Académique Documents
Professionnel Documents
Culture Documents
Sede de la empresa:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
Esta guía describe las tareas administrativas necesarias para utilizar y mantener la función Palo Alto Networks WildFire.
Los temas tratados incluyen información de licencias, la configuración de cortafuegos para reenviar archivos para su
inspección, la visualización de informes y cómo configurar y gestionar el Dispositivo WF-500 WildFire.
Consulte las siguientes fuentes para obtener más información:
Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el
cortafuegos, consulte https://www.paloaltonetworks.com/documentation.
Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consulte
https://live.paloaltonetworks.com.
Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia
técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.
Para leer las notas sobre la última versión, vaya la página de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
ii
Contenido
API de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Acerca de las suscripciones a WildFire y las claves de API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Uso de la API de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Métodos de envío de archivos de la API de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Envío de un archivo a la nube de WildFire mediante el método de envío de archivos . . . . . . . . . . . . 90
Envío de un archivo a WildFire mediante el método de envío de URL . . . . . . . . . . . . . . . . . . . . . . . . 90
Consulta de un informe PDF o XML de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Uso de la API para recuperar un archivo de prueba de malware de muestra . . . . . . . . . . . . . . . . . . . . . . . . 93
Uso de la API para recuperar un archivo de muestra o PCAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Uso de la API de WildFire en un dispositivo WF-500. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Generación de claves de API en el dispositivo WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Gestión de claves de API en el dispositivo WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Uso de la API de WildFire en un dispositivo WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Acerca de WildFire
El malware moderno es el eje de la mayoría de los ataques a la red más sofisticados de la actualidad, y cada vez
se personaliza más para burlar las soluciones de seguridad tradicionales. Palo Alto Networks ha desarrollado un
enfoque integrado que permite controlar todo el ciclo de vida del malware, lo que incluye la prevención de
infecciones, la identificación de malware de día cero (malware no detectado) o malware específico (dirigido a un
sector o una corporación concretos), así como la localización y eliminación de infecciones activas.
El motor de WildFire de Palo Alto Networks expone el malware específico y de día cero mediante la
observación directa en un entorno virtual en el sistema WildFire. La funcionalidad WildFire hace, además, un
uso extensivo de la tecnología App-ID de Palo Alto Networks identificando las transferencias de archivos en
todas las aplicaciones, no solo en los archivos adjuntos del correo electrónico o en las descargas de archivos del
explorador.
Para obtener información sobre la política de privacidad del sistema WildFire de Palo Alto Networks, consulte
https://live.paloaltonetworks.com/docs/DOC-2880.
En la Ilustración: Flujo de trabajo de decisiones de WildFire de alto nivel se muestra el flujo de trabajo básico
de WildFire y en la Ilustración: Flujo de decisiones de WildFire detallado se describe el ciclo de vida completo
de WildFire desde el momento en el que un usuario descarga un archivo malintencionado hasta el momento en
el que WildFire genera una firma que utilizarán los cortafuegos de Palo Alto Networks como medida de
protección frente a la futura exposición al malware.
En el flujo de trabajo de decisiones de WildFire de alto nivel se describe el flujo de trabajo para
la descarga de un archivo. El análisis de un enlace HTTP/HTTPS incluido en un mensaje de
correo electrónico es muy similar, pero hay algunas ligeras diferencias. Para obtener información
detallada sobre el análisis de vínculos de correo electrónico, consulte Análisis de enlaces de
correo electrónico de WildFire.
Conceptos de WildFire
Reenvío de archivos y enlaces de correo electrónico
Tipos de archivos admitidos
Espacios aislados virtuales de WildFire
Firmas de WildFire
Análisis de enlaces de correo electrónico de WildFire
Alertas de WildFire
Generación de logs e informes de WildFire
Muestras de prueba de malware
Con la solución integrada entre WildFire y los cortafuegos de Palo Alto Networks, puede configurar el cortafuegos
con un perfil de bloqueo de archivos y adjuntarlo a una regla de la política de seguridad que indique al cortafuegos que
reenvíe automáticamente las muestras al sistema WildFire para el análisis de amenazas. Las muestras pueden ser tipos
de archivos específicos o enlaces HTTP/HTTPS incluidos en mensajes SMTP o POP3. Si un usuario descarga una
muestra de archivo en una sesión que coincide con la regla de seguridad, el cortafuegos realiza una comprobación del
hash de archivo con WildFire para determinar si WildFire ha analizado previamente la muestra. Si el archivo es nuevo,
se reenvía para su análisis incluso si se incluye en un archivo ZIP o en HTTP comprimido. En el caso de un enlace de
correo electrónico, el cortafuegos extrae los enlaces HTTP/HTTPS de los mensajes de correo electrónico SMTP y
POP3 que coinciden con la política de reenvío y reenvía el enlace a WildFire (consulte Análisis de enlaces de correo
electrónico de WildFire. Además, puede configurar el cortafuegos para que reenvíe los archivos en sesiones de SSL
cifradas si la función de descifrado SSL está habilitada.
Para obtener información sobre la configuración del reenvío, consulte Reenvío de archivos a un dispositivo
WF-500 o Reenvío de muestras a la nube de WildFire.
JAR: Applet de Java (tipos de archivos JAR/de clase). El dispositivo WF-500 analiza el contenido de Java,
pero no genera firmas para las muestras malintencionadas. Debe descargar la muestra del log de envío de
WildFire y cargarla en la nube de WildFire para la generación de firmas.
PE: Archivo portable ejecutable que incluye archivos ejecutables, código de objeto, DLL, FON (fuentes), etc.
MS Office: Archivos de Microsoft Office, como documentos (doc, docx, rtf), libros (xls, xlsx) y PowerPoint
(ppt, pptx). A partir de la actualización de contenido 450, WildFire puede generar firmas de antivirus para
documentos de Office Open XML (OOXML) 2007+ para determinar si el contenido es malintencionado y
proporcionar las firmas mediante WildFire y las actualizaciones de antivirus, lo que permite que el
cortafuegos genere una alerta o bloquee el contenido malintencionado de estos tipos de archivos.
WildFire ejecuta los archivos sospechosos que recibe en un entorno virtual y observa su comportamiento para
determinar si muestran signos de actividades malintencionadas, como cambios en la configuración de seguridad
del explorador, introducción de código en otros procesos, modificación de archivos de las carpetas del sistema
Windows o dominios a los que la muestra ha intentado acceder. Cuando el motor de WildFire completa el
análisis, genera un informe experto detallado que resume los comportamientos observados y asigna un veredicto
para indicar si se trata de malware o no. De forma similar, WildFire extrae los enlaces HTTP/HTTPS de los
mensajes de correo electrónico SMTP y POP3, y visita los enlaces para determinar si las páginas web
correspondientes contienen vulnerabilidades de seguridad. Si WildFire detecta un comportamiento
malintencionado, genera un informe, envía la dirección URL a PAN-DB y clasifica la dirección URL como
malware. Tenga en cuenta que WildFire no genera logs para enlaces de correo electrónico benignos.
WildFire ofrece compatibilidad con espacios aislados para los siguientes sistemas operativos:
Firmas de WildFire
Las ventajas clave de la función WildFire de Palo Alto Networks son que permite detectar malware de día cero
en el tráfico web (HTTP/HTTPS), los protocolos de correo electrónico (SMTP, IMAP y POP) y el tráfico FTP,
y permite generar firmas rápidamente como método de protección frente a futuras infecciones por el malware
detectado. WildFire genera automáticamente una firma basada en la carga útil de malware de la muestra y
comprueba su precisión y seguridad. Dado que el malware evoluciona rápidamente, las firmas que genera
WildFire cubrirán diversas variantes de este. Cuando WildFire detecta nuevo malware, genera nuevas firmas en
15-30 minutos. Los cortafuegos equipados con una suscripción a WildFire pueden recibir las nuevas firmas en
15 minutos. Si no tiene una suscripción a WildFire, las firmas estarán disponibles en un plazo de 24-48 horas
como parte de la actualización de antivirus de los cortafuegos con una suscripción a Threat Prevention.
En cuanto el cortafuegos descarga e instala la nueva firma, todos los archivos que contienen el malware (o una
variante de este) son eliminados automáticamente por el cortafuegos. La información recopilada por WildFire
durante el análisis del malware también se utiliza para reforzar otras funciones de Threat Prevention, como la
adición de direcciones URL de malware a PAN-DB y la generación de firmas DNS y de antivirus y antispyware.
Palo Alto Networks también desarrolla firmas para el tráfico de comandos y control, lo que permite la
interrupción inmediata de la comunicación de cualquier tipo de malware en la red. Si desea más información
sobre las ventajas de tener una suscripción de WildFire, consulte Requisitos para la suscripción a WildFire.
El cortafuegos no reenvía los archivos a WildFire para el análisis de amenazas únicamente, sino que también extrae
los enlaces HTTP/HTTPS incluidos en los mensajes de correo electrónico SMTP y POP3 y reenvía estos enlaces a
la nube de WildFire para su análisis. Esta función no es compatible con el dispositivo WF-500. Para habilitar esta
función, configure el cortafuegos para que reenvíe el tipo de archivo de enlace de correo electrónico. Observe que el
cortafuegos solo extrae enlaces e información de sesión asociada (emisor, receptor y asunto) de los mensajes de correo
electrónico que atraviesan el cortafuegos; no recibe, almacena, reenvía ni ve el mensaje de correo electrónico.
Después de recibir un enlace de correo electrónico de un cortafuegos, WildFire visita los enlaces para
determinar si la página web correspondiente alberga alguna explotación. Si WildFire determina que la página es
benigna, no genera un log. Sin embargo, si detecta un comportamiento malintencionado en la página, confirma
la existencia de actividad malintencionada y:
Genera un informe de análisis detallado y lo incluye en el log de envío de WildFire en el cortafuegos que ha
reenviado los enlaces. Este log incluye ahora la información del encabezado del mensaje de correo
electrónico (remitente, destinatario y asunto del mensaje de correo electrónico) para que pueda identificar el
mensaje y eliminarlo del servidor de correo o hacer un seguimiento del destinatario y mitigar la amenaza si
el mensaje de correo electrónico ya se ha entregado o abierto.
Añade la dirección URL a PAN-DB y la clasifica como malware.
Tenga en cuenta que si el enlace se corresponde con la descarga de un archivo, WildFire no analiza el archivo.
No obstante, el cortafuegos reenvía el archivo correspondiente a WildFire para su análisis si el usuario final hace
clic en el enlace para descargarlo siempre que el tipo de archivo correspondiente esté habilitado para el reenvío.
El cortafuegos reenvía los enlaces de correo electrónico en lotes de 100 o cada dos minutos (la opción más
rápida). Cada lote cargado en WildFire se corresponde con una carga según la capacidad de carga por minuto
de la plataforma del cortafuegos (Referencia: capacidad de reenvío de archivos del cortafuegos según la
plataforma). Para determinar si el cortafuegos está reenviando enlaces de correo electrónico, ejecute el siguiente
comando en el cortafuegos configurado para el reenvío a WildFire:
admin@PA-200> show wildfire statistics
Consulte la sección del contador file type: email-link debajo de Counters for file
forwarding.
Cuando los enlaces de correo electrónico se reenvían, el valor de los siguientes contadores aumenta:
– FWD_CNT_APPENDED_BATCH: Indica el número de enlaces de correo electrónico añadidos a
un lote en espera para cargarse en WildFire.
– FWD_CNT_LOCAL_FILE: Indica el número total de enlaces de correo electrónico cargados en
WildFire.
Para asegurarse de aprovechar al máximo las ventajas de esta función, confirme lo siguiente en cada cortafuegos
que reenvíe muestras a WildFire:
Hay una suscripción a WildFire válida instalada.
Las actualizaciones de contenido de WildFire se han configurado para su descarga e instalación frecuentes
(cada 15 minutos como mínimo).
PAN-DB es el proveedor de filtrado de URL activo.
Alertas de WildFire
El cortafuegos puede generar una notificación instantánea siempre que detecte malware en la red mediante el
envío de alertas por correo electrónico, mensajes de Syslog o capturas de SNMP. Esto permite identificar
rápidamente qué usuario ha descargado el malware y eliminarlo antes de que provoque daños graves o se
propague a otros usuarios. Además, cada firma generada por WildFire se propaga automáticamente a todos los
cortafuegos de Palo Alto Networks protegidos con suscripciones a Threat Prevention o WildFire, lo que ofrece
una protección automática frente al malware detectado en redes de todo el mundo.
Para cada muestra analizada por WildFire, este sistema genera un informe del comportamiento detallado unos
minutos después del envío de la muestra. Estos informes están disponibles en el log de envío de WildFire del
cortafuegos, el portal de WildFire o mediante consultas a la API de WildFire. Los informes muestran
información detallada del comportamiento de la muestra e información sobre el usuario de destino, la aplicación
que ha entregado el archivo y todas las direcciones URL involucradas en la entrega o en la actividad de llamadas
a casa del archivo. Si desea más información sobre cómo acceder a los informes y a las descripciones de los
campos de los informes, consulte Visualización de informes de WildFire.
En la siguiente captura de pantalla se muestra parte del informe de una muestra para el análisis de un archivo.
A continuación, se incluye una captura de pantalla del informe de análisis de un enlace de correo electrónico.
Palo Alto Networks proporciona un sistema de malware de muestra que puede utilizar para probar la
configuración de WildFire. Antes de descargar el archivo para probar la configuración, asegúrese de configurar
el cortafuegos según los procedimientos descritos en Reenvío de archivos a un dispositivo WF-500 o Reenvío
de muestras a la nube de WildFire.
A continuación se indica información sobre el archivo de prueba:
Cada vez que accede a la dirección URL de prueba, el servidor genera un archivo único llamado
wildfire-test-pe-file.exe e inicia una descarga. Cada archivo de prueba tiene además un valor de hash
SHA-256 único.
El resultado del archivo siempre será que es malintencionado.
Aunque WildFire genera una firma para el archivo de prueba, esta firma se deshabilita y no se distribuye al
servidor de actualizaciones de Palo Alto Networks. Si la generación de firmas está habilitada en un
dispositivo WF-500, este no genera ninguna firma para el archivo de prueba.
Para acceder al archivo de prueba de malware, seleccione el siguiente enlace y cópielo y péguelo en un
explorador: http://wildfire.paloaltonetworks.com/publicapi/test/pe.
Si ha habilitado el descifrado en el cortafuegos, puede acceder a la versión cifrada del sitio si sustituye HTTP
por HTTPS.
Después de descargar el archivo, consulte el log Filtrado de datos del cortafuegos para determinar si el archivo
se ha reenviado y, después de unos cinco minutos, busque los resultados en el log Envío de WildFire. Para obtener
información sobre cómo comprobar la configuración de WildFire, consulte Comprobación del reenvío a un
dispositivo WF-500 y Verificación del reenvío a la nube de WildFire.
Para obtener información sobre las pruebas de la API de WildFire, consulte Uso de la API para recuperar un
archivo de prueba de malware de muestra.
Implementaciones de WildFire
El cortafuegos de próxima generación de Palo Alto Networks admite las siguientes implementaciones de WildFire:
Nube de WildFire: En esta implementación, un cortafuegos de Palo Alto Networks reenvía los archivos al
entorno de WildFire alojado, que pertenece y es mantenido por Palo Alto Networks. Cuando WildFire
detecta nuevo malware, genera nuevas firmas en 15-30 minutos. Los cortafuegos equipados con una
suscripción a WildFire pueden recibir las nuevas firmas en 15 minutos. Los cortafuegos con solamente una
suscripción a Threat Prevention pueden recibir las nuevas firmas en la siguiente actualización de firmas de
antivirus en 24-48 horas.
Los servidores de nube de WildFire disponibles son wildfire-public-cloud para la nube de WildFire alojada
en EE. UU. y wildfire.paloaltonetworks.jp para la nube de WildFire alojada en Japón. Es posible que desee
utilizar el servidor de Japón si no desea que se envíen archivos buenos a los servidores de nube de EE. UU.
Si se envía un archivo a la nube de Japón y WildFire determina que es malintencionado, la nube de Japón lo
reenvía a los servidores de nube de EE. UU., donde WildFire lo vuelve a analizar para confirmar si es
malintencionado. Si los cortafuegos se encuentran en Japón, observará una respuesta más rápida en el caso
del envío de muestras y la generación de informes.
Dispositivo WildFire: En esta implementación, debe instalar un dispositivo WF-500 en su red corporativa
y configurar los cortafuegos de Palo Alto Networks para reenviar los archivos al dispositivo en lugar de a la
nube de WildFire de Palo Alto Networks (opción predeterminada). Esta implementación impide que el
cortafuegos tenga que enviar archivos fuera de la red para su análisis. De forma predeterminada, el
dispositivo no envía ningún archivo fuera de la red a menos que habilite explícitamente la función de envío
de muestras a inteligencia de la nube. Esta función permite que el dispositivo reenvíe el malware detectado
a la nube de WildFire de Palo Alto Networks, donde se analizan los archivos y se generan firmas para las
muestras malintencionadas. A continuación, los servidores de actualización proporcionan estas firmas a
todos los cortafuegos de Palo Alto Networks suscritos a Threat Prevention o WildFire. El dispositivo se
puede configurar además para generar firmas localmente según las muestras que recibe de los cortafuegos
conectados o mediante el envío de las muestras con la API XML de WildFire. Para obtener más información,
consulte Generación de firmas/URL en un dispositivo WF-500. Un único dispositivo WildFire puede recibir
y analizar archivos de hasta 100 cortafuegos de Palo Alto Networks.
A continuación se describen las diferencias principales entre las implementaciones de la nube de WildFire y el
dispositivo WildFire:
El dispositivo WildFire habilita la creación de un espacio aislado local para el malware de modo que los
archivos buenos nunca salgan de su red. De forma predeterminada, el dispositivo WildFire no reenvía
ningún archivo a la nube de WildFire, pero puede configurar la opción de inteligencia de la nube en el
dispositivo para reenviar las muestras malintencionadas o los informes sobre muestras malintencionadas
a Palo Alto Networks. Si no desea que el dispositivo envíe muestras de malware a Palo Alto Networks, se
recomienda configurar el dispositivo para que envíe como mínimo informes del malware. Estos informes
ayudarán a Palo Alto Networks a recopilar información estadística sobre el malware para comprender mejor
la prevalencia del malware y determinar el nivel de propagación del malware.
El dispositivo WF-500 no tiene un portal de WildFire, pero puede configurar la inteligencia de la nube en el
dispositivo para enviar los archivos automáticamente a la nube de WildFire. Además, puede descargar muestras de
los informes de WildFire y, a continuación, cargarlas en el portal o utilizar la API XML de WildFire para enviar los
archivos a la nube. Después de cargar los archivos manualmente en el portal, las muestras aparecen en el portal
como una carga manual (consulte Carga de archivos mediante el portal de la nube de WildFire). En el caso de
las muestras reenviadas por un cortafuegos de Palo Alto Networks a un dispositivo WF-500 o a la nube de
WildFire, los informes siempre están disponibles en el log de envío de WildFire del cortafuegos.
En la nube de WildFire se ejecutan varias máquinas virtuales para representar la variedad de sistemas
operativos y aplicaciones utilizados al ejecutar los archivos de muestra. En el dispositivo WF-500 hay varias
máquinas virtuales disponibles, pero solamente puede haber una activa para el análisis de archivos. Antes de
seleccionar la máquina virtual que se va a utilizar, revise los atributos de las máquinas virtuales disponibles y
seleccione la que mejor se adapte a su entorno. Aunque configure el dispositivo WF-500 para utilizar una
sola configuración de la imagen de máquina virtual, el dispositivo utiliza varias instancias de la imagen para
realizar análisis con el fin de aumentar el rendimiento. Para obtener información sobre cómo visualizar y
seleccionar la máquina virtual, consulte Integración del dispositivo WF-500 en una red.
Actualizaciones dinámicas de WildFire: Nuevas firmas de malware con frecuencias inferiores a una hora.
Se pueden configurar en Dispositivo > Actualizaciones dinámicas. Entre 15 y 30 minutos después de que WildFire
identifique una muestra malintencionada, WildFire genera una nueva firma de malware y la distribuye mediante las
actualizaciones dinámicas de WildFire, que el cortafuegos puede sondear cada 15, 30 o 60 minutos. Puede
configurar el cortafuegos para que realice acciones específicas en las firmas de malware con independencia de las
acciones de firma de antivirus periódicas del perfil de antivirus. Las firmas de WildFire entregadas en la
actualización dinámica incluyen las generadas para el malware detectado en archivos enviados a WildFire por todos
los clientes de Palo Alto Networks WildFire, no solo las muestras de archivos que envía el cortafuegos a WildFire.
Compatibilidad con tipos de archivos avanzados de WildFire: Además de los archivos portables
ejecutables (PE), una suscripción permite que el cortafuegos también reenvíe los siguientes tipos de archivos
avanzados: APK (solo en la nube de WildFire), Flash, PDF, Microsoft Office y JAR (applet de Java).
Además de estos tipos de archivos, también puede configurar el cortafuegos para que extraiga y reenvíe
enlaces de correo electrónico incluidos en mensajes de correo electrónico SMTP y POP3 mediante el
reenvío del tipo de archivo de enlace de correo electrónico. Observe que el cortafuegos solo extrae enlaces e
información de sesión asociada (emisor, receptor y asunto) de los mensajes de correo electrónico que
atraviesan el cortafuegos; no recibe, almacena, reenvía ni ve el mensaje de correo electrónico.
API de WildFire: La suscripción a WildFire proporciona acceso a la API de WildFire, lo que permite el acceso
directo mediante programación al servicio de WildFire en la nube de WildFire de Palo Alto Networks o en un
dispositivo WildFire. Puede usar la API de WildFire para enviar archivos y recuperar informes de los archivos
enviados. La API de WildFire admite hasta 1.000 envíos de archivos y hasta 10.000 consultas al día.
Dispositivo WildFire WF-500: Solo los cortafuegos con una suscripción a WildFire válida pueden reenviar
archivos a un dispositivo WF-500 para su análisis. Los cortafuegos que solamente tienen una suscripción a Threat
Prevention instalada pueden reenviar archivos a la nube de WildFire, pero no a un dispositivo WF-500.
La velocidad a la que el cortafuegos puede reenviar archivos a WildFire también depende del
ancho de banda del enlace de carga para los sistema WildFire.
VM-100 5 100 MB
VM-200 10 200 MB
VM-300 20 200 MB
PA-200 5 100 MB
PA-500 10 200 MB
PA-3020 50 200 MB
PA-3050 50 500 MB
PA-3060 50 500 MB
PA-4020 20 200 MB
PA-4050/4060 50 500 MB
PA-5020/5050 50 500 MB
PA-7050 100 1 GB
MGT: Recibe todos los archivos reenviados desde los cortafuegos y devuelve a los cortafuegos los logs que
detallan los resultados. Consulte Integración del dispositivo WF-500 en una red.
Interfaz de máquina virtual (interfaz VM): Proporciona acceso a la red para los sistemas de espacio
aislado de WildFire para habilitar la comunicación de los archivos de muestra con Internet, lo que permite
que WildFire analice mejor el comportamiento de la muestra. Una vez configurada la interfaz VM, WildFire
puede observar comportamientos malintencionados que el malware no tendría sin acceso a la red, como la
actividad de llamadas a casa. No obstante, para evitar que el malware acceda a la red desde el espacio aislado,
configure esta interfaz en una red aislada con conexión a Internet. Además, puede habilitar la opción Tor
para ocultar la dirección IP pública de su empresa en el caso de los sitios malintencionados a los que acceda
la muestra. Para obtener más información sobre la interfaz VM, consulte Configuración de la interfaz VM
en el dispositivo WF-500.
Monte el dispositivo WF-500 en bastidor y conéctelo con un cable. Consulte WF-500 WildFire Appliance
Hardware Reference Guide (Guía de referencia de hardware de WF-500 WildFire).
Obtenga la información necesaria para configurar la conectividad de la red en el puerto MGT y la interfaz
de máquina virtual desde su administrador de red (dirección IP, máscara de subred, puerta de enlace,
nombre de host, servidor DNS). Toda la comunicación entre los cortafuegos y el dispositivo se produce en
el puerto MGT, incluidos los envíos de archivos, la distribución de logs de WildFire y la administración de
dispositivos. Por lo tanto, debe asegurarse de que los cortafuegos tienen conectividad con el puerto MGT
del dispositivo. Además, el dispositivo se debe poder conectar al sitio updates.paloaltonetworks.com para
recuperar las actualizaciones de software del sistema operativo.
Debe tener preparado un ordenador con un cable de consola o cable Ethernet para conectarse al
dispositivo para la configuración inicial.
En esta sección se describen los pasos necesarios para instalar un dispositivo WF-500 en una red y establecer
una configuración básica.
Integración del dispositivo WF-500 en una red
Paso 1 Conecte el ordenador de gestión al 1. Conéctese al puerto de la consola o al puerto MGT. Ambos se
dispositivo usando el puerto MGT o el encuentran en la parte posterior del dispositivo.
puerto de consola y encienda el dispositivo. • Puerto de la consola: Conector serie macho de 9 clavijas.
Utilice la siguiente configuración en la aplicación de la consola:
9600-8-N-1. Conecte el cable proporcionado al puerto de serie
en el dispositivo de gestión o al conversor USB-serie.
• Puerto MGT: Puerto RJ-45 Ethernet. De forma
predeterminada, la dirección IP del puerto MGT es 192.168.1.1.
La interfaz del ordenador de gestión debe estar en la misma
subred que el puerto MGT. Por ejemplo, establezca la dirección
IP del ordenador de gestión en 192.168.1.5.
2. Conecte el dispositivo.
El dispositivo se encenderá en cuanto establezca la
conexión con la primera fuente de alimentación y sonará un
pitido de advertencia hasta que conecte la segunda fuente de
alimentación. Si el dispositivo ya está conectado, pero está
apagado, utilice el botón de encendido de la parte frontal del
dispositivo para encenderlo.
Paso 2 Registre el dispositivo WildFire. 1. Obtenga el número de serie de la etiqueta de número de serie del
dispositivo o ejecute el siguiente comando y consulte el campo
serial:
admin@WF-500> show system info
2. En un navegador, vaya al sitio de asistencia técnica de
Palo Alto Networks.
3. Registre el dispositivo de la siguiente forma:
Si es el primer dispositivo de Palo Alto Networks que registra y
aún no tiene un inicio de sesión, haga clic en Registrar en el
lado derecho de la página. Para el registro debe proporcionar
una dirección de correo electrónico y el número de serie del
dispositivo. Cuando se le solicite, establezca un nombre de
usuario y una contraseña para acceder a la comunidad de
asistencia técnica de Palo Alto Networks.
Con las cuentas existentes solamente tiene que iniciar sesión y
hacer clic en Mis dispositivos. Desplácese hasta la sección
Registrar dispositivo de la parte inferior de la pantalla e
introduzca el número de serie del dispositivo, su ciudad y código
postal, y haga clic en Registrar dispositivo.
Paso 3 Restablezca la contraseña del administrador. 1. Inicie sesión en el dispositivo con un cliente SSH o mediante el
puerto de la consola. Introduzca un nombre de
usuario/contraseña de administrador/administrador.
2. Establezca una nueva contraseña ejecutando el comando:
admin@WF-500# set password
3. Introduzca la contraseña anterior, pulse Intro y, a continuación,
introduzca y confirme la nueva contraseña. No hay necesidad de
compilar la configuración porque se trata de un comando de
operación.
4. Escriba exit para cerrar la sesión y, a continuación, vuelva a
iniciarla para confirmar que se ha establecido la nueva
contraseña.
Paso 4 Establezca la información de IP para la 1. Inicie sesión en el dispositivo con un cliente SSH o mediante el
interfaz de gestión y el nombre de host puerto de la consola y acceda al modo de configuración.
para el dispositivo. Todos los cortafuegos admin@WF-500> configure
que enviarán archivos al dispositivo 2. Establezca la información de IP:
WF-500 utilizarán el puerto MGT, por lo admin@WF-500# set deviceconfig system ip-address
que debe asegurase de que esta interfaz es 10.10.0.5 netmask 255.255.252.0 default-gateway
accesible desde estos cortafuegos. 10.10.0.1 dns-setting servers primary 10.0.0.246
En este ejemplo se utilizan los siguientes Para configurar un servidor DNS secundario, sustituya
valores: “primary” por “secondary” en el comando anterior y
excluya el resto de los parámetros de la dirección IP. Por
• Dirección IPv4: 10.10.0.5/22
ejemplo:
• Máscara de subred: 255.255.252.0 admin@WF-500# set deviceconfig system
• Puerta de enlace predeterminada: dns-setting servers secondary 10.0.0.247
10.10.0.1 3. Establezca el nombre del host (wildfire-corp1 en este ejemplo):
• Nombre de host: wildfire-corp1 admin@WF-500# set deviceconfig system hostname
• Servidor DNS: 10.0.0.246 wildfire-corp1
4. Compile la configuración para activar la nueva configuración del
puerto de gestión externo (MGT):
admin@WF-500# commit
5. Conecte el puerto de la interfaz de gestión a un conmutador de red.
6. Vuelva a ubicar el PC de gestión en la red corporativa o en
cualquier red necesaria para acceder al dispositivo en la red de
gestión.
7. En el ordenador de gestión, utilice un cliente SSH para
establecer la conexión con la dirección IP o el nombre de host
nuevos asignados al puerto MGT en el dispositivo. En este
ejemplo, la dirección IP es 10.10.0.5.
Paso 5 (Opcional) Configure cuentas de usuario En este ejemplo, se crea una cuenta de superlector para el usuario
adicionales para gestionar el dispositivo bsimpson:
WildFire. Puede asignar dos tipos de 1. Acceda al modo de configuración:
funciones: superusuario y superlector. El admin@WF-500> configure
superusuario es equivalente a la cuenta de 2. Cree la cuenta de usuario:
administrador, pero el superlector
admin@WF-500# set mgt-config users bsimpson
solamente tiene acceso de lectura. <password>
3. Introduzca y confirme la nueva contraseña.
4. Asigne la función de superlector:
admin@WF-500# set mgt-config users bsimpson
permissions role-based superreader yes
Paso 6 (Opcional) Configure la autenticación 1. Cree un perfil de RADIUS mediante las opciones siguientes:
RADIUS para el acceso del admin@WF-500# set shared server-profile radius
administrador. Los pasos siguientes son <profile-name>
un resumen de la configuración de (Configure el servidor de RADIUS y otros atributos.)
RADIUS en el dispositivo. 2. Cree un perfil de autenticación:
admin@WF-500# set shared authentication-profile
<profile-name> method radius server-profile
<server-profile-name>
3. Asigne el perfil a una cuenta de administrador local.
admin@WF-500# set mgt-config users username
authentication-profile authentication-profile-name>
Paso 9 (Opcional) Configure la inteligencia de la 1. Para habilitar la inteligencia de la nube, ejecute el comando:
nube para que el dispositivo WildFire admin@WF-500# set deviceconfig setting wildfire
reenvíe los archivos que contienen cloud-intelligence submit-sample yes
malware a la nube de WildFire de 2. Para enviar solamente informes de WildFire sobre malware:
Palo Alto Networks. El sistema de nube admin@WF-500# set deviceconfig setting wildfire
de WildFire vuelve a analizar la muestra y cloud-intelligence submit-report yes
genera una firma si la muestra es de Si la opción de envío de muestras está habilitada, no es
malware, y añade la firma a las necesario habilitar la opción de envío de informes, ya que
actualizaciones de firmas de WildFire. la nube de WildFire vuelve a analizar la muestra y genera
Además, puede optar por enviar un informe nuevo. Si la muestra es malintencionada, la
solamente los informes de WildFire sobre nube genera una firma.
malware. En este caso,
3. Para confirmar la configuración, ejecute el siguiente comando y,
Palo Alto Networks utiliza los informes
a continuación, consulte los campos Submit sample y Submit
con fines de generación de estadísticas.
report:
La opción de inteligencia de la admin@WF-500> show wildfire status
nube está deshabilitada de forma
predeterminada.
Paso 10 (Opcional) Habilite la creación de logs de 1. Seleccione Dispositivo > Configuración > WildFire y edite
archivos buenos en el cortafuegos. Este es Configuración general.
un método eficaz para confirmar que el 2. Seleccione la casilla de verificación Informar de archivos
cortafuegos está reenviando los archivos a buenos para habilitarla y, a continuación, haga clic en Aceptar
WildFire sin descargar malware real. En para guardar.
este caso, el log de filtrado de datos
contiene información sobre los resultados Puede ejecutar el siguiente comando de CLI para habilitar la creación
del análisis de WildFire incluso si los de logs de archivos buenos:
archivos son buenos. Para descargar admin@WF-500# set deviceconfig setting wildfire
malware de muestra para la realización de report-benign-file yes
pruebas, consulte Muestras de prueba de
malware.
Esta opción está deshabilitada de
manera predeterminada.
Paso 11 Establezca una contraseña para la cuenta 1. Para cambiar la contraseña de la cuenta del administrador del
de administrador del portal. Esta cuenta portal de WildFire:
se utiliza cuando se accede a los informes admin@WF-500> set wildfire portal-admin password
de WildFire desde un cortafuegos. El 2. Pulse Intro y escriba y confirme la nueva contraseña.
nombre de usuario y la contraseña
predeterminados son admin/admin.
La cuenta del administrador del
portal es la única cuenta que se
puede utilizar para ver informes
desde los logs. Solamente se puede
cambiar la contraseña de esta cuenta
y no se pueden crear cuentas
adicionales con esta finalidad. No es
la misma cuenta de administrador
utilizada para gestionar el
dispositivo. Además, puede utilizar
la API de WildFire para recuperar
logs, pero en este caso debe utilizar
una clave de API generada en el
dispositivo WF-500. Consulte Uso
de la API de WildFire en un
dispositivo WF-500.
Paso 12 Seleccione la imagen de máquina virtual Para ver una lista de las máquinas virtuales disponibles y determinar
que el dispositivo va a utilizar para el cuál representa mejor su entorno:
análisis de archivos. La imagen se debe admin@WF-500> show wildfire vm-images
basar en los atributos que mejor
Para ver la imagen de máquina virtual actual, ejecute el siguiente
representen el software instalado en los
comando y consulte el campo Selected VM:
ordenadores del usuario final. Cada
admin@WF-500> show wildfire status
imagen virtual contiene distintas
versiones de los sistemas operativos y el Seleccione la imagen que el dispositivo va a utilizar para el análisis:
software, como Windows XP o admin@WF-500# set deviceconfig setting wildfire
Windows 7 (32 bits o 64 bits) y versiones active-vm <vm-image-number>
específicas de Adobe Reader y Flash. Por ejemplo, para utilizar vm-1:
Aunque configure el dispositivo para admin@WF-500# set deviceconfig setting wildfire
utilizar una sola configuración de la active-vm vm-1
imagen de máquina virtual, el dispositivo
utiliza varias instancias de la imagen para
mejorar el rendimiento.
En este tema se describe cómo verificar la configuración del dispositivo WildFire para garantizar que está listo
para recibir archivos de un cortafuegos de Palo Alto Networks. Para obtener más información sobre los
comandos de CLI a los que se hace referencia en este flujo de trabajo, consulte Referencia de la CLI del software
del dispositivo WildFire.
Paso 1 Compruebe si el dispositivo se ha 1. Inicie una sesión en SSH y establezca la conexión con el puerto
registrado y la licencia se ha activado. MGT en el dispositivo.
2. Vea la información de asistencia técnica actual:
admin@WF-500> request support check
Se muestra información sobre el sitio y el contrato de asistencia
técnica. Confirme si la fecha del contrato es válida.
3. Ejecute el siguiente comando para comprobar la conectividad
entre el dispositivo y la nube de WildFire (esto es necesario para
reenviar archivos a la nube):
admin@WF-500> test wildfire registration
El siguiente resultado indica que el dispositivo está registrado en
uno de los servidores de nube de WildFire de
Palo Alto Networks.
Test wildfire
wildfire registration: successful
download server list: successful
select the best server:
cs-s1.wildfire.paloaltonetworks.com
Paso 3 Compruebe si los cortafuegos 1. Muestre una lista de los cortafuegos registrados con el
configurados para reenviar archivos dispositivo:
al dispositivo se han registrado admin@WF-500> show wildfire
correctamente en el dispositivo WildFire. last-device-registration all
El resultado incluye la siguiente información para cada
cortafuegos registrado con el dispositivo: número de serie del
cortafuegos, fecha de registro, dirección IP, versión de software,
modelo de hardware y estado. Si no aparece ningún cortafuegos,
puede que haya algún problema de conectividad entre los
cortafuegos y el dispositivo. Compruebe la red para confirmar
que los cortafuegos y el dispositivo WildFire se pueden
comunicar.
Puede utilizar pruebas de ping en el dispositivo a la dirección de
la puerta de enlace o a uno de los cortafuegos configurados para
reenviar archivos al dispositivo. Por ejemplo, si la dirección IP
del cortafuegos es 10.0.5.254, se muestran las respuestas al
ejecutar el siguiente comando de CLI en el dispositivo:
admin@WF-500> ping host 10.0.5.254
Para verificar la configuración de WildFire en los cortafuegos
que están reenviando archivos al dispositivo, consulte
Comprobación del reenvío a un dispositivo WF-500.
WildFire utiliza la interfaz VM (con la etiqueta 1 en la parte posterior del dispositivo) para mejorar la capacidad
de detección de malware. Esta interfaz permite que un archivo de muestra ejecutado en las máquinas virtuales
de WildFire se comunique con Internet y permite que WildFire analice mejor el comportamiento del archivo de
muestra para determinar si presenta características de malware.
Aunque se recomienda que habilite la interfaz VM, es muy importante que no la conecte a una
red que permita el acceso a cualquiera de sus servidores o hosts, ya que el malware ejecutado
en las máquinas virtuales de WildFire puede utilizar esta interfaz para propagarse.
Esta conexión puede ser una línea DSL especializada o un conexión de red que solamente
permita el acceso directo desde la interfaz VM a Internet y restrinja cualquier acceso a los
servidores o hosts de cliente internos.
DNS: 192.168.2.254
Si tiene pensado habilitar esta interfaz, configúrela con los ajustes adecuados para la red. Si no tiene pensando
utilizar esta interfaz, mantenga los ajustes predeterminados. Tenga en cuenta que la interfaz debe tener valores
de red configurados, ya que en caso contrario se producirá un error de compilación.
Configuración de la interfaz VM
Paso 3 Pruebe la conectividad de la interfaz VM. Haga ping a un sistema y especifique la interfaz VM como el origen.
Por ejemplo, si la dirección IP de la interfaz VM es 10.16.0.20, ejecute
el siguiente comando, donde ip-or-hostname es la dirección IP o el
nombre de host de un servidor o una red con la opción de ping
habilitada:
admin@WF-500> ping source 10.16.0.20 host
ip-or-hostname
Por ejemplo:
admin@WF-500> ping source 10.16.0.20 host 10.16.0.1
Paso 5 Continúe con la siguiente sección para Consulte Configuración del cortafuegos para controlar el tráfico de
configurar la interfaz del cortafuegos que la interfaz VM de WF-500.
utilizará para establecer la conexión de la
interfaz VM en el dispositivo.
Paso 1 Configure la interfaz en el cortafuegos al 1. En la interfaz web del cortafuegos, seleccione Red > Interfaces
que se conectará la interfaz VM y y, a continuación, seleccione una interfaz, por ejemplo
establezca el enrutador virtual. Ethernet1/3.
La zona wf-vm solamente debe 2. En la lista desplegable Tipo de interfaz, seleccione Capa3.
contener la interfaz (Ethernet1/3 3. En la pestaña Configurar, cuadro desplegable Zona de
en este ejemplo) utilizada para seguridad, seleccione Nueva zona.
conectar la interfaz VM del 4. En el campo Nombre del cuadro de diálogo zona, introduzca
dispositivo al cortafuegos. Esto wf-vm-zone y haga clic en Aceptar.
permite evitar que el tráfico
5. En el cuadro desplegable Enrutador virtual, seleccione
generado por el malware llegue a
predeterminado.
otras redes.
6. Para asignar una dirección IP a la interfaz, seleccione la pestaña
IPv4, haga clic en Añadir en la sección IP e introduzca la
dirección IP y la máscara de red para asignarlas a la interfaz, por
ejemplo, 10.16.0.0/22.
7. Para guardar la configuración de la interfaz, haga clic en
Aceptar.
Paso 2 Cree una política de seguridad en el 1. Seleccione Políticas > Seguridad y haga clic en Añadir
cortafuegos para permitir el acceso de la 2. En la pestaña General, introduzca un Nombre.
interfaz VM a Internet y bloquear todo el
3. En la pestaña Origen, establezca la Zona de origen para la
tráfico entrante. En este ejemplo, el
interfaz wf-vm.
nombre de la política es Interfaz VM de
WildFire. Dado que no creará una política 4. En la pestaña Destino, establezca la Zona de destino como No
de seguridad desde la zona que no es de fiable.
confianza a la zona de la interfaz wf-vm, 5. En las pestañas Aplicación y Categoría de URL/servicio, deje
todo el tráfico entrante se bloqueará de de forma predeterminada Cualquiera.
forma predeterminada. 6. En la pestaña Acciones, establezca Configuración de acción
como Permitir.
7. En Ajuste de log, seleccione la casilla de verificación Log al
finalizar sesión.
Si le preocupa que alguien pueda añadir de forma
accidental otras interfaces a la zona wf-vm, clone la
política de la seguridad de la interfaz VM de WildFire y,
a continuación, en la pestaña Acción de la regla clonada,
seleccione Denegar. Asegúrese de que esta nueva
política de seguridad aparece debajo de la política de
seguridad de la interfaz VM de WildFire. Esto cancela la
regla de permiso de la intrazona implícita que permite la
comunicación entre las interfaces de la misma zona y
deniega o bloquea toda la comunicación en la intrazona.
Paso 3 Conecte los cables. Conecte físicamente la interfaz VM del dispositivo WildFire al
puerto que ha configurado en el cortafuegos (Ethernet 1/3 en este
ejemplo) con un cable RJ-45 directo. La interfaz VM se indica con la
etiqueta 1 en la parte posterior del dispositivo.
Paso 1 Compruebe la conectividad del 1. Inicie sesión en el dispositivo WildFire y ejecute el siguiente
dispositivo con el servidor de comando para mostrar la versión de contenido actual:
actualizaciones e identifique las admin@wf-500> show system info | match
actualizaciones de contenido que se wf-content-version
deben instalar. 2. Confirme si el dispositivo se puede comunicar con el servidor
de actualizaciones de Palo Alto Networks y vea las
actualizaciones disponibles:
admin@wf-500> request wf-content upgrade check
El comando envía una consulta al servidor de actualizaciones de
Palo Alto Networks, proporciona información sobre las
actualizaciones disponibles e identifica la versión instalada
actualmente en el dispositivo.
Version Size Released on Downloaded Installed
---------------------------------------------------------
2-253 57MB 2014/09/20 20:00:08 PDT no no
2-39 44MB 2014/02/12 14:04:27 PST yes current
Si el dispositivo no puede conectarse con el servidor de
actualizaciones, debe permitir la conectividad del dispositivo
con el servidor de actualizaciones de Palo Alto Networks o
descargar e instalar las actualizaciones mediante SCP según se
describe en Instalación de actualizaciones de contenido desde
un servidor habilitado para SCP.
Paso 4 (Opcional) Programe las actualizaciones 1. Programe el dispositivo para descargar e instalar las
de contenido para instalar las últimas actualizaciones de contenido:
actualizaciones en el cortafuegos a admin@WF-500# set deviceconfig system
intervalos establecidos. update-schedule wf-content recurring [daily |
weekly] action [download-and-install |
Puede configurar el dispositivo para la download-only]
instalación diaria o semanal y para Por ejemplo, para descargar e instalar las actualizaciones
descargar solamente o descargar e instalar diariamente a las 8:00 a.m.:
las actualizaciones. admin@WF-500# set deviceconfig system
update-schedule wf-content recurring daily action
download-and-install at 08:00
2. Confirme la configuración:
admin@WF-500# commit
Paso 2 Instale la actualización de contenido en el 1. Inicie sesión en el dispositivo WF-500 y descargue el archivo de
dispositivo WildFire. actualización de contenido del servidor SCP:
admin@WF-500> scp import wf-content from
username@host:path
Por ejemplo:
admin@WF-500> scp import wf-content from
bart@10.10.10.5:c:/updates/panup-all-wfmeta-2-253.
tgz
Si el servidor SCP se ejecuta en un puerto no estándar o
si necesita especificar la dirección IP de origen, también
puede definir estas opciones en el comando scp import.
2. Instale la actualización:
admin@WF-500> request wf-content upgrade install
file panup-all-wfmeta-2-253.tgz
Vea el estado de la instalación:
admin@WF-500> show jobs all
Realice los pasos siguientes en cada cortafuegos que va a reenviar muestras al dispositivo WildFire:
Paso 1 Compruebe que el cortafuegos tiene una 1. Seleccione Dispositivo > Licencias y confirme que el
suscripción a WildFire y que las cortafuegos tiene instaladas suscripciones a WildFire y Threat
actualizaciones dinámicas están Prevention válidas.
programadas y actualizadas. 2. Seleccione Dispositivo > Actualizaciones dinámicas y haga clic
Consulte Prácticas recomendadas para en Comprobar ahora para asegurarse de que el cortafuegos
mantener las firmas actualizadas para tiene las actualizaciones más recientes del antivirus, aplicaciones
conocer la configuración recomendada. y amenazas y WildFire. Si va a utilizar un dispositivo WildFire
con la opción de generación de firmas o URL habilitada,
compruebe también estas actualizaciones.
3. Confirme y actualice las actualizaciones dinámicas según sea
necesario. Escalone las programaciones de actualizaciones, ya que el
cortafuegos no puede realizar más de una actualización a la vez.
Paso 2 Defina el servidor de WildFire al que 1. Seleccione Dispositivo > Configuración > WildFire.
reenviará archivos el cortafuegos para su 2. Haga clic en el icono de edición Configuración general.
análisis.
3. En el campo Servidor WildFire, introduzca la dirección IP o el
FQDN del dispositivo WF-500.
Paso 3 Configure el perfil de bloqueo del archivo 1. Seleccione Objetos > Perfiles de seguridad > Bloqueo de
para definir qué aplicaciones y tipos de archivo.
archivos activarán el reenvío a WildFire. 2. Haga clic en Añadir para añadir un nuevo perfil e introduzca un
Si selecciona PE en la columna Nombre y una Descripción.
Tipos de archivos del perfil de 3. Haga clic en Añadir en la ventana Perfil de bloqueo de archivo
objetos para seleccionar una y, a continuación, haga clic en Añadir de nuevo. Haga clic en el
categoría de tipos de archivos, no campo Nombres e introduzca un nombre para la regla.
añada también un tipo de archivo 4. Seleccione las aplicaciones que coincidirán con este perfil. Por
individual que forme parte de esa ejemplo, si selecciona navegación web como la aplicación, el
categoría porque esto produciría perfil coincidirá con cualquier tráfico de la aplicación
entradas redundantes en los logs identificado como “navegación web“.
de filtrado de datos. Por ejemplo, si
5. En el campo Tipo de archivo, seleccione los tipos de archivos
selecciona PE, no es necesario
que activarán la acción de reenvío. Seleccione Cualquiera para
seleccionar exe porque forma
reenviar todos los tipos de archivos admitidos por WildFire.
parte de la categoría PE. Esto
también es aplicable al tipo de 6. En el campo Dirección, seleccione cargar, descargar o ambos.
archivo zip, ya que los tipos de Si selecciona ambos se activará el reenvío siempre que un
archivos admitidos que se usuario trate de cargar o descargar un archivo.
compriman se envían 7. Defina una Acción de la siguiente forma (seleccione Reenviar
automáticamente a WildFire. Si para este ejemplo):
desea asegurarse de que se • Reenviar: El cortafuegos reenviará automáticamente
reenvían todos los tipos de cualquier archivo que coincida con este perfil a WildFire para
archivos de Microsoft Office su análisis, además de distribuir el archivo al usuario.
admitidos, se recomienda elegir la
categoría msoffice. • Continuar y reenviar: Se indica al usuario que debe hacer
clic en Continuar para que se realice la descarga y se reenvíe
Al seleccionar una categoría en el archivo a WildFire. Como aquí se necesita de la acción del
lugar de un tipo de archivo usuario en un explorador web, solo es compatible con
individual también se garantiza aplicaciones de navegación web.
que, como la compatibilidad con
8. Haga clic en Aceptar para guardar.
un nuevo tipo de archivo se añade
a una categoría específica,
automáticamente pasará a formar
parte del perfil de bloqueo del
archivo. Si selecciona Cualquiera,
todos los tipos de archivos
admitidos se reenvían a WildFire.
Paso 4 (Opcional) Si la acción Continuar y 1. Seleccione Red > Perfiles de red > Gestión de interfaz y
reenviar se ha configurado para cualquier añada un nuevo perfil o edite un perfil existente.
tipo de archivo, debe habilitar la opción de
2. Seleccione la casilla de verificación Páginas de respuesta.
página de respuesta en la interfaz de
entrada (la interfaz que recibe el tráfico de 3. Haga clic en Aceptar para guardar el perfil.
sus usuarios en primer lugar). 4. Seleccione Red > Interfaces y, a continuación, edite la interfaz
de capa 3 o la interfaz de VLAN que sea su interfaz de entrada.
5. Haga clic en la pestaña Avanzado y seleccione el perfil Gestión
de interfaz que tenga la opción de página de respuesta habilitada
y selecciónelo en el menú desplegable.
6. Haga clic en Aceptar para guardar.
Paso 5 Habilite el reenvío de contenido 1. Seleccione Dispositivo > Configuración > Content-ID.
descifrado. 2. Haga clic en el icono de edición de las opciones Filtrado de URL
Para reenviar archivos cifrados con SSL a y habilite Permitir reenvío de contenido descifrado.
WildFire, el cortafuegos debe tener una 3. Haga clic en ACEPTAR para guardar los cambios.
política de descifrado y la opción de Si ha configurado varios sistemas virtuales en el
reenvío de contenido descifrado cortafuegos, debe habilitar esta opción para cada VSYS.
habilitada. Seleccione Dispositivo > Sistemas virtuales, haga clic
Esta opción solamente la puede en el sistema virtual que desee modificar y seleccione la
habilitar un superusuario. casilla de verificación Permitir reenvío de contenido
descifrado.
Paso 7 (Opcional) Modifique el tamaño máximo 1. Seleccione Dispositivo > Configuración > WildFire.
del archivo que puede cargar el 2. Haga clic en el icono de edición Configuración general.
cortafuegos en WildFire.
3. Establezca el tamaño máximo para cada tipo de archivo.
Por ejemplo, si establece PDF en 5 MB, los archivos PDF con
un tamaño superior a 5 MB no se reenviarán.
Paso 8 (Solo para PA-7050) Si va a configurar el 1. Seleccione Red > Interfaces y busque un puerto disponible en
reenvío de logs en un cortafuegos PA-7050, una NPC.
debe configurar un puerto de datos en cada 2. Seleccione el puerto y cambie Tipo de interfaz a Tarjeta de log.
NPC con el tipo de interfaz Tarjeta de log.
3. En la pestaña Reenvío de tarjeta de log, introduzca la
Esto se debe a las funciones de tráfico y
información de dirección IP (IPv4 o IPv6) que permite que el
creación de logs de PA-7050 para evitar la
cortafuegos se comunique con los servidores Syslog y de correo
sobrecarga del puerto MGT.
electrónico para habilitar el cortafuegos para los logs y las alertas
La tarjeta de log (LPC) utiliza este puerto de correo electrónico. El puerto necesita además tener acceso a
directamente y el puerto actúa como un la nube de WildFire o al dispositivo WildFire para permitir el
puerto de reenvío de logs para Syslog, el reenvío de archivos.
correo electrónico y SNMP. El 4. Conecte el puerto recién configurado a un conmutador o un
cortafuegos reenvía los siguientes tipos de enrutador. No se requiere ninguna otra configuración. El
logs mediante este puerto: logs de tráfico, cortafuegos PA-7050 utiliza automáticamente este puerto en
coincidencias de HIP, amenazas y cuanto se activa.
WildFire. El cortafuegos utiliza además
este puerto para reenviar enlaces de
archivos o mensajes de correo electrónico
a WildFire para su análisis.
Si el puerto no se ha configurado, se muestra
un error de compilación. Tenga en cuenta
que solamente se puede configurar un
puerto de datos con el tipo Tarjeta de log.
El puerto MGT no se puede utilizar para
reenviar muestras a WildFire incluso si
configura una ruta de servicio.
PA-7050 no reenvía logs a
Panorama. Panorama solamente
enviará una consulta a la tarjeta de
log PA-7050 para obtener
información sobre los logs.
Paso 9 (Opcional) Modifique las opciones de la 1. Haga clic en el icono de edición de Ajustes de información de
sesión que definen qué información de sesión.
sesión se debe registrar en los informes de 2. De forma predeterminada, todos los elementos de información
análisis de WildFire. de la sesión aparecerán en los informes. Desactive las casillas de
verificación que se corresponden con los campos que desea
eliminar de los informes de análisis de WildFire.
3. Haga clic en ACEPTAR para guardar los cambios.
Paso 10 Compile la configuración. Haga clic en Compilar para aplicar los cambios.
Durante la evaluación de la política de seguridad, todos los archivos
que cumplen los criterios definidos en la política de bloqueo de
archivos se reenvían a WildFire. Para obtener información sobre
cómo visualizar los informes de análisis, consulte Elaboración de
informes de WildFire.
Para obtener instrucciones sobre cómo comprobar la configuración,
consulte Comprobación del reenvío a un dispositivo WF-500.
En este tema se describen los pasos necesarios para comprobar si el cortafuegos se ha configurado
correctamente para reenviar muestras a un dispositivo WF-500. Para obtener información sobre el archivo de
prueba que puede utilizar para comprobar el proceso, consulte Muestras de prueba de malware.
Paso 1 Compruebe las suscripciones de WildFire 1. Seleccione Dispositivo > Licencias y confirme que se ha
y prevención de amenazas y el registro de instalado una suscripción a WildFire y Threat Prevention válida.
WildFire. Si no hay instaladas licencias válidas, vaya a la sección Gestión
de licencias y haga clic en Recuperar claves de licencia del
El cortafuegos debe tener una
servidor de licencias.
suscripción a WildFire para
reenviar archivos a un dispositivo 2. Compruebe si el cortafuegos se puede comunicar con un
WildFire. Consulte Requisitos para servidor de WildFire para el reenvío de archivos:
la suscripción a WildFire. admin@PA-200> test wildfire registration
En la siguiente salida, el cortafuegos indica un dispositivo
WildFire. Si el cortafuegos indica la nube de WildFire, mostrará
el nombre de host de uno de los sistemas WildFire en la nube de
WildFire.
Test wildfire
wildfire registration: successful
download server list: successful
select the best server: s1.wildfire.paloaltonetworks.com
Paso 2 Confirme si el cortafuegos envía los 1. Para determinar adónde está reenviando archivos el cortafuegos
archivos al servidor de WildFire correcto. (a la nube de WildFire o a un dispositivo WildFire), seleccione
Dispositivo > Configuración > WildFire.
2. Haga clic en el botón de edición Configuración general.
El servidor de WildFire ubicado en EE. UU. es
wildfire-public-cloud y el servidor de WildFire ubicado en Japón
es wildfire-paloaltonetworks.jp. Si ha configurado el cortafuegos
para el reenvío a un dispositivo WF-500, se muestran la
dirección IP o el FQDN del dispositivo WildFire.
Si olvida el nombre de la nube pública de WildFire,
cancele la selección del campo Servidor de WildFire y
haga clic en Aceptar para que el campo se rellene
automáticamente con el valor predeterminado para la
nube de WildFire.
Paso 3 Revise los logs para comprobar que los 1. Seleccione Supervisar > Logs > Filtrado de datos.
archivos se reenvían a WildFire. 2. Vea la columna Acción para determinar los resultados del
reenvío:
• Forward: Indica que la muestra se ha reenviado
correctamente del plano de datos al plano de gestión en el
cortafuegos mediante un perfil de bloqueo de archivos y una
política de seguridad. En este punto, el cortafuegos aún no ha
reenviado la muestra a la nube de WildFire o a un dispositivo
WildFire.
• Wildfire-upload-success: Indica que el cortafuegos ha
reenviado el archivo a WildFire. Esto significa que el archivo
no ha sido firmado por un firmante de confianza y no ha sido
analizado previamente por WildFire.
• Wildfire-upload-skip: Indica que el archivo es apto para su
envío a WildFire, pero no ha sido necesario analizarlo porque
WildFire lo ha analizado previamente.
• Para ver los Logs de WildFire, seleccione Supervisar > Logs >
Envíos de WildFire. Si se incluyen los logs de WildFire, el
cortafuegos está reenviando correctamente los archivos a
WildFire y WildFire está devolviendo informes de análisis.
Paso 4 Compruebe la configuración de la acción 1. Seleccione Objetos > Perfiles de seguridad > Bloqueo de
en el perfil de bloqueo de archivos. archivo y haga clic en el perfil de bloqueo de archivo para
modificarlo.
2. Confirme que la acción está establecida en Reenviar o en
Continuar y reenviar. Si se establece en Continuar y reenviar,
el cortafuegos solamente reenvía tráfico http/https, ya que es el
único tipo de tráfico que permite que el cortafuegos
proporcione una página de respuesta al usuario.
Paso 5 Compruebe la política de seguridad. 1. Seleccione Políticas > Seguridad y haga clic en la regla de política
de seguridad que activa el reenvío de archivos a WildFire.
2. Haga clic en la pestaña Acciones y asegúrese que el perfil de
bloqueo de archivos está seleccionado en la lista desplegable
Bloqueo de archivo.
Forwarding info:
file idle time out (second): 90
total file forwarded: 13
file forwarded in last minute: 0
concurrent files: 0
Paso 7 Compruebe las estadísticas de WildFire El siguiente comando muestra el resultado de un cortafuegos en
para confirmar que el valor de los funcionamiento y los contadores para cada tipo de archivo que el
contadores aumenta. cortafuegos ha reenviado a WildFire. Si todos los campos del
contador muestran 0, el cortafuegos no está reenviando archivos y
debe comprobar la conectividad entre el cortafuegos y el dispositivo
WF-500. Además, compruebe si el perfil de bloqueo de archivos del
cortafuegos se ha configurado correctamente y si el perfil se ha
asociado a una regla de seguridad que permite las transferencias de
archivos.
admin@PA-200> show wildfire statistics
Packet based counters:
Total msg rcvd: 4548
Total bytes rcvd: 4337198
Total msg read: 4545
Total bytes read: 4227894
Total msg lost by read: 3
Total DROP_NO_MATCH_FILE 3
Total files received from DP: 86
Counters for file cancellation:
CANCEL_BY_DP 1
CANCEL_FILE_DUP 3
Counters for file forwarding:
file type: apk
file type: pdf
file type: email-link
file type: ms-office
file type: pe
FWD_CNT_LOCAL_FILE 2
FWD_CNT_REMOTE_FILE 2
file type: flash
FWD_CNT_LOCAL_FILE 80
FWD_CNT_LOCAL_DUP 3
FWD_CNT_REMOTE_FILE 43
FWD_CNT_REMOTE_DUP_CLEAN 22
FWD_CNT_REMOTE_DUP_MAL 15
file type: jar
file type: unknown
file type: pdns
Error counters:
FWD_ERR_CONN_FAIL 24
Reset counters:
DP receiver reset cnt: 2
File cache reset cnt: 2
Service connection reset cnt: 1
Log cache reset cnt: 2
Report cache reset cnt: 2
Resource meters:
data_buf_meter 0%
msg_buf_meter 0%
ctrl_msg_buf_meter 0%
Paso 9 Compruebe el estado del registro y las Consulte Verificación de la configuración del dispositivo WF-500.
estadísticas de los cortafuegos que
reenvían a un dispositivo WF-500.
Firmas de antivirus: Detectan y bloquean archivos malintencionados. WildFire añade estas firmas a las
actualizaciones de contenido de WildFire y antivirus.
Firmas DNS: Detectan y bloquean los dominios de devolución de llamada para el tráfico de comandos
y control asociado al malware. WildFire añade estas firmas a las actualizaciones de contenido de WildFire y
antivirus.
Categorización de URL: Categoriza los dominios de devolución de llamadas como malware y actualiza la
categoría de URL en PAN-DB.
Los cortafuegos deben ejecutar PAN-OS 6.1 o posterior para habilitar las actualizaciones dinámicas de un
dispositivo WF-500. Además, debe configurar los cortafuegos para recibir actualizaciones de contenido del
dispositivo WF-500, lo que ocurre cada cinco minutos. De forma opcional, puede enviar el archivo de muestra
de malware (o solamente el informe XML) a la nube de WildFire para habilitar la generación de firmas para la
distribución mediante las publicaciones de contenido de Palo Alto Networks.
Si el almacenamiento local del dispositivo está lleno, las nuevas categorizaciones de firmas/URL sobrescriben
las existentes empezando por las más antiguas.
En los siguientes temas se describe cómo habilitar la generación de firmas/URL en el dispositivo WF-500 y
cómo configurar los cortafuegos para recuperar actualizaciones de contenido del dispositivo:
Habilitación de la generación firmas/URL en el dispositivo WF-500
Configuración del cortafuegos para recuperar actualizaciones de un dispositivo WF-500
En este flujo de trabajo se describe cómo habilitar un dispositivo WildFire para generar actualizaciones de
firmas de antivirus, firmas DNS y categorización de URL (solamente para PAN-DB) según las muestras que el
dispositivo recibe de los cortafuegos conectados y la API XML de WildFire.
Paso 1 Antes de configurar esta función, Realice el procedimiento descrito en Gestión de actualizaciones de
compruebe si el dispositivo WF-500 se ha contenido en el dispositivo WF-500.
configurado para recibir las últimas
actualizaciones de contenido de
Palo Alto Networks. Las actualizaciones de
contenido equipan el dispositivo con la
información sobre amenazas más
actualizada para garantizar la detección de
malware precisa y la generación de firmas.
Paso 2 Habilite la generación de firmas/URL. 1. Inicie sesión en el dispositivo y escriba configure para acceder
al modo de configuración.
2. Habilite todas las opciones de prevención de amenazas:
admin@WF-500# set deviceconfig setting wildfire
signature-generation av yes dns yes url yes
3. Confirme la configuración:
admin@WF-500# commit
Para configurar los cortafuegos conectados para la recuperación
de actualizaciones del dispositivo, consulte Configuración del
cortafuegos para recuperar actualizaciones de un dispositivo
WF-500.
Si usa la opción de Habilitación de la generación firmas/URL en el dispositivo WF-500, puede configurar los
cortafuegos para recuperar las actualizaciones de contenido periódicas del dispositivo. Esto garantiza que la red
esté protegida de las amenazas que WildFire detecta en el entorno local. Como procedimiento recomendado,
debe configurar los cortafuegos para recuperar actualizaciones de contenido de los servidores de actualizaciones
de Palo Alto Networks y de la nube de WildFire. Esto garantiza que los cortafuegos reciban firmas según las
amenazas detectadas en todo el mundo y no solo las firmas generadas por el dispositivo WF-500 local.
En el siguiente flujo de trabajo se describe cómo configurar un cortafuegos de Palo Alto Networks para
recuperar actualizaciones de contenido de un dispositivo WildFire.
Paso 1 Inicie la interfaz web del cortafuegos y vaya Seleccione Dispositivo > Actualizaciones dinámicas.
a la página Actualizaciones dinámicas.
Paso 2 Compruebe las actualizaciones más 1. Haga clic en Comprobar ahora (ubicado en la esquina inferior
recientes. izquierda de la ventana) para comprobar las actualizaciones más
recientes. El enlace de la columna Acción indica si una
actualización está disponible:
• Descargar: Indica que hay disponible un nuevo archivo de
actualización. Haga clic en el enlace para iniciar la descarga
directamente en el cortafuegos. Tras descargarlo
correctamente, el enlace en la columna Acción cambia de
Descargar a Instalar.
En la siguiente captura de pantalla se muestra la nueva sección
WF-Private de Actualizaciones dinámicas. Aquí es donde se
descargan las actualizaciones del dispositivo WF-500.
Paso 3 Instale las actualizaciones. Haga clic en el enlace Instalar de la columna Acción. Cuando se
complete la instalación, aparecerá una marca de verificación en la
columna Instalado actualmente.
Actualice el dispositivo WF-500 antes de actualizar los cortafuegos configurados para reenviar
muestras al dispositivo.
Si va a actualizar a la versión de mantenimiento 6.1, no es necesario que instale la imagen de
Windows 7 de 64 bits. Solo tiene que descargar la última actualización de la imagen e instalarla
a continuación.
En el siguiente flujo de trabajo se describe cómo actualizar el dispositivo WF-500 y habilitar el entorno de
Windows 7 de 64 bits:
Paso 1 Determine la ruta de actualización y 1. Inicie sesión en el dispositivo WF-500 y consulte la información
descargue un archivo de imagen base si es del sistema:
necesario. admin@WF-500> show system info
Paso 2 Descargue los archivos de WildFire 1. Compruebe el servidor de actualizaciones por si hay versiones
requeridos para preparar la actualización del software del sistema operativo de WildFire disponibles:
de 6.1.0. admin@WF-500> request system software check
En este caso, necesita el archivo de En este caso, busque la versión 6.1.0. La columna Descargado
imagen 6.1.0 del sistema operativo de indica si la imagen se ha descargado en el dispositivo. Si la
WildFire, la imagen base de Windows 7 de imagen ya se ha descargado, puede continuar. Si la imagen no se
64 bits y la imagen del complemento de ha descargado, ejecute el siguiente comando:
Windows 7 de 64 bits. admin@WF-500> request system software download
version 6.1.0
2. Para descargar imágenes de Windows 7 de 64 bits, vaya al sitio
de asistencia técnica de Palo Alto Networks, haga clic en la
sección de actualizaciones de software y, en la sección de
imágenes de VM de invitado de WF-500, busque y descargue la
última imagen base de Windows 7 de 64 bits y la imagen del
complemento de Windows 7 de 64 bits.
Dado que los archivos de VM pueden tener un tamaño de
4 GB, asegúrese de que el software del servidor habilitado
para Secure Copy (SCP) es compatible con transferencias de
archivos de más de 4 GB y compruebe si hay suficiente
espacio libre para almacenar los archivos temporalmente.
Los nombres de los archivos son similares a los
siguientes:
• Imagen base: WFWin7_64Base_m-1.0.0_64base
• Imagen del complemento:
WFWin7_64Addon1_m-1.0.0_64addon
3. Mueva los archivos al servidor habilitado para SCP y anote el
nombre y la ruta de acceso al directorio de los archivos.
Paso 3 Descargue las imágenes de VM en el 1. Descargue el archivo de imagen base del servidor habilitado
dispositivo WF-500. para SCP:
admin@WF-500> scp import wildfire-vm-image from
username@host:path
Por ejemplo:
admin@WF-500> scp import wildfire-vm-image from
bart@10.43.15.41:c:/scp/WFWin7_64Base_m-1.0.0_64ba
se
La ruta de SCP después de la dirección IP o el nombre
del host varía según el software SCP utilizado. En el caso
de Windows, la ruta es c:/carpeta/nombre de archivo o
//carpeta/nombre de archivo. En el caso de los sistemas
Unix/Mac, la ruta es /carpeta/nombre de archivo o
//carpeta/nombre de archivo.
2. Descargue la imagen del complemento:
admin@WF-500> scp import wildfire-vm-image from
username@host:path
Por ejemplo:
admin@WF-500> scp import wildfire-vm-image from
bart@10.43.15.41:c:/scp/WFWin7_64Base_m-1.0.0_64ad
don1
Paso 4 Instale las imágenes de VM de Windows 7 1. Instale la imagen base de Windows 7 de 64 bits:
de 64 bits. admin@WF-500> request system wildfire-vm-image
upgrade install WFWin7_64Base_m-1.0.0_64base
2. Instale la imagen del complemento de Windows 7 de 64 bits:
admin@WF-500> request system wildfire-vm-image
upgrade install WFWin7_64Base_m-1.0.0_64addon1
Paso 5 Instale el archivo de imagen del sistema Instale la imagen del sistema operativo del dispositivo WF-500 que
operativo 6.1. ha descargado anteriormente:
admin@WF-500> request system software install version
6.1.0
Paso 7 (Opcional) Habilite el entorno de espacio 1. Para ver la imagen de la máquina virtual activa, ejecute el
aislado de Windows 7 de 64 bits. siguiente comando y consulte el campo Selected VM:
admin@WF-500> show wildfire status
2. Vea una lista de las imágenes de máquinas virtuales disponibles:
admin@WF-500> show wildfire vm-images
En el siguiente resultado se muestra que vm-5 es la imagen de
Windows 7 de 64 bits:
vm-5
Windows 7 64bit, Adobe Reader 11, Flash 11, Office
2010. Support PE, PDF, Office 2010 and earlier
3. Seleccione la imagen que se va a utilizar para el análisis:
admin@WF-500# set deviceconfig setting wildfire
active-vm <vm-image-number>
Por ejemplo, para utilizar vm-5, ejecute el siguiente comando:
admin@WF-500# set deviceconfig setting wildfire
active-vm vm-5
4. Confirme la configuración:
admin@WF-500# commit
Siga estas instrucciones en todos los cortafuegos que reenviarán archivos a WildFire:
Paso 1 Compruebe que el cortafuegos tiene 1. Seleccione Dispositivo > Licencias y confirme que el
suscripciones a WildFire y prevención de cortafuegos tiene suscripciones a WildFire y Threat Prevention
amenazas y que las actualizaciones válidas.
dinámicas están programadas y 2. Seleccione Dispositivo > Actualizaciones dinámicas y haga clic
actualizadas. Consulte Prácticas en Comprobar ahora para asegurarse de que el cortafuegos
recomendadas para mantener las firmas tiene las actualizaciones más recientes del antivirus, aplicaciones
actualizadas para conocer la y amenazas y WildFire.
configuración recomendada.
3. Si las actualizaciones no están programadas, hágalo ahora.
Tener una suscripción a WildFire Escalone las programaciones de actualizaciones, ya que el
ofrece muchas ventajas, como el cortafuegos no puede realizar más de una actualización a la vez.
reenvío de tipos de archivos
avanzados y la recepción de firmas
de WildFire en no más de
15 minutos. Para obtener más
información, consulte Requisitos
para la suscripción a WildFire.
Paso 2 Configure el perfil de bloqueo del archivo 1. Seleccione Objetos > Perfiles de seguridad > Bloqueo de
para definir qué aplicaciones y tipos de archivo.
archivos activarán el reenvío a WildFire. 2. Haga clic en Añadir para añadir un nuevo perfil e introduzca un
Si selecciona PE en la columna Nombre y una Descripción.
Tipos de archivos del perfil de 3. Haga clic en Añadir en la ventana Perfil de bloqueo de archivo
objetos para seleccionar una y, a continuación, haga clic en Añadir de nuevo. Haga clic en el
categoría de tipos de archivos, no campo Nombres e introduzca un nombre para la regla.
añada también un tipo de archivo 4. Seleccione las aplicaciones que coincidirán con este perfil. Por
individual que forme parte de esa ejemplo, seleccione navegación-web para buscar coincidencias
categoría porque esto produciría con cualquier aplicación identificada como de navegación web.
entradas redundantes en los logs
5. En el campo Tipo de archivo, seleccione los tipos de archivos
de filtrado de datos. Por ejemplo, si
que activarán la acción de reenvío. Seleccione Cualquiera para
selecciona PE, no es necesario
reenviar todos los tipos de archivo admitidos por WildFire o
seleccionar exe porque forma
seleccione PE para que solo reenvíe archivos Portable
parte de la categoría PE. Esto
Executable.
también se aplica al tipo de archivo
zip, ya que el cortafuegos reenviará 6. En el campo Dirección, seleccione cargar, descargar o ambos.
automáticamente los tipos de La opción ambos activará el reenvío siempre que un usuario
archivos compatibles que estén trate de cargar o descargar un archivo.
comprimidos. Si desea asegurarse 7. Defina una acción de la siguiente forma:
de que se reenvían todos los tipos • Reenviar: el cortafuegos reenviará automáticamente
de archivos de Microsoft Office cualquier archivo que coincida con este perfil a WildFire para
admitidos, se recomienda elegir la su análisis, además de distribuir el archivo al usuario.
categoría msoffice.
• Continuar y reenviar: Se indica al usuario que debe hacer
Al seleccionar una categoría en clic en Continuar para que se realice la descarga y se reenvíe
lugar de un tipo de archivo el archivo a WildFire. Como aquí se necesita de la acción del
individual también se garantiza usuario en un explorador web, solo es compatible con
que, como la compatibilidad con aplicaciones de navegación web.
un nuevo tipo de archivo se añade
8. Haga clic en Aceptar para guardar.
a una categoría específica,
automáticamente pasará a formar
parte del perfil de bloqueo del
archivo. Si selecciona Cualquiera,
todos los tipos de archivos
admitidos se reenvían a WildFire.
Paso 3 (Opcional) Habilite páginas de respuesta 1. Seleccione Red > Perfiles de red > Gestión de interfaz y
para permitir a los usuarios decidir si añada un nuevo perfil o edite un perfil existente.
reenvían un archivo.
2. Haga clic en la casilla de verificación Páginas de respuesta para
Si la acción Continuar y reenviar habilitarla.
se ha configurado para cualquier 3. Haga clic en Aceptar para guardar el perfil.
tipo de archivo, debe habilitar la
4. Seleccione Red > Interfaces y, a continuación, edite la interfaz
opción de página de respuesta en
de capa 3 o la interfaz VLAN que sea la interfaz de entrada.
la interfaz de entrada (la interfaz
que recibe el tráfico de sus 5. Haga clic en la pestaña Avanzado y seleccione el perfil Gestión
usuarios en primer lugar). de interfaz con la opción de página de respuesta habilitada.
6. Haga clic en Aceptar para guardar.
Paso 4 Habilite el reenvío de contenido 1. Seleccione Dispositivo > Configuración > Content-ID.
descifrado. 2. Haga clic en el icono de edición de las opciones Filtrado de URL
Para reenviar archivos cifrados con SSL a y habilite Permitir reenvío de contenido descifrado.
WildFire, el cortafuegos debe tener una 3. Haga clic en ACEPTAR para guardar los cambios.
política de descifrado y la opción de Si el cortafuegos tiene múltiples sistemas virtuales, debe
reenvío de contenido descifrado habilitar esta opción por VSYS. En esta situación,
habilitada. seleccione Dispositivo > Sistemas virtuales, haga clic en
Esta opción solamente la puede el sistema virtual que desea modificar y seleccione la
habilitar un superusuario. casilla de verificación Permitir reenvío de contenido
descifrado.
Paso 6 (Opcional) Modifique el tamaño máximo 1. Seleccione Dispositivo > Configuración > WildFire.
del archivo permitido para cargar en 2. Haga clic en el icono de edición Configuración general.
WildFire.
3. Establezca el tamaño máximo para cada tipo de archivo. Por
ejemplo, si establece PDF en 5 MB, los archivos PDF con un
tamaño superior a 5 MB no se reenviarán.
Paso 7 (Opcional) Modifique las opciones de la 1. Haga clic en el icono de edición de Ajustes de información de
sesión que definen qué información de sesión.
sesión se debe registrar en los informes de 2. De forma predeterminada, todos los elementos de información
análisis de WildFire. de la sesión aparecerán en los informes. Borre las casillas de
verificación que correspondan a campos que desee eliminar de
los informes de análisis de WildFire.
3. Haga clic en ACEPTAR para guardar los cambios.
Paso 8 (Solo para PA-7050) Si va a configurar el 1. Seleccione Red > Interfaces y busque un puerto disponible en
reenvío de logs en un cortafuegos una NPC.
PA-7050, debe configurar un puerto de 2. Seleccione el puerto y cambie Tipo de interfaz a Tarjeta de log.
datos en cada NPC con el tipo de interfaz
3. En la pestaña Reenvío de tarjeta de log, introduzca la
Tarjeta de log. Esto se debe a las
información de dirección IP (IPv4 o IPv6) que permite que el
funciones de tráfico y creación de logs de
cortafuegos se comunique con los servidores Syslog y de correo
PA-7050 para evitar la sobrecarga del
electrónico para habilitar el cortafuegos para los logs y las alertas
puerto MGT.
de correo electrónico. El puerto necesita además tener acceso a
La tarjeta de log (LPC) utiliza este puerto la nube de WildFire o al dispositivo WildFire para permitir el
directamente y el puerto actúa como un reenvío de archivos.
puerto de reenvío de logs para Syslog, el 4. Conecte el puerto recién configurado a un conmutador o un
correo electrónico y SNMP. El enrutador. No se requiere ninguna otra configuración. El
cortafuegos reenvía los siguientes tipos de cortafuegos PA-7050 utiliza automáticamente este puerto en
logs mediante este puerto: logs de tráfico, cuanto se activa.
coincidencias de HIP, amenazas y
WildFire. El cortafuegos utiliza además
este puerto para reenviar enlaces de
archivos o mensajes de correo electrónico
a WildFire para su análisis.
Si el puerto no se ha configurado, se
muestra un error de compilación. Tenga
en cuenta que solamente se puede
configurar un puerto de datos con el tipo
Tarjeta de log. El puerto MGT no se
puede utilizar para reenviar muestras a
WildFire incluso si configura una ruta de
servicio.
PA-7050 no reenvía logs a
Panorama. Panorama enviará una
consulta a la tarjeta de log PA-7050
para obtener información sobre
los logs.
Paso 9 Compile la configuración. Haga clic en Compilar para aplicar los cambios.
Durante la evaluación de la política de seguridad, todos los archivos
que cumplen los criterios definidos en la política de bloqueo de
archivos se reenvían a WildFire. Para obtener información sobre
cómo visualizar los informes de WildFire, consulte Elaboración de
informes de WildFire.
Para obtener instrucciones sobre cómo comprobar la configuración,
consulte Verificación del reenvío a la nube de WildFire.
Paso 1 Compruebe las suscripciones de WildFire 1. Seleccione Dispositivo > Licencias y confirme que se ha
y prevención de amenazas y el registro de instalado una suscripción a WildFire y Threat Prevention válida.
WildFire. Si no hay instaladas licencias válidas, vaya a la sección Gestión
de licencias y haga clic en Recuperar claves de licencia del
servidor de licencias.
2. Compruebe si el cortafuegos se puede comunicar con un
servidor de WildFire para el reenvío de archivos:
admin@PA-200> test wildfire registration
En la siguiente salida, el cortafuegos indica la nube de WildFire.
Si el cortafuegos está indicando un dispositivo WildFire,
mostrará la dirección IP o FQDN del dispositivo.
Test wildfire
wildfire registration: successful
download server list: successful
select the best server:
s1.wildfire.paloaltonetworks.com
Paso 2 Confirme que el cortafuegos está 1. Para determinar si el cortafuegos está reenviando archivos (a la
enviando archivos al sistema WildFire nube WildFire de Palo Alto Networks o a un dispositivo de
correcto. WildFire), seleccione Dispositivo > Configuración > WildFire.
2. Haga clic en el botón de edición Configuración general.
El servidor de WildFire ubicado en EE. UU. es
wildfire-public-cloud y el servidor de WildFire ubicado en Japón
es wildfire-paloaltonetworks.jp. Si se ha configurado el
cortafuegos para el reenvío a un dispositivo WF-500, se
muestran la dirección IP o el FQDN del dispositivo WildFire.
Si olvida el nombre de la nube pública de WildFire,
cancele la selección del campo Servidor de WildFire y
haga clic en Aceptar para que el campo se rellene
automáticamente con el valor predeterminado para la
nube de WildFire.
Paso 3 Compruebe los logs para asegurarse de 1. Seleccione Supervisar > Logs > Filtrado de datos.
que el reenvío funciona correctamente. 2. Vea la columna Acción para determinar los resultados del
Para obtener información sobre la reenvío:
habilitación de detalles de encabezados de • Forward: Indica que la muestra se ha reenviado
correo electrónico en los logs, consulte correctamente del plano de datos al plano de gestión en el
Habilitación de información de cortafuegos mediante un perfil de bloqueo de archivos y una
encabezados de correo electrónico en política de seguridad. En este punto, el cortafuegos aún no ha
logs de WildFire. reenviado la muestra a la nube de WildFire o a un dispositivo
WildFire.
• Wildfire-upload-success: Indica que el cortafuegos ha
reenviado el archivo a WildFire. Esto significa que el archivo
no ha sido firmado por un firmante de confianza y no ha sido
analizado previamente por WildFire.
• Wildfire-upload-skip: Indica que el archivo es apto para su
envío a WildFire, pero no ha sido necesario analizarlo porque
WildFire lo ha analizado previamente.
3. Consulte los logs de WildFire seleccionando Supervisar >
Logs > Envíos de WildFire. Si se enumeran los logs de WildFire,
el cortafuegos está reenviando correctamente los archivos a
WildFire y WildFire está devolviendo los resultados del análisis
de archivos.
Para obtener más información sobre logs relacionados
con WildFire, consulte Logs de WildFire.
Paso 4 Compruebe la configuración de la acción 1. Seleccione Objetos > Perfiles de seguridad > Bloqueo de
en el perfil de bloqueo de archivos. archivo y haga clic en el perfil de bloqueo de archivo.
2. Confirme que la acción está establecida en Reenviar o en
Continuar y reenviar. Si se establece en Continuar y reenviar,
el cortafuegos solamente reenvía tráfico http/https, ya que es el
único tipo de tráfico que permite que el cortafuegos
proporcione una página de respuesta al usuario.
Paso 5 Compruebe que el perfil de bloqueo de 1. Seleccione Políticas > Seguridad y haga clic en la regla de
archivos está en una política de seguridad política de seguridad que activa el reenvío de archivos a
correcta. WildFire.
2. Haga clic en la pestaña Acciones y asegúrese que el perfil de
bloqueo de archivos está seleccionado en la lista desplegable
Bloqueo de archivo.
Forwarding info:
file size limit for pe (MB): 10
file size limit for jar (MB): 1
file size limit for apk (MB): 2
file size limit for pdf (KB): 500
file size limit for ms-office (KB): 10000
file idle time out (second): 90
total file forwarded: 1
file forwarded in last minute: 0
concurrent files: 0
Paso 7 Compruebe las estadísticas de WildFire El siguiente comando muestra el resultado de un cortafuegos en
para confirmar que el valor de los funcionamiento y los contadores para cada tipo de archivo que el
contadores aumenta. cortafuegos ha reenviado a WildFire. Si todos los campos del
contador muestran 0, el cortafuegos no está reenviando archivos y
debe comprobar la conectividad entre el cortafuegos y el dispositivo
WF-500. Además, compruebe si el perfil de bloqueo de archivos del
cortafuegos se ha configurado correctamente y si el perfil se ha
asociado a una regla de seguridad que permite las transferencias de
archivos.
admin@PA-200> show wildfire statistics
Packet based counters:
Total msg rcvd: 12011
Total bytes rcvd: 10975328
Total msg read: 11963
Total bytes read: 10647634
Total msg lost by read: 48
Total DROP_NO_MATCH_FILE 48
file type: pe
Error counters:
LOG_ERR_REPORT_CACHE_NOMATCH 880
Reset counters:
DP receiver reset cnt: 2
File cache reset cnt: 2
Service connection reset cnt: 1
Log cache reset cnt: 2
Report cache reset cnt: 2
Resource meters:
data_buf_meter 0%
msg_buf_meter 0%
ctrl_msg_buf_meter 0%
Paso 2 Vea los resultados del análisis. WildFire 1. Actualice la página del portal en el navegador.
tardará unos 5 minutos en completar el 2. Haga clic en Manual debajo de la columna de origen para ver los
análisis del archivo. resultados de la carga de muestras manual.
Como no se asocia la carga manual 3. La página del informe mostrará una lista de todos los archivos
con un cortafuegos específico, las que se han cargado en su cuenta. Encuentre el archivo que ha
cargas manuales aparecerán de cargado y haga clic en el icono de detalles a la izquierda del
forma separada de los cortafuegos campo de fecha.
registrados y no mostrarán El portal muestra un informe completo del análisis del archivo,
información de sesión en los en el que se detalla el comportamiento del archivo observado. Si
informes. WildFire identifica el archivo como malware, genera una firma
que posteriormente se distribuirá a todos los cortafuegos de
Palo Alto Networks configurados con una suscripción a
WildFire o Threat Prevention.
Logs de WildFire
Cada cortafuegos que configure para reenviar muestras a WildFire registrará la acción de reenvío en los logs de
filtrado de datos. Cuando WildFire analiza la muestra, si según el veredicto es malware, WildFire devuelve los
resultados al log de envío de WildFire en el cortafuegos. También puede configurar el cortafuegos para que
registre la información de encabezado de correo electrónico de archivos enviados por correo electrónico o
enlaces HTTP/HTTPS incluidos en mensajes POP3 y SMTP. Para obtener más información, consulte
Habilitación de información de encabezados de correo electrónico en logs de WildFire.
El informe de análisis detallado de cada archivo o enlace de correo electrónico que analiza WildFire se encuentra en
la vista detallada del log de envíos de WildFire. También puede ver informes de análisis en el portal de WildFire.
Si configura sus cortafuegos para el reenvío de muestras a un dispositivo WF-500, sólo puede
ver resultados de análisis en el cortafuegos que envió el archivo al dispositivo o usando la
API XML de WildFire para recuperar el informe de la aplicación.
Logs de acción de reenvío: los logs de filtrado de datos ubicados en Supervisar > Logs > Filtrado de datos
mostrarán los archivos que se han bloqueado/reenviado en función del perfil de bloqueo del archivo. Para
determinar qué archivos se han reenviado a WildFire, busque los siguientes valores en la columna Action
(Acción) del log:
Acción Descripción
Registros de WildFire: Los resultados del análisis de las muestras examinadas por WildFire se devuelven a los
logs del cortafuegos una vez se complete el análisis. Estos logs se escriben en el cortafuegos que reenvió el archivo
en Supervisar > Logs > Envíos a WildFire. Si los logs se reenvían desde el cortafuegos a Panorama, se escriben en el
servidor de Panorama, en Supervisar > Logs > Envíos a WildFire. La columna Categoría de los logs de WildFire
mostrará Bueno (los enlaces de correo electrónico inofensivos no se registran), lo que significa que el archivo es
seguro, o Malintencionado, lo que indica que WildFire ha determinado que el archivo contiene código
malintencionado. Si se determina que la muestra es malintencionada, el generador de firmas de WildFire generará
una firma. Si su cortafuegos está configurado para reenviar archivos a un dispositivo WF-500, puede configurar el
dispositivo para que reenvíe muestras a la nube de WildFire para la generación de firmas o puede realizar una
Habilitación de la generación firmas/URL en el dispositivo WF-500.
De manera predeterminada, los cortafuegos con una suscripción a WildFire únicamente recuperarán
resultados de análisis desde la nube de WildFire o el dispositivo WF-500 si la muestra se identifica como
malware. Para generar logs de archivos buenos, seleccione Dispositivo > Configuración > WildFire y modifique
Configuración general; a continuación, haga clic en la casilla de verificación Informar de archivos buenos.
También puede usar el siguiente comando de la CLI: admin@PA-200# set deviceconfig setting wildfire
report-benign-file.
Para ver el informe detallado de una muestra que analizada por WildFire, busque la entrada del log en
Supervisar > Envíos a WildFire, haga clic en el icono a la izquierda de la entrada de log para mostrar los detalles
y, a continuación, haga clic en la pestaña Informe de análisis de WildFire. Aparecerá un mensaje de inicio de
sesión para acceder al informe y, tras introducir las credenciales correspondientes, el informe se recuperará
del sistema WildFire y se mostrará en su explorador. Para obtener información sobre cuentas de portal para
acceder a la nube de WildFire, consulte Adición de cuentas de usuario del portal de WildFire. Para obtener
información sobre la cuenta de administrador usada para recuperar informes de un dispositivo WildFire,
consulte Integración del dispositivo WF-500 en una red y el paso que describe la cuenta portal-admin.
Paso 1 Habilite la opción de encabezado de 1. Seleccione Dispositivo > Configuración > WildFire.
correo electrónico en el cortafuegos que 2. Modifique la sección Ajustes de información de sesión y habilite
reenviará muestras a WildFire: una o más de las opciones (remitente, destinatario y asunto).
3. Haga clic en Aceptar para guardar.
Paso 2 (Opcional) Configure la opción User-ID y 1. Seleccione Dispositivo > Identificación de usuarios >
habilite que el cortafuegos busque Configuración de asignación de grupos.
coincidencias de información de User-lD 2. Seleccione el perfil de asignación de grupos deseado para
con la información identificada en los modificarlo.
encabezados y enlaces de los correos
3. En la pestaña Perfil de servidor de la sección Dominios de
electrónicos reenviados a WildFire.
correo electrónico, rellene el campo Lista de dominios:
Cuando se produzca una coincidencia, el • Atributos de correo electrónico: Este campo se rellena
nombre de usuario de la sección de automáticamente después de completar el campo Lista de
encabezado de correo electrónico de log dominios y hacer clic en Aceptar. Los atributos se basan en
de WildFire contendrá un enlace. Al hacer su tipo de servidor de LDAP (Sun/RFC, Active Directory y
clic en el mismo, se abrirá la pestaña ACC, Novell).
filtrada por el usuario o el grupo de
usuarios. • Lista de dominios: Introduzca la lista de dominios de
correo electrónico de su organización usando una lista
separada por comas de hasta 256 caracteres.
Paso 3 Confirme que la información del 1. Seleccione Supervisar > Logs > Filtrado de datos en el
encabezado de correo electrónico aparece cortafuegos y busque un log que tenga la acción
en los informes de WildFire. wildfire-upload-success. La fecha/hora debería ser posterior a la
fecha/hora en que habilitó esta opción.
En un plazo aproximado de 15 minutos
después de reenviar el archivo o enlace, 2. Vea el log y el informe de análisis seleccionando Supervisar >
WildFire genera un log. Logs > Envíos a WildFire y busque el log correspondiente para
el enlace o el archivo adjunto.
Los enlaces de correo electrónico
3. Haga clic en el icono detalles de log de la primera columna. En
buenos no se registran.
la pestaña Información de registro, verá la nueva información
de correo electrónico en la sección Encabezados de correo
electrónico.
Si sus cortafuegos están configurados para reenviar muestras a un dispositivo WF-500, los
resultados de los logs sólo se pueden ver desde el cortafuegos que reenvió el archivo o usando
la API XML de WildFire.
Para obtener información sobre la configuración de cuentas de WildFire adicionales que pueden usarse para
revisar información de informes, consulte Adición de cuentas de usuario del portal de WildFire.
Paso 1 Configure la zona horaria para la cuenta 1. Inicie sesión en el portal de WildFire usando sus credenciales de
del portal. inicio de sesión en el sitio de asistencia técnica de
Palo Alto Networks o su cuenta de usuario de WildFire.
2. Haga clic en el vínculo Settings (Configuración), situado en la
parte superior derecha de la ventana del portal.
3. Seleccione la zona horaria del menú desplegable y, a
continuación, haga clic en Update Time Zone (Actualizar zona
horaria) para guardar el cambio.
La marca de hora que aparecerá en el informe detallado
de WildFire se basa en la zona horaria establecida en su
cuenta del portal.
Paso 2 Elimine los logs de WildFire de 1. En el menú desplegable Delete WildFire Logs (Eliminar logs de
cortafuegos específicos. Con esto WildFire), seleccione el cortafuegos (por número de serie).
eliminará todos los logs y las 2. Haga clic en el botón Delete Logs (Eliminar logs).
notificaciones del cortafuegos
3. Haga clic en ACEPTAR para continuar con la eliminación.
seleccionado.
Paso 3 Configure las notificaciones de correo 1. En la página de configuración del portal, aparece una tabla con
electrónico que se generarán en función los encabezados de columna Dispositivo, Malware y Bueno.
de los resultados de los archivos enviados Marque Malware (Malware) y/o Benign (Bueno) para cada
a WildFire. Las notificaciones de correo cortafuegos del que desee recibir notificaciones. Haga clic en
electrónico se envían a la cuenta de correo Notificación de actualización para habilitar las notificaciones
electrónico registrada en la cuenta de para los cortafuegos seleccionados.
asistencia técnica. 2. El primer elemento de la fila mostrará Manual. Seleccione
Malware (Malware) y/o Benign (Bueno) para obtener una
notificación de los archivos que se han cargado manualmente a
la nube de WildFire, o que se han enviado mediante la API de
WildFire y haga clic en Update Notification para guardar.
Active las casillas de verificación directamente debajo de
los encabezados de columna Malware (Malware) y
Benign (Bueno) para activar todas las casillas de
verificación de los dispositivos mostrados.
Paso 1 Acceda a la sección para gestionar 1. Inicie sesión en el sitio de asistencia técnica de
usuarios y cuentas en el sitio de asistencia Palo Alto Networks.
técnica y seleccione una cuenta. 2. En Manage Account (Gestionar cuenta), haga clic en Users and
Accounts (Usuarios y cuentas).
3. Seleccione una cuenta o una cuenta secundaria existente.
Paso 2 Añada un usuario de WildFire. 1. Haga clic en el botón Add WildFire User (Añadir usuario de
WildFire).
2. Introduzca la dirección de correo electrónico del usuario
destinatario que desea añadir.
El usuario puede ser un usuario de sitio de asistencia técnica
existente que pertenezca a cualquier cuenta (incluidas la
cuenta secundaria, la cuenta principal, Palo Alto Networks
o cualquier otra cuenta del sistema), así como cualquier
dirección de correo electrónico que no disponga de una
cuenta de asistencia técnica. La única restricción es que la
dirección de correo electrónico no puede proceder de una
cuenta de correo electrónico gratuita basada en web (Gmail,
Hotmail, Yahoo, etc.). Si se introduce una cuenta de correo
electrónico de un dominio no compatible, se mostrará un
mensaje de advertencia.
Paso 3 Asigne cortafuegos a la nueva cuenta de 1. Seleccione el o los cortafuegos por número de serie a los que
usuario y acceda al portal de WildFire. desea conceder acceso y cumplimente los detalles de cuenta
opcionales.
Se enviará un correo electrónico al usuario. Los usuarios con
una cuenta de asistencia técnica existente recibirán un correo
electrónico con una lista de los cortafuegos de los cuales ahora
pueden ver los informes de WildFire. Si el usuario no tiene una
cuenta de asistencia técnica, el portal enviará un correo
electrónico con instrucciones sobre cómo acceder al portal y
cómo configurar una nueva contraseña.
2. El nuevo usuario podrá entonces iniciar sesión en el portal de
WildFire y ver informes de WildFire de los cortafuegos a los que
se le ha concedido acceso. Además, los usuarios podrán
configurar alertas de correo electrónico automáticas para estos
dispositivos con el fin de recibir alertas sobre los archivos
analizados. También es posible elegir la opción de recibir
informes sobre archivos con malware o buenos.
Descargar PDF • Haga clic en el icono Descargar PDF (ubicado en la esquina superior derecha)
para que el cortafuegos genere una versión en PDF del informe de WildFire.
Información del archivo • Tipo de archivo: Flash, PE, PDF, APK, JAR/Class o MS Office. Este campo se
llama URL en el caso de informes de enlaces de correo electrónico
HTTP/HTTPS y mostrará la URL analizada.
• Firmante de archivo: Entidad que firmó el archivo con el fin de autenticarlo.
• Valor Hash: Un archivo hash es muy similar a una huella digital, que identifica
exclusivamente un archivo para garantizar que este no se ha modificado de
ninguna forma. A continuación, se enumeran las versiones hash que genera
WildFire para cada archivo analizado:
• SHA-1: Muestra la información SHA-1 del archivo.
• SHA-256: Muestra la información SHA-256 del archivo.
• MD5: Muestra la información MD5 del archivo.
• Tamaño de archivo: Tamaño (en bytes) del archivo que analizó WildFire.
• Marca de tiempo de primera visualización: Si el sistema WildFire ha
analizado el archivo anteriormente, esta es la fecha/hora en la que se visualizó
por primera vez.
• Verdict (veredicto): Muestra el veredicto del análisis:
• Benign (bueno): El archivo es seguro y no muestra comportamiento
malintencionado.
• Malware: WildFire ha identificado el archivo como malware y generará una
firma que proteja contra futuras exposiciones.
• Archivo de muestra: Haga clic en el enlace Descargar archivo para descargar el
archivo de muestra en su sistema local. Tenga en cuenta que sólo puede descargar
archivos con el veredicto de malware, no los buenos.
Estado de cobertura Haga clic en el enlace Virus Total para ver información de cobertura antivirus en
el extremo y muestras que ya han sido identificadas por otros proveedores. Si
ninguno de los proveedores enumerados ha detectado nunca antes el archivo, se
indicará que no se ha encontrado el archivo (file not found).
Asimismo, si el informe se presenta en el cortafuegos, la información actualizada
acerca de la firma y la cobertura de filtrado de URL que Palo Alto Networks
proporciona actualmente también se muestra en esta sección. Dado que esta
información se recupera dinámicamente, no aparecerá en el informe en PDF.
La siguiente captura de pantalla muestra el estado de cobertura que aparece tras
presentar el informe en el cortafuegos.
información de sesión Contiene información de sesión basada en el tráfico que atraviesa el cortafuegos
que reenvió la muestra. Para definir la información de sesión que WildFire incluirá
en los informes, seleccione Dispositivo > Configuración > WildFire > Ajustes de
información de sesión.
Las siguientes opciones están disponibles:
• IP de origen
• Puerto de origen
• IP de destino
• Puerto de destino
• Sistema virtual (si VSYS múltiple está configurado en el cortafuegos)
• Aplicación
• Usuario (si el ID de usuarios está configurado en el cortafuegos)
• URL
• Nombre de archivo
• Remitente de correo electrónico
• Destinatario de correo electrónico
• Asunto de correo electrónico
Análisis dinámico Si un archivo tiene un riesgo bajo y WildFire puede determinar fácilmente que es
seguro, solamente se realiza un análisis estático, en lugar de un análisis dinámico.
Cuando se realiza un análisis dinámico, esta sección contiene pestañas para cada
entorno virtual en el que se ejecutó la muestra cuando se analizó en la nube de
WildFire. Por ejemplo, puede que la pestaña Máquina virtual 1 tenga Windows XP,
Adobe Reader 9.3.3 y Office 2003 y que Máquina virtual 2 tenga atributos similares,
pero con Office 2007. Cuando un archivo se somete a un análisis dinámico
completo, se ejecuta en cada máquina virtual y los resultados de cada entorno
pueden verse haciendo clic en cualquiera de las pestañas de máquinas virtuales.
En el dispositivo WF-500, sólo se usa una máquina virtual para el análisis,
que debe seleccionar en función de los atributos de entorno virtual que más
se adapten a su entorno local. Por ejemplo, si la mayoría de los usuarios tiene
Windows 7 de 32 bits, se seleccionaría dicha máquina virtual.
Resumen de Cada pestaña de máquina virtual resume el comportamiento del archivo de muestra
comportamientos en el entorno específico. Algunos ejemplos son si la muestra ha creado o
modificado archivos, iniciado un proceso, generado procesos nuevos, modificado
el registro o instalado objetos de ayuda del explorador.
La columna Gravedad indica la gravedad de cada comportamiento. El indicador de
gravedad mostrará una barra para gravedad baja y varias barras para niveles de
gravedad más altos. Esta información también se añade a las secciones de análisis
dinámico y estático.
Envío de malware Use esta opción para enviar manualmente la muestra a Palo Alto Networks.
La nube de WildFire volverá a analizar la muestra y generará una firma si determina
que la muestra es maliciosa. Esto es útil en un dispositivo WF-500 que no tiene
generación de firmas o inteligencia de la nube habilitadas, que se usa para reenviar
malware desde el dispositivo a la nube de WildFire.
Veredicto incorrecto de Haga clic en este enlace para enviar la muestra al equipo de amenazas de
informe Palo Alto Networks si cree que el veredicto es un falso positivo o un falso negativo.
El equipo de amenazas realizará más análisis en la muestra para determinar si
debería volver a clasificarse. Si se determina que una muestra de malware es segura,
la firma del archivo se deshabilita en una actualización de firma de antivirus futura
o, si se determina que un archivo bueno es malintencionado, se genera una nueva
firma. Una vez completada la investigación, recibirá un correo electrónico donde
que describe la acción que se ha realizado.
Paso 1 Configure un perfil de servidor de correo 1. Seleccione Dispositivo > Perfiles de servidor > Correo
electrónico si no hay uno ya configurado. electrónico.
2. Haga clic en Añadir y, a continuación, introduzca un Nombre
para el perfil. Por ejemplo, WildFire-Correoelectronico-Perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este
perfil en el menú desplegable Ubicación.
4. Haga clic en Añadir para añadir una nueva entrada de servidor
de correo electrónico e introduzca la información necesaria para
conectar con el servidor SMTP y enviar mensajes de correo
electrónico (puede añadir hasta cuatro servidores de correo
electrónico al perfil):
• Servidor: Nombre para identificar el servidor de correo
electrónico (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor
SMTP existente.
• Mostrar nombre: El nombre que aparecerá en el campo De
del correo electrónico.
• De: La dirección de correo electrónico desde la que se envían
las notificaciones de correo electrónico.
• Para: La dirección de correo electrónico a la que se envían las
notificaciones de correo electrónico.
• Destinatarios adicionales: introduzca una dirección de
correo electrónico para enviar notificaciones a un segundo
destinatario.
• Puerta de enlace: La dirección IP o el nombre de host de la
puerta de enlace SMTP que se usará para enviar los mensajes
de correo electrónico.
5. Haga clic en Aceptar para guardar el perfil de servidor.
6. Haga clic en Confirmar para guardar los cambios en la
configuración actual.
Paso 2 Pruebe el perfil del servidor de correo 1. Seleccione Supervisar > Informes en PDF > Programador de
electrónico. correo electrónico.
2. Haga clic en Añadir y seleccione el nuevo perfil de correo
electrónico en el menú desplegable Perfil de correo
electrónico.
3. Haga clic en el botón Enviar correo electrónico de prueba y un
correo electrónico de prueba se enviará a los destinatarios
definidos en el perfil de correo electrónico.
Paso 3 Configure un perfil de reenvío de logs 1. Seleccione Objetos > Reenvío de logs.
para reenviar logs de WildFire a 2. Haga clic en Añadir e indique un nombre para el perfil. Por
Panorama, una cuenta de correo ejemplo, WildFire-Reenvio-Log.
electrónico, SNMP o un servidor syslog.
3. En la sección Configuración de WildFire, seleccione el perfil de
En este ejemplo reenviará logs de
correo electrónico de la columna Correo electrónico para
WildFire a una cuenta de correo
Malintencionado.
electrónico cuando el veredicto de
WildFire es Malintencionado. También
puede habilitar Bueno, que genera más
actividad si está realizando pruebas.
Paso 4 Aplique el perfil de reenvío de logs al 1. Seleccione Políticas > Seguridad y haga clic en la política usada
perfil de seguridad que contiene el perfil para el reenvío de WildFire.
de bloqueo de archivos. 2. En la sección Ajuste de log de la pestaña Acciones, haga clic en
el menú desplegable Reenvío de logs y seleccione el nuevo
perfil de reenvío de logs. En este ejemplo, el perfil se denomina
WildFire-Reenvio-Log.
3. Haga clic en ACEPTAR para guardar los cambios y, a
continuación, haga clic en Compilar para confirmar la
configuración. Ahora los registros de WildFire se reenviarán a
las direcciones de correo electrónico definidas en el perfil de
correo electrónico.
Paso 5 (Solo para PA-7050) Si va a configurar el 1. Seleccione Red > Interfaces y busque un puerto disponible en
reenvío de logs en un cortafuegos una NPC.
PA-7050, debe configurar un puerto de 2. Seleccione el puerto y cambie Tipo de interfaz a Tarjeta de log.
datos en cada NPC con el tipo de interfaz
3. En la pestaña Reenvío de tarjeta de log, introduzca la
Tarjeta de log. Esto se debe a las
información de dirección IP (IPv4 o IPv6) que permite que el
funciones de tráfico y creación de logs de
cortafuegos se comunique con los servidores Syslog y de correo
PA-7050 para evitar la sobrecarga del
electrónico para habilitar el cortafuegos para los logs y las alertas
puerto MGT.
de correo electrónico. El puerto necesita además tener acceso a
La tarjeta de log (LPC) utiliza este puerto la nube de WildFire o al dispositivo WildFire para permitir el
directamente y el puerto actúa como un reenvío de archivos.
puerto de reenvío de logs para Syslog, el 4. Conecte el puerto recién configurado a un conmutador o un
correo electrónico y SNMP. El enrutador. No se requiere ninguna otra configuración. El
cortafuegos reenvía los siguientes tipos de cortafuegos PA-7050 utiliza automáticamente este puerto en
logs mediante este puerto: logs de tráfico, cuanto se activa.
coincidencias de HIP, amenazas y
5. Compile la configuración.
WildFire. El cortafuegos utiliza además
este puerto para reenviar enlaces de
archivos o mensajes de correo electrónico
a WildFire para su análisis.
Si el puerto no se ha configurado, se
muestra un error de compilación. Tenga
en cuenta que solamente se puede
configurar un puerto de datos con el tipo
Tarjeta de log. El puerto MGT no se
puede utilizar para reenviar muestras a
WildFire incluso si configura una ruta de
servicio.
PA-7050 no reenvía logs a
Panorama. Panorama solamente
enviará una consulta a la tarjeta de
log PA-7050 para obtener
información sobre los logs.
WildFire en acción
El siguiente caso de ejemplo resume todo el ciclo de vida de WildFire. En este ejemplo, un representante de
ventas de Palo Alto Networks descarga una nueva herramienta de ventas de software que un socio de ventas ha
cargado en Dropbox. El socio de ventas cargó sin querer una versión infectada del archivo de instalación de la
herramienta de ventas, y el representante de ventas descargó después el archivo infectado.
Este ejemplo mostrará cómo un cortafuegos de Palo Alto Networks junto con WildFire puede detectar malware
de día cero descargado por un usuario final incluso cuando el tráfico tiene cifrado SSL. Una vez que WildFire
identifica el malware, se envía un log al cortafuegos y este alerta al administrador, que a continuación se pone
en contacto con el usuario para eliminar el malware. WildFire genera a continuación una nueva firma para el
malware y los cortafuegos con una suscripción a Threat Prevention o WildFire descargan la firma para
protegerse en caso de futuras exposiciones. Aunque algunos sitios web de uso compartido de archivos tienen
una función antivirus que comprueba los archivos cuando se cargan, sólo pueden proteger contra malware
“conocido”.
Si desea más información sobre la configuración de WildFire, consulte Reenvío de muestras a la nube de
WildFire o Reenvío de archivos a un dispositivo WF-500.
Este ejemplo, usa un sitio web que usa cifrado SSL, de modo que el cortafuegos debe tener
descifrado y Permitir reenvío de contenido descifrado habilitados. Para obtener
información sobre cómo habilitar el reenvío de contenido descifrado, consulte Reenvío de
muestras a la nube de WildFire o Reenvío de archivos a un dispositivo WF-500.
\
Paso 1 El representante de ventas de la empresa asociada carga un archivo de una herramienta de ventas denominado
sales-tool.exe en su cuenta de Dropbox y, a continuación, envía un correo electrónico a la representante de
ventas de Palo Alto Networks con un enlace al archivo.
Paso 2 La representante de ventas de Palo Alto recibe el correo electrónico del socio de ventas y hace clic en el enlace
de descarga, que la lleva al sitio de Dropbox. A continuación, hace clic en Descargar para guardar el archivo en
su escritorio.
Paso 3 El cortafuegos que protege a la representante de ventas de Palo Alto tiene un perfil de bloqueo de archivos
adjunto a una política de seguridad que busca archivos en cualquier aplicación utilizada para descargar o cargar
cualquier tipo de archivo compatible (Flash, PE, PDF, APK, JAR/Class o MS Office). Tenga en cuenta que el
cortafuegos también puede estar configurado para el reenvío del tipo de archivo email-link, que permite al
cortafuegos extraer enlaces HTTP/HTTPS contenidos en mensajes de correo electrónico SMTP y POP3.
En cuanto la representante de ventas hace clic en Descargar, la política del cortafuegos reenvía el archivo
sales-tool.exe a WildFire, donde el archivo se analiza para comprobar si hay malware de día cero. Aun cuando la
representante de ventas use Dropbox, que tiene cifrado SSL, el cortafuegos está configurado para descifrar
tráfico, por lo que todo el tráfico se puede inspeccionar. Las siguientes capturas de pantalla muestran el perfil de
bloqueo de archivos, la política de seguridad configurada con el perfil de bloqueo de archivos y la opción para
permitir el reenvío de contenido descifrado.
Paso 4 En este momento, WildFire ha recibido el archivo y está analizándolo en busca de más de 200 comportamientos
malintencionados distintos. Para ver que el archivo se ha reenviado correctamente, consulte Supervisar > Logs >
Filtrado de datos en el cortafuegos.
Paso 5 En aproximadamente cinco minutos, WildFire ha terminado el análisis del archivo y envía un log de WildFire al
cortafuegos con los resultados del análisis. En este ejemplo, el log de WildFire muestra que el archivo es
malintencionado.
Paso 6 El cortafuegos se configura con un perfil de reenvío de logs que enviará alertas de WildFire al administrador de
seguridad cuando se detecte malware.
Paso 7 El administrador de seguridad identificará el usuario por el nombre (si está configurado User-ID) o, en caso
contrario, por dirección IP. En este punto, el administrador puede apagar la red o la conexión de VPN que está
usando la representante de ventas y, a continuación, ponerse en contacto con el grupo de asistencia técnica para
que ayude al usuario a comprobar y limpiar el sistema.
Al usar el informe de análisis detallado de WildFire, el técnico del grupo de asistencia técnica puede determinar
si el sistema del usuario está infectado con malware examinando los archivos, los procesos y la información de
registro detallados en el informe del análisis de WildFire. Si el usuario ejecuta el malware, el técnico puede
intentar limpiar el sistema manualmente o volver a crear una imagen de este.
Para obtener detalles de los campos del informe de WildFire, consulte Contenido del informe de WildFire.
Paso 8 Una vez que el administrador ha identificado el malware y está comprobando el sistema del usuario, ¿cómo puede
protegerse frente a futuras exposiciones? La respuesta: En este ejemplo, el administrador ha definido una
programación en el cortafuegos para descargar e instalar firmas de WildFire cada 15 minutos y para descargar e instalar
actualizaciones del antivirus a diario. En menos de una hora y media, la representante de ventas ha descargado el
archivo infectado, WildFire ha identificado el malware de día cero, ha generado una firma, la ha añadido a la base de
datos de firmas de actualización de WildFire proporcionada por Palo Alto Networks y el cortafuegos ha descargado
e instalado la nueva firma. Este cortafuegos y cualquier otro cortafuegos de Palo Alto Networks configurado para
descargar firmas de WildFire y de antivirus ahora está protegido frente a este malware detectado recientemente.
La siguiente captura de pantalla muestra la programación de actualizaciones de WildFire:
Todo esto tiene lugar mucho antes de que la mayoría de los proveedores de antivirus perciban incluso la
existencia de software malintencionado de día cero. En este ejemplo, en un plazo muy breve, el malware ya no
se considera de día cero porque Palo Alto Networks ya lo ha detectado y ha proporcionado protección a los
clientes para evitar exposiciones futuras.
Nombre de categoría 87
Acerca de las suscripciones a WildFire y las claves de API API de WildFire
88 Nombre de categoría
API de WildFire Uso de la API de WildFire
Nombre de categoría 89
Métodos de envío de archivos de la API de WildFire API de WildFire
La API de WildFire se puede utilizar para enviar todos los Tipos de archivos admitidos. El archivo y la clave de
API son necesarios para el envío a WildFire para el análisis. El método de envío de archivos devuelve código
que indica un estado satisfactorio o erróneo. Si el resultado es un código 200 OK, significa que el envío se ha
realizado correctamente y normalmente el resultado está disponible para su consulta en cinco minutos.
En la tabla siguiente se describen los atributos de la API necesarios para enviar archivos a la nube de WildFire
mediante el método de envío de archivos:
URL https://wildfire.paloaltonetworks.com/publicapi/submit/file
Método POST
Parámetros apikey Su clave de API de WildFire
413 Request Entity Too Large Tamaño de archivo de muestra superior al límite máximo
419 Max Request Reached Se ha superado el número máximo de cargas por día
Utilice el método de envío de URL para enviar un archivo para su análisis mediante una URL Este método es
idéntico, en cuanto a interfaz y funcionalidad, al método de envío de archivo, aunque un parámetro de URL
sustituye al parámetro de archivo. El parámetro de URL debe indicar un tipo de archivo admitido accesible. Si
el resultado es un código 200 OK, significa que el envío ha tenido éxito; el resultado suele estar disponible para
su consulta en 5 minutos.
90 Nombre de categoría
API de WildFire Métodos de envío de archivos de la API de WildFire
La tabla siguiente describe los atributos de la API necesarios para enviar archivos a la nube de WildFire
utilizando una URL:
URL https://wildfire.paloaltonetworks.com/publicapi/submit/url
Método POST
Parámetros apikey Su clave de API de WildFire
413 Request Entity Too Large Tamaño de archivo de muestra superior al límite máximo
419 Max Request Reached Se ha superado el número máximo de cargas por día
key=$1
file=$2
El siguiente comando cURL muestra cómo enviar un archivo a WildFire mediante el método de envío de URL:
curl –k -F apikey=yourAPIkey -F url=URL
https://wildfire.paloaltonetworks.com/publicapi/submit/url
Nombre de categoría 91
Consulta de un informe PDF o XML de WildFire API de WildFire
URL https://wildfire.paloaltonetworks.com/publicapi/get/report
Método POST
Parámetros hash Valor de hash MD5, SHA-1 o SHA-256 de la muestra
El siguiente comando cURL muestra una consulta de un informe PDF mediante el hash MD5 de un archivo de
muestra:
curl –k -F hash=1234556 -F format=pdf -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/report
Para recuperar la versión XML del informe, sustituya format=pdf por format=xml.
Por ejemplo:
curl -k -F hash=1234556 -F format=xml -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/report
92 Nombre de categoría
API de WildFire Uso de la API para recuperar un archivo de prueba de malware de muestra
Utilice el método de obtención de muestras para recuperar una muestra concreta. Puede utilizar el hash MD5,
SHA-1 o SHA-256 del archivo de muestra como consulta de búsqueda.
URL https://wildfire.paloaltonetworks.com/publicapi/get/sample
Método POST
Parámetros hash Valor de hash MD5, SHA-1 o SHA-256 de la muestra
Nombre de categoría 93
Uso de la API para recuperar un archivo de prueba de malware de muestra API de WildFire
Utilice el método de obtención de PCAP para la consulta de una PCAP registrada durante el análisis de una
muestra concreta. Utilice el hash MD5, SHA-1 o SHA-256 del archivo de muestra como consulta de búsqueda.
De forma opcional, puede definir la plataforma de la PCAP correspondiente para especificar qué PCAP se debe
devolver. Si no se especifica ninguna plataforma, el método devuelve una PCAP de una sesión con un resultado
de Malware.
En la siguiente tabla se describen los atributos de la API necesarios para las PCAP:
URL https://wildfire.paloaltonetworks.com/publicapi/get/pcap
Método POST
94 Nombre de categoría
API de WildFire Uso de la API para recuperar un archivo de prueba de malware de muestra
* Parámetro opcional
Consulta de la API de ejemplo para la obtención de PCAP
El siguiente comando cURL muestra una consulta de una PCAP mediante el hash MD5 de la muestra:
curl -k -F hash=md5hash -F apikey=yourAPIkey -F platform=targetPlatform
https://wildfire.paloaltonetworks.com/publicapi/get/pcap
Nombre de categoría 95
Uso de la API de WildFire en un dispositivo WF-500 API de WildFire
Paso 1 Genere una clave de API nueva en el 1. Inicie sesión en la CLI del dispositivo WildFire.
dispositivo WildFire. El dispositivo 2. Genere la clave de API mediante uno de los siguientes métodos:
admite hasta 100 claves de API.
• Genere una clave automáticamente:
El procedimiento recomendado
admin@WF-500> create wildfire api-key name
es omitir la opción de valor de
key-name
clave en este paso para que el
cortafuegos genere una clave Por ejemplo, para crear una clave con el nombre my-api-key:
automáticamente. Si introduce admin@WF-500> create wildfire api-key name
una clave manualmente, el valor my-api-key
de clave se debe corresponder con • Para generar una clave manualmente (donde key-value es una
64 caracteres alfabéticos (a-z) o clave de 64 bits):
números (0-9) elegidos
admin@WF-500> create wildfire api-key name
aleatoriamente.
my-api-key key key-value
Por ejemplo:
admin@WF-500> create wildfire api-key name
my-api-key key
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F45
5F142494BC43D4A1
96 Nombre de categoría
API de WildFire Uso de la API de WildFire en un dispositivo WF-500
Paso 2 Vea las claves de API que ha generado. Vea todas las claves de API:
admin@WF-500> show wildfire api-key all
Este comando muestra además la fecha de generación de la clave y la
última vez que se utilizó la clave.
En este ejemplo, el dispositivo ha generado la siguiente clave con el
nombre my-api-key:
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F1424
94BC43D4A1
En esta sección se describen algunos comandos útiles que puede utilizar para gestionar las claves de API de
WildFire en el dispositivo y se describe cómo exportar e importar las claves. Por ejemplo, es posible que desee
exportar todas las claves con fines de copia de seguridad o para facilitar el acceso a las claves desde los sistemas
que utilizarán la API para ejecutar varias funciones en el dispositivo.
• Utilice los siguientes comandos para deshabilitar • Deshabilite o habilite una clave de API:
las claves de API temporalmente, habilitar las
admin@WF-500> edit wildfire api-key status [disable |
claves o eliminar las claves no utilizadas.
enable] key api-key
Por ejemplo, para deshabilitar la clave de API utilizada en este
ejemplo:
admin@WF-500> edit wildfire api-key status disable key
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F142
494BC43D4A1
En el comando anterior, puede escribir los primeros dígitos
únicos de la clave y, a continuación, hacer clic en la pestaña
para incluir los dígitos restantes.
• Elimine una clave de API:
admin@WF-500> delete wildfire api-key key api-key
Por ejemplo:
admin@WF-500> delete wildfire api-key key
377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F1424
94BC43D4A1
Nombre de categoría 97
Uso de la API de WildFire en un dispositivo WF-500 API de WildFire
• Utilice los siguientes comandos para importar o • Guarde todas las claves de API en un archivo para preparar las
exportar las claves de API del dispositivo claves para su exportación:
mediante Secure Copy (SCP).
admin@WF-500# save wildfire api-key to filename
Por ejemplo:
admin@WF-500> save wildfire api-key to my-api-keys
Para aplicar SCP al archivo de claves de API en un servidor
habilitado para SCP:
admin@WF-500> scp export wildfire-api-keys to
username@host:path
Por ejemplo:
admin@WF-500> scp export wildfire-api-keys to
bart@10.10.10.5:c:/scp/
Además, puede importar las claves de un servidor habilitado para
SCP:
admin@WF-500> scp import wildfire-api-keys from
bart@10.10.10.5:c:/scp/my-api-keys
• Después de importar las claves de API, debe cargarlas:
admin@WF-500# load wildfire api-key mode [merge |
replace] from my-api-keys
Si omite la opción mode, el comportamiento predeterminado
combina las claves nuevas. Para sustituir todas las claves de API del
dispositivo, utilice la opción replace. Por ejemplo, para sustituir
todas las claves de API, introduzca el comando:
admin@WF-500# load wildfire api-key mode replace from
my-api-keys
• Confirme si se han cargado las claves:
admin@WF-500> show wildfire api-keys all
En el siguiente flujo de trabajo se describe cómo utilizar la API de WildFire para enviar un archivo de muestra
a un dispositivo WF-500 para su análisis. Una vez que comprenda los conceptos básicos de este flujo de trabajo,
puede utilizar cualquier función de la API disponible en la nube de WildFire. Consulte en API de WildFire los
enlaces a otros ejemplos de la API de WildFire basados en la nube de WildFire. Las funciones son las mismas,
pero en el caso del dispositivo the WF-500, debe utilizar la clave de API generada en el dispositivo y la dirección
URL del dispositivo.
Este flujo de trabajo requiere un equipo host con la herramienta de línea de comandos cURL
instalada. A continuación, debe enviar los archivos del equipo host al dispositivo WildFire
mediante la sintaxis de dirección URL.
98 Nombre de categoría
API de WildFire Uso de la API de WildFire en un dispositivo WF-500
Paso 1 Genere una clave WildFire API para que el equipo host ejecute las funciones de API en el dispositivo WildFire.
Para obtener más información, consulte Generación de claves de API en el dispositivo WildFire.
1. Acceda a la CLI en el dispositivo WildFire y genere una clave de API:
admin@WF-500> create wildfire api-key name my-api-key
2. Vea las claves de API:
admin@WF-500> show wildfire api-key all
3. Asegúrese de que la clave está habilitada y, a continuación, seleccione y copie la clave. En la siguiente captura
de pantalla se muestra un clave de API de ejemplo con el nombre my-api-key.
Paso 2 Con la nueva clave de API que ha generado, envíe un archivo de muestra al dispositivo WildFire.
1. Incluya el archivo de muestra en una carpeta a la que se pueda acceder desde el equipo host con la herramienta
de línea de comandos cURL instalada y anote la ruta del archivo de muestra.
2. Envíe el archivo mediante cURL:
curl -k -F apikey=your-API-key -F file=@local-file-path --remote-name
https://WF-appliance-IP/publicapi/submit/file
La sintaxis varía según el host utilizado. En los siguientes ejemplos se muestra la sintaxis en caso de utilizar
un host de Linux y un host de Windows.
Host de Linux:
curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F
file=@test-wf-api.docx --remote-name https://10.3.4.99/publicapi/submit/file
Host de Windows (la única diferencia es la ruta de acceso al archivo después del símbolo @):
curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F
file=@c://scp/test-wf-api.docx --remote-name https://10.3.4.99/publicapi/submit/file
3. Compruebe si la API ha enviado el archivo correctamente al dispositivo WildFire. Para ver una lista de las
muestras recientes enviadas al dispositivo:
admin@WF-500> show wildfire latest samples
En la siguiente captura de pantalla se puede ver que el archivo de muestra test-wf-api.docx se ha enviado
correctamente al dispositivo:
Si no se encuentra el archivo de muestra en el dispositivo, compruebe la conectividad entre el equipo host y el dispositivo,
y confirme si la ruta de acceso a la carpeta o el archivo es correcta. Además, puede ejecutar show wildfire status (el
estado debe ser Idle) y show wildfire statistics para comprobar si el dispositivo está listo para el análisis de
archivos. Para obtener más información sobre la solución de problemas, consulte la guía del administrador de
Palo Alto Networks WildFire.
Nombre de categoría 99
Uso de la API de WildFire en un dispositivo WF-500 API de WildFire
La CLI del software del dispositivo WildFire se usa manejar dicho dispositivo. La CLI es la única interfaz del
dispositivo. Sirve para ver información de estado y configuración y modificar la configuración del dispositivo.
Acceda a la CLI del software del dispositivo WildFire a través de SSH o de un acceso directo a la consola usando
el puerto de la consola.
La CLI del software del dispositivo WildFire tiene dos modos de funcionamiento:
Modo de operación: Permite ver el estado del sistema, navegar por la CLI del software del dispositivo
WildFire y acceder al modo de configuración.
Se pueden mostrar mensajes al emitir un comando. Los mensajes ofrecen información de contexto y pueden
ayudar a corregir comandos no válidos. En los siguientes ejemplos, el mensaje se muestra en negrita.
Ejemplo: Comando desconocido
username@hostname# application-group
Unknown command: application-group
[edit network]
username@hostname#
Ejemplo: Modos de cambio
username@hostname# exit
Exiting configuration mode
username@hostname>
Ejemplo: Sintaxis no válida
username@hostname> debug 17
Unrecognized command
Invalid syntax.
username@hostname>
La CLI comprueba la sintaxis de cada comando. Si la sintaxis es correcta, se ejecuta el comando y se registran
los cambios de la jerarquía del candidato. Si la sintaxis no es correcta, aparece un mensaje de sintaxis no válida,
como en el siguiente ejemplo:
username@hostname# set deviceconfig setting wildfire cloud-intelligence
submit-sample yes
Unrecognized command
Invalid syntax.
[edit]
username@hostname#
El símbolo que precede a una opción puede proporcionar información adicional acerca de la sintaxis de
comandos.
Símbolo Descripción
Símbolo Descripción
Niveles de privilegio
Los niveles de privilegio determinan los comandos que el usuario tiene permitido ejecutar y la información que
el usuario tiene permitido ver.
Nivel Descripción
Modo de configuración
save: Guarda la configuración del candidato en el sistema de almacenamiento no volátil del dispositivo.
La configuración guardada se conserva hasta que se vuelva a usar el comando save para sobrescribirla. Tenga
en cuenta que este comando no activa la configuración.
commit: Aplica la configuración del candidato al dispositivo. Una configuración compilada vuelve activa la
configuración del dispositivo.
load: Asigna la última configuración guardada o una configuración especificada para ser la configuración
del candidato.
Si sale del modo de configuración sin emitir los comandos save o commit, los cambios en la
configuración se pueden perder en caso de pérdida de potencia.
Please translate.
Mantener la configuración de un candidato y separar los pasos de guardado y compilación conlleva importantes
ventajas en comparación con las arquitecturas CLI tradicionales:
Distinguir entre los conceptos de save y commit permite hacer múltiples cambios simultáneos y reduce la
vulnerabilidad del sistema.
Los comandos se pueden adaptar fácilmente para funciones similares. Por ejemplo, al configurar dos
interfaces Ethernet, cada una con una dirección IP, puede editar la configuración de la primera interfaz,
copiar el comando, modificar solo la interfaz y la dirección IP y, a continuación, aplicar el cambio a la segunda
interfaz.
Jerarquía de configuración
La configuración del dispositivo se organiza con una estructura jerárquica. Para mostrar un segmento del nivel
actual de la jerarquía, use el comando show. Al introducir mostrar, aparece la jerarquía completa, mientras que
al introducir mostrar con palabras clave, aparece un segmento de la jerarquía. Por ejemplo, si se ejecuta el
comando show en el nivel superior del modo de configuración, se muestra toda la configuración. Si se ejecuta
el comando edit mgt-config y se introduce show, o se ejecuta el comando show mgt-config, solo
aparece la parte de la jerarquía relativa a la configuración de gestión.
Rutas de jerarquía
Por ejemplo, el siguiente comando asigna el servidor de DNS principal 10.0.0.246 para el dispositivo:
[edit]
username@hostname# set deviceconfig system dns-setting servers primary
10.0.0.246
Este comando genera un nuevo elemento en la jerarquía y en los resultados del siguiente comando show:
[edit]
username@hostname# show deviceconfig system dns-settings
dns-setting {
servers {
primary 10.0.0.246
}
}
[edit]
username@hostname#
El titular [edit...] debajo de la línea del símbolo de sistema del modo de configuración muestra el contexto de la
jerarquía actual.
[editar]
indica que el contexto relativo es el máximo nivel de la jerarquía, mientras que
[editar deviceconfig]
indica que el contexto relativo está al nivel de deviceconfig.
Use los comandos de la lista para navegar por la jerarquía de configuración.
Nivel Descripción
Modo de operación
La primera vez que se inicia sesión en el dispositivo, la CLI del software del dispositivo WildFire se abre en el
modo de operación. Los comandos del modo de operación tienen que ver con acciones que se ejecutan
inmediatamente. No suponen cambios en la configuración, y no es necesario guardarlos o compilarlos.
Los comandos del modo de operación son de varios tipos:
Acceso a la red: Se abre una ventana para otro host. Es compatible con SSH.
Monitoring and troubleshooting: Realizar diagnósticos y análisis. Incluye los comandos debug y ping.
Mostrar comandos: Muestra o borra la información actual. Incluye los comandos clear y show.
Comandos de navegación de la CLI del software del dispositivo WildFire: Entrar en el modo de
configuración o salir de la CLI del software del dispositivo WildFire. Incluye los comandos configure, exit
y quit.
Comandos del sistema: Hace solicitudes en el nivel del sistema o reinicia. Incluye los comandos establecer
y solicitud.
Acceso a la CLI
En esta sección se describe cómo acceder y comenzar a usar la CLI del software del dispositivo WildFire:
Establecimiento de una conexión directa con la consola
Establecimiento de una conexión de SSH
Bits de datos: 8
Paridad: no
Bits de terminación: 1
Uso de la CLI
Acceso a los modos de operación y configuración
Mostrar opciones de comandos de la CLI del software del dispositivo WildFire
Restricción de resultados de comandos
Establecimiento del formato de salida para comandos de configuración
Al iniciar sesión, la CLI del software del dispositivo WildFire se abre en el modo de operación. Puede alternar
entre los modos de operación y navegación en cualquier momento.
Para introducir el modo de configuración desde el modo operativo, use el comando configure:
username@hostname> configure
Entering configuration mode
[editar]
username@hostname#
Para salir del modo de configuración y regresar al modo de operación, use el comando abandonar o el
comando salir:
username@hostname# quit
Exiting configuration mode
username@hostname>
Para introducir un comando del modo de operación mientras está en el modo de configuración, use el comando
run. Por ejemplo, para mostrar recursos del sistema desde el modo de configuración, use run show
system resources.
Use ? (o Meta-H) para mostrar una lista de opciones de comandos, basada en el contexto:
Para mostrar una lista de comandos de operación, introduzca ? en el mensaje del comando.
username@hostname> ?
clear Clear runtime parameters
configure Manipulate software configuration information
debug Debug and diagnose
exit Exit this session
grep Searches file for lines containing a pattern match
less Examine debug file content
ping Ping hosts and networks
quit Exit this session
request Make system-level requests
scp Use ssh to copy file to another host
set Set operational parameters
show Show operational parameters
ssh Start a secure shell to another host
tail Print the last 10 lines of debug file content
username@hostname>
Para mostrar las opciones disponibles de un comando especificado, introduzca el comando seguido de ?.
Ejemplo:
username@hostname> ping ?
+ bypass-routing Bypass routing table, use specified interface
+ count Number of requests to send (1..2000000000 packets)
+ do-not-fragment Don't fragment echo request packets (IPv4)
Algunos comandos de operación incluyen una opción para restringir el resultado que aparece. Para restringir el
resultado, introduzca un símbolo de barra vertical seguido de except o match y el valor que se debe excluir
o incluir:
Ejemplo:
El siguiente resultado de muestra pertenece al comando show system info:
username@hostname> show system info
hostname: WF-500
ip-address: 192.168.2.20
netmask: 255.255.255.0
default-gateway: 192.168.2.1
mac-address: 00:25:90:95:84:76
vm-interface-ip-address: 10.16.0.20
vm-interface-netmask: 255.255.252.0
vm-interface-default-gateway: 10.16.0.1
vm-interface-dns-server: 10.0.0.247
time: Mon Apr 15 13:31:39 2013
uptime: 0 days, 0:02:35
family: m
model: WF-500
serial: 009707000118
sw-version: 5.1.0
logdb-version: 5.0.2
platform-family: m
username@hostname>
El siguiente ejemplo muestra solamente información del modelo del sistema:
Cambie el formato de salida para los comandos de configuración utilizando el comando set cli
config-output-format en el modo de operación. Las opciones incluyen el formato predefinido, json (JavaScript
Object Notation), formato establecido y formato XML. El formato predefinido es un formato jerárquico donde
las secciones de configuración tienen sangría y están entre llaves.
Descripción
Ubicación de jerarquía
Sintaxis
wildfire {
active-vm;
cloud-server <value>;
vm-network-enable {no | yes};
vm-network-use-tor {enable | disable};
cloud-intelligence {
submit-report {no | yes};
submit-sample {no | yes};
signature-generation {
av {no | yes};
dns {no | yes};
url {no | yes};
{
{
{
Opciones
Resultado de muestra
superuser, deviceadmin
Descripción
Ubicación de jerarquía
Sintaxis
wf-content recurring {
daily at <value> action {download-and-install | download-only};
weekly {
action {download-and-install | download-only};
at <value>;
day-of-week {friday | monday | saturday | sunday | thursday | tuesday | wednesday};
}
}
Opciones
Resultado de muestra
admin@WF-500# show
update-schedule {
wf-content {
recurring {
weekly {
at 19:00;
action download-and-install;
day-of-week friday;
}
}
}
}
superuser, deviceadmin
Descripción
La interfaz VM es utilizada por el malware que se ejecuta en el espacio aislado de la máquina virtual del
dispositivo WF-500 para acceder a Internet. Se recomienda la activación de este puerto, que a su vez ayudará a
WildFire a identificar mejor la actividad maliciosa si el software malintencionado accede a Internet para
phone-home u otra actividad. Es importante que esta interfaz tenga una conexión a Internet aislada. Para
obtener más información, consulte Configuración de la interfaz VM en el dispositivo WF-500.
Tras configurar la interfaz vm, habilítela ejecutando el siguiente comando:
set deviceconfig setting wildfire vm-network-enable yes
Ubicación de jerarquía
Sintaxis
set vm-interface {
default-gateway <ip_address>;
dns-server <ip_address>;
ip-address <ip_address>;
link-state;
mtu;
netmask <ip_address>;
speed-duplex;
{
Opciones
Resultado de muestra
superuser, deviceadmin
Descripción
Genere claves de API en el dispositivo WF-500 que va utilizar en un sistema externo para enviar muestras al
dispositivo, realizar consultas en los informes o recuperar muestras y capturas de paquetes (PCAP) del
dispositivo.
Sintaxis
create {
wildfire {
api-key {
key <value>;
name <value>;
{
{
{
Opciones
+ key: Para crear una clave de API, introduzca un valor de clave manualmente. El valor
debe constar de 64 caracteres alfabéticos (a-z) o números (0-9). Si no especifica la
opción de clave, el dispositivo genera una clave automáticamente.
+ name: De forma opcional, puede introducir un nombre para la clave de API. El nombre de
clave de API se utiliza simplemente para etiquetar las claves y facilitar la
identificación de las claves asignadas para usos específicos y no tiene ningún efecto en
la funcionalidad de las claves.
Resultado de muestra
El siguiente resultado indica que el dispositivo tiene tres claves de API y una clave se llama my-api-key.
admin@WF-500> show wildfire api-keys all
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
| Apikey | Name
| Status | Create Time | Last Used Time |
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
| C625DE87CBFB6EF0B1A8183A74AB5B61287F7F63B6E14E2FFC704AABF5640D62 | my-api-key
| Enabled | 2014-06-24 16:38:50 | |
| D414CC910E93E9E05942A5E6F94DA36777B444543E71761CF5E9ACFA547F7D6F |
| Enabled | 2014-06-25 09:05:30 | 2014-06-26 14:49:35 |
| 73585ACAFEC0109CB65EB944B8DFC0B341B9B73A6FA7F43AA9862CAD47D0884C |
| Enabled | 2014-08-04 17:00:42 | |
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
superuser, deviceadmin
Descripción
Elimine una clave de API del dispositivo WF-500. Los sistemas configurados para el uso de la API para realizar
funciones de la API en el dispositivo no pueden acceder al dispositivo una vez eliminada la clave.
Sintaxis
delete {
wildfire {
api-key {
key <value>;
{
{
{
Opciones
+ key <value>: Valor de la clave que desea eliminar. Para ver una lista de las claves de
API, ejecute el siguiente comando: admin@WF-500> show wildfire api-keys all
Resultado de muestra
APIKey A0418F8EADABA4C78CD3106D71147321462C5AA085B2979136447B1EC334655A
deleted
superuser, deviceadmin
delete wildfire-metadata
Descripción
Elimine actualizaciones de contenido del dispositivo WF-500. Para obtener más información sobre las
actualizaciones de contenido y cómo instalarlas, consulte request wf-content.
Sintaxis
delete {
wildfire-metadata update <value>;
{
Opciones
Resultado de muestra
superuser, deviceadmin
Descripción
Modifique un nombre de clave de API o el estado de la clave (habilitada/deshabilitada) en un dispositivo
WF-500.
Sintaxis
edit {
wildfire {
api-key [name | status] key <value>;
{
{
Opciones
+ name: Cambie el nombre de una clave de API.
+ status: Habilite o deshabilite una clave de API.
* key: Especifique la clave que se va a modificar.
Resultado de muestra
El valor de la clave de este comando es obligatorio. Por ejemplo, para cambiar el nombre de una clave llamada
stu a stu-key1, introduzca el siguiente comando:
En el caso del siguiente comando, no es necesario introducir el nombre de la clave anterior. Solo
se debe introducir el nuevo nombre de la clave.
superuser, deviceadmin
Descripción
Después de importar las claves de API en el dispositivo WF-500, debe utilizar el comando load para que las
claves estén disponibles para su uso. Utilice este comando para sustituir todas las claves de API existentes.
Además, puede combinar las claves del archivo de importación con la base de datos de claves existentes.
Sintaxis
load {
wildfire {
from <value> mode [merge | replace];
{
{
Opciones
superuser, deviceadmin
Descripción
Use esta opción para manejar los pares de RAID instalados en el dispositivo WildFire. El dispositivo WF-500
se entrega con cuatro unidades en los cuatro primeros conectores de unidades (A1, A2, B1, B2). Las unidades
A1 y A2 son el par RAID 1 y las unidades B1 y B2 son el segundo par RAID 1.
Ubicación de jerarquía
request system
Sintaxis
raid {
remove <value>;
OR...
copy {
from <value>;
to <value>;
}
OR...
add {
Opciones
Resultado de muestra
El siguiente resultado muestra un dispositivo WildFire WF-500 con una RAID configurada correctamente.
admin@WF-500> show system raid
superuser, deviceadmin
Realice actualizaciones de las imágenes del espacio aislado de la máquina virtual (VM) del dispositivo WF-500
utilizadas para analizar archivos. Para recuperar imágenes de VM del servidor de actualizaciones de
Palo Alto Networks, primero debe descargar la imagen manualmente, alojarla en un servidor habilitado para
SCP y, a continuación, recuperar la imagen del dispositivo mediante el cliente SCP. Una vez descargada la imagen
en el dispositivo, puede instalarla mediante este comando.
Ubicación de jerarquía
request system
Sintaxis
request {
system {
wildfire-vm-image {
upgrade install file <value>;
}
}
}
Opciones
Resultado de muestra
Para instalar una imagen de VM (Windows 7 de 64 bits en este ejemplo), ejecute el siguiente comando:
admin@WF-500> request system wildfire-vm-image upgrade install
WFWin7_64Base_m-1.0.0_64base
superuser, deviceadmin
request wf-content
Actualice el contenido en un dispositivo WF-500. Estas actualizaciones de contenido equipan el dispositivo con
la información sobre amenazas más actualizada para garantizar la detección de malware precisa y aumentar la
capacidad del dispositivo para diferenciar el contenido malintencionado del contenido benigno. Para programar
las actualizaciones de contenido de modo que se instalen automáticamente, consulte set deviceconfig system
update-schedule y, para eliminar las actualizaciones de contenido de WF-500, consulte delete wildfire-metadata.
Ubicación de jerarquía
request
Sintaxis
request wf-content
{
downgrade install {previous | <value>};
upgrade
{
check
download latest
info
install {
file <filename>
version latest;
}
}
}
Opciones
> downgrade: Instala una versión de contenido anterior. Utilice la opción anterior para
instalar el paquete de contenido instalado previamente o introduzca un valor para
cambiar a una versión inferior del paquete de contenido específica.
> upgrade: Realiza funciones de actualización del contenido.
> check: Obtenga información sobre los paquetes de contenido disponibles del servidor
de actualizaciones de Palo Alto Networks.
> download: Descargue un paquete de contenido.
> info: Muestre la información sobre los paquetes de contenido disponibles.
> install: Instale un paquete de contenido.
> file: Especifique el nombre del archivo que contiene el paquete de contenido.
> version: Descargue o actualice en función del número de versión del paquete de
contenido.
Resultado de muestra
superuser, deviceadmin
Descripción
Utilice el comando save para guardar todas las claves de API del dispositivo WF-500 en un archivo. A
continuación, puede exportar el archivo de claves para hacer copias de seguridad o modificar las claves en
bloque. Para obtener información detallada sobre el uso de la API de WildFire en un dispositivo WF-500,
consulte Acerca de las suscripciones a WildFire y las claves de API.
Ubicación de jerarquía
save
Sintaxis
save {
wildfire {
api-key to <value>;
{
{
Opciones
* to: Introduzca el nombre de archivo para la exportación de claves. Por ejemplo, para
exportar todas las claves de API de WF-500 a un archivo con el nombre my-wf-keys,
introduzca el siguiente comando:
admin@WF-500> save wildfire api-key to my-wf-keys
superuser, deviceadmin
Descripción
Establece la contraseña de la cuenta de administrador del portal que el administrador utilizará para ver los
informes de análisis de WildFire generados por un dispositivo WF-500. El nombre de la cuenta (admin) y la
contraseña son obligatorios para ver el informe en el cortafuegos o en Panorama en Supervisar > Envíos de
WildFire > Ver informe WildFire. El nombre de usuario y la contraseña predeterminados son admin/admin.
La cuenta del administrador del portal es la única cuenta que puede configurar en el dispositivo
para ver los informes del cortafuegos o Panorama. No puede crear cuentas ni cambiar el nombre
de la cuenta. No es la misma cuenta de administrador utilizada para gestionar el dispositivo.
Ubicación de jerarquía
set wildfire
Sintaxis
set {
wildfire {
portal-admin {
password <value>;
}
}
Resultado de muestra
superuser, deviceadmin
Descripción
Muestra la configuración RAID del dispositivo. El dispositivo WF-500 se entrega con cuatro unidades en los
cuatro primeros conectores de unidades (A1, A2, B1, B2). Las unidades A1 y A2 son el par RAID 1 y las
unidades B1 y B2 son el segundo par RAID 1.
Ubicación de jerarquía
show system
Sintaxis
raid {
detail;
{
Opciones
Resultado de muestra
superuser, superreader
show wildfire
Descripción
Muestra varios tipos de información del dispositivo WildFire, como las claves de API disponibles, la
información de registro, la actividad, las muestras recientes que ha analizado el dispositivo y la máquina virtual
seleccionada para realizar el análisis.
Ubicación de jerarquía
show wildfire
Sintaxis
api-keys
all {
details;
}
key <value>;
}
last-device-registration all |
latest {
analysis {
filter malicious|benign;
sort-by SHA256|Submit Time|Start Time|Finish Time|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
samples {
filter malicious|benign;
sort-by SHA256|Create Time|File Name|File Type|File Size|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
sessions {
filter malicious|benign;
sort-by SHA256|Create Time|Src IP|Src Port|Dst Ip|Dst Port|File|Device
ID|App|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
uploads {
sort-by SHA256|Create Time|Finish Time|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
sample-status {
sha256 {
equal <value>;
}
}
statistics days <1-31>;
status |
vm-images |
}
Opciones
Resultado de muestra
Sample information:
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
| Create Time | File Name |
File Type | File Size | Malicious | Status |
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
| 2014-08-04 11:49:41 | 25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf |
Adobe Flash File | 64502 | No | analysis complete |
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
Session information:
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
| Create Time | Src IP | Src Port | Dst IP | Dst Port | File
| Device ID | App |
Malicious | Status |
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
| 2014-08-04 11:49:41 | 10.10.10.50 | 80 | 192.168.2.10 | 64108 |
25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf | 001606000114 | flash |
No | completed |
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
Analysis information:
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
| Submit Time | Start Time | Finish Time | Malicious | VM Image
| Status |
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
| 2014-08-04 11:49:41 | 2014-08-04 11:49:41 | 2014-08-04 11:56:52 | No | Windows
7 x64 SP1, Adobe Reader 11, Flash 11, Office 2010 | completed |
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
uploaded : 0
Connection info:
Wildfire cloud: s1.wildfire.paloaltonetworks.com
Status: Idle
Submit sample: disabled
Submit report: disabled
Selected VM: vm-5
VM internet connection: disabled
VM network using Tor: disabled
Best server: s1.wildfire.paloaltonetworks.com
Device registered: yes
Service route IP address: 10.3.4.99
Signature verification: habilitar
Server selection: habilitar
Through a proxy: no
superuser, superreader
Descripción
Realiza una prueba para comprobar el estado de registro de un dispositivo WildFire o un cortafuegos de
Palo Alto Networks en un servidor de WildFire. Si el resultado de la prueba es correcto, se muestran la dirección
IP o el nombre del servidor de WildFire. Se requiere el registro correcto para que el dispositivo WildFire o el
cortafuegos puedan reenviar archivos al servidor de WildFire.
Sintaxis
test {
wildfire {
registration;
}
}
Opciones
Resultado de muestra
A continuación se muestra el resultado correcto de un cortafuegos que puede comunicarse con un dispositivo
WildFire. Si es un dispositivo WildFire apuntando a la nube de WildFire de Palo Alto Networks, el nombre de
uno de los servidores de la nube se muestra en el campo select the best server:.
Test wildfire
wildfire registration: successful
download server list: successful
select the best server: ca-s1.wildfire.paloaltonetworks.com
superuser, superreader