1.Giới thiệu
Bài viết này sẽ hướng dẫn người dùng tường lửa Palo Alto về các cấu hình cơ bản với WildFire.
Bài viết này sẽ hướng dẫn các cấu hình sau :
- Cấu hình và thực hiện test 1 WildFire Analysis Security Profile.
2. Hướng dẫn cấu hình
Chúng ta có sơ đồ mạng như sau
2.1 Tạo 1 WildFire Analysis Profile
Vào Objects > Security Profiles > WildFire Analysis > Click Add.
Cấu hình với các thông số sau :
- Name : lab-wildfire
Bấm Add và cấu hình theo thông số sau :
- Name : pe
- Applicaitons : any
- File Types : pe
- Direction : both
- Analysis : public-cloud
Lưu ý: Loại tệp pe bao gồm cả loại tệp .exe và .dll.
Bấm OK để lưu.
8.2 Chỉnh sửa Security Profile Group
Vào Objects > Security Profile Groups.
Click để mở lab-spg Security Profile Group.
Thêm lab-wildfire vừa được tạo ở Wildfire Analysis Profile.
Bấm OK để lưu.
Bấm Commit để cam kết các thay đổi.
2.3 Test Wildfire Analysis Profile
Mở trình duyệt Chrome mới ở chế độ riêng tư / ẩn danh và duyệt đến http://wildfire.paloaltonetworks.com/publicapi/test/pe. Trang web này
tạo một tệp tấn công với một chữ ký duy nhất, mô phỏng cuộc tấn công zero-day.
Một wildfire-test-pe-file.exe tự động được tải xuống thư mục Tải xuống. Không mở tập tin.
Để xác minh rằng tệp đã được tải lên đám mây WildFire® publici, hãy mở PuTTY và truy cập vào tường lửa với tài khoản admin / admin.
Khi bạn đã đăng nhập, hãy nhập lệnh debug wildfire upload-log show. Thông báo có thể mất một hoặc hai phút để xuất hiện:
Vào Monitor > Logs > Wildfire Submissions. Sau năm phút trôi qua, hãy tìm mục wildfire-test-pe-file.exe đã được gửi tới WildFire® và được xác định là độc hại.
Nhấp vào biểu tượng kính lúp bên cạnh mục nhập để xem Detailted Log Viewer của mục nhập WildFire.
Trên tab Log info, xem lại thông tin trong bảng General, Source và Destination.
Sau đó nhìn vào thông tin trong tab WildFire Analysis Report. Phán quyết cho tập tin này là Malware. Cuộn xuống tab Log info để xem Static and Dynamic Analysis,
Network Activity, Host Activity (by process), và Report Incorrect Verdict.