Tutoriale

Verificare si raportare Wildfire

Odata configurat serviciul de Wildfire , putem verifica ca in mai multe feluri functionalitatea :

Prin CLI :

debug wildfire upload-log show

In exemplul de mai sus avem un fisier uploadat (wildfire-test-pe-file.exe) care a fost uploadat si se asteapta verdictul ,  executabilul prin care se face update la chrome a fost downloadat de PC, upload-ul a fost skipped datorita faptului ca fisierul deja exista in baza de date Wildfire si verdictul a venit ca si benign si inca un fisier exe md5sum.exe care la fel ,  exista deja in baza de date Wildfire si nu a fost uploadat.

Trebuie neaparat de retinut ca Wildfire NU blocheaza fisiere , si nu intervine asupra transferului de fisiere ,in sensul ca in momentul in care dorim sa facem un download/upload a unui fisier , aceasta operatie v-a reusi indiferent daca fisierul e malitios sau nu.
Wildfire practic ofera vizibilitate in ceea ce privesc fisierele si URL-urile si aceste informatii sunt utile echipelor de security / helpdesk . Pentru blocarea URL-urilor si fisiereor malitioase se folosesc profilele de Antivirus / URL Filtering.

De notat ca pentru a afla verdictul pentru un fisier uploadat in Wildfire poate dura timp  (chiar si 20 de minute pana vom putea sa vedem rezultatul)

Verdictul se poate vedea prin GUI :

Monitor – Logs – Wildfire .

Dupa cum vedem mai sus fisierul wildfire-test-pe-file a fost identificatr ca si malicios si vedem ca a fost descarcat de PC-ul cu IP-ul 10.0.0.3 . In cazul in care avem User-ID vom putea vedea numele user-ului care a descarcat fisierul.

Pentru o analiza detailata click pe inconita „magnifying glass”

Putina lume care utilizeaza Wildfire stie ca accesand portalul wildfire.paloaltonetworks.com (e nevoie de account) se pot vedea toate fisierele uploadate si genera raporturi direct din cloud ,inclusiv puteti uploada sample-uri de fisiere pentru a fi analizate.

 

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *