Contenido - Palo Alto Networks
Contents
1. O Disable Server Response Inspection rie blocking WildFire File Block Profile alae 3 Config Audit Ba Admin Roles URL Filtering EQ password Profiles 8 Administrators URL Continue Timeout min 15 BUser Identification URL Admin Override Timeout min 15 High Availability URL Admin Lockout Timeout min 30 Certificate ee x forwarded for I Certificates I Certificate Profile E OCSP Responder Response Pages 72 Guia del administrador de WildFire Elaboracion de informes de WildFire WildFire en acci n Caso de ejemplo de WildFire Continuaci n Paso 4 En este momento WildFire ha recibido el archivo y est analizandolo en busca de m s de 100 comportamientos malintencionados distintos Para ver que el archivo se ha reenviado correctamente consulte Supervisar gt Logs gt Filtrado de datos en el cortafuegos paloalto NETWORKS Dashboard Monitor Policies Objects Network Device i le Logs B Traffic EJ Threat ES URL Filtering E WildFire 04 11 15 06 43 sales tool exe Windows Executable EXE l3 vlan dropbox trust l3 untrust 192 168 2 10 63356 forward 04 11 15 06 43 sales tool exe Microsoft PE File l3 untrust l3 vlan 192 168 2 10 63856 dropbox forward HIP Match gt trust p Y amp Configuration 04 11 15 06 39 sales tool exe J Microsoft PE File 3 untrust l3 vlan 192 168 2 10 63856 dropbox wildfire upload succes trust ER cu2. check ORs en download version lt value gt OR as file lt value gt OR su install version lt value gt OR file lt value gt load config lt value gt OR raid remove lt value gt OR copy from lt value gt to lt value gt OR add REPEAT lt name gt force no format OR ee password hash Guia del administrador de WildFire Comandos del modo de operaci n 97 Comandos del modo de operaci n 98 password lt value gt username lt value gt OR commit lock add comment lt value gt OR sia remove admin lt value gt OR saz config lock add comment lt value gt OR saa remove OR tech support dump ORs a stats dump OR shutdown system OR system software info OR check OR unia download version lt value gt OR file lt value gt OR wed install version lt value gt OR file lt value gt load config lt value gt Referencia de la CLI del software del dispositivo WildFire Guia del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire OR license info ORs ss fetch auth code lt value gt OR install lt value gt OR restart system OR software OR support info OR check check pending changes OR data access passwd
3. support paloaltonetworks com 3 Registre el dispositivo de la siguiente forma Si es el primer dispositivo de Palo Alto Networks que registra y a n no tiene un inicio de sesi n haga clic en Registrar en el lado derecho de la p gina Para el registro debe proporcionar una direcci n de correo electr nico y el n mero de serie del dispositivo Cuando se le solicite establezca un nombre de usuario y una contrase a para acceder a la comunidad de asistencia t cnica de Palo Alto Networks Con las cuentas existentes solo tiene que iniciar sesi n y hacer clic en Mis dispositivos Despl cese hasta la secci n Registrar dispositivo en la parte inferior de la pantalla e introduzca el numero de serie del dispositivo su ciudad y su c digo postal y haga clic en Registrar dispositivo 18 Gu a del administrador de WildFire Analisis de archivo de WF 500 Configuraci n del dispositivo WF 500 WildFire Integraci n del dispositivo WF 500 en una red Continuaci n Paso 3 Restablezca la contrase a del 1 Inicie sesi n en el dispositivo con un cliente de SSH o administrador usando el puerto de la consola Introduzca un nombre de usuario contrase a de administrador administradot 2 Establezca una nueva contrase a ejecutando el comando admin WF 500 set password 3 Introduzca la contrase a anterior pulse Intro y a continuaci n introduzca y confirme la nueva contrase a No hay necesidad de compilar la confi
4. Palo Alto Networks PAN OS y Panorama son marcas comerciales de Palo Alto Networks Inc Todas las dem s marcas comerciales son propiedad de sus respectivos propietarios Numero de pieza 810 000216 00A Contenido Descripci n general de WildFire 2 2icscacteesterachecteveeeaaees saad 1 C mo funciona WildFiters os cos rarrria eR Eee EAH PEERED EP ESTERASE PAO LAER Bee ES 2 Qu tipos de archivos puede analizar WildFire n nunn nunan eee eee nee 5 C mo puedo ver informes en archivos analizados por WildFire unus s eee eee 6 Qu acciones debo tomar despu s de que se detecte malware 6 ee eee eee 7 Qu implementaciones est n disponibles 0 eee nent eee eee 8 Cu ntos archivos puede reenviar el cortafuegos a WildFire 2 0 6 eee eee 10 Cu les son las ventajas de la suscripci n de WildFire 0 0 cee cece eee 11 Desde d nde puedo acceder a un archivo de muestra de malware para su prueba o oo ooooo 13 Analisis de archivo de WFO00 cscicrc narrrrrarapepepecretarrsid 15 Acerca del dispositivo WF 500 WildFire oooooocococooccocnccco ete eee eee n eens 16 Configuraci n del dispositivo WF 500 WildFire 0 cece eee ees 17 Antes de COMENTA corri isons eRe ERR E Eee S pHi Tee Peon EES SESE TEES 17 Realizaci n de la configuraci n inicial de WF 500 2 0 cece 18 Verificaci n de la configuraci n del dispositivo WF 500 WildFire oooooooooooooccccocooo 22 Configuraci n de inter
5. recibiendo autom ticamente las firmas generadas por WildFire Nota Al configurar una programaci n de actualizaci n de firmas de WildFire debe introducir un valor distinto de cero en el campo Minutos pasada la hora hb Seleccione Dispositivo gt Actualizaciones din micas 2 Aseg rese de que el antivirus las aplicaciones y amenazas y WildFire tienen las actualizaciones m s recientes y que se ha establecido la programaci n para cada elemento Escalone la programaci n de las actualizaciones porque solo se puede realizar una cada vez 3 Haga clic en Comprobar ahora en la parte inferior de las ventanas para ver si hay alguna actualizaci n disponible lo que tambi n confirma que el cortafuegos se puede comunicar con updates paloaltonetworks com Si el cortafuegos no tiene conectividad con el servidor de actualizacion descargue las actualizaciones directamente desde Palo Alto Networks Inicie sesi n en https support paloaltonetworks com y en la secci n Dispositivos gestionados haga clic en Actualizaciones din micas para ver las actualizaciones disponibles Para obtener m s informaci n sobre las actualizaciones din micas consulte la secci n Gesti n de la actualizaci n de contenidos de la Palo Alto Networks Getting Started Guide Gu a de inicio de Palo Alto Networks Paso 8 Para comprobar el estado de registro y las estad sticas de cortafuegos que reenvien archivos a un dispositivo de WildFire con
6. Modos de comando de la CLI Convenciones de comandos de la CLI del software del dispositivo WildFire El mensaje de comandos basico incluye el nombre de usuario y de host del dispositivo username hostname gt Ejemplo msimpson wf corp1 gt Al entrar en el modo de configuraci n el mensaje cambia de gt a username hostname gt modo de operaci n username hostname gt configure Entering configuration mode edit username hostname gt modo de configuraci n En el modo de configuraci n el contexto de jerarqu a actual se muestra en el titular editar que aparece entre corchetes cuando se emite un comando Mensajes de comandos de la CLI Pueden aparecer mensajes al emitir un comando Los mensajes ofrecen informaci n de contexto y pueden ayudar a corregir comandos no v lidos En los siguientes ejemplos el mensaje se muestra en negrita Ejemplo Comando desconocido username hostname application group Unknown command application group edit network username hostname Ejemplo Modos de cambio username hostname exit Exiting configuration mode username hostname gt Ejemplo Sintaxis no v lida username hostname gt debug 17 Unrecognized command Invalid syntax username hostname gt La CLI comprueba la sintaxis de cada comando Si la sintaxis es correcta se ejecuta el comando y se registran los cambios de la jerarquia del candidato Si la sintaxis no es correcta aparece un mensaje de sintaxis no valida
7. Nota Tambi n puede reenviar registros a Panorama y servidores Syslog o enviar traps SNMP Seleccione la casilla de verificaci n en la columna de Panorama para habilitarlo o seleccione un perfil para destinos de SNMP o Syslog Paso 4 Aplique el perfil de reenv o de logs al perfil de seguridad que contiene el perfil de bloqueo de archivos Seleccione Pol ticas gt Seguridad y haga clic en la pol tica usada para el reenv o de WildFire En la secci n Ajuste de log de la pesta a Acciones haga clic en el men desplegable Reenv o de logs y seleccione el nuevo perfil de reenv o de logs En este ejemplo el perfil se denomina WildFire Reenvio Log Haga clic en ACEPTAR para guardar los cambios y a continuaci n haga clic en Compilar para confirmar la configuraci n Ahora los registros de WildFire se reenviar n a las direcciones de correo electr nico definidas en el perfil de correo electr nico Gu a del administrador de WildFire 69 Configuraci n de alertas para el malware detectado Elaboraci n de informes de WildFire Configuraci n de alertas de correo electr nico para malware Continuaci n Paso 5 Nota Solo PA 7050 Si est configurando un cortafuegos PA 7050 debe configurarse un puerto en uno de los NPC con el tipo de interfaz Tarjeta de logs Esto se debe alas funciones de tr fico creaci n de logs del PA 7050 para evitar saturar el puerto MGT Cuando el puerto de datos est
8. Utilice el siguiente comando para comprobar las estad sticas y determinar si los valores han aumentado admin PA 200 gt show wildfire statistics Este es el resultado de un cortafuegos en funcionamiento Si no aparece ningun valor el cortafuegos no esta reenviando archivos Packet based counters Total msg rcvd Total bytes rcvd Total msg read Total bytes read Total files received from DP 2 Counters for file cancellation Counters for file forwarding file type apk file type pdf file type ms office file type pe file type jar file type unknown file type pdns Error counters FWD_ERR UNKNOWN_QUERY RESPONSE FWD_ERR_CONN_FATL Reset counters DP receiver reset cnt File cache reset cnt Service connection reset Log cache reset cnt Report cache reset cnt Resource meters data _buf meter msg_buf meter ctrl msg buf meter File forwarding queues priority 1 size 0 priority 2 size 0 599 480074 599 465698 FWD CNT LOCAL FILE 1 FWD CNT REMOTE FILE 1 FWD CNT LOCAL FILE 1 FWD CNT REMOTE DUP CLEAN 1 o e cnt WWRHWN ooo AP A a 36 Gu a del administrador de WildFire Analisis de archivo de WF 500 Reenvio de archivos a un dispositivo WF 500 WildFire Comprobaci n de la configuraci n de WildFire en el cortafuegos Continuaci n Paso 7 Compruebe el estado de las actualizaciones din micas y las programaciones para asegurarse de que el cortafuegos est
9. como en el siguiente ejemplo username hostname set deviceconfig setting wildfire auto submit yes 80 Guia del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Acceso a la CLI Unrecognized command Invalid syntax edit username hostname Acceso a los modos de operaci n y configuraci n Al iniciar sesi n la CLI del software del dispositivo WildFire se abre en el modo de operaci n Puede alternar entre los modos de operaci n y navegaci n en cualquier momento e Para entrar en el modo de configuraci n desde el modo de operaci n use el comando configurar username hostname gt configure Entering configuration mode edit username hostname e Para salir del modo de configuraci n y regresar al modo de operaci n use el comando abandonar o el comando salir username hostname quit Exiting configuration mode username hostname gt Para introducir un comando del modo de operaci n mientras esta en el modo de configuraci n use el comando run Por ejemplo para mostrar recursos del sistema desde el modo de configuraci n use run show system resources Mostrar opciones de comandos de la CLI del software del dispositivo WildFire Use o Meta H para mostrar una lista de opciones de comandos basada en el contexto e Para mostrar una lista de comandos de operaci n introduzca en el mensaje del comando username hostname gt clear Clear runtime parameters configure Ma
10. la acci n de reenv o en los registros de filtrado de datos Despu s de que WildFire analiza el archivo si el veredicto es malware los resultados se devolver n al cortafuegos y aparecer n en los registros de WildFire se requiere suscripci n a WildFire Para registrar archivos con el veredicto benigno deshabilitados de manera predeterminada ejecute el comando de la CLI set deviceconfig setting wildfire report benign file Puede encontrar el informe de an lisis detallado de cada archivo en el log correspondiente de WildFire para ello haga clic en el bot n Ver informe de WildFire El informe se obtendr entonces del dispositivo WildFire o de la nube de WildFire Los informes tambi n pueden visualizarse desde el portal de WildFire en https wildfire paloaltonetworks com Si sus cortafuegos reenv an archivos a un dispositivo WildFire para su an lisis los resultados del log solo pueden verse desde el cortafuegos no hay un acceso directo de portal web al dispositivo e Logs de acci n de reenv o Los logs de filtrado de datos ubicados en Supervisar gt Logs gt Filtrado de datos mostrar n los archivos que se han bloqueado reenviado en funci n del perfil de bloqueo del archivo Para determinar qu archivos se han reenviado a WildFire busque los siguientes valores en la columna Action Acci n del log wildfire upload success El archivo se envi a la nube de WildFire un dispositivo de WildFire Esto significa que el ar
11. nicamente puede utilizarse con la nube p blica no con un dispositivo WF 500 privado Se puede realizar un env o manual de muestras en la nube p blica a trav s del portal web wildfire paloaltonetworks com Con el dispositivo WF 500 no hay ning n portal as que los registros recibidos desde la aplicaci n contendr n un enlace en el que se podr hacer clic para enviar manualmente la muestra a la nube p blica A continuaci n la muestra se analizar y se generar una firma si se determina que la muestra es malintencionada Esto resulta de utilidad si el env o autom tico no est habilitado 8 Gu a del administrador de WildFire Descripci n general de WildFire Qu implementaciones est n disponibles Varias m quinas virtuales se ejecutan en la nube de WildFire y representar n una variedad de sistemas operativos y aplicaciones que se utilizan al ejecutar archivos de muestra En el dispositivo WF 500 hay varias m quinas virtuales disponibles pero solamente se puede seleccionar una para el an lisis de archivos Al seleccionar qu m quina virtual desea utilizar puede revisar qu hay instalado y seleccionar la m quina virtual que mejor se adapte a su entorno Para obtener informaci n sobre c mo visualizar y seleccionar la m quina virtual consulte Realizaci n de la configuraci n inicial de WF 500 Gu a del administrador de WildFire Cu ntos archivos puede reenviar el cortafuegos a WildFire Descripci n gener
12. system save config to lt value gt load config key lt value gt last saved ORs from lt value gt OR version lt value gt 1 1048576 ORs ua partial from lt value gt from xpath lt value gt Guia del administrador de WildFire Comandos del modo de operaci n 99 Comandos del modo de operaci n to xpath lt value gt mode merge replace append OR device state load config key lt value gt last saved ORs from lt value gt OR version lt value gt OR se partial from lt value gt from xpath lt value gt to xpath lt value gt mode merge replace append OR repo device lt value gt file lt value gt OR version lt value gt delete config saved lt value gt OR cja repo device lt value gt file lt value gt ORo si running config OR software image lt value gt OR version lt value gt 100 Referencia de la CLI del software del dispositivo WildFire Guia del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire clear job id 0 4294967295 OR log config OR system OR counter device show arp management ethernet1 1 ethernet1 2 all OR neighbor management ethernet1 1 ethernet1 2 all OR web server log level OR config diff OR running xpath lt v
13. username hostname Guia del administrador de WildFire 87 Modos de comando de la CLI Referencia de la CLI del software del dispositivo WildFire deviceconfig setting system default gateway ou oun dns setting ane servers primary secondary 10 0 0 246 Navegacion por la jerarquia El titular editar presentado a continuaci n de la linea del s mbolo de sistema del modo de configuraci n muestra el contexto de jerarqu a actual editar indica que el contexto relativo es el m ximo nivel de la jerarqu a mientras que editar deviceconfig indica que el contexto relativo est al nivel de deviceconfig Use los comandos de la lista para navegar por la jerarqu a de configuraci n edit Establece el contexto para la configuraci n dentro de la jerarqu a de comandos up Cambia el contexto al nivel superior de la jerarqu a top Cambia el contexto al nivel m s alto de la jerarqu a Si se emite el comando establecer despu s de usar los comandos up y top se inicia desde un nuevo contexto 88 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Modos de comando de la CLI Acerca del modo de operaci n La primera vez que se inicia sesi n en el dispositivo la CLI del software del dispositivo WildFire se abre en el modo de operaci n Los comandos del modo de operaci n tienen que ver con acciones que se ejecutan inmediatamente No suponen cambios e
14. Compile la configuraci n para activar la nueva configuraci n del puerto de gesti n externo MGT admin WF 500 commit Conecte el puerto de la interfaz de gesti n a un conmutador de ted Vuelva a ubicar el PC de gesti n en la red corporativa o en cualquier red necesaria para acceder al dispositivo en la red de gesti n 7 Desde el ordenador de gesti n con ctese a la nueva direcci n IP o nombre de host del puerto de gesti n del dispositivo usando un cliente SSH En este ejemplo la nueva direcci n IP es 10 10 0 5 Gu a del administrador de WildFire 19 Configuraci n del dispositivo WF 500 WildFire Analisis de archivo de WF 500 Integraci n del dispositivo WF 500 en una red Continuaci n Paso 5 Opcional Configure cuentas de usuario En este ejemplo crearemos una cuenta de superlector para el usuario adicionales para gestionar el dispositivo bsimpson WildFire Se pueden asignar dos 1 Introduzca el modo de configuraci n ejecutando el siguiente funciones superusuario y superlector comando El superusuario es equivalente al admin WF 500 gt configure administrador pero el superlector solo gt Para crear la cuenta de usuario introduzca el siguiente comando tiene acceso de lectura gt admin WF 500 set mgt config users bsimpson lt password gt Introduzca y confirme la nueva contrase a 4 Para asignar la funci n de superlector introduzca el siguiente comando y a continuaci
15. Por ejemplo si el cortafuegos est definido para sondear actualizaciones de firmas de WildFire cada 30 minutos puede que no reciba una firma de uno de los archivos enviados hasta el segundo intervalo de sondeo despu s de que se detecte debido al tiempo que tarda en generarse la firma Si el cortafuegos solo tiene una suscripci n de Threat Prevention seguir recibiendo firmas generadas por WildFire despu s de que las firmas de WildFire entren en las actualizaciones del antivirus que se producen cada 24 48 horas Para los archivos analizados por un dispositivo WF 500 WildFire solamente se pueden generar firmas para malware detectado en su ted si ha habilitado expl citamente la funci n de env o autom tico a menos que el mismo malware haya sido detectado por otro cliente y se haya enviado la misma muestra a la nube p blica de WildFire Si el env o autom tico est habilitado el dispositivo reenviara todo el malware detectado a la nube de Palo Alto Networks WildFire donde se usar para generar una firma de antivirus para detectar y bloquear futuras instancias de malware e Compatibilidad con tipos de archivos avanzados de WildFire Adem s de los archivos PE una suscripci n permite que el cortafuegos tambi n reenv e los siguientes tipos de archivos avanzados APK PDF Microsoft Office y Java Applet Gu a del administrador de WildFire 11 Cu les son las ventajas de la suscripci n de WildFire Descripci n general de Wild
16. configurado como tipo Tarjeta de logs el reenv o de logs y el reenv o de archivos de WildFire se enviar a trav s de dicho puerto en vez de utilizar la ruta de servicio predeterminada Este puerto se utilizar por la tarjeta de logs directamente y actuar como un puerto de reenv o de logs para Syslog Correo electr nico SNMP y reenvio de archivos de WildFire Tras configurar el puerto el reenv o de archivos de WildFire utilizar este puerto as como los siguientes tipos de logs tr fico coincidencias HIP amenazas y logs de WildFire Si el puerto no est configurado se mostrar un error de compilaci n y solo se podr configurar un puerto con el tipo Tarjeta de logs El PA 7050 no reenv a logs a Panorama Panorama solo consultar la tarjeta de logs del PA 7050 para obtener informaci n 1 Seleccione Red gt Interfaces y localice un puerto disponible en un NPC Seleccione el puerto y cambie el Tipo de interfaz Tarjeta de logs En la ficha Reenv o de tarjetas de logs introduzca la informaci n de IP Pv4 y o IPv6 para la red que se utilizar para comunicarse con los sistemas que recibir n logs Por ejemplo Servidores Syslog y servidores de correo electr nico Para garantizar la conectividad para el reenv o de archivos de WildFire a la nube de WildFire o un dispositivo WildFire como el WF 500 Conecte el puerto que acaba de configurar a un conmutador o enrutador No es necesario realizar ninguna
17. mero maximo de cargas por d a 422 Error de descarga de URL 500 Error interno Ejemplos de c digo para el env o de archivos El siguiente comando cURL muestra c mo enviar un archivo a WildFire utilizando el m todo de env o de archivos curl k F apikey yourAPlkey F file local file path https wildfire paloaltonetworks com publicapi submit file El siguiente ejemplo de c digo Shell muestra un comando simple para enviar un archivo a la API de WildFire para su an lisis La clave API se proporciona como el primer par metro y la ruta del archivo es el segundo par metro manual upload sample to WildFire with APIKEY HParameter 1 APIKEY Parameter 2 location of the file key 1 file 2 usr bin curl i k F apikey key F file file https wildfire paloaltonetworks com submit file El siguiente comando cURL muestra c mo enviar un archivo a WildFire utilizando el m todo de env o de URL curl k F apikey yourAPIkey F url URL https wildfire paloaltonetworks com publicapi submit url Consulta de un informe PDF o XML de WildFire Utilice el m todo de obtenci n de informe para buscar un informe XML o PDF de los resultados del an lisis de una muestra concreta Utilice el hash MD5 o SHA 256 del archivo de muestra como consulta de b squeda La tabla siguiente describe los atributos de la API necesarios para consultar informes URL https wildfire paloaltonetworks com publicapi get report M t
18. n por VSYS En esta situaci n seleccione Networks Dispositivo gt Sistemas virtuales haga clic en el sistema Nota Estopa virtual que desea modificar y seleccione la casilla de h verificaci n Permitir reenv o de contenido descifrado superusuario Paso 4 Adjunte el perfil de bloqueo de archivos a 1 Seleccione Pol ticas gt Seguridad una pol tica de seguridad 2 Haga clic en A adir para crear una nueva pol tica para las zonas a las que desea aplicar el reenv o de WildFire o seleccione una pol tica de seguridad existente 3 Enla pesta a Acciones seleccione el perfil Bloqueo de archivo en el men desplegable Nota Siesta regla de seguridad no tiene ning n perfil adjunto seleccione Perfiles en el men Tipo de perfil para habilitar la selecci n de un perfil de bloqueo de archivos Paso 5 Opcional Modifique el tama o m ximo 1 Seleccione Dispositivo gt Configuraci n gt WildFire del archivo permitido para cargar en 2 Haga clic en el icono de edici n Configuraci n general WildFire e i a Establezca el tamafio maximo que se enviara para cada tipo de archivo Paso 6 Opcional Modifique las opciones dela 1 Haga clic en el icono de edici n de Ajustes de informaci n de sesi n que definen qu informaci n de sesi n sesi n se debe registrar en los informes de 2 De forma predeterminada todos los elementos de informaci n an lisis de WildFire de la sesi n aparecer n en los informes Borre las casil
19. or simply drag and drop to the region below Your WildFire API key has 4597 sample uploads remaining for today The maximum supported file size is 10 MB The following file formats are supported at this time Windows Executables Portable Document Format PDF Microsoft Office files and Android APK files putty exe 483 3 KB PE32 executable Cierre el cuadro de di logo emergente Uploaded File Information Informaci n sobre archivo cargado 51 Carga de archivos en el portal de la nube de WildFire Analisis de archivo de la nube de WildFire Carga manual en WildFire Paso 2 Vea los resultados del an lisis WildFire 1 tardar unos 5 minutos en completar el 2 an lisis del archivo Nota Como no se asocia la carga manual con un cortafuegos espec fico las cargas manuales 3 aparecer n de forma separada de los cortafuegos registrados y no mostrar n informaci n de sesi n en los informes Actualice la p gina del portal en el navegador Aparecer un elemento de l nea Manual en la lista Dispositivo de la p gina del portal tambi n aparecer el resultado del an lisis como malware o no peligroso Haga clic en la palabra Manual La p gina del informe mostrar una lista de todos los archivos que se han cargado en su cuenta Encuentre el archivo cargado y haga clic en el icono de detalles a la izquierda del campo de fecha El portal muestra un informe completo del an lisis de archivo que detalla el com
20. 93 MITE aii dia ia 94 Comandos del modo d op racion vita Decio ca a a A ibi 96 test Wildfire registration siss erazrricr atado ir e ee aa TORS al 117 s t wildfire pPOttal ad ii e A ais 118 A A A A A 119 show wildfire iia a a a ba ib 120 show syster raid essa aia tl iii dae wins 124 Gu a del administrador de WildFire 77 7 Descripci n general de WildFire El malware moderno es el eje de la mayor a de los ataques a la red m s sofisticados de la actualidad y cada vez se personaliza m s para burlar las soluciones de seguridad tradicionales Palo Alto Networks ha desarrollado un enfoque integrado que se encarga de todo el ciclo de vida del malware lo que incluye la prevenci n de infecciones la identificaci n de malware de d a cero es decir malware que no han identificado anteriormente otros proveedores de antivirus o malware espec fico dirigido a un sector o corporaci n concretos as como la localizaci n y eliminaci n de infecciones activas El motor de WildFire de Palo Alto Networks expone el malware espec fico y de d a cero mediante la observaci n directa en un entorno virtual en el sistema WildFire La funcionalidad WildFire hace adem s un uso extensivo de la tecnolog a App ID de Palo Alto Networks identificando las transferencias de archivos en todas las aplicaciones no solo en los archivos adjuntos del correo electr nico o en las descargas de archivos del explorador Las principales ventajas de la funciona
21. Networks y esta mantenido por este Cuando WildFire detecta un nuevo malware genera nuevas firmas en la hora pr xima a la detecci n Los cortafuegos equipados con una suscripci n de WildFire pueden recibir las nuevas firmas en los siguientes 30 60 minutos los cortafuegos con solo una suscripci n de Threat Prevention pueden recibir las nuevas firmas en la siguiente actualizaci n de firma del antivirus en las pr ximas 24 48 horas Los servidores de nube de WildFire disponibles son wildfire public cloud para la nube de WildFire alojada en EE UU ywildfire paloaltonetworks jp para la nube de WildFire alojada en Jap n Puede que desee utilizar el servidor japon s si no desea que se env en archivos benignos a los servidores de nube estadounidenses Si se determina que un archivo enviado a la nube de Jap n es malintencionado este se reenviar a los servidores de EE UU donde se volver a analizar y se generar n las firmas Si se encuentra en la regi n de Jap n puede que tambi n experimente una respuesta m s r pida en los env os de muestras y la generaci n de informes Tambi n se puede configurar Panorama para la nube de Jap n e Dispositivo de WildFire En esta implementaci n instalar un dispositivo WF 500 WildFire en su red empresarial y configurar sus cortafuegos para que reenv en los archivos a este dispositivo en lugar de a la nube de WildFire de Palo Alto Networks opci n predeterminada Esta implementaci n impide q
22. Para empezar a enviar archivos desde un cortafuegos consulte Reenvio de archivos a un dispositivo WF 500 WildFire e Para actualizar el software del dispositivo WildFire consulte Actualizaci n del software del dispositivo WF 500 WildFire e Para configurar la interfaz vm que utiliza el dispositivo como parte de su an lisis de malware consulte Configuraci n de interfaz de la m quina virtual Verificaci n de la configuraci n del dispositivo WF 500 WildFire En esta secci n se describen los pasos necesarios para verificar la configuraci n del dispositivo WildFire para garantizar que est listo para recibir archivos desde un cortafuegos de Palo Alto Networks Para obtener informaci n m s detallada sobre los comandos de la CLI a los que se hace referencia en este flujo de trabajo consulte Referencia de la CLI del software del dispositivo WildFire 22 Gu a del administrador de WildFire Analisis de archivo de WF 500 Configuraci n del dispositivo WF 500 WildFire Verificaci n de la configuraci n del dispositivo de WildFire Paso 1 Compruebe que el dispositivo est registrado y que la licencia se ha activado Inicie una sesi n SSH en la interfaz de gesti n del dispositivo Desde la CLI introduzca el siguiente comando admin WF 500 gt request license info Compruebe que la licencia es v lida y que el valor del campo Expired aparece como no Por ejemplo Feature Premium Description 24x7 phone suppor
23. Submit Time Start Time Finish Time Malicious Status Sa a a a le tl aa FS SSS SSS Se Sse PRR S SS He aaa SS eee ses fa SSS sea a meat 2013 03 07 10 22 01 2013 03 07 10 22 01 2013 03 07 10 27 02 No completed Ri cl na foe SSeS eee le Bm Sie A RA esi pS Rie ie PA ia 3 admin wf corp1l gt show wildfire statistics days 7 Last one hour statistics Total sessions submitted Samples submitted Samples analyzed Samples pending Samples malicious Samples benign Samples error Malware sent to cloud OOOO OOO Oo Last 7 days statistics Total sessions submitted 2 Samples submitted Samples analyzed Samples pending Samples malicious Samples benign Samples error Malware sent to cloud O O wU OO WW Ww admin wf corpl gt show wildfire status Connection info Gu a del administrador de WildFire 123 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire Wildfire cloud wildfire public cloud Status Idle Auto Submit disabled VM internet connection disabled Best server Device registered no Service route IP address 192 168 2 20 Signature verification enable Server selection enable Through a proxy no Nivel de privilegios requerido superuser superreader show system raid Descripci n Muestra la configuraci n RAID del dispositivo El dispositivo WF 500 WildFire se entrega con cuatro unidades en las cuatro primeras bah as de
24. WildFire Referencia de la CLI del software del dispositivo WildFire secure proxy user lt value gt secure proxy password lt value gt service disable ssh yes no disable icmp yes no setting wildfire active vm auto submit yes no cloud server lt value gt vm network enable yes no vm network use tor management admin lockout failed attempts 0 10 lockout time 0 60 idle timeout 1 1440 mgt config users REPEAT lt name gt phash lt value gt permissions role based superreader yes OR superuser yes predefined shared log settings system informational send syslog using syslog setting lt value gt low Guia del administrador de WildFire Comandos del modo de configuraci n 91 Comandos del modo de configuraci n Referencia de la CLI del software del dispositivo WildFire send syslog using syslog setting lt value gt medium send syslog using syslog setting lt value gt high send syslog using syslog setting lt value gt critical send syslog using syslog setting lt value gt config any send syslog using syslog setting lt value gt syslog REPEAT lt name gt server REPEAT lt name gt server lt value gt port 1 65535 facility LOG_USER LOG_LOCALO LOG_LOCAL1 LOG_LOCAL2 LOG_LOCAL3 LOG_LOCAL4 LOG_LOCAL5 LOG_LOCAL6 LOG_LOCAL7
25. archivos admitidos que los usuarios intenten descargar durante una sesi n de navegaci n web El reenv o de archivos cifrados tambi n es compatible siempre que el cifrado SSL est configurado en el cortafuegos y la opci n de reenviar archivos cifrados est activada Si sus cortafuegos est n gestionados por Panorama simplifique la administraci n de WildFire usando plantillas de Panorama para introducir la informaci n del servidor WildFire el tama o de archivo permitido y los ajustes de informaci n de la sesi n en los cortafuegos Utilice los grupos de dispositivos de Panorama para configurar e introducir los perfiles de bloqueo de los archivos y las reglas de las pol ticas de seguridad En cuanto a PAN 6 0 cuando el cortafuegos reenvie archivos a WildFire los registros de WildFire devueltos por el servidor Wild Fire contendr n informaci n sobre el servidor WildFire que analiz el archivo Esto significa que cuando visualice registros de WildFire desde Panorama podr recuperar el informe desde varios sistemas de WildFire nube de WildFire dispositivo WF 500 y o la nube de WildFire de Jap n En versiones anteriores el ajuste del servidor WildFire en Panorama ten a que coincidir con el ajuste del servidor WildFire configurado en cada cortafuegos gestionado Si hay un cortafuegos entre el cortafuegos que est reenviando los archivos a WildFire y la nube de WildFire o el dispositivo WildFire aseg rese de que el cortafuegos intermedi
26. coincida con este perfil a WildFire para su an lisis tipo de archivo individual tambi n se adem s de distribuir el archivo al usuario garantiza que como la compatibilidad con e Continuar y reenviar se le indica al usuario que debe hacer clic da NS upo archivo e a ade FIR en Continuar antes de que se produzca la descarga y que se categoria espec fica autom ticamente reenvie el archivo a WildFire Como aqu se necesita de la acci n pasar a formar parte del perfil de bloqueo del usuario en un navegador web solo es compatible con del archivo Si selecciona Cualquiera todos aplicaciones de navegaci n web los tipos de archivos admitidos se reenviar n a WildFire Nota Cuando utilice Continuar y reenviar aseg rese de que la interfaz de entrada la que recibe en primer lugar el tr fico para sus usuarios tiene un perfil de gesti n adjunto que permite p ginas de respuesta Para configurar un perfil de gesti n seleccione Red gt Perfiles de red gt Gesti n de interfaz y seleccione la casilla de verificaci n P ginas de respuesta Instale el perfil de gesti n en la pesta a Avanzado en la configuraci n de la interfaz de entrada 8 Haga clic en ACEPTAR para guardar los cambios Paso 4 Para reenviar archivos a WildFire desde 1 Seleccione Dispositivo gt Configuraci n gt ID de contenido sitios web usando el cifrado SSL habilite el 2 Haga clic en el icono de edici n de las opciones Filtrado de URL y sie Pa FES a o habi
27. de WildFire completa el an lisis genera un informe experto detallado que resume los comportamientos observados y asigna un veredicto para indicar si se trata de malware o no Para los archivos que se determina que son malintencionados WildFire genera autom ticamente una firma basada en la carga til de malware de la muestra y comprueba su precisi n y seguridad Dado que el malware evoluciona r pidamente las firmas que genera WildFire cubrir n diversas variantes de este La nueva firma se distribuye entonces en 30 60 minutos a todos los cortafuegos de Palo Alto Networks con una suscripci n de WildFire o el d a siguiente como parte de la actualizaci n del antivirus para los cortafuegos que solo tienen una suscripci n de Threat Prevention En cuanto el cortafuegos se actualiza con la nueva firma los archivos que contienen ese malware o una variante de este se eliminar n autom ticamente La informaci n recopilada por WildFire durante el an lisis del malware tambi n se usa para fortalecer otras funciones de Threat Prevention como las categor as de URL de malware PAN DB las firmas DNS y las firmas antispyware y antivirus Palo Alto Networks tambi n desarrolla firmas para el tr fico de comandos y control lo que permite la interrupci n inmediata de la comunicaci n de cualquier tipo de malware en la red Si desea m s informaci n sobre las ventajas de tener una suscripci n de WildFire consulte Cu les son las ventajas de la suscripci
28. de programa el nombre de mutex y el proceso principal se registrar n en este campo e L nea temporal de actividad Proporciona una lista por reproducci n de toda la actividad registrada de la muestra Esto ayudar a comprender la secuencia de eventos que se produjeron durante el an lisis Nota La informaci n de l nea temporal de actividad solamente est disponible en la exportaci n a PDF de los informes de WildFire Veredicto incorrecto de informe Haga clic en este enlace para enviar la muestra al equipo de amenazas de Palo Alto Networks si cree que el veredicto es un falso positivo o un falso negativo El equipo de amenazas realizar m s an lisis en la muestra para determinar si deber a volver a clasificarse Si se determina que una muestra de malware es segura la firma del archivo se deshabilitar en una actualizaci n de firma de antivirus futura o si se determina que un archivo benigno es malintencionado se generar una nueva firma Cuando se haya completado la investigaci n se enviar un correo electr nico al remitente si se proporciona una direcci n de correo electr nico sobre el estado de la investigaci n Gu a del administrador de WildFire 67 Configuraci n de alertas para el malware detectado Elaboraci n de informes de WildFire Configuraci n de alertas para el malware detectado Esta secci n describe los pasos necesarios para configurar un cortafuegos de Palo Alto Networks para enviar una alert
29. de un archivo a la nube de WildFire usando el m todo de envio de archivo La API de WildFire se puede utilizar para enviar todos los tipos de archivos compatibles APK PE PDE Microsoft Office y Java Applet Al enviar es necesario el archivo y la clave API para que WildFire abra el archivo en un entorno aislado y lo analice en busca de comportamientos potencialmente malintencionados El m todo de env o de archivo devuelve c digo que un indica un estado satisfactorio o err neo Si el resultado es un c digo 200 OK significa que el env o ha tenido xito y que el resultado estar disponible para su consulta en 5 minutos La tabla siguiente describe los atributos de la API necesarios para enviar archivos a la nube de WildFire utilizando el m todo de env o de archivos URL https wildfire paloaltonetworks com submit file M todo POST Par metros apikey Su clave API de WildFire file Archivo de muestra que se debe analizar Resultado 200 OK Indica que la acci n se ha realizado correctamente y que se devolver un informe 401 Unauthorized Clave API no v lida 405 Method Not Allowed Se ha utilizado un m todo distinto a POST 413 Request Entity Too Large Tama o de archivo de muestra sobre el l mite m ximo de 10 MB 418 Unsupported File Type No se admite el tipo de archivo de muestra 419 Max Request Reached Se ha superado el n mero m ximo de cargas por d a 500 Error interno 513 Error al c
30. direcciones URL involucradas en la entrega o en la actividad tel fono casa del archivo La siguiente tabla describe cada secci n que aparece en un informe de an lisis de WildFire t pico La organizaci n del informe puede variar en funci n de la versi n del software del dispositivo WildFire instalado en dicho dispositivo o de si los informes se ven desde la nube de WildFire El informe contendr parte o la totalidad de la siguiente informaci n en funci n de la informaci n de sesi n definida en el cortafuegos que reenvi el archivo y tambi n en funci n del comportamiento observado Al visualizar un informe de WildFire para un archivo que se ha cargado manualmente al portal de WildFire o mediante la API de WildFire el informe no mostrar informaci n de sesi n ya que no lo ha reenviado un cortafuegos Por ejemplo el informe no mostrar a atacante origen ni v ctima destino Descargar PDF e Este bot n se encuentra en la esquina superior derecha de cada informe Haga clic en el bot n para descargar una versi n PDF del informe de an lisis Informaci n del archivo e Tipo de archivo PE PDF APK JAR Class o MS Office Firmante de archivo Entidad que firm el archivo con el fin de autenticarlo e SHA 256 Muestra la informaci n SHA del archivo La informaci n SHA es muy similar a una huella digital que identifica exclusivamente un archivo para garantizar que este no se ha modificado de ninguna forma MD5 Muestr
31. dispositivo WildFire Modos de comando de la CLI Modos de comando de la CLI Esta secci n describe los modos usados para interactuar con la CLI del software del dispositivo WildFire A Acerca del modo de configuraci n A Acerca del modo de operaci n Acerca del modo de configuraci n Al introducir comandos en el modo de configuraci n se modifica la configuraci n del candidato La configuraci n del candidato modificada se almacena en la memoria del dispositivo y se conserva mientras el dispositivo est en funcionamiento Cada comando de configuraci n implica una acci n y tambi n puede incluir palabras clave opciones y valores En esta secci n se describen el modo de configuraci n y la jerarqu a de configuraci n A Uso de comandos del modo de configuraci n A Acerca de la jerarqu a de configuraci n A Navegaci n por la jerarqu a Uso de comandos del modo de configuraci n Use los siguientes comandos para almacenar y aplicar cambios de configuraci n e save Guarda la configuraci n del candidato en la memoria permanente del dispositivo La configuraci n guardada se conserva hasta que se vuelva a usar el comando guardar para sobrescribirla Tenga en cuenta que este comando no activa la configuraci n e commit Aplica la configuraci n del candidato al dispositivo Una configuraci n compilada vuelve activa la configuraci n del dispositivo e set Cambia un valor en la configuraci n del candidato e load Asign
32. est usando la representante de ventas y a continuaci n ponerse en contacto con el grupo de asistencia t cnica para que ayude al usuario a comprobar y limpiar el sistema Al usar el informe de an lisis detallado de WildFire el t cnico del grupo de asistencia t cnica puede determinar si el sistema del usuario est infectado con malware examinando los archivos los procesos y la informaci n de registro detallados en el informe del an lisis de WildFire Si se ha ejecutado el malware el t cnico puede intentar limpiar el sistema manualmente o volver a crear una imagen de este Para obtener detalles de los campos del informe de WildFire consulte Qu contienen los informes de WildFire Ilustraci n Vista parcial del informe de an lisis de WildFire en PDF 74 1 File Information A OOOO 0 o JA AAA AAA SHA256 CI ITA gt _ _____ File Size First Seen Timestamp 2013 09 26 23 45 24 UTC Pisco aami tabware Verdict Antivirus Coverage VirusTotal Information 2 Dynamic Analysis 2 1 VM1 Windows XP Adobe Reader 9 4 0 Flash 10 Office 2007 2 1 1 Behavioral Summary This sample was found to be malware on this virtual machine Changed security settings of Internet Explore Created an executable file in a user document folder 2 1 2 Network Activity Guia del administrador de WildFire Elaboracion de informes de WildFire WildFire en acci n Caso de ejemplo de WildFire Co
33. la CLI Se utilizar lo siguiente para este ejemplo admin WF 500 gt configure Direcci n IPv4 10 16 0 20 22 2 Establezca la informaci n de IP para la interfaz vm e Mascara de subred 255 255 252 0 admin WF 500 set deviceconfig system vm interface e Puerta de enlace predeterminada ip address 10 16 0 20 netmask 255 255 252 0 10 16 0 1 default gateway 10 16 0 1 dns server 10 0 0 246 o do Nota Solo se puede asignar un servidor DNS a la interfaz vm Nota La interfaz vm no puede estar en la misma Se recomienda utilizar el servidor NS del ISP o un servicio red que la interfaz de gesti n MGT DNS abierto Paso 2 Habilite la interfaz vm 1 Para habilitar la interfaz vm admin WF 500 set deviceconfig setting wildfire vm network enable yes 2 Confirme la configuraci n admin WF 500 commit Paso 3 Opcional Habilite la red Tor Cuando esta Para habilitar la red Tor ejecute el siguiente comando opci n est habilitada cualquier tr fico 1 admin WF 500 set deviceconfig setting wildfire malintencionado que provenga de los vm network use tor sistemas de elementos de aislamiento del 2 Confirme la configuraci n WF 500 durante el an lisis de muestras se admin WF 500 commit enviar a trav s de la red Tor La red Tor enmascarara su direcci n IP de cara al p blico de modo que los propietarios del sitio web malintencionado no puedan determinar la fuente del tr fico Paso 4 Continue en la siguiente secci n p
34. lisis al cortafuegos en el registro de env os de WildFire De forma predeterminada el dispositivo WF 500 no env a ning n archivo a la nube WildFire de Palo Alto Networks Sin embargo se debe enviar el malware a la nube p blica de WildFire para poder recibir las firmas del antivirus relacionadas con este software descubierto por el dispositivo El dispositivo WF 500 tiene una funci n de env o autom tico que solamente le permitir enviar el malware confirmado a la nube p blica para la generaci n de las firmas Las firmas se distribuyen entonces a todos los clientes que reciben actualizaciones de las firmas de WildFire y del antivirus de Palo Alto Networks Si no desea habilitar el env o autom tico los archivos de muestra se pueden descargar manualmente haciendo clic en el enlace de descarga de archivo del registro de env os de WildFire del cortafuegos en el rea de la pesta a de informe de an lisis de WildFire A continuaci n el archivo puede cargarse en el portal de WildFire en https wildfire paloaltonetworks com Puede configurar hasta 100 cortafuegos de Palo Alto Networks para que reenv en archivos a un nico dispositivo de WildFire Cada cortafuegos debe tener una suscripci n a WildFire v lida para reenviar archivos a un dispositivo de WildFire El dispositivo de WildFire tiene dos interfaces e MGT Recibe todos los archivos reenviados desde los cortafuegos y devuelve a los cortafuegos los logs que detallan los resultad
35. lt value gt certificate name lt value gt format pkcs12 pem OR 5 keypair from lt value gt Guia del administrador de WildFire Comandos del modo de operaci n 113 Comandos del modo de operaci n file lt value gt remote port 1 65535 source ip lt ip netmask gt passphrase lt value gt certificate name lt value gt format pkcs12 pem OR license from lt value gt file lt value gt remote port 1 65535 source ip lt ip netmask gt OR software from lt value gt file lt value gt remote port 1 65535 source ip lt ip netmask gt OR export 114 config bundle to lt value gt remote port 1 65535 source ip lt ip netmask gt OR core file control plane from lt value gt to lt value gt remote port 1 65535 source ip lt ip netmask gt OR device state to lt value gt remote port 1 65535 source ip lt ip netmask gt OR mgmt pcap from lt value gt to lt value gt remote port 1 65535 source ip lt ip netmask gt Referencia de la CLI del software del dispositivo WildFire Guia del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire configuration from lt value gt to lt value gt remote port 1 65535 source ip lt ip netmask gt OR tech support to lt value gt remote port 1 65535 source ip lt ip netmask gt OR log file manage
36. n pulse Intro admin WF 500 set mgt config users bsimpson permissions role based superreader yes Paso 6 Opcional Configure la autenticaci n 1 Cree un perfil de RADIUS mediante las opciones del comando RADIUS para el acceso del siguiente administrador Los pasos siguientes son admin WF 500 set shared server profile radius un resumen de d nde configurar lt profile name gt RADIUS en el dispositivo Configure el servidor de RADIUS y otros atributos 2 Despu s de configurar el perfil cree un perfil de autenticaci n admin WF 500 set shared authentication profile lt profile name gt method radius server profile lt server profile name gt 3 Despu s de configurar el perfil de autenticaci n asigne el perfil a una cuenta de administrador local del modo siguiente admin WF 500 set mgt config users username authentication profile authentication profile name gt Paso 7 Active el dispositivo con el c digo de 1 Vaya al modo de operaci n para ejecutar los siguientes autorizaci n de WildFire que ha recibido comandos de Palo Alto Netwotks admin WF 500 exit Nota El dispositivo WF 500 funcionar sin un 2 Obtenga e instale la licencia de WildFire c digo de autenticaci n pero las nuevas admin WF 500 gt request license fetch auth code actualizaciones de software no pueden lt auth code gt instalarse sin un c digo de autenticaci n 3 Pulse Intro para obtener e instalar la licencia v lido 4 Verifique la licencia admin WF 50
37. n de Threat Prevention proporciona acceso a actualizaciones semanales de contenido que incluyen protecci n frente a vulnerabilidades y firmas antispyware Para beneficiarse al completo del servicio WildFire cada cortafuegos debe tener una suscripci n de WildFire que ofrece las siguientes ventajas e Actualizaciones din micas de WildFire Nuevas firmas de malware con frecuencias inferiores a una hora Se pueden configurar en Dispositivo gt Actualizaciones din micas En la hora siguiente a la detecci n del nuevo malware WildFire crea una nueva firma de malware y la distribuye mediante las actualizaciones din micas de WildFire que el cortafuegos puede sondear cada 15 30 o 60 minutos El cortafuegos se puede configurar para que realice acciones espec ficas con respecto a las firmas de malware aparte de las acciones habituales de firma de antivirus del perfil de antivirus Las firmas de WildFire entregadas en la actualizaci n din mica incluyen las generadas para el malware detectado en archivos enviados a WildFire por todos los clientes de Palo Alto Networks WildFire no solo las muestras de archivos que env a el cortafuegos a WildFire Una firma de WildFire tarda aproximadamente de 30 a 60 minutos en generarse y en estar disponible para los suscriptores de WildFire despu s de que el malware se detecte Los cortafuegos equipados con una suscripci n de WildFire pueden sondear la existencia de nuevas firmas de malware cada 15 30 o 60 minutos
38. n del dispositivo WF 500 WildFire Configuraci n de interfaz de la m quina virtual Actualizaci n del software del dispositivo WF 500 WildFire Antes de comenzar Monte en un rack el dispositivo WF 500 WildFire y con ctelo Consulte la WF 500 WildFire Appliance Hardware Reference Guide Guia de referencia de hardware de WF 500 WildFire Obtenga la informaci n necesaria para configurar la conectividad de la red en el puerto MGT y la interfaz de la m quina virtual desde su administrador de red direcci n IP m scara de subred puerta de enlace nombre de host servidor DNS Toda la comunicaci n entre los cortafuegos y el dispositivo se produce en el puerto MGT incluidos los env os de archivo la distribuci n de logs de WildFire y la administraci n de dispositivos Por lo tanto debe asegurarse de que los cortafuegos tienen conectividad con el puerto MGT del dispositivo Adem s el dispositivo se debe poder conectar al sitio updates paloaltonetworks com pata recuperar las actualizaciones de software del sistema operativo Debe tener preparado un ordenador con un cable de consola o cable Ethernet para conectarse al dispositivo para la configuraci n inicial Gu a del administrador de WildFire 17 Configuraci n del dispositivo WF 500 WildFire Analisis de archivo de WF 500 Realizaci n de la configuraci n inicial de WF 500 En esta secci n se describen los pasos necesarios para instalar un dispositivo WF 500 WildFire en una red y r
39. n directamente debajo de los encabezados de columna Malware Malware y Benign Bueno para activar todas las casillas de verificaci n de los dispositivos mostrados Gu a del administrador de WildFire 61 Cuentas de usuario del portal de WildFire Elaboraci n de informes de WildFire Cuentas de usuario del portal de WildFire Las cuentas del portal de WildFire las crea un superusuario o el propietario registrado de un dispositivo de Palo Alto Networks para permitir que otros usuarios inicien sesi n en el portal web de WildFire y vean datos de WildFire de dispositivos concedidos de forma espec fica por el superusuario o el propietario registrado Un superusuario es la persona que ha registrado un cortafuegos de Palo Alto Networks y tiene la principal cuenta de asistencia t cnica del dispositivo o los dispositivos El usuario de WildFire puede ser un usuario del sitio de asistencia t cnica existente que pertenezca a cualquier cuenta incluidas la cuenta secundaria la principal o cualquier otra cuenta del sistema o puede ser un usuario que no tenga una cuenta de asistencia t cnica de Palo Alto Networks pero se le ha otorgado acceso solo para el portal de WildFire y un conjunto concreto de cortafuegos Cuando un cortafuegos reenv a archivos a un dispositivo WF 500 WildFire los informes de WildFire solamente podr n visualizarse desde el registro de env os de WildFire en el cortafuegos que envi el archivo No puede ver informes d
40. otra configuraci n El PA 7050 utilizar este puerto en el momento que quede activado Compile la configuraci n 70 Gu a del administrador de WildFire Elaboraci n de informes de WildFire WildFire en acci n WildFire en acci n El siguiente caso de ejemplo resume todo el ciclo de vida de WildFire En este ejemplo un representante de ventas de Palo Alto Networks descarga una nueva herramienta de ventas de software que un socio de ventas ha cargado en Dropbox El socio de ventas carg sin querer una versi n infectada del archivo de instalaci n de la herramienta de ventas y el representante de ventas descarg despu s el archivo infectado Este ejemplo mostrar c mo el cortafuegos de Palo Alto Networks junto con WildFire puede detectar malware de d a cero descargado por sus usuarios incluso cuando el tr fico tiene cifrado SSL Una vez identificado el malware se notifica al administrador se avisa al usuario que descarg el archivo y el cortafuegos descarga autom ticamente una nueva firma que proteja frente a futuras exposiciones del malware a trav s de actualizaciones de antivirus Aunque algunos sitios web de uso compartido de archivos tienen una funci n antivirus que comprueba los archivos cuando se cargan solo pueden proteger contra malware conocido Si desea m s informaci n sobre la configuraci n de WildFire consulte Env o de archivos a la nube de Wild Fire o Reenv o de archivos a un dispositivo WF 500 Wi
41. perfil de bloqueo de archivos con la acci n de reenv o configurada Perfil de antivirus Archivo transmitido aun motorde ID de contenido parala habilitado enla pol tica de detecci n de antivirus y desde un plano de datos a un reno meee plano de gesti n para el procesamiento de WildFire La descarga del archivo hafinalizado el usuario harecibido una p gina de bloqueo y elvirus se ha registrado en el registro de amenazas de reenv o No se han realizado m s acciones Archivo transmitido desde un plano de datos hasta a A un plano de gesti n para contenido detecta un archivo el procesamiento de de virus y la acci n se establece WildFire como bloquear El motor de ID de El usuario final ha recibido el archivo El plano de gesti n ha recibido el archivo y lo ha almacenado en b fer La descarga del archivo se haregistrado en el registro de filtrado de datos de reenv o con las acciones forward y wildfire upload skip Sila opci n report benign file est habilitada un registro de WildFire benigno tambi n aparecer enel registro de envios de WildFire y en el portal El archivo estafirmado por un firmante fiable El plano de gesti n crea un hash de archivo y lo enviaalanube de WildFire o el dispositivo WF 500 que comprueba si WildFire havisto anteriormente el hash de archivo Informaci n de sesi n enviada a WildFire pa
42. unidades A1 A2 B1 B2 Las unidades A1 y A2 son el par RAID 1 y las unidades B1 y B2 son el segundo par RAID 1 Ubicaci n de jerarqu a show system Sintaxis raid detail Opciones No hay opciones adicionales Resultado de muestra A continuaci n se muestra la configuraci n RAID en un dispositivo WildFire WF 500 admin wf corpl gt show system raid detail 124 Guia del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Disk Pair A Status Disk id Al model size partition 1 partition 2 Disk id A2 model size partition 1 partition 2 Disk Pair B Status Disk id Bl model size partition 1 partition 2 Disk id B2 model size partition 1 partition 2 ST91000640NS 953869 MB active sync active sync ST91000640NS 953869 MB active sync active sync ST91000640NS 953869 MB active sync active sync ST91000640NS 953869 MB active sync active sync Nivel de privilegios requerido superuser superreader Guia del administrador de WildFire Available clean Present Present Available clean Present Present Comandos del modo de operaci n 125 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire 126 Gu a del administrador de WildFire
43. 0 gt request license info Debe aparecer una licencia activa con una fecha posterior a la fecha actual 20 Gu a del administrador de WildFire Analisis de archivo de WF 500 Configuraci n del dispositivo WF 500 WildFire Integraci n del dispositivo WF 500 en una red Continuaci n Paso 8 Establezca la fecha hora actual y la zona 1 Establezca la fecha y la hora horaria admin WF 500 gt set clock date lt YY MM DD gt time lt hh mm ss gt 2 Acceda al modo de configuraci n admin WF 500 gt configure 3 Establezca la zona horaria local admin WF 500 set deviceconfig system timezone lt timezone gt Nota La marca de hora que aparecer en el informe detallado de WildFire utilizar la zona horaria establecida en el dispositivo Si hay varias personas viendo estos informes puede que desee establecer la zona horaria en UTC Paso 9 Opcional Configure el env o autom tico 1 Para habilitar el env o autom tico ejecute el comando para que el dispositivo WildFire env e admin WF 500 set deviceconfig setting wildfire archivos que contengan malware a la nube auto submit yes WildFire de Palo Alto Networks El 2 Para confirmar el ajuste ejecute el siguiente comando desde el sistema de nube de WildFire generar modo de operaci n firmas que se distribuyen mediante las admin WF 500 gt show wildfire status actualizaciones de firma de WildFire y del antivirus Nota Esta opci n est deshabilitada de manera predeterminad
44. 92 Guia del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de configuraci n interfaz vm Descripci n La interfaz vm sirve pata permitir que el software malintencionado que se ejecuta en las m quinas virtuales de WildFire acceda a Internet para habilitar an lisis de archivos m s exhaustivos Se recomienda la activaci n de este puerto que a su vez ayudar a WildFire a identificar mejor la actividad maliciosa si el software malintencionado accede a Internet para phone home u otra actividad Es importante que esta interfaz est en una red aislada para Internet Para obtener m s informaci n acerca de la interfaz vm consulte Configuraci n de interfaz de la m quina virtual Tras configurar la interfaz vm habil tela ejecutando el siguiente comando set deviceconfig setting wildfire vm network enable yes Ubicaci n de jerarqu a set deviceconfig system Sintaxis set vm interface ip address lt ip address gt netmask lt ip address gt default gateway lt ip address gt dns server lt ip address gt Opciones admin wf corpl establecer interfaz vm default gateway Default gateway dns server dns server ip address IP address for wildfire vm download interface link state Link state up or down mtu Maximum Transmission Unit for the management interface netmask IP netmask for wildfire vm download interface speed duplex Speed and duplex for wildfire v
45. Alto Networks 50 Guia del administrador de WildFire Analisis de archivo de la nube de WildFire Carga de archivos en el portal de la nube de WildFire Carga de archivos en el portal de la nube de WildFire Todos los clientes de Palo Alto Networks con una cuenta de asistencia t cnica pueden cargar archivos manualmente en el portal de Palo Alto Networks WildFire para su an lisis El portal de WildFire admite la carga manual de todos los tipos de archivos compatibles El siguiente procedimiento describe los pasos necesarios para cargar archivos manualmente Carga manual en WildFire Paso Cargue un archivo para su an lisis en WildFire Gu a del administrador de WildFire 5 Acceda a https wildfire paloaltonetworks com o https wildfire paloaltonetworks jp e inicie sesi n Haga clic en el bot n Cargar archivo en la parte superior derecha de la p gina y haga clic en Choose File Seleccionar archivo Acceda al archivo res ltelo y a continuaci n haga clic en Abrir El nombre del archivo aparecer junto a Choose File Seleccionar archivo Haga clic en el bot n Upload Cargar para cargar el archivo en WildFire Si el archivo se carga correctamente aparecer un cuadro de di logo emergente Uploaded File Information Informaci n sobre archivo cargado parecido al siguiente UPLOAD SAMPLE File Upload URL Upload To upload files for analysis by WildFire click the Add files button below
46. En la pesta a General introduzca un Nombre Interfax VM de WildFire en este ejemplo En la pesta a Origen establezca la zona de origen como wf vm interface En la pesta a Destino establezca la zona de destino como No fiable En las pesta as Aplicaci n y Categor a de URL servicio deje de forma predeterminada Cualquiera En la pesta a Acciones establezca Configuraci n de acci n como Permitir En Ajuste de log seleccione la casilla de verificaci n Log al finalizar sesi n Nota Sile preocupa que alguien pueda a adir de forma accidental otras interfaces a wf vm zone clone la pol tica de seguridad de la interfaz VM de WildFire y a continuaci n en la pesta a Acci n de la regla clonada seleccione Denegar Aseg rese de que esta nueva pol tica de seguridad aparece bajo la pol tica de seguridad de la interfaz VM de WildFire Esto har que la intrazona impl cita active la regla que permite sobrescribir las comunicaciones entre interfaces de la misma zona y denegar bloquear cualquier comunicaci n intrazona Paso 3 Conecte los cables Conecte f sicamente la interfaz vm del dispositivo WildFire al puerto que ha configurado en el cortafuegos Ethernet 1 3 en este ejemplo usando un cable RJ 45 directo La interfaz vm aparece con la etiqueta 1 en la parte posterior del dispositivo Paso 4 Compruebe que la interfaz vm est transmitiendo y recibiendo tr fico 1 Desde el modo de operaci n de
47. Env o de archivos a la nube de WildFire A continuaci n se indica informaci n sobre el archivo de prueba e Cada vez que se hace clic en el enlace de descarga de archivo se genera y se descarga un archivo nico denominado wildfire test pe file exe adem s cada archivo tendr un valor SHA256 diferente e El veredicto del archivo siempre ser malintencionado e Aunque se genera una firma para el archivo la firma estar deshabilitada y no se distribuir El archivo de prueba puede descargarse haciendo clic en el siguiente enlace http wildfire paloaltonetworks com publicapi test pe Si su cortafuegos tiene habilitado el descifrado puede acceder a la versi n cifrada del sitio sustituyendo HTTP por HTTPS Despu s de descargar el archivo puede consultar el registro de filtrado de datos en el cortafuegos para comprobar si el archivo se ha reenviado y tras unos cinco minutos deber a ver los resultados en el registro de env os de WildFire Para obtener m s informaci n sobre las verificaciones consulte los enlaces Verificaci n de WildFire al reenviar a un dispositivo de WildFire y Verificaci n de WildFire al reenviar a la nube de WildFire Para utilizar la API para recuperar el archivo de prueba de muestra consulte Uso de la API para recuperar un archivo de prueba de malware de muestra Gu a del administrador de WildFire 13 Desde d nde puedo acceder a un archivo de muestra de malware para su prueba Descripci n gen
48. Fire Configuraci n de alertas para el malware detectado Configuraci n de alertas de correo electr nico para malware Continuaci n Paso 2 Pruebe el perfil del servidor de correo electr nico 1 Seleccione Supervisar gt Informes en PDF gt Programador de correo electr nico Haga clic en A adir y seleccione el nuevo perfil de correo electr nico en el men desplegable Perfil de correo electr nico Haga clic en el bot n Enviar correo electr nico de prueba y un correo electr nico de prueba se enviar a los destinatarios definidos en el perfil de correo electr nico Paso 3 Configure un perfil de reenv o de logs El perfil de reenv o de logs determina qu tr fico se supervisa y qu gravedad activar una notificaci n de alerta Seleccione Objetos gt Reenv o de logs Haga clic en A adir e indique un nombre pata el perfil Por ejemplo WildFire Reenvio Log En la secci n Configuraci n de WildFire seleccione el perfil de corteo electr nico de la columna Correo electr nico para Benign Bueno y o Malicious Malintencionado El motivo por el que se usa la gravedad media aqu es porque los logs de malware de WildFire tienen una gravedad de tipo Medio Para enviar alertas sobre logs bueno de WildFire seleccione el tipo de gravedad Informativo Haga clic en ACEPTAR para guardar los cambios Log Forwarding Profile Name WildFire Log Forwarding SS Severity Panorama
49. Fire e API de WildFire La suscripci n a WildFire proporciona acceso a la API de WildFire lo que permite tener un acceso directo program tico al servicio WildFire en la nube de WildFire de Palo Alto Networks Puede usar la API de WildFire para enviar archivos a la nube de WildFire y recuperar informes de los archivos enviados La API de WildFire admite hasta 100 env os de archivos y hasta 1 000 consultas al d a Tenga en cuenta que no puede usar la API de WildFire pata enviar archivos al dispositivo WildFire Dispositivo de WildFire Solamente los cortafuegos con una suscripci n a WildFire v lida pueden reenviar archivos a un dispositivo de WildFire para su an lisis Los cortafuegos que solo tienen una suscripci n de Threat Prevention instalada pueden reenviar archivos a la nube de WildFire pero no a un dispositivo WildFire Guia del administrador de WildFire Descripci n general de WildFire Desde d nde puedo acceder a un archivo de muestra de malware para su prueba Desde donde puedo acceder a un archivo de muestra de malware para su prueba Palo Alto Networks proporciona un archivo de malware de muestra que puede utilizarse para probar una configuraci n de WildFire en un cortafuegos PAN OS Antes de descargar el archivo para comprobar su configuraci n aseg rese de que el cortafuegos que se est probando se ha configurado bas ndose en los procedimientos descritos en Reenv o de archivos a un dispositivo WF 500 WildFire o
50. Fire Si est habilitadala generaci n de informes benignos el registro tambi n se devolver al reenv o 4 Gu a del administrador de WildFire Descripci n general de WildFire Qu tipos de archivos puede analizar WildFire Qu tipos de archivos puede analizar WildFire El elemento de aislamiento de WildFire incluye los sistemas operativos Microsoft Windows XP de 32 bits y Windows 7 de 32 bits Los tipos de archivos que pueden analizarse incluyen los siguientes APK Paquete de aplicaciones para Android PE Portable Executable que incluye archivos ejecutables c digo objeto bibliotecas de enlace din mico DLL fuentes FON etc PDF Portable Document Format Microsoft Office Incluye documentos doc docx libros de trabajo xls xlsx y PowerPoint ppt pptx Java Applet Tipos de archivo JAR Class No se requiere una suscripci n pata el tipo de archivo PE pero es obligatoria para el resto de tipos de archivos avanzados APK PDF Microsoft Office y Java Applet Asimismo el dispositivo WF 500 WildFire no puede analizar archivos APK Gu a del administrador de WildFire C mo puedo ver informes en archivos analizados por WildFire Descripci n general de WildFire C mo puedo ver informes en archivos analizados por WildFire Por cada archivo que analiza WildFire se genera un informe detallado de comportamiento unos minutos despu s del env o del archivo Estos informes est n disponibles en el registro
51. Show list of latest registration activities gt latest Show latest 30 activities which include the last 30 analysis activities the last 30 files that were analyzed network session information on files that were analyzed and files that were uploaded to the public cloud server gt sample status Show wildfire sample status Enter the SHA or MD5 value of the file to view the current analysis status gt statistics Show basic wildfire statistics gt status status gt vm images Shows the attributes of the install virtual machine images used in sample analysis To view the current active image run the command show wildfire status and view the Select VM field To change the active VM image from configuration mode run the command set deviceconfig setting wildfire active vm and select an image Resultado de muestra A continuaci n se muestra el resultado de este comando admin wf corpl gt show wildfire last device registration all Posse SSS eee PSS See eee SSS See AS ta a Poon SSS toe SSS ero Device ID Last Registered Device IP SW Version HW Model Sta tus HS RSS RES PALAS e RSS PSSS SAS E osc 001606000114 2013 03 12 08 34 09 192 168 2 1 5 0 2 PA 200 OK PSSS SS pro Si PSSS SS PSSS Ho admin wf corpl gt show wildfire latest analysis Show latest 30 analysis samples Show latest 30 samples sessions Show latest 30 sessions uploads Show latest 30 uploads Vv Vv Vv show wi
52. WE paloalto NETWORKS the network security company Palo Alto Networks Guia del administrador de WildFire Version 6 0 Informaci n de contacto Sede de la empresa Palo Alto Networks 4401 Great America Parkway Santa Clara CA 95054 http www paloaltonetworks com contact contact Acerca de esta guia Esta gu a describe las tareas administrativas necesarias para utilizar y mantener la funci n Palo Alto Networks WildFire Los temas tratados incluyen informaci n de licencias la configuraci n de cortafuegos para reenviar archivos para su inspecci n la visualizaci n de informes y c mo configurar y gestionar el Dispositivo WF 500 WildFire Consulte las siguientes fuentes para obtener m s informaci n e Guia del administrador de Palo Alto Networks Ofrece informaci n sobre capacidades adicionales e instrucciones sobre la configuraci n de las funciones del cortafuegos e https live paloaltonetworks com Permite acceder a la base de conocimientos la documentaci n al completo foros de debate y v deos e https support paloaltonetworks com Aqu podr contactar con el servicio de asistencia t cnica informarse sobre los programas de asistencia y gestionar su cuenta o sus dispositivos Para enviar sus comentarios sobre la documentaci n dir jase a documentation paloaltonetoworks com Guia del administrador www paloaltonetworks com 2014 Palo Alto Networks Todos los derechos reservados
53. a Paso 10 Opcional Habilite el registro de archivos 1 Para habilitar el registro de archivos benignos ejecute el benignos que es una buena forma de siguiente comando desde el modo de configuraci n confirmar que los archivos se est n admin WF 500 set deviceconfig setting wildfire reenviando a WildFire sin tener que report benign file yes descargar verdaderos archivos de 2 Para ver el ajuste en la configuraci n ejecute el siguiente malware En este caso el registro de comando filtrado de datos contendr informaci n admin WF 500 show deviceconfig setting wildfire sobre los resultados de cualquier archivo que haya sido comprobado por WildFire y que se haya determinado que es benigno Nota Esta opci n est deshabilitada de manera predeterminada Guia del administrador de WildFire 21 Configuraci n del dispositivo WF 500 WildFire Analisis de archivo de WF 500 Integraci n del dispositivo WF 500 en una red Continuaci n Paso 11 Nota Paso 12 Establezca una contrasefia para la cuenta de administrador del portal Esta cuenta se utiliza cuando se accede a los informes de WildFire desde un cortafuegos El nombre de usuario y la contrase a predeterminados son admin admin La cuenta del administrador del portal es la nica cuenta utilizada para ver informes desde los logs Solo se puede cambiar la contrase a de esta cuenta no se pueden crear cuentas adicionales No es la misma cuenta de administr
54. a cada vez que WildFire devuelva un log de amenaza al cortafuegos que indica que se ha detectado malware Las alertas tambi n se pueden configurar desde el portal de WildFire consulte Supervisi n de env os con el portal de WildFire Si est utilizando un dispositivo WF 500 y no reenv a archivos a la nube de WildFire utilizando la opci n de env o autom tico necesitar configurar alertas en el cortafuegos Este ejemplo describe c mo configurar una alerta de correo electr nico para configurar Syslog traps SNMP y o el reenv o de registros en Panorama aseg rese de que el cortafuegos est configurado con los perfiles de servidor necesarios y que est habilitado el reenv o de registros Panorama Syslog o SNMP se pueden seleccionar despu s junto con el correo electr nico seg n se describe en los siguientes pasos Para obtener m s informaci n sobre alertas y el reenv o de registros consulte las secciones Configuraci n de alertas de correo electr nico Definici n de servidores Syslog y Configuraci n de los destinos de Trap SNMP de la Palo Alto Networks Getting Started Guide Gu a de inicio de Palo Alto Networks Configuraci n de alertas de correo electr nico para malware BR Seleccione Dispositivo gt Perfiles de servidor gt Correo electr nico si no hay uno ya configurado electr nico Paso 1 Configure un perfil de servidor de correo 2 Haga clic en A adir y a continuaci n introduzca un Nombr
55. a clic en A adir de nuevo Haga clic en el archivos no a ada tambi n un tipo de campo Nombres e introduzca un nombre pata la regla archivo neve que forme parie de esa 4 Seleccione las aplicaciones que coincidir n con este perfil Por categoria porque Estos producir a entradas ejemplo si selecciona navegaci n web como la aplicaci n el perfil ale filtrado de incidir con cualquier tr fico de la aplicaci n identificado como datos Por ejemplo si selecciona PE no es eae Se si q P navegaci n web necesario seleccionar exe porque forma parte de la categor a PE Esto tambi n es 5 En el campo Tipo de archivo seleccione los tipos de archivos que aplicable al tipo de archivo zip ya que los activar n la acci n de reenv o Seleccione Cualquiera para reenviar tipos de archivos admitidos que se todos los tipos de archivos admitidos por WildFire compriman se env an autom ticamente a 6 En el campo Direcci n seleccione cargar descargar o ambos WildFire Si desea garantizar que se Si selecciona ambos se activar el reenv o siempre que un usuario reenviar n todos los tipos de archivos de trate de cargar o descargar un archivo Microsoft Office compatibles se 7 Defina una acci n de la siguiente forma seleccione Reenviar para recomienda que seleccione la categor a este ejemplo msotfice e Reenviar el cortafuegos reenviar autom ticamente cualquier Al seleccionar una categor a en lugar de un archivo que
56. a de supervisi n de tr fico entre el dispositivo WildFire y la conexi n DSL 26 Gu a del administrador de WildFire Analisis de archivo de WF 500 Configuraci n del dispositivo WF 500 WildFire Configuraci n de la interfaz de la m quina virtual Esta secci n describe los pasos necesarios para configurar vm interface en el dispositivo WildFire usando la configuraci n de la opci n 1 detallada en el Ejemplo de interfaz de m quina virtual Despu s de configurar la interfaz vm usando esta opci n tambi n debe configurar una interfaz en un cortafuegos de Palo Alto Networks por el que se enrutara el tr fico desde la interfaz vm seg n se describe en Configuraci n del cortafuegos para controlar el tr fico de la interfaz de la m quina virtual De forma predeterminada la interfaz vm est configurada usando los siguientes ajustes e Direcci n IP 192 168 2 1 e Mascara de red 255 255 255 0 e Puerta de enlace predeterminada 192 168 2 254 e DNS 192 168 2 254 Si tiene pensado habilitar esta interfaz config rela con los ajustes adecuados para la red Si no tiene pensando utilizar esta interfaz respete los ajustes predeterminados La interfaz debe tener valores de red o se producir un fallo de compilaci n Configuraci n de la interfaz de la m quina virtual Paso 1 Establezca la informaci n de la IP parala 1 Introduzca el modo de configuraci n introduciendo el comando de interfaz vm en el dispositivo WildFire
57. a la ltima configuraci n guardada o una configuraci n especificada para ser la configuraci n del candidato Cuando se cambia el modo de configuraci n sin emitir el comando save o commit los cambios de configuraci n podr an perderse si se interrumpe la alimentaci n del dispositivo Gu a del administrador de WildFire 85 Modos de comando de la CLI Referencia de la CLI del software del dispositivo WildFire Activo Candidato Guardado Configuraci n Configuraci n Configuraci n A Commit Save A Load Set Mantener la configuraci n de un candidato y separar los pasos de guardado y compilaci n conlleva importantes ventajas en comparaci n con las arquitecturas CLI tradicionales e Distinguir entre los conceptos de save y commit permite hacer m ltiples cambios simult neos y reduce la vulnerabilidad del sistema e Los comandos se pueden adaptar f cilmente para funciones similares e Por ejemplo al configurar dos interfaces Ethernet cada una con una direcci n IP puede editar la configuraci n de la primera interfaz copiar el comando modificar solo la interfaz y la direcci n IP y a continuaci n aplicar el cambio a la segunda interfaz e La estructura de comandos siempre es constante Dado que la configuraci n del candidato siempre es exclusiva todos los cambios autorizados de la configuraci n del candidato ser n coherentes entre s Acerca de la jerarqu a de config
58. a la informaci n MD5 del archivo La informaci n MD5 es muy similar a una huella digital que identifica exclusivamente un archivo para garantizar que este no se ha modificado de ninguna forma e Tama o de archivo Tama o en bytes del archivo que se analiz Marca de tiempo de primera visualizaci n Si el sistema WildFire ha analizado el archivo anteriormente esta es la fecha hora en la que se visualiz por primera vez e Verdict veredicto Muestra el veredicto del an lisis Benign bueno El archivo es seguro y no muestra comportamiento malintencionado e Malware malware WildFire ha identificado el archivo como malware y generar una firma que proteja contra futuras exposiciones Archivo de muestra Haga clic en el enlace Descargar archivo para descargar el archivo de muestra en su sistema local e Cobertura de virus Haga clic en este enlace para ver si el archivo se hab a identificado anteriormente Esto le llevar al sitio web https www virustotal com en que contiene informaci n sobre vatios proveedores de antivirus y le mostrar si estos ofrecen cobertura o no para el archivo infectado Si el archivo no ha sido detectado nunca antes por ninguno de los proveedores mostrados aparecer file not found archivo no encontrado Gu a del administrador de WildFire 65 Visualizaci n de informes de WildFire Elaboraci n de informes de WildFire Informaci n de sesi n Opciones utilizadas para person
59. a que se no hayan publicado un determinado n mero de horas Utilice el campo Umbral horas para especificar cu nto tiempo se debe esperar tras una publicaci n antes de realizar una actualizaci n de contenido e Antivirus se publican nuevas actualizaciones de contenido antivirus diariamente Para obtener el contenido m s reciente programe estas actualizaciones diariamente como m nimo Se puede realizar una programaci n m s agresiva cada hora e Aplicaciones y amenazas App ID nuevo protecci n de vulnerabilidad y firmas antispyware se publican como actualizaciones de contenido semanales normalmente los martes Para obtener el contenido m s reciente programe estas actualizaciones semanalmente como m nimo Si desea un enfoque m s agresivo realice una programaci n diaria que garantice que el cortafuegos recibe el contenido m s reciente tan pronto como es publicado incluidas publicaciones ocasionales de contenido urgente fuera de programaci n e WildFire se publican nuevas firmas de antivirus de WildFire cada 30 minutos Dependiendo de cu ndo se descubre el malware en el ciclo de publicaci n la cobertura se proporcionar en forma de firma de WildFire 30 60 minutos despu s de que WildFire lo descubra Para conseguir las firmas de WildFire m s recientes programe estas actualizaciones cada hora o cada media hora Para que la programaci n sea m s agresiva puede programar la b squeda de actualizaciones del cortafuegos con una fre
60. a un archivo de muestra de malware para su prueba Comprobaci n de la configuraci n de WildFire en el cortafuegos Paso 1 Compruebe las suscripciones de WildFire y 1 Seleccione Dispositivo gt Licencias y confirme que se ha instalado prevenci n de amenazas y el registro de una suscripci n a WildFire y Threat Prevention v lida Si no hay WildFire instaladas licencias v lidas vaya a la secci n Gesti n de licencias Nota El cortafuegos debe tener una suscripci n y haga clic en Recuperar claves de licencia del servidor de a WildFire para reenviar archivos a un licencias dispositivo WildFire 2 Para comprobar que el cortafuegos se puede comunicar con un sistema WildFire de forma que los archivos se puedan reenviar para su an lisis ejecute el siguiente comando de la CLI adminePA 200 gt test wildfire registration En la siguiente salida el cortafuegos indica un dispositivo WildFire Si el cortafuegos indica la nube de WildFire mostrar el nombre de host de uno de los sistemas WildFire en la nube de WildFire Test wildfire wildfire registration successful download server list successful select the best server 192 168 2 20 10443 Si los problemas con las licencias contin an p ngase en contacto con su distribuidor o con un ingeniero de sistemas de Palo Alto Networks para confirmar todas las licencias y conseguir un nuevo c digo de autorizaci n si es necesario 34 Gu a del administrador de WildFire Ana
61. ador utilizada para gestionar el dispositivo Seleccione la imagen de m quina virtual que mejor se adapte a su entorno Unicamente puede seleccionar una Para cambiar la contrase a de la cuenta del administrador del portal de WildFire 1 Introduzca el siguiente comando admin WF 500 gt set wildfire portal admin password 2 Pulse Intro y escriba y confirme la nueva contrase a Para ver una lista de m quinas virtuales disponibles y determinar cu l representa mejor a su entorno ejecute el siguiente comando admin WF 500 gt show wildfire vm images imagen virtual que se utilizara para el P a Poa Para ver la imagen de m quina virtual actual ejecute el siguiente an lisis dearchiyos Cada imagen comando y compruebe el campo Selected VM virtual contiene diferentes versiones admin WF 500 gt show wildfire status de sistemas operativos y software como Windows XP Windows 7 Adobe Reader y Flash Para seleccionar la imagen que se utilizar entre en el modo de configuraci n escriba configure e introduzca el siguiente comando admin WF 500 set deviceconfig setting wildfire active vm lt vm image number gt Por ejemplo para utilizar vm 1 ejecute el siguiente comando admin WF 500 set deviceconfig setting wildfire active vm vm 1 Cu l es el siguiente paso e Para verificar la configuraci n del dispositivo WF 500 consulte Verificaci n de la configuraci n del dispositivo WF 500 WildFire e
62. al de WildFire Cu ntos archivos puede reenviar el cortafuegos a WildFire La siguiente tabla enumera las plataformas del cortafuegos de Palo Alto Network y el numero de archivos que cada plataforma puede enviar a la nube de WildFire o un dispositivo WF 500 por minuto Si se alcanza el l mite por minuto los archivos se ponen en cola PA 200 5 2 PA 500 10 2 PA 2020 2050 20 4 PA 4020 20 4 PA 4050 4060 5020 5050 50 10 PA 5060 100 20 PA 7050 100 20 10 Gu a del administrador de WildFire Descripci n general de WildFire Cu les son las ventajas de la suscripci n de WildFire Cu les son las ventajas de la suscripci n de WildFire WildFire ofrece detecci n y prevenci n de malware de d a cero mediante una combinaci n de detecci n de malware basada en firmas y en aislamiento y bloqueo del malware No se requiere ninguna suscripci n para usar WildFire para el aislamiento de archivos enviados desde cortafuegos de Palo Alto Networks a la nube de WildFire Para realizar la detecci n y el bloqueo de malware conocido detectado por WildFire se requiere una suscripci n a Threat Prevention y o WildFire La suscripci n a Threat Prevention permite al cortafuegos recibir actualizaciones diarias de firma de antivirus lo que proporciona protecci n para todas las muestras de malware detectadas por WildFire de forma general para todos los cortafuegos con una suscripci n a Threat Prevention Asimismo la suscripci
63. al web cli OR not equal web cli cmd equal add clone commit create delete edit get load from disk move rename save to disk set OR ias not equal add clone commit create delete edit get load from disk move rename save to disk set result equal succeeded failed unauthorized OR not equal succeeded failed unauthorized OR system direction equal forward backward csv output equal yes no query equal lt value gt receive time in last 60 seconds last 15 minutes last hour last 6 hrs last 12 hrs last 24 hrs last cale ndar day last 7 days last 30 days last calendar month start time equal lt value gt end time equal lt value gt serial equal lt value gt OR not equal lt value gt opaque Guia del administrador de WildFire 105 Comandos del modo de operaci n contains lt value gt severity equal critical high medium low informational OR not equal critical high medium low informational OR Referencia de la CLI del software del dispositivo WildFire greater than or equal critical high medium low informational OR less than or equal critical high medium low informational subtype equal lt value gt OR not equal lt value gt object equal lt value gt OR not equal lt value gt eventid equal lt value gt OR not equal lt value gt id
64. alizar qu informaci n de sesi n incluir en los informes de WildFire para archivos reenviados por un cortafuegos de Palo Alto Networks La configuraci n de estas opciones se define en el cortafuegos que env a el archivo de muestra a WildFire y se realiza en la pesta a Dispositivo gt Configuraci n gt WildFire en la secci n Ajustes de informaci n de sesi n Las siguientes opciones est n disponibles IP de origen e Puerto de origen e IP de destino e Puerto de destino e Sistema virtual si VSYS m ltiple est configurado en el cortafuegos e Aplicaci n e Usuario si el ID de usuarios est configurado en el cortafuegos e URL e Nombre de archivo An lisis din mico Si un archivo tiene un riesgo bajo y WildFire puede determinar f cilmente que es seguro solamente se realiza un an lisis est tico en lugar de un an lisis din mico Cuando se realiza un an lisis din mico esta secci n contiene pesta as para cada entorno virtual en el que se ejecut la muestra al analizar archivos en la nube de WildFire Por ejemplo puede que la pesta a M quina virtual 1 tenga Windows XP Adobe Reader 9 3 3 y Office 2003 y que M quina virtual 2 tenga atributos similares pero con Office 2007 Cuando un archivo se somete a un an lisis din mico completo se ejecuta en cada m quina virtual y los resultados de cada entorno pueden verse haciendo clic en cualquiera de las pesta as de m quinas virtuales Nota En el disposit
65. alue gt OR candidate OR interface management ethernet1 1 OR management clients OR counter management server OR interface management ethernet1 1 OR device ORs sa ntp OR clock OR wildfire Gu a del administrador de WildFire Comandos del modo de operaci n 101 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire sample status sha256 equal lt value gt OR status OR statistics OR latest analysis filter malicious benign sort by SHA256 Submit Time Start Time Finish Time Malicious Status sort direction asc desc limit 1 20000 days 1 7 OR ss sessions filter malicious benign sort by SHA256 Create Time Src IP Src Port Dst Ip Dst Port File Device ID App Malicious Status sort direction asc desc limit 1 20000 days 1 7 OR samples filter malicious benign sort by SHA256 Create Time File Name File Type File Size Malicious Status sort direction asc desc limit 1 20000 days 1 7 OR uploads sort by SHA256 Create Time Finish Time Status sort direction asc desc limit 1 20000 days 1 7 OR last device registration all 102 Guia del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire OR as idle timeout OR hide ip OR hide user OR vis permissions OR jobs all OR 34 pending OR das proce
66. analyzed 34 pending 0 malicious i 2 benign 32 error 0 Uploaded 0 3 Para ver estad sticas m s detalladas introduzca el siguiente comando admin WF 500 gt show wildfire latest analysis samples sessions uploads Por ejemplo para mostrar detalles sobre los resultados del an lisis reciente introduzca el siguiente comando adminewF 500 gt show wildfire latest analysis 24 Guia del administrador de WildFire Analisis de archivo de WF 500 Configuraci n del dispositivo WF 500 WildFire Verificaci n de la configuraci n del dispositivo de WildFire Continuaci n Paso 3 Compruebe que los cortafuegos 1 Introduzca el siguiente comando para que muestre una lista de configurados para enviar archivos se han cortafuegos registrados en el dispositivo registrado correctamente en el dispositivo admin WF 500 gt show wildfire WildFire last device registration all El resultado deber a incluir la siguiente informaci n sobre cada cortafuegos registrado para enviar archivos al dispositivo numero de serie del cortafuegos fecha de registro direcci n IP versi n de software modelo de hardware y estado Si no aparece ning n cortafuegos puede que haya alg n problema de conectividad entre los cortafuegos y el dispositivo Compruebe la red para confirmar que los cortafuegos y el dispositivo WildFire se pueden comunicar Utilice las pruebas de ping desde el dispositivo hasta la direcci n de la puerta de enla
67. ara Consulte Configuraci n del cortafuegos para controlar el tr fico de la configurar la interfaz del cortafuegos a la interfaz de la m quina virtual que se conectar la interfaz vm Gu a del administrador de WildFire 27 Configuraci n del dispositivo WF 500 WildFire Analisis de archivo de WF 500 Configuraci n del cortafuegos para controlar el tr fico de la interfaz de la maquina virtual En el siguiente flujo de trabajo de ejemplo se describe c mo conectar la interfaz vm a un puerto en un cortafuegos de Palo Alto Networks Antes de conectar la interfaz vm al cortafuegos este debe tener una zona no fiable conectada a Internet En este ejemplo se configura una nueva zona denominada wf vm zone para conectar la interfaz vm del dispositivo al cortafuegos La pol tica asociada con la zona wf vm solo permitir la comunicaci n desde la interfaz vm hasta la zona no fiable Configuraci n de la interfaz del cortafuegos para la red de la m quina virtual Paso 1 Configure la interfaz en el cortafuegos al que se conectar la interfaz vm y establezca el enrutador virtual Nota La zona wf vm configurada en este paso solo se debe utilizar para conectar la interfaz vm desde el dispositivo al cortafuegos No a ada ninguna otra interfaz a la zona wf vm porque el tr fico en el interior de la zona se habilitar de forma predeterminada lo que permitir a al tr fico de la interfaz vm acceder a una red distinta a Interne
68. argar el archivo Env o de un archivo a WildFire usando el m todo de env o de URL Utilice el m todo de env o de URL pata enviar un archivo para su an lisis mediante una URL Este m todo es id ntico en cuanto a interfaz y funcionalidad al m todo de env o de archivo aunque un par metro de URL sustituye al par metro de archivo El par metro de URL debe indicar un tipo de archivo admitido accesible Si el resultado es un c digo 200 OK significa que el env o ha tenido xito el resultado suele estar disponible para su consulta en 5 minutos La tabla siguiente describe los atributos de la API necesarios para enviar archivos a la nube de WildFire utilizando una URL URL https wildfire paloaltonetworks com submit url M todo POST Par metros apikey Su clave API de WildFire url URL del archivo que se debe analizar Resultado 200 OK Indica que la acci n se ha realizado correctamente y que se devolver un informe 54 Gu a del administrador de WildFire Analisis de archivo de la nube de WildFire Carga de archivos y consulta de WildFire mediante la API de WildFire 401 Unauthorized Clave API no v lida 405 Method Not Allowed Se ha utilizado un m todo distinto a POST 413 Request Entity Too Large Tama o de archivo de muestra sobre el l mite m ximo de 10 MB 418 Unsupported File Type No se admite el tipo de archivo de muestra 419 Max Request Reached Se ha superado el n
69. as Analisis de archivo de la nube de WildFire Recomendaciones para actualizaciones dinamicas En la siguiente lista se detallan recomendaciones pata conseguir actualizaciones dinamicas en un cortafuegos t pico que utilice WildFire y que tenga suscripciones a WildFire y prevenci n de amenazas Para un flujo de trabajo m s din mico utilice Panorama pata introducir programaciones de actualizaci n din micas en los cortafuegos gestionados usando plantillas de Panorama As se garantiza la consistencia entre todos los cortafuegos y se simplifica la gesti n de la programaci n de actualizaciones Estas orientaciones proporcionan dos opciones de programaci n la programaci n m nima recomendada y una m s agresiva Si elige un enfoque m s agresivo el dispositivo realizar actualizaciones m s frecuentemente algunas de las cuales pueden ser de gran volumen m s de 100 MB para las actualizaciones de antivirus De igual forma raramente se podr an producir errores en actualizaciones de firmas Por lo tanto considere retrasar la instalaci n de nuevas actualizaciones hasta que se no hayan publicado un determinado n mero de horas Utilice el campo Umbral horas pata especificar cu nto tiempo se debe esperar tras una publicaci n antes de realizar una actualizaci n de contenido e Antivirus se publican nuevas actualizaciones de contenido antivirus diariamente Para obtener el contenido m s reciente programe estas actualizaciones diariamente c
70. ce o a uno de los cortafuegos configurados para enviar al dispositivo Por ejemplo si uno de los cortafuegos est en la direcci n IP 10 0 5 254 las respuestas se mostrar n cuando se ejecute el siguiente comando de la CLI desde el dispositivo admin WF 500 gt ping host 10 0 5 254 Paso 4 Para verificar la configuraci n de WildFire en los cortafuegos que est n reenviando archivos al dispositivo consulte Verificaci n de WildFire al reenviar a un dispositivo de WildFire Configuraci n de interfaz de la m quina virtual La interfaz de la m quina virtual proporciona conectividad de red externa desde las m quinas virtuales de los elementos de aislamiento en el dispositivo WF 500 En las siguientes secciones se describe la interfaz de la maquina virtual interfaz vm y se proporcionan las instrucciones necesarias para configurarla Tambi n puede habilitar la funci n Tor con vm interface lo cual enmascarar el tr fico malintencionado enviado desde WF 500 a trav s de vm interface de modo que los sitios de malware a los que pueda enviarse el tr fico no puedan detectar su direcci n IP de cara al p blico Esta secci n tambi n describe los pasos necesarios para conectar vm interface a un puerto especializado en un cortafuegos de Palo Alto Networks para habilitar la conectividad a Internet A Qu es la interfaz de la m quina virtual A Configuraci n de la interfaz de la m quina virtual A Configuraci n del cortafuegos pa
71. chivo no est firmado por un firmante de archivo fiable y que WildFire no lo ha analizado anteriormente wildfire upload skip Aparecer en todos los archivos que se identifiquen como aptos para enviarse a WildFire por un perfil de bloqueo de archivos o una pol tica de seguridad pero que no fue necesario que WildFire analizase porque ya se hab an analizado previamente En este caso la acci n de reenviar aparecer en el registro de filtrado de datos porque era una acci n de reenv o v lida pero que no se envi y analiz en WildFire porque el archivo ya se envi a la nube de WildFire o dispositivo de WildFire desde otra sesi n posiblemente desde otro cortafuegos e Registros de WildFire Los resultados del an lisis de los archivos analizados por WildFire se devuelven a los registros del cortafuegos una vez se complete el an lisis Estos registros se escriben en el cortafuegos que reenvi el archivo en Supervisar gt Logs gt Envios de WildFire Si los logs se reenvian desde el cortafuegos a Panorama se escriben en el servidor de Panorama en Supervisar gt Logs gt WildFire Submissions Presentaciones de WildFire La columna Category Categor a de los logs de WildFire mostrar benign Bueno lo que significa que el archivo es seguro o malicious Malintencionado lo que indica que WildFire ha determinado que el archivo contiene c digo malintencionado Si se determina que el archivo es malintencionado el generador de
72. chivos que cumplan los criterios definidos en la pol tica de bloqueo de archivos se reenviar n a WildFire para su an lisis Para obtener informaci n sobre c mo consultar los informes de los archivos que se han analizado consulte Elaboraci n de informes de WildFire Para obtener instrucciones sobre c mo comprobar la configuraci n consulte Verificaci n de WildFire al reenviar a un dispositivo de WildFire Recomendaciones para actualizaciones din micas En la siguiente lista se detallan recomendaciones para conseguir actualizaciones din micas en un cortafuegos t pico que utilice WildFire y que tenga suscripciones a WildFire y prevenci n de amenazas Para un flujo de trabajo m s din mico utilice Panorama pata introducir programaciones de actualizaci n din micas en los cortafuegos gestionados usando plantillas de Panorama As se garantiza la consistencia entre todos los cortafuegos y se simplifica la gesti n de la programaci n de actualizaciones Estas orientaciones proporcionan dos opciones de programaci n la programaci n m nima recomendada y una m s agresiva Si elige un enfoque m s agresivo el dispositivo realizar actualizaciones m s frecuentemente algunas de las cuales pueden ser de gran volumen m s de 100 MB para las actualizaciones de antivirus De igual forma raramente se podr an producir errores en actualizaciones de firmas Por lo tanto considere retrasar la instalaci n de nuevas actualizaciones hast
73. cte malware Cuando se detecta malware en su red es importante reaccionar r pido para evitar que se propague a otros sistemas Para asegurarse de recibir alertas inmediatas de detecci n de malware en su red configure sus cortafuegos para que env en notificaciones de correo electr nico traps SNMP o Syslog siempre que WildFire devuelva un veredicto de malware sobre un archivo reenviado desde un cortafuegos Esto le permite ver r pidamente el informe del an lisis de WildFire e identificar qu usuario descarg el malware determinar si el usuario ejecut el archivo infectado y evaluar si el malware ha intentado propagarse a otros hosts de la ted Si determina que el usuario ejecut el archivo puede desconectar r pidamente el equipo de la red para impedir que el malware se propague y seguir los procesos de respuesta a incidentes y reparaci n seg n sea necesario Para obtener m s informaci n sobre los informes de WildFire y ver un ejemplo de WildFire en acci n consulte Elaboraci n de informes de WildFire Gu a del administrador de WildFire 7 Qu implementaciones est n disponibles Descripci n general de WildFire Qu implementaciones est n disponibles El cortafuegos de pr xima generaci n de Palo Alto Networks admite las siguientes implementaciones de WildFire e Nube de WildFire de Palo Alto Networks En esta implementaci n el cortafuegos reenvia los archivos al entorno de WildFire alojado que pertenece a Palo Alto
74. cuencia de 15 minutos Gu a del administrador de WildFire 33 Reenvio de archivos a un dispositivo WF 500 WildFire Analisis de archivo de WF 500 Al configurar una programaci n de actualizaci n de firmas de WildFire desde Dispositivo gt Actualizaciones din micas gt WildFire debe introducir un valor distinto de cero en el campo Minutos pasada la hora Por ejemplo si selecciona que la recurrencia se produzca cada 15 minutos deber establecer el campo Minutos pasada la hora con un valor distinto de cero con un intervalo v lido de 1 14 minutos Para una recurrencia de 30 minutos el intervalo v lido es de 1 29 minutos para cada hora de 1 59 minutos Aunque las actualizaciones de WildFire pueden entrar en conflicto con la actualizaci n de un antivirus o firma de amenazas la actualizaci n debe ser finalizar con xito ya que es mucho m s peque a que la t pica actualizaci n de aplicaci n antivirus y firma de amenazas Cada actualizaci n de WildFire suele contener firmas generadas en los ltimos 7 d as en ese momento entran a formar parte de la actualizaci n de la firma antivirus cada 24 48 horas Verificaci n de WildFire al reenviar a un dispositivo de WildFire En esta secci n se describen los pasos necesarios para comprobar la configuraci n de WildFire en el cortafuegos Para obtener informaci n sobre un archivo de prueba que se pueda utilizar durante el proceso de verificaci n consulte Desde d nde puedo acceder
75. dFire utilizar la zona horaria establecida en su cuenta del portal Paso 2 Elimine los logs de WildFire de cortafuegos espec ficos Con esto eliminar todos los logs y las notificaciones del cortafuegos seleccionado En el men desplegable Delete WildFire Logs Eliminar logs de WildFire seleccione el cortafuegos por n mero de serie Haga clic en el bot n Delete Logs Eliminar logs Haga clic en ACEPTAR para continuar con la eliminaci n Paso 3 Configure las notificaciones de correo electr nico que se generar n en funci n de los resultados de los archivos enviados a WildFire Las notificaciones de correo electr nico se enviar n a la cuenta de correo electr nico registrada en la cuenta de asistencia t cnica Desde la p gina de configuraci n del portal aparecer una tabla con los encabezados de columna Device Dispositivo Malware Malware y Benign Bueno Marque Malware Malware y o Benign Bueno para cada cortafuegos del que desee recibir notificaciones Haga clic en Notificaci n de actualizaci n para habilitar las notificaciones para los cortafuegos seleccionados El primer elemento de la fila mostrar Manual Seleccione Malware Malware y o Benign Bueno para obtener una notificaci n de los archivos que se han cargado manualmente a la nube de WildFire o que se han enviado mediante la API de WildFire y haga clic en Update Notification para guardar Nota Active las casillas de verificaci
76. de configuraci n que son espec ficos del software del dispositivo WildFire El resto de comandos que forman parte del software del dispositivo WildFire son id nticos a PAN OS consulte la Gu a de referencia de la interfaz de linea de comandos de PAN OS de Palo Alto Networks para obtener informaci n sobre esos comandos y tienen un hiperenlace a la descripci n deviceconfig system login banner lt value gt hostname lt value gt domain lt value gt speed duplex Todos los comandos espec ficos de WildFire est n en color azul en el resultado de la siguiente jerarqu a auto negotiate 10Mbps half duplex 10Mbps full duplex 100Mbps half duplex 100Mbps full duplex 90 1Gbps full duplex ip address lt ip netmask gt netmask lt value gt default gateway lt ip netmask gt vm interface ip address lt ip netmask gt netmask lt value gt default gateway lt ip netmask gt mtu 576 1500 speed duplex auto negotiate 10Mbps half duplex 10Mbps full duplex 100Mbps half duplex 100Mbps full duplex 1Gbps full duplex link state up down dns server lt ip netmask gt geo location latitude lt float gt longitude lt float gt timezone dns setting servers primary lt ip netmask gt secondary lt ip netmask gt ntp server 1 lt value gt ntp server 2 lt value gt update server lt value gt secure proxy server lt value gt secure proxy port 1 65535 Guia del administrador de
77. de env os de WildFire en el cortafuegos desde el portal de WildFire https wildfire paloaltonetworks com o a trav s de consultas a la API de WildFire Los informes muestran informaci n detallada de comportamiento sobre el archivo informaci n sobre el usuario de destino la aplicaci n que entreg el archivo y todas las direcciones URL involucradas en la entrega o en la actividad tel fono casa del archivo Si desea m s informaci n sobre c mo acceder a los informes y a las descripciones de los campos de los informes consulte Visualizaci n de informes de WildFire 1 File Information i AA ae ea a a SHA256 bd93a20673b90a08bd931F1c023da2d722d3c0ca5bb0946286558067a41ac MDS O d11931c7016a350cbf5e0da0352ae514 FileSize 739884 bytes First Seen Timestamp 2013 09 26 23 45 24 UTC Verdict Antivirus Coverage VirusTotal Information 2 Dynamic Analysis 2 1 VM1 Windows XP Adobe Reader 9 4 0 Flash 10 Office 2007 2 1 1 Behavioral Summary This sample was found to be malware on this virtual machine Changed sec etting plore Created an executable file in a user document folder 2 1 2 Network Activity No network data available 2 1 3 Host Activity Process Name 4IR40uzYg exe command W R40uzYg exe File Activity 6 Gu a del administrador de WildFire Descripci n general de WildFire Qu acciones debo tomar despu s de que se detecte malware Qu acciones debo tomar despu s de que se dete
78. do superuser superreader show wildfire Descripci n Muestra la informaci n de registro del dispositivo WildFire actividad muestras recientes que se han analizado e informaci n de la m quina virtual 120 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de operaci n Ubicaci n de jerarqu a show wildfire Sintaxis sample status sha256 OR equal lt value gt status OR ss statistics OR latest analysis filter malicious benign sort by SHA256 Submit Time Start Time Finish Time Malicious Status sort direction asc desc limit 1 20000 days 1 7 OR as sessions filter malicious benign sort by SHA256 Create Time Src IP Src Port Dst Ip Dst Port File Device ID App Malicious Status sort direction asc desc limit 1 20000 days 1 7 OR samples filter malicious benign sort by SHA256 Create Time File Name File Type File Size Malicious Status sort direction asc desc limit 1 20000 days 1 7 OR uploads sort by SHA256 Create Time Finish Time Status sort direction asc desc limit 1 20000 days 1 7 OR last device registration all Guia del administrador de WildFire 121 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire Opciones adminewf corp1 gt show wildfire gt last device registration
79. e 42 Guia del administrador de WildFire Analisis de archivo de la nube de WildFire Envio de archivos a la nube de WildFire Configuraci n de un perfil de bloqueo de archivos y posterior adici n del mismo a un perfil de seguridad Paso 2 Configure el perfil de bloqueo del archivo 1 Seleccione Objetos gt Perfiles de seguridad gt Bloqueo de para definir qu aplicaciones y tipos de archivo archivos activar n el reenv o a WildFire 2 Haga clic en A adir para a adir un nuevo perfil e introduzca un Nota Si selecciona PE en la columna Tipos de Nombre y una Descripci n archivos del perfil de objetos para 3 Haga clic en A adir en la ventana Perfil de bloqueo de archivo seleccionar una categor a de tipos de y a continuaci n haga clic en A adir de nuevo Haga clic en el archivos no a ada tambi n un tipo de campo Nombres e introduzca un nombre pata la regla archivo neve que forme parie de esa Seleccione las aplicaciones que coincidir n con este perfil Por categoria porque Estos producir a entradas ejemplo si selecciona navegaci n web como la aplicaci n el perfil redundantes en los registros de filtrado de incidir con cualquier tr fico de la aplicaci n identificado como datos Por ejemplo si selecciona PE no es eae gt 53 q P navegaci n web necesario seleccionar exe porque forma parte de la categor a PE Esto tambi n es 5 En el campo Tipo de archivo seleccione los tipos de archiv
80. e de un titular de cuenta de su organizaci n Puede compartir la misma clave API en la organizaci n La clave API aparece en la secci n My Account Mi cuenta del portal web de WildFire junto con estad sticas como cu ntas cargas y consultas se han realizado usando la clave La clave se debe considerar secreta y no debe compartirse fuera de los canales autorizados C mo usar la API de WildFire La API de WildFire es una API REST que utiliza solicitudes HTTP est ndar para enviar y recibir datos Las llamadas de la API se pueden realizar directamente desde utilidades de la l nea de comandos como cURL o usando cualquier secuencia de comandos o matco de aplicaciones que sea compatible con los servicios de la REST Los m todos de la API se alojan en https wildfire paloaltonetworks com y el protocolo HTTPS no HTTP es necesario para proteger su clave API y cualquier otro dato intercambiado con el servicio Una clave API de WildFire le permite hasta 100 cargas de muestra por d a y hasta 1000 informes por d a M todos de env o de archivos de la API de WildFire Utilice los siguiente m todos para enviar archivos a WildFire A Env o de un archivo a la nube de WildFire usando el m todo de env o de archivo A Env o de un archivo a WildFire usando el m todo de env o de URL Gu a del administrador de WildFire 53 Carga de archivos y consulta de WildFire mediante la API de WildFire Analisis de archivo de la nube de WildFire Envio
81. e enable disable is used to enable the vm network which is enable internet access to sample files running in the virtual machine sandbox This helps WildFire analyze the behavior of the malware vm network use tor enable disable is used to enable the Tor network for the vm interface When this option is enabled any malicious traffic coming from the sandbox systems on the WF 500 during sample analysis will be sent through the Tor network The Tor network will mask your public facing IP address so the owners of the malicious site cannot determine the source of the traffic 94 Guia del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de configuraci n Resultado de muestra El siguiente resultado muestra que el env o autom tico no est habilitado en el dispositivo WildFire de modo que los archivos infectados por software malintencionado no se enviar n a la Nube de WildFire Si el env o autom tico estuviera habilitado se enviar an los archivos a la Nube de WildFire porque el servidor de la Nube de la Nube p blica de wildfire est definido Tambi n muestra que la interfaz vm est habilitada lo cual permitir que el software malintencionado que se ejecuta en m quinas virtuales de WildFire accedan a Internet wildfire active vm vm 1 auto submit no cloud server wildfire public cloud vm network enable yes vm network use tor no Nivel de privilegios requerido superuse
82. e gt OR license name lt value gt path lt value gt content lt value gt OR certificate name lt value gt passphrase lt value gt path lt value gt content lt value gt certificate name lt value gt 110 Guia del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de operaci n format pkcs12 pem OR private key name lt value gt passphrase lt value gt path lt value gt content lt value gt certificate name lt value gt format pkcs12 pem OR keypair name lt value gt passphrase lt value gt path lt value gt content lt value gt certificate name lt value gt format pkcs12 pem OR ssl optout text name lt value gt path lt value gt content lt value gt OR ssl cert status page name lt value gt path lt value gt content lt value gt OR logo name lt value gt path lt value gt content lt value gt OR custom logo login screen name lt value gt path lt value gt OR main ui name lt value gt path lt value gt OR pdf report header name lt value gt Guia del administrador de WildFire 111 Comandos del modo de operaci n path lt value gt OR pdf report footer name lt value gt path lt value gt download certificate certificate name lt value gt include key yes no f
83. e para el perfil Por ejemplo WildFire Correoelectronico Perfil 3 Opcional Seleccione el sistema virtual al que se aplica este perfil en el men desplegable Ubicaci n 4 Haga clic en A adir para a adir una nueva entrada de servidor de correo electr nico e introduzca la informaci n necesaria para conectar con el servidor SMTP y enviar mensajes de correo electr nico puede a adir hasta cuatro servidores de correo electr nico al perfil e Servidor Nombre para identificar el servidor de correo electr nico 1 31 caracteres Este campo es solamente una etiqueta y no tiene que ser el nombre de host de un servidor SMTP existente Mostrar nombre El nombre que aparecer en el campo De del correo electr nico De La direcci n de correo electr nico desde la que se enviar n las notificaciones de correo electr nico e Para La direcci n de correo electr nico a la que se enviar n las notificaciones de correo electr nico e Destinatarios adicionales introduzca una direcci n de correo electr nico para enviar notificaciones a un segundo destinatario e Puerta de enlace La direcci n IP o el nombre de host de la puerta de enlace SMTP que se usar para enviar los mensajes de correo electr nico 5 Haga clic en Aceptar para guardar el perfil de servidor 6 Haga clic en Confirmar para guardar los cambios en la configuraci n actual 68 Gu a del administrador de WildFire Elaboraci n de informes de Wild
84. e para revisar informaci n de informes consulte Cuentas de usuario del portal de WildFire paloalto WILDFIRE DASHBOARD PREVIOUS 1 HOUR Malware vs Benign Source Malware Benign Registered 001606000114 16 1 2013 09 26 14 41 16 PREVIOUS 24 HOUR Source Malware Benign Registered 001606000114 16 1 2013 09 26 14 41 16 Personalizaci n de la configuraci n del portal de WildFire Esta secci n describe los ajustes que pueden personalizarse para una cuenta de portal como la zona horaria y las notificaciones de correo electr nico de cada cortafuegos Tambi n puede eliminar logs de cada cortafuegos que reenv a archivos a la nube de WildFire 60 Gu a del administrador de WildFire Elaboraci n de informes de WildFire Supervisi n de env os con el portal de WildFire Personalizaci n de la configuraci n del portal de WildFire Paso 1 Configure la zona horaria para la cuenta del portal Vaya al portal en https wildfire paloaltonetworks com e inicie sesi n usando sus credenciales de inicio de sesi n de asistencia t cnica de Palo Alto Networks o su cuenta de usuario de WildFire Haga clic en el v nculo Settings Configuraci n situado en la parte superior derecha de la ventana del portal Seleccione la zona horaria del men desplegable y a continuaci n haga clic en Update Time Zone Actualizar zona horaria para guardar el cambio Nota Lamarca de hora que aparecer en el informe detallado de Wil
85. e reenviar n a WildFire Nota Cuando utilice Continuar y reenviar aseg rese de que la interfaz de entrada la que recibe en primer lugar el tr fico para sus usuarios tiene un perfil de gesti n adjunto que permite p ginas de respuesta Para configurar un perfil de gesti n seleccione Red gt Perfiles de red gt Gesti n de interfaz y seleccione la casilla de verificaci n P ginas de respuesta Instale el perfil de gesti n en la pesta a Avanzado en la configuraci n de la interfaz de entrada 8 Haga clic en ACEPTAR para guardar los cambios Gu a del administrador de WildFire 43 Envio de archivos a la nube de WildFire An lisis de archivo de la nube de WildFire Configuraci n de un perfil de bloqueo de archivos y posterior adici n del mismo a un perfil de seguridad Paso 3 Para reenviar archivos con cifrado SSL a 1 Seleccione Dispositivo gt Configuraci n gt ID de contenido WildFire el descifrado debe estar habilitado 2 Haga clic en el icono de edici n de las opciones Filtrado de URL y en el cortafuegos y debe habilitar el reenv o habilite Permitir reenv o de contenido descifrado i ifrado P A de contend o pescia Pata eres aS 3 Haga clic en ACEPTAR para guardar los cambios informaci n sobre la configuraci n del 7 descifrado consulte la Palo Alto Networks Nota Si el cortafuegos tiene m ltiples sistemas virtuales debe Getting Started Guide Gu a de inicio de Palo Alto habilitar esta opci
86. e ventas de Palo Alto tiene un perfil de bloqueo de archivos adjunto a una pol tica de seguridad que busca archivos en cualquier aplicaci n utilizada para descargar o cargar cualquier tipo de archivo compatible PE PDF APK JAR Class o MS Office En cuanto la representante de ventas hace clic en Descargar la pol tica del cortafuegos tambi n reenv a el archivo sales tool exe a WildFire donde el archivo se analiza para comprobar si hay malware de d a cero Aun cuando la representante de ventas use Dropbox que tiene cifrado SSL el cortafuegos est configurado para descifrar tr fico por lo que todo el tr fico se puede inspeccionar y los archivos se pueden reenviar a WildFire Las siguientes capturas de pantalla muestran el perfil de bloqueo de archivos la pol tica de seguridad configurada con el perfil de bloqueo de archivos y la opci n para permitir el reenv o de contenido descifrado File Blocking Profile Name WildFire File Block Profile Description File block profile to forward files to WildFire Security Policy Rule General Source User Destination Application Service URL Category Action Setting Log Setting Action Deny Allow EZ Log at Session Start Log at Session End Profile Setti a Log Forwarding WildFire Log Forwarding A Profile Type Profiles z Antivirus default Other Settings Vulnerability Protection default ba Schedule None v Anti Spyware default e QoS Marking None h
87. ealizar una configuraci n b sica Integraci n del dispositivo WF 500 en una red Paso 1 Conecte el ordenador de gesti n al 1 Con ctese al puerto de la consola o al puerto MGT Ambos se dispositivo usando el puerto MGT o el encuentran en la parte posterior del dispositivo puerto de consola y encienda el e Puerto de la consola Conector serie macho de 9 clavijas dispositivo Utilice la siguiente configuraci n en la aplicaci n de la consola 9600 8 N 1 Conecte el cable proporcionado al puerto de serie en el dispositivo de gesti n o al conversor USB serie e Puerto MGT Puerto RJ 45 Ethernet De forma predeterminada la direcci n IP del puerto MGT es 192 168 1 1 La interfaz del ordenador de gestion debe estar en la misma subred que el puerto MGT Por ejemplo establezca la direcci n IP del ordenador de gesti n 192 168 1 5 2 Conecte el dispositivo Nota El dispositivo se activar tan pronto como se encienda la primera fuente de alimentaci n Sonar un pitido de advertencia hasta que terminen de conectarse todas las fuentes de alimentaci n Si el dispositivo ya est conectado pero est apagado utilice el bot n de encendido de la parte frontal del dispositivo para encenderlo Paso 2 Registre el dispositivo WildFire 1 Obtenga el n mero de serie de la etiqueta de n mero de serie en el dispositivo o ejecute el siguiente comando de la CLI admin WF 500 gt show system info 2 Con un navegador acceda a https
88. ed que se utilizar para comunicarse con los sistemas que recibir n logs Por ejemplo Servidores Syslog y servidores de correo electr nico Para garantizar la conectividad para el reenv o de archivos de WildFire a la nube de WildFire o un dispositivo WildFire como el WF 500 Conecte el puerto que acaba de configurar a un conmutador o enrutador No es necesario realizar ninguna otra configuraci n El PA 7050 utilizar este puerto en el momento que quede activado Nota El PA 7050 no reenvia logs a Panorama Panorama solo consultar la tarjeta de logs del PA 7050 para obtener informaci n Paso 8 Opcional Modifique las opciones de la Haga clic en el icono de edici n de Ajustes de informaci n de sesi n que definen qu informaci n de sesi n sesi n se debe registrar en los informes de De forma predeterminada todos los elementos de informaci n an lisis de WildFire de la sesi n aparecer n en los informes Borre las casillas de verificaci n que correspondan a campos que desee eliminar de los informes de an lisis de WildFire Haga clic en ACEPTAR para guardar los cambios 32 Gu a del administrador de WildFire Analisis de archivo de WF 500 Reenvio de archivos a un dispositivo WF 500 WildFire Configuraci n del reenv o al dispositivo WF 500 WildFire Continuaci n Paso 9 Compile la configuraci n Haga clic en Compilar para aplicar los cambios Durante la evaluaci n de la pol tica de seguridad todos los ar
89. el cortafuegos en WildFire Seleccione Dispositivo gt Configuracion gt WildFire Haga clic en el icono de edici n Configuraci n general Establezca el tama o m ximo que se enviar para cada tipo de archivo Paso 7 Solo PA 7050 Si est configurando un cortafuegos PA 7050 debe configurarse un puerto en uno de los NPC con el tipo de interfaz Tarjeta de logs Esto se debe a las funciones de tr fico creaci n de logs del PA 7050 para evitar saturar el puerto MGT Cuando el puerto de datos est configurado como tipo Tarjeta de logs el reenv o de logs y el reenv o de archivos de WildFire se enviar a trav s de dicho puerto en vez de utilizar la ruta de servicio predeterminada Este puerto se utilizar por la tarjeta de logs directamente y actuar como un puerto de reenv o de logs para Syslog Correo electr nico SNMP y reenv o de archivos de WildFire Tras configurar el puerto el reenv o de archivos de WildFire utilizar este puerto as como los siguientes tipos de logs tr fico coincidencias HIP amenazas y logs de WildFire Si el puerto no est configurado se mostrar un error de compilaci n y solo se podr configurar un puerto con el tipo Tarjeta de logs Seleccione Red gt Interfaces y localice un puerto disponible en un NPC Seleccione el puerto y cambie el Tipo de interfaz Tarjeta de logs En la ficha Reenv o de tarjetas de logs introduzca la informaci n de IP IPv4 y o IPv6 para la r
90. equal lt value gt OR not equal lt value gt debug web server reset cache OR log level OR info OR warn OR Crit OR debug delete sample 106 Guia del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire sha256 equal lt value gt OR swm list OR log OR history OR status OR unlock OR revert OR tac login permanently disable OR challenge ORs response OR software restart management server OR fn web server OR ntp OR core management server OR web server OR trace management server OR web server OR sas cli on off detail show OR Guia del administrador de WildFire Comandos del modo de operaci n 107 Comandos del modo de operaci n system maintenance mode OR ea disk sync OR er ssh key reset management OR all OR device set queuelall OR unset queue all OR on error warning info debug dump OR off OR sss show OR clear OR dump queues OR queue stats OR queue lt value gt ORs as flush queue lt value gt ORs 5 set watermark queue lt value gt type high low value 0 4000 OR 54 vardata receiver 108 set third party libcurllall OR all OR u
91. eral de WildFire 14 Guia del administrador de WildFire 77 7 Analisis de archivo de WF 500 Esta secci n describe el dispositivo WF 500 WildFire y explica c mo configurarlo y gestionarlo para que pueda recibir y analizar archivos Adem s esta secci n explica los pasos necesarios para configurar un cortafuegos de Palo Alto Networks para que reenv e archivos a un dispositivo WildFire que los analizar A Acerca del dispositivo WF 500 WildFire A Configuraci n del dispositivo WF 500 WildFire A Reenvio de archivos a un dispositivo WF 500 WildFire A Actualizaci n del software del dispositivo WF 500 WildFire Gu a del administrador de WildFire 15 Acerca del dispositivo WF 500 WildFire Analisis de archivo de WF 500 Acerca del dispositivo WF 500 WildFire El dispositivo WF 500 WildFire proporciona una nube privada de WildFire in situ que le permite analizar archivos sospechosos en un entorno aislado sin que sea necesario su envio fuera de la red Para utilizar un dispositivo WF 500 en lugar de la nube publica de WildFire configure la nube de WildFire en el cortafuegos para que indique el dispositivo WF 500 en lugar de los servidores de la nube p blica de WildFire El dispositivo WF 500 a sla todos los archivos localmente y los analiza en busca de comportamientos malintencionados usando el mismo motor que el utilizado por el sistema de nube p blica de WildFire En cuesti n de minutos el dispositivo devuelve los resultados del an
92. esde el portal de la nube de WildFire aunque el env o autom tico est habilitado en el dispositivo WF 500 Adici n de cuentas de usuario de WildFire Esta secci n describe los pasos necesarios para a adir cuentas adicionales de WildFire al portal de WildFire Adici n de cuentas de usuario de WildFire mR Paso 1 Acceda a la secci n para gestionar usuarios Inicie sesi n en https support paloaltonetworks com y cuentas en el sitio de asistencia t cnica y 2 En Manage Account Gestionar cuenta haga clic en Users and seleccione una cuenta Accounts Usuarios y cuentas 3 Seleccione una cuenta o una cuenta secundaria existente Paso 2 A ada un usuario de WildFire 1 Haga clic en el bot n Add WildFire User A adir usuario de WildFire 2 Introduzca la direcci n de correo electr nico del usuario destinatario que desea a adir Nota El usuario puede ser un usuario de sitio de asistencia t cnica existente que pertenezca a cualquier cuenta incluidas la cuenta secundaria la cuenta principal Palo Alto Networks o cualquier otra cuenta del sistema as como cualquier direcci n de correo electr nico que no disponga de una cuenta de asistencia t cnica La nica restricci n es que la direcci n de correo electr nico no puede proceder de una cuenta de correo electr nico gratuita basada en web Gmail Hotmail Yahoo etc Si se introduce una cuenta de correo electr nico de un dominio no compatible
93. establecida en Continuar y reenviar solo se reenviar el tr fico http https porque es el nico tipo de tr fico que permite solicitar al usuario que haga clic para continuar Paso 5 Compruebe la pol tica de seguridad 1 Seleccione Pol ticas gt Seguridad y haga clic en la regla de pol tica de seguridad que activa el reenv o de archivos a WildFire 2 Haga clic en la pestafia Acciones y asegurese que la politica de bloqueo de archivos esta seleccionada en el menu desplegable Bloqueo de archivo 48 Guia del administrador de WildFire Analisis de archivo de la nube de WildFire Verificaci n de WildFire al reenviar a la nube de WildFire Comprobaci n de la configuraci n de WildFire en el cortafuegos Continuaci n Paso 6 Compruebe el estado de WildFire admin PA 200 gt show wildfire status Cuando reenvie los archivos a la nube de WildFire el resultado deberia tener un aspecto similar al siguiente Connection info Wildfire cloud public cloud Status Idle Best server s1 wildfire paloaltonetworks com Device registered yes Valid wildfire license yes Service route IP address 192 168 2 1 Signature verification enable Server selection enable Through a proxy no Forwarding info file size limit for pe MB file size limit for jar MB file size limit for apk MB file size limit for pdf KB file size limit for ms office KB file idle time out second total file forwarded fi
94. etam Paso 5 En aproximadamente cinco minutos WildFire ha terminado el an lisis del archivo y env a un log de WildFire al cortafuegos con los resultados del an lisis En este ejemplo el log de WildFire muestra que el archivo es malintencionado paloalto NETWORKS Dashboard Monitor Policies Network Logs E Traffic Ex Threat ES URL Filtering 04 11 15 13 49 192 168 2 10 13 vlan trust sales tool exe 13 untrust Paso 6 Tambi n hay configurado un perfil de reenv o de registros para enviar por correo electr nico alertas de WildFire de modo que el administrador de seguridad recibe inmediatamente un correo electr nico en relaci n con el malware que ha descargado paloalto NETWORKS Objects YI opyware a Vulnerability 8 Y Security Profiles 3 Antivirus g Anti Spyware 8 Vulnerability Protection Bur Filtering higo 8 File Blocking ha ditical WildFire Email Profile 8 Data Filtering Traffic any pos Protection security Profile Groups E Necrvntian Profile Guia del administrador de WildFire 73 WildFire en acci n Elaboraci n de informes de WildFire Caso de ejemplo de WildFire Continuaci n Paso 7 El administrador de seguridad identificar el usuario por el nombre si el ID de usuarios est configurado o en caso contrario por direcci n IP En este punto el administrador puede apagar la red o la conexi n VPN que
95. extremo a extremo Para obtener detalles del archivo de muestra consulte Desde d nde puedo acceder a un archivo de muestra de malware para su prueba Para recuperar el archivo utilizando la API API GET https wildfire paloaltonetworks com publicapi test pe Esto devolver un archivo de prueba y cada llamada a la API devolver un archivo similar pero con un valor SHA256 diferente Si hay alg n problema al recuperar el archivo se devolver el error de servidor interno 500 Para recuperar el archivo de prueba utilizando cURL curl k https wildfire paloaltonetworks com publicapi test pe 56 Guia del administrador de WildFire 7 Elaboraci n de informes de WildFire Esta secci n describe el sistema de elaboraci n de informes y registros de WildFire y en l sele mostrar c mo usar esta informaci n para localizar amenazas e identificar a los usuarios atacados por malware Acerca de los logs de WildFire Supervisi n de env os con el portal de WildFire Personalizaci n de la configuraci n del portal de WildFire Cuentas de usuario del portal de WildFire Visualizaci n de informes de WildFire Configuraci n de alertas para el malware detectado gt gt gt gt p gt p gt p gt WildFire en acci n Gu a del administrador de WildFire 57 Acerca de los logs de WildFire Elaboraci n de informes de WildFire Acerca de los logs de WildFire Cada cortafuegos configurado para reenviar archivos a WildFire registrar
96. faz de la m quina virtual 0 eee eens 25 Reenv o de archivos a un dispositivo WF 500 WildFire 2 0 eee eee 30 Recomendaciones para actualizaciones din micas 1 6 eee te eee eee 33 Verificaci n de WildFire al reenviar a un dispositivo de WildFire 0 34 Actualizaci n del software del dispositivo WF 500 WildFire 0 0 0 0 ee 38 Analisis de archivo de la nube de WildFire ss csc is0ensveneyaeen Rees 41 Env o de archivos a lanabe de WildPite corras rr e paa ea 42 Recomendaciones para actualizaciones din micas 6 o 46 Verificaci n de WildFire al reenviar a la nube de WildFire 0 0 cece eens 47 Carga de archivos en el portal de la nube de WildFire 0 cece eens 51 Carga de archivos y consulta de WildFire mediante la API de WildFire 0 0 00 cee eee ee 53 Acerca de las suscripciones a WildFire y claves API 0 cece eee 53 Comio usar la API de Wild Rite cc cto aw ated eRe a be ake 53 M todos de env o de archivos de la API de WildFire 6 0 0 cece eee 53 Consulta de un informe PDF o XML de WildFire 0 0 eee ee eens 55 Uso de la API para recuperar un archivo de prueba de malware de muestra oooooocoooooooo 56 Elaboraci n Ge inforimes de WIG 00 cirrosis 57 Acerca de los logs de Wild Pit cooxorisc a ban aa a HE edie SHEE ee SS 58 Supervisi n de env os con el portal de WildFite oooooococcoccorccorccccn oo 60 Personalizaci n de la configuraci n del portal de WildFire
97. ficaci n de WildFire al reenviar a la nube de WildFire Analisis de archivo de la nube de WildFire Comprobaci n de la configuraci n de WildFire en el cortafuegos Continuaci n Paso 8 Compruebe el estado de las actualizaciones din micas y las programaciones para asegurarse de que el cortafuegos est recibiendo autom ticamente las firmas generadas por WildFire mR Seleccione Dispositivo gt Actualizaciones dinamicas 2 Aseg rese de que el antivirus las aplicaciones y amenazas y WildFire tienen las actualizaciones m s recientes y que se ha establecido la programaci n para cada elemento Escalone la programaci n de las actualizaciones porque solo se puede realizar una cada vez 3 Haga clic en Comprobar ahora en la parte inferior de las ventanas para ver s hay alguna actualizaci n disponible lo que tambi n confirma que el cortafuegos se puede comunicar con updates paloaltonetworks com Si el cortafuegos no tiene conectividad con el servidor de actualizaci n descargue las actualizaciones directamente desde Palo Alto Networks Inicie sesi n en https support paloaltonetworks com y en la secci n Dispositivos gestionados haga clic en Actualizaciones din micas para ver las actualizaciones disponibles Para obtener m s informaci n sobre las actualizaciones din micas consulte la secci n Gesti n de la actualizaci n de contenidos de la Palo Alto Networks Getting Started Guide Guia de inicio de Palo
98. firmas de WildFire generar una firma Si usa un dispositivo de WildFire el env o autom tico debe estar habilitado en el dispositivo para que los archivos infectados con malware se env en a la nube de WildFire para la generaci n de la firma De manera predeterminada los dispositivos con una suscripci n a WildFire nicamente recuperar n resultados de an lisis desde la nube de WildFire para archivos que se determine que son malware Para registrar tambi n archivos con el veredicto benigno ejecute el comando de la CLI set deviceconfig setting wildfire report benign file 58 Gu a del administrador de WildFire Elaboraci n de informes de WildFire Acerca de los logs de WildFire Para ver el informe detallado de un archivo analizado por WildFire localice la entrada del log en el log de WildFire haga clic en el icono que aparece a la izquierda de la entrada del log para mostrar los detalles y a continuaci n haga clic en el bot n Ver informe de WildFire Aparecer un mensaje de inicio de sesi n para acceder al informe y tras introducir las credenciales correspondientes el informe se recuperar del sistema WildFire y se mostrar en su explorador Para obtener informaci n sobre cuentas de portal para acceder a la nube de WildFire consulte Cuentas de usuario del portal de WildFire Para obtener informaci n sobre la cuenta de administrador usada para recuperar informes de un dispositivo WildFire consulte Realizaci n de la configuraci
99. guraci n porque se trata de un comando de operaci n 4 Escriba exit para cerrar la sesi n y a continuaci n vuelva a iniciarla para confirmar que se ha establecido la nueva contrase a Paso 4 Establezca la informaci n de IP parala 1 Inicie sesi n en el dispositivo con un cliente de SSH o usando el interfaz de gesti n y el nombre de host puerto de la consola y acceda al modo de configuraci n para el dispositivo Todos los cortafuegos admin WF 500 gt configure que enviar n archivos al dispositivo 2 Establezca la informaci n de IP F ilizaran el rto M rl WE 500 utiliza E puerto GT po 9 admin WF 500 set deviceconfig system ip address que debe asegurase de que esta interfaz es 10 10 0 5 netmask 255 255 252 0 default gateway accesible desde estos cortafuegos 10 10 0 1 dns setting servers primary 10 0 0 246 En este ejemplo se utilizan los siguientes Nota Puede configurar un servidor DNS secundario valotes sustituyendo primary por secondary en el comando bg anterior excluyendo el resto de parametros IP Por ejemplo e Direcci n IPv4 10 10 0 5 22 A pa l Jep j admin WF 500 set deviceconfig system e Mascara de subred 255 255 252 0 i dns setting servers secondary e Puerta de enlace predeterminada 10 0 0 247 10 10 0 1 i Establezca el nombre del host w dfire corp en este ejemplo e Nombre de host wildfire corp1 i admin WF 500 set deviceconfig system hostname e Servidor DNS 10 0 0 246 wildfire corpl 4
100. informes de WildFire El m todo principal para ver informes de WildFire enviados a la nube de WildFire o a un dispositivo de WildFire es acceder al cortafuegos que ha reenviado el archivo a WildFire y a continuaci n seleccionar Supervisar gt Logs gt Env os de WildFire y seleccionar la pesta a Informe de an lisis de WildFire Si el cortafuegos reenv a logs a Panorama estos pueden verse en Panorama en la misma rea Al enviar archivos al portal de WildFire mediante el reenv o de cortafuegos la carga manual o la API de WildFire es posible acceder a los informes desde el cortafuegos as como desde el portal de WildFire Para acceder a los informes desde el portal inicie sesi n en https wildfire paloaltonetworks com y haga clic en el bot n Informes en la parte superior de la p gina del portal de WildFire Aparecer una lista que muestre la fecha en la que se ha recibido el archivo el numero de serie del cortafuegos que ha reenviado el archivo o manual si el archivo se ha cargado manualmente o mediante la API de WildFire el nombre de archivo o URL y el veredicto malware o benigno La b squeda tambi n est disponible en la parte superior de la p gina y puede buscar por nombre de archivo o el valor sha256 Para ver un informe individual desde el portal haga clic en el icono Informes situado a la izquierda del nombre del informe Para guardar el informe detallado haga clic en el bot n Descargar como PDF en la esquina su
101. inistrador de WildFire Referencia de la CLI del software del dispositivo WildFire Acceso a la CLI Ejemplo En el siguiente comando es obligatoria la palabra clave f rom username hostname gt scp import configuration remote port SSH port number on remote host from Source username host path username hostname gt scp import configuration Example This command output shows options designated with and gt username hostname set rulebase security rules rulel action action application application destination destination disabled disabled from from log end log end log setting log setting log start log start negate destination negate destination negate source negate source schedule schedule service service source source to to gt profiles profiles lt Enter gt Finish input edit username hostname set rulebase security rules rulel Cada opci n de la lista marcada con se puede a adir al comando La palabra clave perfiles con gt tiene opciones adicionales username hostname set rulebase security rules rulel profiles virus Help string for virus spyware Help string for spyware vulnerability Help string for vulnerability group Help string for group lt Enter gt Finish input editar username hostname set rulebase security rules rulel profiles Restricci n de resultados de comandos Algunos comandos de operaci n incluyen una opci n para rest
102. ivo WF 500 WildFire el administrador utilizar y seleccionar una maquina virtual bas ndose en los atributos del entorno virtual que coincidan mejor con el entorno local Por ejemplo si la mayor a de los usuarios tienen Windows 7 se seleccionaria dicha m quina virtual 66 Guia del administrador de WildFire Elaboraci n de informes de WildFire Visualizaci n de informes de WildFire Resumen de comportamientos Cada pesta a de m quina virtual resume el comportamiento del archivo de muestra en el entorno espec fico Algunos ejemplos son si la muestra ha creado o modificado archivos iniciado un proceso generado procesos nuevos modificado el registro o instalado objetos de ayuda del explorador A continuaci n se describen los distintos comportamientos que se analizan e Actividad de red Muestra la actividad de la red realizada por la muestra como el acceso a otros hosts de la red consultas DNS y la actividad tel fono casa Se proporciona un enlace para descargar la captura de paquete e Actividad de host Muestra las claves de registro que se han definido modificado o eliminado e Actividad de proceso Muestra archivos que han empezado un proceso principal el nombre del proceso y la acci n que ha realizado el proceso e Archivo Muestra archivos que han empezado un proceso secundario el nombre del proceso y la acci n que ha realizado el proceso e Mutex Si el archivo de muestra genera otros hilos de ejecuci n
103. izaciones m s recientes del antivirus aplicaciones debe introducir un valor distinto de cero y amenazas y WildFire en el campo Minutos pasada la hora 3 Silas actualizaciones no est n programadas h galo ahora Aseg rese de escalonar la programaci n de las actualizaciones porque solo se puede realizar una cada vez Consulte Recomendaciones para actualizaciones din micas para conocer la configuraci n recomendada Paso 2 Defina el servidor WildFire al que 1 Seleccione Dispositivo gt Configuraci n gt WildFire reenviar archivos el cortafuegos 2 Haga clic en el icono de edici n Configuraci n general PO En el campo Servidor WildFire introduzca la direcci n IP o FQDN del dispositivo WF 500 WildFire 30 Gu a del administrador de WildFire Analisis de archivo de WF 500 Reenvio de archivos a un dispositivo WF 500 WildFire Configuraci n del reenv o al dispositivo WF 500 WildFire Continuaci n Paso 3 Configure el perfil de bloqueo del archivo 1 Seleccione Objetos gt Perfiles de seguridad gt Bloqueo de para definir qu aplicaciones y tipos de archivo archivos activar n el reenv o a WildFire 2 Haga clic en A adir para a adir un nuevo perfil e introduzca un Nota Si selecciona PE en la columna Tipos de Nombre y una Descripci n archivos del perfil de objetos para 3 Haga clic en A adir en la ventana Perfil de bloqueo de archivo seleccionar una categor a de tipos de y a continuaci n hag
104. l nea de comandos CLI del software del dispositivo WildFire y se describe su uso A Acerca de la estructura de la CLI del software del dispositivo WildFire A Acceso a la CLI A Uso de los comandos de la CLI del software del dispositivo WildFire Acerca de la estructura de la CLI del software del dispositivo WildFire La CLI del software del dispositivo WildFire se usa para manejar dicho dispositivo La CLI es la nica interfaz del dispositivo Sirve para ver informaci n de estado y configuraci n y modificar la configuraci n del dispositivo Acceda a la CLI del software del dispositivo WildFire a trav s de SSH o de un acceso directo a la consola usando el puerto de la consola La CLI del software del dispositivo WildFire tiene dos modos de funcionamiento e Modo de operaci n Permite ver el estado del sistema navegar por la CLI del software del dispositivo WildFire y acceder al modo de configuraci n e Modo de configuraci n Permite ver y modificar la jerarqu a de configuraci n Si desea m s informaci n sobre estos modos consulte Modos de comando de la CLI 78 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Acceso a la CLI Acceso a la CLI En esta secci n se describe c mo acceder y comenzar a usar la CLI del software del dispositivo WildFire A Establecimiento de una conexi n directa con la consola A Establecimiento de una conexi n de SSH Establecimiento de una cone
105. la CLI del dispositivo WildFire ejecute el siguiente comando admin WF 500 gt show interface vm interface Aparecer n todos los contadores de la interfaz Compruebe que los contadores recibidos transmitidos han aumentado Ejecute el siguiente comando para generar tr fico ping admin WF 500 gt ping source vm interface ip host lt gateway ip gt Por ejemplo admin WF 500 gt ping source 10 16 0 20 host 10 16 0 1 Gu a del administrador de WildFire 29 Reenvio de archivos a un dispositivo WF 500 WildFire Analisis de archivo de WF 500 Reenvio de archivos a un dispositivo WF 500 WildFire En esta secci n se describen los pasos necesarios para la configuraci n de un cortafuegos de Palo Alto Networks para que empiece a reenviar archivos a un dispositivo WF 500 WildFire y se describe c mo verificar la configuraci n del dispositivo Si sus cortafuegos est n gestionados por Panorama simplifique la administraci n de WildFire usando plantillas de Panorama para introducir la informaci n del servidor WildFire el tama o de archivo permitido y los ajustes de informaci n de la sesi n en los cortafuegos Utilice los grupos de dispositivos de Panorama para configurar e introducir los perfiles de bloqueo de los archivos y las reglas de las pol ticas de seguridad En cuanto a PAN 6 0 cuando el cortafuegos reenvie archivos a WildFire los registros de WildFire devueltos por el servidor Wild Fire contendr n informaci n sobre el servidor Wi
106. las de verificaci n que correspondan a campos que desee eliminar de los informes de an lisis de WildFire 3 Haga clic en ACEPTAR para guardar los cambios 44 Gu a del administrador de WildFire Analisis de archivo de la nube de WildFire Envio de archivos a la nube de WildFire Configuraci n de un perfil de bloqueo de archivos y posterior adici n del mismo a un perfil de seguridad Paso 7 Nota Solo PA 7050 Si esta configurando un cortafuegos PA 7050 debe configurarse un puerto en uno de los NPC con el tipo de interfaz Tarjeta de logs Esto se debe a las funciones de tr fico creaci n de logs del PA 7050 para evitar saturar el puerto MGT Cuando el puerto de datos est configurado como tipo Tarjeta de logs el reenv o de logs y el reenv o de archivos de WildFire se enviar a trav s de dicho puerto en vez de utilizar la ruta de servicio predeterminada Este puerto se utilizar por la tarjeta de logs directamente y actuar como un puerto de reenv o de logs para Syslog Correo electr nico SNMP y reenv o de archivos de WildFire Tras configurar el puerto el reenv o de archivos de WildFire utilizar este puerto as como los siguientes tipos de logs tr fico coincidencias HIP amenazas y logs de WildFire Si el puerto no est configurado se mostrar un error de compilaci n y solo se podr configurar un puerto con el tipo Tarjeta de logs El PA 7050 no reenv a logs a Panorama Panorama s
107. ldFire Este ejemplo usa un sitio web que utiliza cifrado SSL por lo que el descifrado debe configurarse en el cortafuegos y la opci n Permitir reenv o de contenido descifrado debe estar habilitada Para obtener m s informaci n sobre la configuraci n del descifrado consulte la Palo Alto Networks Getting Started Guide Gu a de inicio de Palo Alto Networks Para obtener informaci n sobre c mo habilitar el reenv o de contenido descifrado consulte Env o de archivos a la nube de WildFire o Reenv o de archivos a un dispositivo WF 500 WildFire Caso de ejemplo de WildFire Paso 1 El representante de ventas de la empresa asociada carga un archivo de una herramienta de ventas denominado sales toolexe en su cuenta de Dropbox y a continuaci n env a un correo electr nico a la representante de ventas de Palo Alto Networks con un enlace al archivo Paso 2 La representante de ventas de Palo Alto recibe el correo electr nico del socio de ventas y hace clic en el enlace de descarga que la lleva al sitio de Dropbox A continuaci n hace clic en Descargar y el archivo se guarda en su escritorio From Stu sales tool exe 5 mins ago 255 32 KB Test file lick h i Stu shared these files using Dropbox Enjoy Guia del administrador de WildFire 71 WildFire en acci n Elaboraci n de informes de WildFire Caso de ejemplo de WildFire Continuaci n Paso 3 El cortafuegos que protege a la representante d
108. ldFire que analiz el archivo Esto significa que cuando visualice registros de WildFire desde Panorama podr recuperar el informe desde varios sistemas de WildFire nube de WildFire dispositivo WF 500 y o la nube de WildFire de Jap n En versiones anteriores el ajuste del servidor WildFire en Panorama ten a que coincidir con el ajuste del servidor WildFire configurado en cada cortafuegos gestionado Si hay un cortafuegos entre el cortafuegos que est reenviando los archivos a WildFire y la nube de WildFire o el dispositivo WildFire aseg rese de que el cortafuegos intermedio permite los puertos necesarios e Nube de WildFire Utiliza el puerto 443 para registro y env o de archivos e Dispositivo WildFire Utiliza el puerto 443 para registro y el 10443 para env o de archivos Siga estas instrucciones en todos los cortafuegos que reenviar n archivos al dispositivo WildFire Configuraci n del reenv o al dispositivo WF 500 WildFire Paso 1 Compruebe que el cortafuegos tiene 1 Seleccione Dispositivo gt Licencias y confirme que el una suscripci n a WildFire y que las cortafuegos tiene instaladas suscripciones a WildFire y Threat actualizaciones din micas est n Prevention v lidas programadas y actualizadas 2 Seleccione Dispositivo gt Actualizaciones din micas y haga clic Nota Al configurar una programaci n de en Comprobar ahora para asegurarse de que el cortafuegos actualizaci n de firmas de WildFire tiene las actual
109. ldfire Release Notes panup all Full 3 MB Release 2013 04 11 v v 15 38 03 Notes Todo esto tiene lugar mucho antes de que la mayoria de los proveedores de antivirus perciban incluso la existencia de malware de dia cero En este ejemplo el malware ya no se considera de dia cero ya que Palo Alto Networks sabe de su existencia y ya ha proporcionado la protecci n correspondiente a sus clientes Gu a del administrador de WildFire 75 WildFire en acci n Elaboraci n de informes de WildFire 76 Gu a del administrador de WildFire Yj Referencia de la CLI del software del dispositivo WildFire Esta secci n describe los comandos de la CLI espec ficos para el software del dispositivo WF 500 WildFire El resto de comandos tales como las interfaces de configuraci n confirmaci n de la configuraci n y el ajuste de la informaci n del sistema son id nticos a PAN OS y tambi n se muestran en la jerarqu a Para obtener m s informaci n sobre los comandos de PAN OS consulte la Gu a de referencia de la interfaz de linea de comandos de PAN OS de Palo Alto Networks A Acerca del software del dispositivo WildFire A Comandos del modo de configuraci n A Comandos del modo de operaci n Gu a del administrador de WildFire 77 Acerca del software del dispositivo WildFire Referencia de la CLI del software del dispositivo WildFire Acerca del software del dispositivo WildFire En esta secci n se presenta la interfaz de
110. ldfire sample status sha256 equal c08ec3 922e26b92dac959 672ed7d 2734ad7 840cd40dd72db72d9c9827b6e8 Sample information HSS Sees ere eS A RS Se ASS pin SR See FERIAS q ee eS Pp ps de Create Time File Name File Type File Size Malicious Status Pa AR PR SAA a a at Perse letras q Sees PA ao a de 2013 03 07 10 22 00 5138e1fal3a66 exe PE 261420 No analysis complete 2013 03 07 10 22 00 5138e1fal3a66 exe PE 261420 No analysis complete PA AAA Ae A SAA A A HARO PAS PA Haas e eee e 122 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de operaci n Session information ds a e a EA tan HI Ae poss aio Hr RS PR A A iS O O ae A E Create Time Src 1P Src Port Dst IP Dst Port File Device ID App Malicious Status Piacente sae man pores ei See S HE Pan AA a sae An SO A A O A A See Raabe Rin eee eek 2013 03 07 10 22 42 46 165 211 184 80 192 168 2 10 53620 5138e223a1069 exe 001606000114 web browsing No completed 2013 03 07 10 22 02 46 165 211 184 80 192 168 2 10 53618 5138e1fb3e5fb exe 001606000114 web browsing No completed 2013 03 07 10 22 00 46 165 211 184 80 192 168 2 10 53617 5138elfal3a66 exe 001606000114 web browsing No completed A Sessa PA A E PARADE A Ss se poste ass AAA A A lg a A eal lace Pa A ine SSS SSS SSS Seas Se ps SSS aie aia Seas emi PAS a RES e
111. le forwarded in last minute concurrent files 1 10 500 0000 90 1 0 0 Nota Siel cortafuegos est reenviando archivos a un dispositivo de WildFire el campo Wildfire cloud mostrar la direcci n IP o FQDN y Best server no mostrar ning n valor Paso 7 Compruebe las estad sticas de WildFire Utilice el siguiente comando para comprobar las estad sticas y determinar si los valores han aumentado admin PA 200 gt show wildfire statistics Este es el resultado de un cortafuegos en funcionamiento Si no aparece ningun valor el cortafuegos no esta reenviando archivos Packet based counters Total msg rcvd Total bytes rcvd Total msg read Total bytes read Total files received from DP 2 Counters for file cancellation Counters for file forwarding file type apk file type pdf FWD CNT LOCAL FILE FWD CNT REMOTE FILE file type ms office file type pe FWD CNT LOCAL FILE FWD CNT REMOTE DUP CLEAN file type jar file type unknown file type pdns Error counters FWD_ERR UNKNOWN QUERY RESPONSE FWD ERR CONN FAIL Reset counters DP receiver reset cnt File cache reset cnt Service connection reset cnt Log cache reset cnt Report cache reset cnt Resource meters data_buf_meter msg_ buf meter ctrl_msg_buf_meter File forwarding queues priority 1 size 0 priority 2 size 0 599 480074 599 465698 Wu RN or ooo AP Ap a Gu a del administrador de WildFire 49 Veri
112. lidad WildFire de Palo Alto Networks son la detecci n de malware de d a cero y generar r pidamente firmas para ofrecer protecci n frente a futuras infecciones de todo el malwate que detecte El cortafuegos proporciona alertas instant neas en cualquier momento en que se detecte malware en su red mediante el env o de alertas de correo electr nico alertas de Syslog o traps SNMP Esto le permite identificar r pidamente qu usuario descarg el malware y eliminarlo antes de que cause mayores da os o se propague a otros usuarios Adem s cada firma generada por WildFire se propaga autom ticamente a todos los cortafuegos de Palo Alto Networks protegidos con las suscripciones a Threat Prevention o WildFire que ofrecen protecci n automatizada frente a malware incluso si no se ha detectado dentro de la red Los siguientes temas describen WildFire y c mo integrarlo en su entorno C mo funciona WildFire Qu tipos de archivos puede analizar WildFire C mo puedo ver informes en archivos analizados por WildFire Qu acciones debo tomar despu s de que se detecte malware Qu implementaciones est n disponibles Cu ntos archivos puede reenviar el cortafuegos a WildFire Cu les son las ventajas de la suscripci n de WildFire lt gt gt gt gt gt rp Desde d nde puedo acceder a un archivo de muestra de malware para su prueba Gu a del administrador de WildFire 1 C mo funciona WildFire Descripci n gene
113. lisis de archivo de WF 500 Reenvio de archivos a un dispositivo WF 500 WildFire Comprobaci n de la configuraci n de WildFire en el cortafuegos Continuaci n Paso 2 Confirme que el cortafuegos est enviando archivos al sistema WildFire correcto 1 Para determinar a d nde est reenviando archivos el cortafuegos a la nube de WildFire o a un dispositivo de WildFire seleccione Dispositivo gt Configuraci n gt WildFire Haga clic en el bot n de edici n Configuraci n general Si el cortafuegos esta reenviando archivos ala nube de WildFire este campo mostrar wildfire public cloud para la nube de WildFire de EE UU o wildfire paloaltonetworks jp para la nube de WildFire de Jap n Si el cortafuegos reenv a archivos a un dispositivo de WildFire aparecer n la direcci n IP o FQDN del dispositivo de WildFire Paso 3 Compruebe los logs Seleccione Supervisar gt Logs gt Filtrado de datos Confirme que los archivos se est n reenviando a WildFire consultando la columna Acci n Reenviar Indica que el perfil de bloqueo del archivo y la pol tica de seguridad reenviaron el archivo de forma correcta Wildfire upload success Indica que el archivo se ha enviado a WildFire Esto significa que el archivo no est firmado por un firmante de archivo fiable y que WildFire no lo ha analizado anteriormente e Wildfire upload skip Indica que el archivo se identific como apto para enviarse a WildFire por u
114. lite Permitir reenv o de contenido descifrado obtener informaci n sobre la configuraci n del descifrado consulte l Pa Ab aot 3 Haga clic en ACEPTAR para guardar los cambios Getting Started Guide Gu a de inicio de Palo Alto Nota Si el cortafuegos tiene m ltiples sistemas virtuales debe Networks habilitar esta opci n por VSYS En esta situaci n seleccione Noi Sdloguads biie ci n ta Dispositivo gt Sistemas virtuales haga clic en el sistema superusuatio virtual que desea modificar y seleccione la casilla de verificaci n Permitir reenv o de contenido descifrado Gu a del administrador de WildFire 31 Reenvio de archivos a un dispositivo WF 500 WildFire Analisis de archivo de WF 500 Configuraci n del reenv o al dispositivo WF 500 WildFire Continuaci n Paso 5 Adjunte el perfil de bloqueo de archivos a una pol tica de seguridad Nota Seleccione Pol ticas gt Seguridad Haga clic en A adir para crear una nueva pol tica para las zonas a las que est aplicando el reenv o de WildFire o seleccione una pol tica de seguridad existente En la pesta a Acciones seleccione el perfil Bloqueo de archivo en el men desplegable Si esta regla de seguridad no tiene ning n perfil adjunto seleccione Perfiles en el men Tipo de perfil para habilitar la selecci n de un perfil de bloqueo de archivos Paso 6 Opcional Modifique el tama o m ximo del archivo que puede cargar
115. m download interface Resultado de muestra A continuaci n se muestra una interfaz vm configurada vm interface ip address 10 16 0 20 netmask 255 255 252 0 default gateway 10 16 0 1 dns server 10 0 0 246 Guia del administrador de WildFire 93 Comandos del modo de configuraci n Referencia de la CLI del software del dispositivo WildFire Nivel de privilegios requerido superuser superreader wildfire Descripci n Configure los ajustes de Wildfire para que env a autom ticamente el software malintencionado a la Nube de Palo Alto Networks WildFire para generar firmas definir el servidor de la Nube que recibir los archivos infectados por software malintencionado y habilitar o deshabilitar la interfaz vm Lea la descripci n de la interfaz vm antes de habilitarla Ubicaci n de jerarqu a set deviceconfig settings Sintaxis wildfire active vm auto submit yes no cloud server lt value gt vm network enable yes no vm network use tor Opciones admin wf corpl establecer wildfire active vm shows the virtual machine environment that is currently selected Each vm has a different configuration such as Windows XP versions of Flash Adobe reader etc To view which VM is selected run show wildfire status from operational mode auto submit automatically submit all malwares incorrect verdict to public cloud cloud server Hostname for cloud server Default is wildfire public cloud vm network enabl
116. mando de la CLI y compruebe el campo sw version admin WF 500 gt show system info Gu a del administrador de WildFire 39 Actualizaci n del software del dispositivo WF 500 WildFire Analisis de archivo de WF 500 40 Guia del administrador de WildFire Analisis de archivo de la nube de WildFire Esta seccion describe los pasos necesarios para reenviar archivos desde un cortafuegos de Palo Alto Networks y cargar archivos manualmente utilizando el portal de WildFire o de forma programada utilizando la API de WildFire Envio de archivos a la nube de WildFire gt Recomendaciones para actualizaciones dinamicas Verificaci n de WildFire al reenviar a la nube de WildFire Carga de archivos en el portal de la nube de WildFire gt gt gt gt Carga de archivos y consulta de WildFire mediante la API de WildFire Gu a del administrador de WildFire 41 Envio de archivos a la nube de WildFire Analisis de archivo de la nube de WildFire Envio de archivos a la nube de WildFire Para configurar un cortafuegos para el envio automatico de archivos a WildFire configure un perfil de bloqueo de archivo con la acci n Reenviar o Continuar y reenviar y a continuaci n adj ntelo a las reglas de seguridad que desea inspeccionar en busca de un malwate de d a cero Por ejemplo podr a configurar una pol tica con un perfil de bloqueo de archivo que active el cortafuegos para reenviar un tipo de archivo espec fico o todos los tipos de
117. ment plane to lt value gt remote port 1 65535 source ip lt ip netmask gt load config key lt value gt last saved OR from lt value gt OR version lt value gt 1 1048576 OR partial from lt value gt from xpath lt value gt to xpath lt value gt mode merge replace append OR device state less mp log lt value gt OR so mp backtrace lt value gt grep invert match yes no line number yes no Guia del administrador de WildFire Comandos del modo de operaci n 115 Comandos del modo de operaci n ignore case yes no no filename yes no count yes no max count 1 65535 context 1 65535 before context 1 65535 after context 1 65535 pattern lt value gt mp log lt value gt OR dp log lt value gt tail follow yes no lines 1 65535 mp log lt value gt ssh inet yes no port 0 65535 source lt value gt vl yes no v2 yes no host lt value gt telnet 8bit yes no port 0 65535 host lt value gt traceroute ipv4 yes no first ttl 1 255 max ttl 1 255 port 1 65535 tos 1 255 wait 1 99999 pause 1 2000000000 do not fragment yes no debug socket yes no gateway lt ip netmask gt no resolve yes no bypass routing yes no source lt value gt host lt value gt netstat 116 Referencia de la CLI del software del dispositivo WildFire Guia del administ
118. n archivo de prueba que se pueda utilizar durante el proceso de verificaci n consulte Desde d nde puedo acceder a un archivo de muestra de malware para su prueba Comprobaci n de la configuraci n de WildFire en el cortafuegos Paso 1 Compruebe las suscripciones a WildFire y prevenci n de amenazas y el registro de WildFire mR Seleccione Dispositivo gt Licencias y confirme que se ha instalado una suscripci n a WildFire y Threat Prevention v lida Si no hay instaladas licencias v lidas vaya a la secci n Gesti n de licencias y haga clic en Recuperar claves de licencia del servidor de licencias Para comprobar que el cortafuegos se puede comunicar con un sistema WildFire de forma que los archivos se puedan reenviar para su an lisis ejecute el siguiente comando de la CLI adminePA 200 gt test wildfire registration En la siguiente salida el cortafuegos indica la nube de WildFire Si el cortafuegos est indicando un dispositivo WildFire mostrar la direcci n IP o FQDN del dispositivo Test wildfire wildfire registration successful download server list successful select the best server s1 wildfire paloaltonetworks com Si los problemas con las licencias contin an p ngase en contacto con su distribuidor o con un ingeniero de sistemas de Palo Alto Networks para confirmar todas las licencias y conseguir un nuevo c digo de autorizaci n si es necesario Paso 2 Confirme que el cortafuegos est TL en
119. n de WildFire Los siguientes diagramas ilustran el flujo de trabajo de WildFire La ilustraci n Flujo de trabajo de decisi n de WildFire de alto nivel que aparece a continuaci n describe el flujo de trabajo de WildFire y la ilustraci n Flujo de decisi n de WildFire detallado proporciona un flujo de trabajo m s detallado Las ilustraciones detalladas muestran el flujo de trabajo de una decisi n desde la descarga del archivo inicial por parte de un usuario a trav s de todo el flujo de trabajo hasta el punto donde se genera una firma si se determina que el archivo es malintencionado 2 Gu a del administrador de WildFire Descripci n general de WildFire C mo funciona WildFire Flujo de trabajo de decision de WildFire de alto nivel Exfiltraci n de datos confidenciales Comando y Descarga de Se afiade a la base de malware datos de investigaci n de adicional firmas de amenazas Nube o dispositivo de WildFire Observa y detecta m s de 100 comportamientos malintencionados para identificar malware BASE DE DATOS DE PATRONES DESCODIFICADORES DE COINCIDENCIA DE PATR N TRANSFERENCIA DE ARCHIVOS CON UNA NICA PASADA y INFORMAR Y APLICAR POL TICA Gu a del administrador de WildFire C mo funciona WildFire Descripci n general de WildFire Flujo de decision de WildFire detallado Archivo descargado alo largo delasesion existente La sesi n encuentra una coincidencia entre una regla de cortafuegos y el
120. n inicial de WE 500 y el paso que describe la cuenta portal admin Gu a del administrador de WildFire 59 Supervision de envios con el portal de WildFire Elaboraci n de informes de WildFire Supervisi n de env os con el portal de WildFire Vaya a la nube WildFire de Palo Alto Networks en https wildfire paloaltonetworks com e inicie sesi n usando sus credenciales de asistencia t cnica de Palo Alto Networks o su cuenta de WildFire El portal se abrir para mostrar el panel que enumera informaci n de informes de resumen de todos los cortafuegos asociados a la suscripci n a WildFire o cuenta de asistencia t cnica espec fica as como los archivos que se hayan cargado manualmente Para cada dispositivo se mostrar n estad sticas del n mero de archivos de malware detectados archivos buenos analizados y archivos pendientes en espera para su an lisis Tambi n aparecer n la fecha y la hora que registr el cortafuegos la primera vez con el portal para comenzar el reenv o de archivos a WildFire Cuando un cortafuegos reenvia archivos a un dispositivo WF 500 WildFire los informes de WildFire solamente podr n visualizarse desde el registro de env os de WildFire en el cortafuegos que envi el archivo No puede ver informes desde el portal de la nube de WildFire aunque el env o autom tico est habilitado en el dispositivo WF 500 Para obtener informaci n sobre la configuraci n de cuentas de WildFire adicionales que pueden usars
121. n la configuraci n y no es necesario guardarlos o compilarlos Los comandos del modo de operaci n son de diversos tipos e Acceso a la red Abre una ventana a otro host Es compatible con SSH e Supervisi n y soluci n de problemas Realizar diagn sticos y an lisis Incluye los comandos debug y ping e Mostrar comandos Muestra o borra la informaci n actual Incluye los comandos clear y show e Comandos de navegaci n de la CLI del software del dispositivo WildFire Entrar en el modo de configuraci n o salir de la CLI del software del dispositivo WildFire Incluye los comandos configure exit y quit e Comandos del sistema Hace solicitudes en el nivel del sistema o reinicia Incluye los comandos set y request Establecimiento del formato de salida para comandos de configuraci n Cambie el formato de salida para los comandos de configuraci n utilizando el comando set cli config output format en el modo de operaci n Las opciones incluyen el formato predefinido json JavaScript Object Notation formato establecido y formato XML El formato predefinido es un formato jer rquico donde las secciones de configuraci n tienen sangr a y est n entre llaves Gu a del administrador de WildFire 89 Comandos del modo de configuraci n Comandos del modo de configuraci n Referencia de la CLI del software del dispositivo WildFire Esta secci n contiene informaci n de consulta sobre comandos para los siguientes comandos del modo
122. n perfil de bloqueo de archivos o una pol tica de seguridad pero que no fue necesario que WildFire lo analizase porque ya se hab a analizado previamente En este caso la acci n mostrar reenviar aparecer en el registro de filtrado de datos porque era una acci n de reenv o v lida pero que no se envi y analiz en WildFire porque el archivo ya se envi a la nube de WildFire desde otra sesi n posiblemente desde otro cortafuegos Consulte los registros de WildFire seleccionando Supervisar gt Logs gt Env os de WildFire Si se enumeran los registros de WildFire el cortafuegos est reenviando correctamente los archivos a WildFire y WildFire est devolviendo los resultados del an lisis de archivos Para obtener m s informaci n sobre los logs relacionados con WildFire consulte Acerca de los logs de WildFire Paso 4 Cree la pol tica de bloqueo de archivos Seleccione Objetos gt Perfiles de seguridad gt Bloqueo de archivo y haga clic en el perfil de bloqueo de archivo para modificarlo Confirme que la acci n est establecida en Reenviar o en Continuar y reenviar Si est establecida en Continuar y reenviar solo se reenviar el tr fico http https porque es el nico tipo de tr fico que permite solicitar al usuario que haga clic para continuar Paso 5 Compruebe la pol tica de seguridad Seleccione Pol ticas gt Seguridad y haga clic en la regla de pol tica de seguridad que activa el reenv o de a
123. nipulate software configuration information debug Debug and diagnose exit Exit this session grep Searches file for lines containing a pattern match less Examine debug file content ping Ping hosts and networks quit Exit this session request Make system level requests scp Use ssh to copy file to another host set Set operational parameters show Show operational parameters ssh Start a secure shell to another host tail Print the last 10 lines of debug file content username hostname gt e Para mostrar las opciones disponibles de un comando especificado introduzca el comando seguido de Gu a del administrador de WildFire 81 Acceso a la CLI Ejemplo username hostname gt ping Referencia de la CLI del software del dispositivo WildFire ed interface bypass routing Bypass routing table use specifi count Number of requests to send 1 20 do not fragment Don t fragment echo request packe inet Force to IPv4 destination interface Source interface multicast all interval Delay between requests seconds no resolve Don t attempt to print addresses pattern Hexadecimal fill pattern record route Record and report packet s path size Size of request packets 0 65468 source Source address of echo request tos IP type of service value 0 255 ttl IP time to live value IPv6 hop 1 verbose Display detailed output Walt Delay after sending last packet lt host gt Hostname o
124. nset Referencia de la CLI del software del dispositivo WildFire Guia del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire third party libcurllall OR all OR on normal debug dump OR off OR show OR statistics OR wildfire reset forwarding OR management server client disable authd useridd ha agent OR sx enable authd useridd ha_agent OR conn OR oui on error warn info debug dump OR off OR ate clear OR ss 6 show OR oss set all OR ve comm basic detail all OR panorama basic detail all OR sc proxy basic detaillall OR server basic detail all OR cos unset all OR sa Guia del administrador de WildFire Comandos del modo de operaci n 109 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire comm basic detail all OR panorama basic detail all ORs 3 proxy basic detaillall OR server basic detail all I upload generic chunks todir lt value gt tofile lt value gt offset 0 419430600 endoffile yes no content lt value gt OR generic name lt value gt path lt value gt content lt value gt todir lt value gt tofile lt value gt OR config name lt value gt path lt value gt content lt value gt OR software name lt value gt path lt value gt content lt valu
125. nte comando admin WF 500 gt show jobs pending Despu s de se actualice el archivo reinicie el dispositivo usando el siguiente comando admin WF 500 gt request restart system Despu s de reiniciar verifique que la nueva versi n est instalada ejecutando el siguiente comando de la CLI y compruebe el campo sw version admin WF 500 gt show system info Actualizaci n manual del software Si el dispositivo WildFire no cuenta con conectividad de red a los servidores de actualizaci n de Palo Alto Networks puede actualizar manualmente el software Seleccione https support paloaltonetworks com y en la secci n Manage Devices Gestionar dispositivos haga clic en Software Updates Actualizaciones de software Descargue el archivo de imagen del software de WildFire que desea instalar en un ordenador que ejecuta el software del servidor SCP Importe el archivo de imagen del software desde el servidor SCP admin WF 500 gt scp import software from lt username ip address gt lt folder name imagefile name gt Por ejemplo admin WF 500 gt scp import software from userl1 10 0 3 4 tmp WildFire m 6 0 0 Instale el archivo de imagen admin WF 500 gt request system software install file lt image filename gt Despu s de que finalice la actualizaci n reinicie el dispositivo admin WF 500 gt request restart system Despu s de reiniciar verifique que la nueva versi n est instalada introduciendo el siguiente co
126. ntinuaci n Paso 8 Una vez identificado el malware y comprobado el sistema del usuario c mo protegerse frente a futuras exposiciones La respuesta En este ejemplo el administrador ha definido una programaci n en el cortafuegos para descargar e instalar firmas de WildFire cada 15 minutos y para descargar e instalar actualizaciones del antivirus a diario En menos de una hora y media la representante de ventas ha descargado el archivo infectado WildFire ha identificado el malware de d a cero ha generado una firma la ha a adido a la base de datos de firmas de actualizaci n de WildFire proporcionada por Palo Alto Networks y el cortafuegos ha descargado la nueva firma Este cortafuegos y cualquier otro cortafuegos de Palo Alto Networks configurado para descargar firmas de WildFire y de amenazas ahora est protegido frente a este malware detectado recientemente La siguiente captura de pantalla muestra la programaci n de actualizaciones de WildFire paloalto NETWORKS lg Nettiow z Gh RADIUS Gh Loap amp Kerberos a ElBlLocal User Database 8 Users GlobalProtect Data File Device Schedule None SB User Groups 9 Authentication Profile 9B Authentication Sequence Scheduled Log Export Software GlobalProtect Client a a Licenses Last checked 2013 04 11 17 00 37 PR Every 15 Minutes download and install a Incremen 3MB 2013 04 05 v 11 31 37 previously panup inc Revert wi
127. o permite los puertos necesarios e Nube de WildFire Utiliza el puerto 443 para registro y env o de archivos e Dispositivo WildFire Utiliza el puerto 443 para registro y el 10443 para envio de archivos Siga estas instrucciones en todos los cortafuegos que reenviar n archivos a WildFire Configuraci n de un perfil de bloqueo de archivos y posterior adici n del mismo a un perfil de seguridad Paso 1 Compruebe que el cortafuegos tiene 1 Seleccione Dispositivo gt Licencias y confirme que el cortafuegos suscripciones a WildFire y prevenci n de tiene suscripciones a WildFire y Threat Prevention v lidas amenazas y que las actualizaciones 2 Seleccione Dispositivo gt Actualizaciones din micas y haga clic din micas est n programadas y en Comprobar ahora pata asegurarse de que el cortafuegos tiene actualizadas las actualizaciones m s recientes del antivirus aplicaciones y Nota Tener una suscripci n a WildFire ofrece amenazas y WildFire muchas ventajas como el reenv o de tipos 3 Si las actualizaciones no est n programadas h galo ahora de archivos avanzados la recepci n de Aseg rese de escalonar la programaci n de las actualizaciones firmas de WildFire en menos de 15 minutos porque solo se puede realizar una cada vez Consulte etc Para obtener m s informaci n consulte Recomendaciones para actualizaciones din micas para conocer Cu les son las ventajas de la suscripci n la configuraci n recomendada de WildFir
128. odo POST Par metros hash El valor de hash MD5 o SHA 256 de la muestra apikey Su clave API de WildFire format Formato del informe PDF o XML Guia del administrador de WildFire 55 Carga de archivos y consulta de WildFire mediante la API de WildFire Analisis de archivo de la nube de WildFire Resultado 200 OK Indica que la acci n se ha realizado correctamente y que se devolver un informe 401 Unauthorized Clave API no v lida 404 Not Found No se ha encontrado el informe 405 Method Not Allowed Se ha utilizado un m todo distinto a POST 419 Se ha excedido la cuota de solicitud de informes 420 Argumentos insuficientes 421 Argumentos no v lidos 500 Error interno Consulta de la API de ejemplo para informe PDF o XML El siguiente comando cURL muestra una consulta de un informe PDF que usa el hash MD5 de un archivo de muestra curl k F hash 1234556 F format pdf F apikey yourAPIkey https wildfire paloaltonetworks com publicapi get report Nota Para recuperar la versi n XML del informe sustituya format pdf por format xml Por ejemplo curl k F hash 1234556 F format xml F apikey yourAPIkey https wildfire paloaltonetworks com publicapi get report Uso de la API para recuperar un archivo de prueba de malware de muestra A continuaci n se describe la sintaxis de la API para recuperar un archivo de malware de muestra que se puede utilizar pata probar el procesamiento de muestra de WildFire de
129. olo consultar la tarjeta de logs del PA 7050 para obtener informaci n 1 Seleccione Red gt Interfaces y localice un puerto disponible en un NPC Seleccione el puerto y cambie el Tipo de interfaz Tarjeta de logs En la ficha Reenvio de tarjetas de logs introduzca la informaci n de IP IPv4 y o IPv6 para la red que se utilizar para comunicarse con los sistemas que recibir n logs Por ejemplo Servidores Syslog y servidores de correo electr nico Para garantizar la conectividad para el reenv o de archivos de WildFire a la nube de WildFire o un dispositivo WildFire como el WF 500 Conecte el puerto que acaba de configurar a un conmutador o enrutador No es necesario realizar ninguna otra configuraci n El PA 7050 utilizar este puerto en el momento que quede activado Paso 8 Compile la configuraci n Haga clic en Compilar para aplicar los cambios Durante la evaluaci n de la pol tica de seguridad todos los archivos que cumplan los criterios definidos en la politica de bloqueo de archivos se reenviar n a WildFire para su an lisis Para obtener informaci n sobre c mo consultar los informes de los archivos que se han analizado consulte Elaboraci n de informes de WildFire Para obtener instrucciones sobre c mo comprobar la configuraci n consulte Verificaci n de WildFire al reenviar a la nube de WildFire Gu a del administrador de WildFire 45 Recomendaciones para actualizaciones dinamic
130. omo m nimo Se puede realizar una programaci n m s agresiva cada hora e Aplicaciones y amenazas App ID nuevo protecci n de vulnerabilidad y firmas antispyware se publican como actualizaciones de contenido semanales normalmente los martes Para obtener el contenido m s reciente programe estas actualizaciones semanalmente como m nimo Si desea un enfoque m s agresivo realice una programaci n diaria que garantice que el cortafuegos recibe el contenido m s reciente tan pronto como es publicado incluidas publicaciones ocasionales de contenido urgente fuera de programaci n e WildFire se publican nuevas firmas de antivirus de WildFire cada 30 minutos Dependiendo de cu ndo se descubre el malware en el ciclo de publicaci n la cobertura se proporcionar en forma de firma de WildFire 30 60 minutos despu s de que WildFire lo descubra Para conseguir las firmas de WildFire m s recientes programe estas actualizaciones cada hora o cada media hora Para que la programaci n sea m s agresiva puede programar la b squeda de actualizaciones del cortafuegos con una frecuencia de 15 minutos 46 Gu a del administrador de WildFire Analisis de archivo de la nube de WildFire Verificaci n de WildFire al reenviar a la nube de WildFire Verificaci n de WildFire al reenviar a la nube de WildFire En esta secci n se describen los pasos necesarios para comprobar la configuraci n de WildFire en el cortafuegos Para obtener informaci n sobre u
131. oooooooooooroccccccoommo 60 Gu a del administrador de WildFire iii Cuentas de usuario del portal de WildFire 0 0 cece natns iVi ceria 62 Adici n de cuentas de usuario de WildFite 0 0 cc cnet ra 62 Visualizaci n de informes de WildFire 0 ee nent ete n eet nent n tenes 64 Qu contienen los informes de WildFire 0 ce eee r an ences 65 Configuraci n de alertas para el malware detectado 6 eee eens 68 WildFire Ena do ee E aN 71 Referencia de la CLI del software del dispositivo WildFire 77 Acerca del software del dispositivo WildFite 0 0 6 ce eee ete eee e eens 78 Acerca de la estructura de la CLI del software del dispositivo WildFire sun 0 00 0 cee 78 Acceso Ala CU CRSA as PASTA SAREE RG A AA Ss OREM EST OUTROS RASA RANE eS 79 Establecimiento de una conexi n directa con la consola 0 eee cette tne eens 79 Establecimiento de una conexi n de SSH 6 eet e ete e nee ee nene 79 Uso de los comandos de la CLI del software del dispositivo WildFite o oooooommmm o 79 Modos de comando de la CEL e curs occ nae 5 5 8 HR aS bo ob a BHI 85 Acerca del modo de cOnfiguraciOn imc a heed Ae a OG Ree eae Se eaves ape di 85 Acerca del modo de Opetaci n msi ics a bee aga a De eee eee eae 89 Establecimiento del formato de salida para comandos de configuraci n oo oooooommmoom ooo 89 Comandos del modo de configuraci n esis ses imss rr woke a A A 90 THEE CHAZ A e e Std o o acota
132. ord lt value gt Opciones No hay opciones adicionales Resultado de muestra A continuaci n se muestra el resultado de este comando admin wf corp1 gt set wildfire portal admin password Enter password Confirm password Nivel de privilegios requerido superuser superreader raid Descripci n Comandos del modo de operaci n Use esta opci n para manejar los pares de RAID instalados en el dispositivo WildFire El dispositivo WF 500 WildFire se entrega con cuatro unidades en las cuatro primeras bah as de unidades A1 A2 B1 B2 Las unidades A1 y A2 son el par RAID 1 y las unidades B1 y B2 son el segundo par RAID 1 Ubicaci n de jerarqu a request system Gu a del administrador de WildFire 119 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire Sintaxis raid remove lt value gt OR css copy from lt value gt to lt value gt OR ste add Opciones gt add Add a drive into the corresponding RAID Disk Pair gt copy Copy and migrate from one drive to other drive in the bay gt remove drive to remove from RAID Disk Pair Resultado de muestra El siguiente resultado muestra un dispositivo WildFire WF 500 con una RAID configurada correctamente admin wf corpl gt show system raid Disk Pair A Available Disk id Al Present Disk id A2 Present Disk Pair B Available Disk id B1 Present Disk id B2 Present Nivel de privilegios requeri
133. ormat pem pkcs12 passphrase lt value gt OR ss CSV OR techsupport OR statsdump OR generic file lt value gt scp import configuration from lt value gt remote port 1 65535 source ip lt ip netmask gt OR license from lt value gt remote port 1 65535 source ip lt ip netmask gt OR software from lt value gt remote port 1 65535 source ip lt ip netmask gt i OR export mgmt pcap 112 Referencia de la CLI del software del dispositivo WildFire Guia del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire from lt value gt to lt value gt remote port 1 65535 source ip lt ip netmask gt OR a configuration from lt value gt to lt value gt remote port 1 65535 source ip lt ip netmask gt OR tech support tftp to lt value gt remote port 1 65535 source ip lt ip netmask gt import configuration from lt value gt file lt value gt remote port 1 65535 source ip lt ip netmask gt ORs co certificate from lt value gt file lt value gt remote port 1 65535 source ip lt ip netmask gt certificate name lt value gt passphrase lt value gt format pkcs12 pem OR private key from lt value gt file lt value gt remote port 1 65535 source ip lt ip netmask gt passphrase
134. os e Interfaz de la m quina virtual vm interface Proporciona acceso a la red para los sistemas de elementos de aislamiento de WildFire para permitir que los archivos de muestra se comuniquen con Internet lo que permite que WildFire analice mejor el comportamiento de la muestra Cuando est configurado WildFire podr observar determinados comportamientos malintencionados que no se mostrar an sin un acceso a la red como la actividad tel fono casa Sin embargo para evitar que el malware acceda a la red desde el elemento de aislamiento debe asegurarse de configurar esta interfaz en una red aislada con una conexi n a Internet Tambi n puede habilitar la opci n Tor para ocultar la direcci n IP p blica de su empresa ante sitios malintencionados a los que pueda acceder la muestra Para obtener m s informaci n sobre la interfaz vm consulte Configuraci n de interfaz de la m quina virtual 16 Gu a del administrador de WildFire Analisis de archivo de WF 500 Configuraci n del dispositivo WF 500 WildFire Configuraci n del dispositivo WF 500 WildFire En esta secci n se describen los pasos necesarios para configurar un dispositivo de WildFire en una red y c mo configurar un cortafuegos de Palo Alto Networks para que le reenvie los archivos para su an lisis Esta secci n contiene los siguientes temas A gt gt gt gt Antes de comenzar Realizaci n de la configuraci n inicial de WF 500 Verificaci n de la configuraci
135. os que aplicable al tipo de archivo zip ya que los activar n la acci n de reenv o Seleccione Cualquiera para reenviar tipos de archivos admitidos que se todos los tipos de archivo admitidos por WildFire o seleccione PE compriman se env an autom ticamente a para que solo reenv e archivos Portable Executable WildFire Si desea garantizar que se 6 Enel campo Direcci n seleccione cargar descargar o ambos reenviar n todos los tipos de archivos de La opci n ambos activar el reenv o siempre que un usuario trate Microsoft Office compatibles se de cargar o descargar un archivo recomienda que seleccione la categor a 7 Defina una acci n de la siguiente forma Misa ida e Reenviar el cortafuegos reenviar autom ticamente cualquier Al seleccionar una categor a en lugar de un archivo que coincida con este perfil a WildFire para su an lisis tipo de archivo individual tambi n se adem s de distribuir el archivo al usuario garantiza que como la compatibilidad con e Continuar y reenviar se le indica al usuario que debe hacer clic N upo archivo e a ade da en Continuar antes de que se produzca la descarga y que se categor a espec fica autom ticamente reenv e el archivo a WildFire Como aqu se necesita de la acci n pasar a formar parte del perfil de bloqueo del usuario en un navegador web solo es compatible con del archivo Si selecciona Cualquiera todos aplicaciones de navegaci n web los tipos de archivos admitidos s
136. perior derecha de la pagina del informe A continuaci n se muestra una lista de archivos de muestra enviados por un cortafuegos F paloalto WILDFIRE REPORTS Source 0016060C Verdict Any v Reset Search Bot n de detalles de 20 lx informe Received Time Source File URL Verdict E 2013 09 18 22 30 18 001606000114 sjcb1smpssvw01p paloaltonetworks local Altiris PS pkggroup_ a8e Benign 5 2013 09 17 22 30 30 001606000114 sjcb1smpssvw01p paloaltonetworks local Altiris PS pkggroup_ a8e Benign E 2013 09 03 22 30 21 001606000114 sico1smpssvw01p paloaltonetworks local Altiris PS pkggroup_ a8e Benign 2013 08 28 22 30 40 001606000114 sjcb1smpssvw01p paloaltonetworks local Altiris PS pkggroup_ a8e Benign 2013 08 27 22 30 43 001606000114 sjcb1smpssvw01p paloaltonetworks local Altiris PS pkggroup_ a8e Benign 2013 08 26 22 30 38 001606000114 sjcb1smpssvw01p paloaltonetworks local Altiris PS pkggroup_ a8e Benign 2013 08 26 21 21 08 001606000114 plugnrex info e wxd Malware 2013 08 26 21 20 59 001606000114 plugnrex info e wxd Malware 64 Guia del administrador de WildFire Elaboraci n de informes de WildFire Visualizaci n de informes de WildFire Qu contienen los informes de WildFire Los informes de WildFire muestran informaci n detallada de comportamiento sobre el archivo que se ejecut en el sistema WildFire as como informaci n sobre el usuario de destino la aplicaci n que entreg el archivo y todas las
137. portamiento observado del archivo incluido el usuario al que estaba destinado la aplicaci n que distribuy el malware y todas las URL relacionadas en la distribuci n o la actividad tel fono hogar de la muestra Si WildFire identifica el archivo como malware genera una firma que se distribuir a todos los cortafuegos de Palo Alto Networks configurados para la prevenci n de amenazas Los cortafuegos con una suscripci n a WildFire pueden descargar estas firmas con una frecuencia inferior a la hora 52 Gu a del administrador de WildFire Analisis de archivo de la nube de WildFire Carga de archivos y consulta de WildFire mediante la API de WildFire Carga de archivos y consulta de WildFire mediante la API de WildFire La API de WildFire le permite enviar tareas de an lisis de archivos de forma programada a la nube de WildFire y pedir al sistema datos de informes mediante una interfaz de API REST sencilla Esta secci n contiene los siguientes temas A Acerca de las suscripciones a WildFire y claves API C mo usar la API de WildFire M todos de env o de archivos de la API de WildFire Consulta de un informe PDF o XML de WildFire gt gt gt gt Uso de la API para recuperar un archivo de prueba de malware de muestra Acerca de las suscripciones a WildFire y claves API Se proporciona acceso a la clave API si al menos un cortafuegos de Palo Alto Networks cuenta con una suscripci n a Wildfire activa y registrada a nombr
138. r superreader Guia del administrador de WildFire 95 Comandos del modo de operaci n Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire Esta secci n contiene informaci n de consulta sobre comandos para los siguientes comandos del modo de operaci n que son espec ficos del software del dispositivo WildFire El resto de comandos que forman parte del software del dispositivo WildFire son id nticos a PAN OS consulte la Gu a de referencia de la l nea de comandos de PAN OS de Palo Alto Networks para obtener informaci n sobre esos comandos descripci n test wildfire registration set wildfire portal admin 96 password lt value gt OR management server unlock admin lt value gt OR gss logging on off import start import end OR password OR ssh authentication public key lt value gt OR 2 cli config output format default xml set json OR pager on off OR als confirmation prompt on off OR es scripting mode on off OR sas timeout idle 1 1440 OR ss Todos los comandos espec ficos de WildFire de la siguiente jerarqu a tienen un hiperenlace a la Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire hide ip OR hide user OR clock date lt value gt time lt value gt request system software info OR
139. r IP address of remote S mbolos de opciones de comandos 00000000 packets ts IPv4 ones unrouted packets symbolically IPv4 bytes imit value 0 255 hops seconds host El s mbolo que precede a una opci n puede proporcionar informaci n adicional acerca de la sintaxis de comandos i Esta opci n es obligatoria Hay opciones adicionales anidadas para este comando Hay opciones de comando adicionales para este comando en este nivel Hay una opci n para especificar un valor de excepci n o un valor de coincidencia para restringir el comando ce 09 Si no coloca comillas dobles alrededor prueba no es un nombre v lido Aunque las comillas dobles no son un s mbolo de opci n de comando deben usarse al introducir frases de varias palabras en comandos de CLI Por ejemplo para crear un nombre de grupo de direcci n llamado Grupo de prueba y a adir el usuario llamado nombre1 a este grupo debe escribir el nombre del grupo con comillas dobles alrededor del siguiente modo establecer grupo de direcciones Grupo de prueba usuariol del nombre del grupo la CLI podr a interpretar la palabra Prueba como el nombre del grupo y Grupo como el nombre de usuario y se mostrar a el siguiente mensaje de error Nota Las comillas simples tampoco ser an v lidas en este ejemplo Los siguientes ejemplos muestran c mo se usan estos s mbolos 82 Gu a del adm
140. ra controlar el tr fico de la interfaz de la m quina virtual Qu es la interfaz de la m quina virtual Cuando est configurada y habilitada la interfaz vm con la etiqueta 1 en la parte posterior del dispositivo contar con capacidades de detecci n de malware mejoradas Esta interfaz permite que un archivo de muestra que se ejecuta en las m quinas virtuales de WildFire se comunique con Internet y permite a WildFire analizar mejor el comportamiento del archivo de muestra para determinar si muestra las caracter sticas del malware Gu a del administrador de WildFire 25 Configuraci n del dispositivo WF 500 WildFire Analisis de archivo de WF 500 Aunque se recomienda que la interfaz vm est habilitada es muy importante que no est conectada a una N red que permita el acceso a cualquiera de los servidores hosts ya que el malware que se ejecuta en las m quinas virtuales de WildFire podr a utilizar esta interfaz para propagarse Esta conexi n puede ser una l nea DSL especializada o un conexi n de red que solo permita el acceso directo desde la interfaz a Internet y restrinja cualquier acceso a servidores internos hosts de cliente En la siguiente ilustraci n se muestran dos opciones para conectar la interfaz vm a la red Ejemplo de interfaz de m quina virtual Opci n 2 po Puerto Ethernet 1 de la interfaz vm con direcci n IP p blica conectada directamente a Internet y aislamiento de todos los setvidores ho
141. ra registrarse en el portal en labase de datosde web La descarga del archivo se ha WildFire registrado en el registro defiltrado de datos de reenv o con laaccion i wildfire upload skip oincidencia de hasi Archivo confirmado como malware Archivo y datos de sesion cargados en WildFire La descarga del archivo se ha registrado en el registro de filtrado de datos de reenv o con la accion wildfire upload success Informe experto detallado generado en el portal web o en el dispositivo de WildFire Correo electr nico de de aislamiento de m quina virtual notificaci n enviado ala cuenta de y analizado para m s de 100 soporte asociada con elreenwo si comportamientos malintencionados est habilitada Archivo analizado porelelemento El archivo es malintencionado Firma de antivirus generada y evaluada para su validez como amenaza moderna Si la respuesta es afirmativa lafirma se inserta en la siguiente actualizaci n de amenaza y se distribuye atodos los cortafuegos de clientes con una suscripci n de amenaza como parte del proceso de actualizaci n de antivirus diario Los suscriptores de WildFire pueden recibirlasfirmas en 15 minutos En un dispositivo WF 500 el envio autom tico o la carga manual deben utilizarse para enviar archivos alanube de WildFire parala generaci n defirmas El archivo se ha registrado como benigno enel portal de Wild
142. rador de WildFire Referencia de la CLI del software del dispositivo WildFire route yes no interfaces yes no groups yes no statistics yes no verbose yes no numeric yes no numeric hosts yes no numeric ports yes no numeric users yes no symbolic yes no extend yes no programs yes no continuous yes no listening yes no all yes no timers yes no fib yes no cache yes no ping bypass routing yes no count 1 2000000000 do not fragment yes no interval 1 2000000000 source lt value gt no resolve yes no pattern lt value gt size 0 65468 tos 1 255 ttl 1 255 verbose yes no host lt value gt test wildfire registration Descripcion Comandos del modo de operaci n Ejecute una prueba para verificar si se han registrado correctamente el dispositivo WildFire o un cortafuegos con un servidor WildFire Si la prueba es satisfactoria se mostrar n la direcci n IP o el nombre del servidor WildFire lo que indica que el dispositivo cortafuegos podr n enviar archivos al servidor de WildFire para su an lisis Ubicaci n de jerarqu a Nivel m ximo del modo de operaciones Gu a del administrador de WildFire 117 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire Sintaxis test wildfire registration Opciones No hay opciones adicionales Resultado de muestra A continuaci n se muestra un resultado satisfactorio de un cortafuego
143. ral de WildFire C mo funciona WildFire WildFire ampl a las capacidades de los cortafuegos de pr xima generaci n de Palo Alto Networks para identificar y bloquear el malwate de destino y desconocido Con esta soluci n integrada configura el cortafuegos con un perfil de bloqueo de archivos que indica al cortafuegos que debe reenviar autom ticamente los tipos de archivos que suelen verse comprometidos a WildFire y a continuaci n adjuntar el perfil a reglas de pol tica de seguridad para tener un control detallado sobre las condiciones en las que los archivos se env an a WildFire Siempre que se transfiere un archivo mediante una sesi n que coincida con una regla de pol tica de seguridad con un perfil de reenv o el cortafuegos comprueba con WildFire si el archivo es nuevo Si el archivo es nuevo el cortafuegos lo reenvia autom ticamente a WildFire incluso si este se encontraba en un archivo ZIP o en HTTP comprimido El cortafuegos tambi n se puede configurar para que reenv e archivos situados dentro de sesiones SSL descifradas WildFire ejecuta los archivos sospechosos que recibe en un entorno virtual y observa su comportamiento para determinar si muestran signos de comportamientos malintencionados como cambios en la configuraci n de seguridad del explorador introducci n de c digo en otros procesos modificaci n de archivos en las carpetas del sistema de Windows o dominios a los que la muestra ha intentado acceder Cuando el motor
144. rchivos a WildFire Haga clic en la pesta a Acciones y aseg rese que la pol tica de bloqueo de archivos est seleccionada en el men desplegable Bloqueo de archivo Gu a del administrador de WildFire 35 Reenvio de archivos a un dispositivo WF 500 WildFire Analisis de archivo de WF 500 Comprobaci n de la configuraci n de WildFire en el cortafuegos Continuaci n Paso 6 Compruebe el estado de WildFire Compruebe el estado de WildFire admin PA 200 gt show wildfire status Cuando reenvie los archivos a la nube de WildFire el resultado deber a tener un aspecto similar al siguiente Connection info Wildfire cloud Status Best server sl Device registered Valid wildfire license Service route IP address Signature verification Server selection Through a proxy Forwarding info file size limit for pe MB file size limit for jar MB file size limit for apk MB file size limit for pdf KB file size limit for ms office file idle time out second total file forwarded file forwarded in last minute concurrent files Nota public cloud Idle wildfire paloaltonetworks com yes yes 192 168 2 1 enable enable no 10 1 2 500 KB 10000 90 xX 0 0 Si el cortafuegos est reenviando archivos a un dispositivo de WildFire el campo Wildfire cloud mostrar la direcci n IP o FQDN y Best server no mostrar ning n valor Compruebe las estad sticas de WildFire
145. ringir el resultado que aparece Para restringir el resultado introduzca un s mbolo de barra vertical seguido de except o match y el valor que se debe incluir o excluir Ejemplo El siguiente resultado de muestra pertenece al comando mostrar informaci n del sistema username hostname gt show system info hostname wf corpl ip address 192 168 2 20 netmask 255 255 255 0 default gateway 192 168 2 1 Gu a del administrador de WildFire 83 Acceso a la CLI Referencia de la CLI del software del dispositivo WildFire mac address 00 25 90 95 84 76 vm interface ip address 10 16 0 20 vm interface netmask 255 255 252 0 vm interface default gateway 10 16 0 1 vm interface dns server 10 0 0 247 time Mon Apr 15 13 31 39 2013 uptime 0 days 0 02 35 family m model WF 500 serial 009707000118 sw version 5 1 0 logdb version 5 0 2 platform family m username hostname gt El siguiente ejemplo muestra solo informaci n del modelo del sistema username hostname gt show system info match model model WF 500 username hostname gt Niveles de privilegio Los niveles de privilegio determinan los comandos que el usuario tiene permitido ejecutar y la informaci n que el usuario tiene permitido ver superreader Tiene solo acceso de lectura completo al dispositivo superuser Tiene acceso de lectura escritura completo al dispositivo 84 Gu a del administrador de WildFire Referencia de la CLI del software del
146. s que puede comunicarse con un dispositivo WildFire Si es un dispositivo WildFire apuntando a la Nube de WildFire de Palo Alto Networks el nombre del servidor de uno de los servidores de la Nube se muestra en el campo select the best server Test wildfire wildfire registration successful download server list successful select the best server ca s1 wildfire paloaltonetworks com Nivel de privilegios requerido superuser superreader set wildfire portal admin Descripci n Establece la contrase a de la cuenta de administrador del portal que servir para ver los informes de WildFire desde un cortafuegos El nombre de usuario y la contrase a predeterminados son admin admin Tras introducir el comando pulse Intro y aparecer un mensaje para cambiar la contrase a Esta cuenta se usa cuando se ven los detalles del log de WildFire en el cortafuegos o Panorama y se hace clic en Ver informe WildFire Despu s de la autenticaci n se recupera el informe de an lisis detallado de WildFire y se muestra en su explorador La cuenta de administrador del portal es la nica cuenta para ver informes desde los logs es posible cambiar la contrase a pero no se puede cambiar el nombre de cuenta ni crear cuentas adicionales 118 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Ubicacion de jerarquia Nivel maximo del modo de operaciones Sintaxis set wildfire portal admin passw
147. se mostrar un mensaje de advertencia 62 Gu a del administrador de WildFire Elaboraci n de informes de WildFire Cuentas de usuario del portal de WildFire Adici n de cuentas de usuario de WildFire Continuaci n Paso 3 Asigne cortafuegos a la nueva cuenta de usuario y acceda al portal de WildFire 1 Seleccione el o los cortafuegos por n mero de serie a los que desea conceder acceso y cumplimente los detalles de cuenta opcionales Se enviar un correo electr nico al usuario Los usuarios con una cuenta de asistencia t cnica existente recibir n un correo electr nico con una lista de los cortafuegos de los cuales ahora pueden ver los informes de WildFire Si el usuario no tiene una cuenta de asistencia t cnica se le enviar un correo electr nico con instrucciones sobre c mo acceder al portal y c mo configurar una nueva contrase a Los usuarios podr n entonces iniciar sesi n en https wildfire paloaltonetworks com y ver informes de WildFire de los cortafuegos a los que se les ha concedido acceso Adem s los usuarios podr n configurar alertas de correo electr nico autom ticas para estos dispositivos con el fin de recibir alertas sobre los archivos analizados Tambi n es posible elegir la opci n de recibir informes sobre archivos con malware o buenos Gu a del administrador de WildFire 63 Visualizaci n de informes de WildFire Elaboraci n de informes de WildFire Visualizaci n de
148. ssed OR id 1 4294967296 OR location ip lt ip netmask gt OR system software status OR a4 masterkey properties OR info OR os resources follow OR raid detail OR disk space OR disk partition OR oo files OR 6 a0 state filter lt value gt OR es filter pretty lt value gt OR Gu a del administrador de WildFire Comandos del modo de operaci n 103 Comandos del modo de operaci n browser OR sas environmentals fans OR vico thermal OR ea power OR es setting multi vsys OR sa high availability all OR state OR control link Statistics i OR transitions OR path monitoring OR local state OR log config direction equal forward backward csv output equal yes no query equal lt value gt receive time in Referencia de la CLI del software del dispositivo WildFire last 60 seconds last 15 minutes last hour last 6 hrs last 12 hrs last 24 hrs last cale ndar day last 7 days last 30 days last calendar month 104 start time equal lt value gt end time Guia del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de operaci n equal lt value gt serial equal lt value gt OR eds not equal lt value gt client equ
149. sts internos Opci n 1 Zona WildFire Zona fiable Internet Zona no fiable Cortafuegos corporativo Puerto Ethernet 1 de la interfaz vm 10 16 0 20 22 La interfaz se conecta a una zona WildFire del cortafuegos con una pol tica para Internet y sin acceso a ninguno de los servidores hosts internos gt aan R Puerto de interfaz de gesti n 10 10 0 5 22 Recibe archivos reenviados desde el cortafuegos corporativo y reenvia software malintencionado a la nube de WildFire si el env o autom tico est habilitado Interfaz de gesti n MG interfaz vm Dispositivo Wild Fire e Opci n 1 recomendada Vm interface se conecta a una interfaz en una zona especializada de un cortafuegos con una pol tica que solamente permite el acceso a Internet Es importante porque el malware que se ejecuta en las m quinas virtuales de WildFire puede utilizar potencialmente esta interfaz para propagarse Es la opci n recomendada porque los logs del cortafuegos proporcionar n visibilidad en cualquier tr fico generado por la interfaz vm e Opci n 2 Utilice una conexi n especializada del proveedor de Internet como una conexi n DSL para conectar vm interface a Internet Aseg rese de que no hay acceso desde esta conexi n a servidores hosts internos Aunque es una soluci n simple el tr fico generado por la interfaz vm no se registrar a no ser que se coloque un cortafuegos o una herramient
150. sulte Verificaci n de la configuraci n del dispositivo WF 500 WildFire Gu a del administrador de WildFire 37 Actualizaci n del software del dispositivo WF 500 WildFire An lisis de archivo de WF 500 Actualizaci n del software del dispositivo WF 500 WildFire En esta secci n se proporcionan las instrucciones necesarias para actualizar el software del dispositivo WildFire en un dispositivo WF 500 WildFire Las actualizaciones de software contienen las ltimas caracter sticas y soluciones de problemas para el software El dispositivo se puede actualizar usando el servidor de actualizaci n de Palo Alto Networks o descargando e instalando las actualizaciones manualmente consulte Actualizaci n manual del software Para obtener detalles sobre una versi n espec fica del software consulte las notas de la versi n correspondiente Actualizaci n del software del dispositivo WF 500 WildFire Paso 1 Consulte la versi n actual del software 1 Introduzca el siguiente comando y compruebe el campo del dispositivo WildFire en el dispositivo sw version y compruebe si hay una nueva versi n admin WF 500 gt show system info disponible 2 Introduzca el siguiente comando para ver las ltimas versiones admin WF 500 gt request system software check Nota Siel dispositivo no puede ponerse en contacto con el servidor de actualizacion de Palo Alto Networks asegurese de que cuenta con una licencia y de que el DNS esta resolviendo correc
151. t 1 En la interfaz web del cortafuegos seleccione Red gt Interfaces y a continuaci n seleccione una interfaz por ejemplo Ethernet1 3 Seleccione Tipo de interfaz Capa3 En la pesta a Configurar cuadro desplegable Zona de seguridad seleccione Nueva zona En el campo Name Nombre del cuadro de di logo Zona introduzca vf vm zone y a continuaci n haga clic en ACEPTAR En el cuadro desplegable Enrutador virtual seleccione predeterminado Para asignar una direcci n IP a la interfaz seleccione la pesta a IPv4 haga clic en A adir en la secci n IP e introduzca la direcci n IP y la m scara de red para asignarlas a la interfaz por ejemplo 10 16 0 0 22 Para guardar la configuraci n de la interfaz haga clic en Aceptar 28 Gu a del administrador de WildFire Analisis de archivo de WF 500 Configuraci n del dispositivo WF 500 WildFire Configuraci n de la interfaz del cortafuegos para la red de la m quina virtual Continuaci n Paso 2 Cree una pol tica de seguridad en el cortafuegos para permitir el acceso desde la interfaz vm a Internet y bloquear todo el tr fico entrante En este ejemplo el nombre de la pol tica es Interfaz VM de WildFire Como no se crear una pol tica de seguridad desde la zona no fiable a la zona de interfaz wf vm todo el tr fico entrante se bloquear de forma predeterminada mR S Seleccione Pol ticas gt Seguridad y haga clic en A adir
152. t advanced replacement hardware service serial 009707000000 Issued February 11 2013 Expires February 11 2016 Expired no En aquellos dispositivos habilitados para el env o autom tico compruebe que el dispositivo WildFire se puede comunicar con la nube WildFire de Palo Alto Networks introduciendo el siguiente comando admin WF 500 gt test wildfire registration El siguiente resultado indica que el dispositivo est registrado en uno de los servidores de nube WildFire de Palo Alto Networks Si el env o autom tico est habilitado los archivos infectados con malware se enviar n a este servidor Test wildfire wildfire registration successful download server list successful select the best server cs s1 wildfire paloaltonetworks com Nota El dispositivo s lo enviar archivos a la nube de WildFire si el env o autom tico est habilitado Para obtener informaci n sobre c mo habilitar el env o autom tico consulte las instrucciones de Realizaci n de la configuraci n inicial de WF 500 Gu a del administrador de WildFire 23 Configuraci n del dispositivo WF 500 WildFire Analisis de archivo de WF 500 Verificaci n de la configuraci n del dispositivo de WildFire Continuaci n Paso 2 Compruebe el estado del servidor 1 El siguiente comando muestra el estado de WildFire WildFire en el dispositivo admin WF 500 gt show wildfire status A continuacion aparece un resultado de ejemplo Connec
153. ta e Wildfire upload success Indica que el archivo se ha enviado a WildFire Esto significa que el archivo no est firmado por un firmante de archivo fiable y que WildFire no lo ha analizado anteriormente e Wildfire upload skip Indica que el archivo se identific como apto para enviarse a WildFire por un perfil de bloqueo de archivos o una pol tica de seguridad pero que no fue necesario que WildFire lo analizase porque ya se hab a analizado previamente En este caso la acci n de reenviar aparecer en el registro de Filtrado de datos porque era una acci n de reenv o v lida pero que no se envi y analiz en WildFire porque el archivo ya se envi a la nube WildFire desde otra sesi n posiblemente desde otro cortafuegos 3 Consulte los registros de WildFire se necesita suscripci n seleccionando Supervisar gt Logs gt Envios de WildFire Si se enumeran los registros de WildFire el cortafuegos est reenviando correctamente los archivos a WildFire y WildFire est devolviendo los resultados del an lisis de archivos Nota Para obtener m s informaci n sobre los logs relacionados con WildFire consulte Acerca de los logs de WildFire hb Seleccione Objetos gt Perfiles de seguridad gt Bloqueo de archivo y haga clic en el perfil de bloqueo de archivo para modificarlo Paso 4 Cree la pol tica de bloqueo de archivos 2 Confirme que la acci n est establecida en Reenviar o en Continuar y reenviar Si est
154. tamente Tambi n puede probar desde el dispositivo haciendo ping al servidor de actualizaci n de Palo Alto Networks para asegurarse de que es posible acceder Ejecute el siguiente comando de la CLI admin WF 500 gt ping host updates paloaltonetworks com PR Paso 2 Descargue e instale una nueva versi n del Para instalar una nueva versi n del software utilice el siguiente software del dispositivo WildFire comando admin WF 500 gt request system software download file lt filename gt Por ejemplo admin WF 500 gt request system software download file WildFire m 6 0 0 2 Compruebe que el archivo ha terminado de descargarse utilizando el siguiente comando admin WF 500 gt show jobs pending o admin WF 500 gt show jobs all 3 Despu s de se descargue el archivo instalelo usando el siguiente comando admin WF 500 gt request system software install file lt filename gt Por ejemplo admin WF 500 gt request system software install file WildFire m 6 0 0 Para instalar por version admin WF 500 gt request system software install version lt version gt 38 Guia del administrador de WildFire Analisis de archivo de WF 500 Actualizaci n del software del dispositivo WF 500 WildFire Actualizaci n del software del dispositivo WF 500 WildFire Continuaci n Paso 3 Despu s de que se instale la nueva versi n reinicie el dispositivo 1 Supervise el estado de la actualizaci n usando el siguie
155. tion info Wildfire cloud wildfire public cloud Status Idle Auto Submit enabled Select WM vm 1 VM internet connection disabled VM network using Tor disabled Best server Device registered yes Service route IP address 192 168 2 20 Signature verification enable Server selection enable Through a proxy no En este ejemplo el env o autom tico est habilitado El estado Idle indica que el dispositivo est listo para recibir archivos Device registered muestra yes lo que significa que el dispositivo est registrado en el sistema de nube de WildFire El dispositivo tambi n est utilizando vm 1 que es el elemento de aislamiento de la m quina virtual en el que se analizar n las muestras 2 Despu s de configurar sus cortafuegos para que reenv en archivos al dispositivo seg n se describe en Reenv o de archivos a un dispositivo WF 500 WildFire puede verificar el estado de los cortafuegos desde el dispositivo Para comprobar que el dispositivo est recibiendo archivos desde los cortafuegos y que est enviando archivos a la nube de WildFire para la generaci n de firmas si el env o autom tico est habilitado introduzca el siguiente comando admin WF 500 gt show wildfire statistics days 7 Last one hour statistics Total sessions submitted 0 Samples submitted 0 analyzed 0 pending 0 malicious 0 benign 0 error 0 Uploaded 0 Last 7 days statistics Total sessions submitted 66 Samples submitted 34
156. ue el cortafuegos tenga que enviar archivos fuera de la ted para su an lisis De forma predeterminada el dispositivo no enviar archivos fuera de su red a menos que habilite de forma expl cita la funci n de env o autom tico que reenviar autom ticamente cualquier malware que detecte a la nube de WildFire de Palo Alto Networks donde los archivos se analizan para generar firmas de antivirus Las firmas de antivirus se distribuir n entonces a todos los cortafuegos de Palo Alto Networks con una suscripci n de Threat Prevention o WildFire Un nico dispositivo WildFire puede recibir y analizar archivos de hasta 100 cortafuegos de Palo Alto Networks Las principales diferencias entre la nube WildFire de Palo Alto Networks y el dispositivo WildFire son las siguientes El dispositivo WildFire habilita el aislamiento local del malware para que los archivos que no resulten peligrosos nunca salgan de la red del cliente De forma predeterminada el dispositivo WildFire no reenv a archivos a la nube de WildFire y por lo tanto no se generan firmas para el malware detectado por este Si desea generar firmas de WildFire para el malware detectado en su red puede habilitar la funci n de env o autom tico en el dispositivo Con esta opci n habilitada el dispositivo env a cualquier malware que detecte a la nube de WildFire para la generaci n de la firma correspondiente La API de WildFire que est disponible con una suscripci n a WildFire
157. uraci n La configuraci n del dispositivo se organiza con una estructura jer rquica Para mostrar un segmento del nivel actual de la jerarqu a use el comando show Al introducir mostrar aparece la jerarqu a completa mientras que al introducir show con palabras clave aparece un segmento de la jerarqu a Por ejemplo cuando se ejecuta el comando show desde el nivel m s alto del modo de configuraci n se muestra toda la configuraci n Si se ejecuta el comando edit mgt config y se introduce show o se ejecuta el comando mostrar configuraci n de gesti n solo aparece la parte de la jerarqu a relativa a la configuraci n de gesti n Rutas de jerarqu a Al introducir comandos la ruta se traza a trav s de la jerarqu a del siguiente modo 86 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire deviceconfig setting sistema gestion wildfire Modos de comando de la CLI Enviar servidor autom ticamente en la Nube no yes habilitaci n de red vm Por ejemplo el siguiente comando asigna el servidor de DNS principal 10 0 0 246 para el dispositivo edit username hostname set deviceconfig system dns setting servers primary 10 0 0 246 Este comando genera un nuevo elemento en la jerarqu a y en los resultados del siguiente comando show edit username hostname show deviceconfig system dns settings dns setting servers primary 10 0 0 246 edit
158. viando archivos al sistema WildFire correcto Para determinar si el cortafuegos est reenviando archivos a la nube WildFire de Palo Alto Networks o a un dispositivo de WildFire seleccione Dispositivo gt Configuraci n gt WildFire Haga clic en el bot n de edici n Configuraci n general Si el cortafuegos est reenviando archivos a la nube de WildFire este campo deber a mostrar wildfire public cloud para la nube de WildFire de EE UU o wildfire paloaltonetworks jp para la nube de WildFire de Jap n Si el cortafuegos reenv a archivos a un dispositivo de WildFire aparecer n la direcci n IP o FQDN del dispositivo de WildFire En Panorama el nombre predeterminado de la nube es wildfire public cloud Nota La mejor forma de devolver el campo Servidor WildFire a la nube predeterminada es borrar el campo y hacer clic en ACEPTAR A continuaci n se aplicar el ajuste wildfire default cloud Gu a del administrador de WildFire 47 Verificaci n de WildFire al reenviar a la nube de WildFire Analisis de archivo de la nube de WildFire Comprobaci n de la configuraci n de WildFire en el cortafuegos Continuaci n Paso 3 Compruebe los logs 1 Seleccione Supervisar gt Logs gt Filtrado de datos 2 Confirme que los archivos se estan reenviando a WildFire consultando la columna Acci n e Reenviar Indica que el perfil de bloqueo del archivo y la pol tica de seguridad reenviaron el archivo de forma correc
159. xi n directa con la consola Consulte la WF 500 WildFire Appliance Hardware Reference Guide Gu a de referencia de hardware de WF 500 WildFire para obtener informaci n acerca de la instalaci n del hardware e Inicio r pido para informaci n sobre configuraci n inicial del dispositivo Utilice la siguiente configuraci n en la conexi n directa de la consola e Tasa de datos 9600 e Bits de datos 8 e Paridad No e Bits de terminaci n 1 e Control de flujo Ninguna Establecimiento de una conexi n de SSH Para acceder a la CLI del software del dispositivo WildFire Paso 1 Abra la conexi n de la consola Paso 2 Introduzca el nombre del usuario administrativo El valor predeterminado es admin Paso 3 Introduzca la contrase a administrativa El valor predeterminado es admin Paso 4 La CLI del software del dispositivo WildFire se abre en el modo de operaci n y se muestra el siguiente mensaje de la CLI username hostname gt Uso de los comandos de la CLI del software del dispositivo WildFire A Convenciones de comandos de la CLI del software del dispositivo WildFire A Mensajes de comandos de la CLI A Acceso a los modos de operaci n y configuraci n Gu a del administrador de WildFire 79 Acceso a la CLI Referencia de la CLI del software del dispositivo WildFire Mostrar opciones de comandos de la CLI del software del dispositivo WildFire Simbolos de opciones de comandos Niveles de privilegio gt gt gt gt
Download Pdf Manuals
Related Search