選項。
範例輸出
需要權限層級
superuser, superreader