Palo Alto Networks. Guía Del Administrador de WildFire Versión 6.1 PDF

®
Palo Alto Networks
Guía del administrador de WildFire

Versión 6.1
Información de contacto
Sede de la empresa:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
Acerca de esta guía
Esta guía describe las tareas administrativas necesarias para utilizar y mantener la función Palo Alto Networks WildFire.
Los temas tratados incluyen información de licencias, la configuración de cortafuegos para reenviar archivos para su
inspección, la visualización de informes y cómo configurar y gestionar el Dispositivo WF-500 WildFire.
Consulte las siguientes fuentes para obtener más información:
 Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el
cortafuegos, consulte https://www.paloaltonetworks.com/documentation.
 Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consulte
https://live.paloaltonetworks.com.
 Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia
técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.
 Para leer las notas sobre la última versión, vaya la página de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
 Para enviar sus comentarios sobre la documentación, diríjase a: documentation@paloaltonetworks.com.
Palo Alto Networks

www.paloaltonetworks.com
© 2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks y PAN-OS son marcas comerciales registradas de Palo Alto Networks, Inc.
Fecha de revisión: abril 27, 2015
ii
Contenido
Descripción general de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

Acerca de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Conceptos de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Reenvío de archivos y enlaces de correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Tipos de archivos admitidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Espacios aislados virtuales de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Firmas de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Análisis de enlaces de correo electrónico de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Alertas de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Generación de logs e informes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Muestras de prueba de malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Implementaciones de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Requisitos para la suscripción a WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Prácticas recomendadas para mantener las firmas actualizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Referencia: capacidad de reenvío de archivos del cortafuegos según la plataforma . . . . . . . . . . . . . . . . . . . 16
Análisis de archivos del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . 17

Acerca del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Configuración del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Requisitos para la configuración del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Integración del dispositivo WF-500 en una red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Verificación de la configuración del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Configuración de la interfaz VM en el dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Descripción general de la interfaz de máquina virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Configuración de la interfaz VM en el dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Configuración del cortafuegos para controlar el tráfico de la interfaz VM de WF-500 . . . . . . . . . . . . 31
Gestión de actualizaciones de contenido en el dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Instalación directa de actualizaciones de contenido desde el servidor de actualizaciones. . . . . . . . . . . 33
Instalación de actualizaciones de contenido desde un servidor habilitado para SCP . . . . . . . . . . . . . . 35
Reenvío de archivos a un dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Configuración de un cortafuegos para reenviar muestras a un dispositivo WF-500 . . . . . . . . . . . . . . . 36
Comprobación del reenvío a un dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Generación de firmas/URL en un dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Habilitación de la generación firmas/URL en el dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Configuración del cortafuegos para recuperar actualizaciones de un dispositivo WF-500 . . . . . . . . . . 46
Actualización del dispositivo WF-500 y habilitación de la compatibilidad con Windows 7 de 64 bits . . . . 48
Guía del administrador de GlobalProtect iii

Análisis de archivo de la nube de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Reenvío de muestras a la nube de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Verificación del reenvío a la nube de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Carga de archivos mediante el portal de la nube de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Elaboración de informes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Logs de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Habilitación de información de encabezados de correo electrónico en logs de WildFire . . . . . . . . . . . . . . 66
Supervisión de envíos con el portal de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Personalización de la configuración del portal de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Adición de cuentas de usuario del portal de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Visualización de informes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Contenido del informe de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Configuración de alertas para el malware detectado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
WildFire en acción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
API de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Acerca de las suscripciones a WildFire y las claves de API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Uso de la API de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Métodos de envío de archivos de la API de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Envío de un archivo a la nube de WildFire mediante el método de envío de archivos . . . . . . . . . . . . 90
Envío de un archivo a WildFire mediante el método de envío de URL . . . . . . . . . . . . . . . . . . . . . . . . 90
Consulta de un informe PDF o XML de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Uso de la API para recuperar un archivo de prueba de malware de muestra . . . . . . . . . . . . . . . . . . . . . . . . 93
Uso de la API para recuperar un archivo de muestra o PCAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Uso de la API de WildFire en un dispositivo WF-500. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Generación de claves de API en el dispositivo WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Gestión de claves de API en el dispositivo WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Uso de la API de WildFire en un dispositivo WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Referencia de la CLI del software del dispositivo WildFire . . . . . . . . . . . . . 101

Conceptos de la CLI del software del dispositivo WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Estructura de la CLI del software del dispositivo WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Convenciones de comandos de la CLI del software del dispositivo WildFire . . . . . . . . . . . . . . . . . . 102
Mensajes de comandos de la CLI del dispositivo WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Símbolos de opciones de comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Niveles de privilegio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Modos de comando de la CLI de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Modo de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Modo de operación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Acceso a la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Establecimiento de una conexión directa con la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Establecimiento de una conexión de SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
iv Guía del administrador de WildFire

Uso de la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Acceso a los modos de operación y configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Mostrar opciones de comandos de la CLI del software del dispositivo WildFire . . . . . . . . . . . . . . . . 112
Restricción de resultados de comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Establecimiento del formato de salida para comandos de configuración . . . . . . . . . . . . . . . . . . . . . . 114
Referencia de comandos del modo de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
set deviceconfig setting wildfire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
set deviceconfig system update-schedule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
set deviceconfig system vm-interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Referencia de comandos del modo de operación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
create wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
delete wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
delete wildfire-metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
edit wildfire api-key. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
load wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
request system raid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
request system wildfire-vm-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
request wf-content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
save wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
set wildfire portal-admin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
show system raid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
show wildfire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
test wildfire registration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Guía del administrador de WildFire v

vi Guía del administrador de WildFire
Descripción general de WildFire
WildFire ofrece detección y prevención de malware de día cero mediante una combinación de detección de
malware basada en firmas, espacios aislados y bloqueo del malware. WildFire amplía las capacidades de los
cortafuegos de próxima generación de Palo Alto Networks para identificar y bloquear el malware de destino
y desconocido.
En los siguientes temas se describen el sistema WildFire y cómo integrarlo en su entorno:
 Acerca de WildFire
 Conceptos de WildFire
 Implementaciones de WildFire
 Requisitos para la suscripción a WildFire
 Prácticas recomendadas para mantener las firmas actualizadas
 Referencia: capacidad de reenvío de archivos del cortafuegos según la plataforma
Guía del administrador de WildFire 1

Acerca de WildFire Descripción general de WildFire
Acerca de WildFire
El malware moderno es el eje de la mayoría de los ataques a la red más sofisticados de la actualidad, y cada vez
se personaliza más para burlar las soluciones de seguridad tradicionales. Palo Alto Networks ha desarrollado un
enfoque integrado que permite controlar todo el ciclo de vida del malware, lo que incluye la prevención de
infecciones, la identificación de malware de día cero (malware no detectado) o malware específico (dirigido a un
sector o una corporación concretos), así como la localización y eliminación de infecciones activas.
El motor de WildFire de Palo Alto Networks expone el malware específico y de día cero mediante la
observación directa en un entorno virtual en el sistema WildFire. La funcionalidad WildFire hace, además, un
uso extensivo de la tecnología App-ID de Palo Alto Networks identificando las transferencias de archivos en
todas las aplicaciones, no solo en los archivos adjuntos del correo electrónico o en las descargas de archivos del
explorador.
Para obtener información sobre la política de privacidad del sistema WildFire de Palo Alto Networks, consulte
https://live.paloaltonetworks.com/docs/DOC-2880.
En la Ilustración: Flujo de trabajo de decisiones de WildFire de alto nivel se muestra el flujo de trabajo básico
de WildFire y en la Ilustración: Flujo de decisiones de WildFire detallado se describe el ciclo de vida completo
de WildFire desde el momento en el que un usuario descarga un archivo malintencionado hasta el momento en
el que WildFire genera una firma que utilizarán los cortafuegos de Palo Alto Networks como medida de
protección frente a la futura exposición al malware.
En el flujo de trabajo de decisiones de WildFire de alto nivel se describe el flujo de trabajo para
la descarga de un archivo. El análisis de un enlace HTTP/HTTPS incluido en un mensaje de
correo electrónico es muy similar, pero hay algunas ligeras diferencias. Para obtener información
detallada sobre el análisis de vínculos de correo electrónico, consulte Análisis de enlaces de
correo electrónico de WildFire.
2 Guía del administrador de WildFire

Descripción general de WildFire Acerca de WildFire
Ilustración: Flujo de trabajo de decisiones de WildFire de alto nivel

Acerca de WildFire Descripción general de WildFire
Ilustración: Flujo de decisiones de WildFire detallado

Descripción general de WildFire Conceptos de WildFire
Conceptos de WildFire
 Reenvío de archivos y enlaces de correo electrónico
 Tipos de archivos admitidos
 Espacios aislados virtuales de WildFire
 Firmas de WildFire
 Análisis de enlaces de correo electrónico de WildFire
 Alertas de WildFire
 Generación de logs e informes de WildFire
 Muestras de prueba de malware
Reenvío de archivos y enlaces de correo electrónico
Con la solución integrada entre WildFire y los cortafuegos de Palo Alto Networks, puede configurar el cortafuegos
con un perfil de bloqueo de archivos y adjuntarlo a una regla de la política de seguridad que indique al cortafuegos que
reenvíe automáticamente las muestras al sistema WildFire para el análisis de amenazas. Las muestras pueden ser tipos
de archivos específicos o enlaces HTTP/HTTPS incluidos en mensajes SMTP o POP3. Si un usuario descarga una
muestra de archivo en una sesión que coincide con la regla de seguridad, el cortafuegos realiza una comprobación del
hash de archivo con WildFire para determinar si WildFire ha analizado previamente la muestra. Si el archivo es nuevo,
se reenvía para su análisis incluso si se incluye en un archivo ZIP o en HTTP comprimido. En el caso de un enlace de
correo electrónico, el cortafuegos extrae los enlaces HTTP/HTTPS de los mensajes de correo electrónico SMTP y
POP3 que coinciden con la política de reenvío y reenvía el enlace a WildFire (consulte Análisis de enlaces de correo
electrónico de WildFire. Además, puede configurar el cortafuegos para que reenvíe los archivos en sesiones de SSL
cifradas si la función de descifrado SSL está habilitada.
Para obtener información sobre la configuración del reenvío, consulte Reenvío de archivos a un dispositivo
WF-500 o Reenvío de muestras a la nube de WildFire.
Tipos de archivos admitidos
WildFire puede analizar los siguientes tipos de archivos:

 Enlace de correo electrónico: Enlaces de correo electrónico HTTP/HTTPS incluidos en mensajes de
correo electrónico SMTP y POP3. Observe que el cortafuegos solo extrae enlaces e información de sesión
asociada (emisor, receptor y asunto) de los mensajes de correo electrónico que atraviesan el cortafuegos; no
recibe, almacena, reenvía ni ve el mensaje de correo electrónico. El dispositivo WF-500 no es compatible con
el análisis de enlaces de correo electrónico.
 Flash: Applets de Adobe Flash y contenido de Flash insertado en páginas web.

 APK: Paquete de aplicaciones para Android. No es compatible con el dispositivo WF-500.
 PDF: Portable Document Format.

Conceptos de WildFire Descripción general de WildFire
 JAR: Applet de Java (tipos de archivos JAR/de clase). El dispositivo WF-500 analiza el contenido de Java,
pero no genera firmas para las muestras malintencionadas. Debe descargar la muestra del log de envío de
WildFire y cargarla en la nube de WildFire para la generación de firmas.
 PE: Archivo portable ejecutable que incluye archivos ejecutables, código de objeto, DLL, FON (fuentes), etc.
 MS Office: Archivos de Microsoft Office, como documentos (doc, docx, rtf), libros (xls, xlsx) y PowerPoint
(ppt, pptx). A partir de la actualización de contenido 450, WildFire puede generar firmas de antivirus para
documentos de Office Open XML (OOXML) 2007+ para determinar si el contenido es malintencionado y
proporcionar las firmas mediante WildFire y las actualizaciones de antivirus, lo que permite que el
cortafuegos genere una alerta o bloquee el contenido malintencionado de estos tipos de archivos.
No se requiere una suscripción a WildFire en el cortafuegos para el reenvío de los tipos de

archivos PE a WildFire para su análisis, pero sí se requiere para analizar los demás tipos de
archivos admitidos.
Espacios aislados virtuales de WildFire
WildFire ejecuta los archivos sospechosos que recibe en un entorno virtual y observa su comportamiento para
determinar si muestran signos de actividades malintencionadas, como cambios en la configuración de seguridad
del explorador, introducción de código en otros procesos, modificación de archivos de las carpetas del sistema
Windows o dominios a los que la muestra ha intentado acceder. Cuando el motor de WildFire completa el
análisis, genera un informe experto detallado que resume los comportamientos observados y asigna un veredicto
para indicar si se trata de malware o no. De forma similar, WildFire extrae los enlaces HTTP/HTTPS de los
mensajes de correo electrónico SMTP y POP3, y visita los enlaces para determinar si las páginas web
correspondientes contienen vulnerabilidades de seguridad. Si WildFire detecta un comportamiento
malintencionado, genera un informe, envía la dirección URL a PAN-DB y clasifica la dirección URL como
malware. Tenga en cuenta que WildFire no genera logs para enlaces de correo electrónico benignos.
WildFire ofrece compatibilidad con espacios aislados para los siguientes sistemas operativos:
 Microsoft Windows XP de 32 bits
 Microsoft Windows 7 de 32 bits

 Microsoft Windows 7 de 64 bits
Firmas de WildFire
Las ventajas clave de la función WildFire de Palo Alto Networks son que permite detectar malware de día cero
en el tráfico web (HTTP/HTTPS), los protocolos de correo electrónico (SMTP, IMAP y POP) y el tráfico FTP,
y permite generar firmas rápidamente como método de protección frente a futuras infecciones por el malware
detectado. WildFire genera automáticamente una firma basada en la carga útil de malware de la muestra y
comprueba su precisión y seguridad. Dado que el malware evoluciona rápidamente, las firmas que genera
WildFire cubrirán diversas variantes de este. Cuando WildFire detecta nuevo malware, genera nuevas firmas en
15-30 minutos. Los cortafuegos equipados con una suscripción a WildFire pueden recibir las nuevas firmas en
15 minutos. Si no tiene una suscripción a WildFire, las firmas estarán disponibles en un plazo de 24-48 horas
como parte de la actualización de antivirus de los cortafuegos con una suscripción a Threat Prevention.

En cuanto el cortafuegos descarga e instala la nueva firma, todos los archivos que contienen el malware (o una
variante de este) son eliminados automáticamente por el cortafuegos. La información recopilada por WildFire
durante el análisis del malware también se utiliza para reforzar otras funciones de Threat Prevention, como la
adición de direcciones URL de malware a PAN-DB y la generación de firmas DNS y de antivirus y antispyware.
Palo Alto Networks también desarrolla firmas para el tráfico de comandos y control, lo que permite la
interrupción inmediata de la comunicación de cualquier tipo de malware en la red. Si desea más información
sobre las ventajas de tener una suscripción de WildFire, consulte Requisitos para la suscripción a WildFire.
Análisis de enlaces de correo electrónico de WildFire
El cortafuegos no reenvía los archivos a WildFire para el análisis de amenazas únicamente, sino que también extrae
los enlaces HTTP/HTTPS incluidos en los mensajes de correo electrónico SMTP y POP3 y reenvía estos enlaces a
la nube de WildFire para su análisis. Esta función no es compatible con el dispositivo WF-500. Para habilitar esta
función, configure el cortafuegos para que reenvíe el tipo de archivo de enlace de correo electrónico. Observe que el
cortafuegos solo extrae enlaces e información de sesión asociada (emisor, receptor y asunto) de los mensajes de correo
electrónico que atraviesan el cortafuegos; no recibe, almacena, reenvía ni ve el mensaje de correo electrónico.
Después de recibir un enlace de correo electrónico de un cortafuegos, WildFire visita los enlaces para
determinar si la página web correspondiente alberga alguna explotación. Si WildFire determina que la página es
benigna, no genera un log. Sin embargo, si detecta un comportamiento malintencionado en la página, confirma
la existencia de actividad malintencionada y:
 Genera un informe de análisis detallado y lo incluye en el log de envío de WildFire en el cortafuegos que ha
reenviado los enlaces. Este log incluye ahora la información del encabezado del mensaje de correo
electrónico (remitente, destinatario y asunto del mensaje de correo electrónico) para que pueda identificar el
mensaje y eliminarlo del servidor de correo o hacer un seguimiento del destinatario y mitigar la amenaza si
el mensaje de correo electrónico ya se ha entregado o abierto.
 Añade la dirección URL a PAN-DB y la clasifica como malware.
Tenga en cuenta que si el enlace se corresponde con la descarga de un archivo, WildFire no analiza el archivo.
No obstante, el cortafuegos reenvía el archivo correspondiente a WildFire para su análisis si el usuario final hace
clic en el enlace para descargarlo siempre que el tipo de archivo correspondiente esté habilitado para el reenvío.
El cortafuegos reenvía los enlaces de correo electrónico en lotes de 100 o cada dos minutos (la opción más
rápida). Cada lote cargado en WildFire se corresponde con una carga según la capacidad de carga por minuto
de la plataforma del cortafuegos (Referencia: capacidad de reenvío de archivos del cortafuegos según la
plataforma). Para determinar si el cortafuegos está reenviando enlaces de correo electrónico, ejecute el siguiente
comando en el cortafuegos configurado para el reenvío a WildFire:
admin@PA-200> show wildfire statistics
Consulte la sección del contador file type: email-link debajo de Counters for file
forwarding.
Cuando los enlaces de correo electrónico se reenvían, el valor de los siguientes contadores aumenta:
– FWD_CNT_APPENDED_BATCH: Indica el número de enlaces de correo electrónico añadidos a
un lote en espera para cargarse en WildFire.
– FWD_CNT_LOCAL_FILE: Indica el número total de enlaces de correo electrónico cargados en
WildFire.

Para asegurarse de aprovechar al máximo las ventajas de esta función, confirme lo siguiente en cada cortafuegos
que reenvíe muestras a WildFire:
 Hay una suscripción a WildFire válida instalada.
 Las actualizaciones de contenido de WildFire se han configurado para su descarga e instalación frecuentes
(cada 15 minutos como mínimo).
 PAN-DB es el proveedor de filtrado de URL activo.
Alertas de WildFire
El cortafuegos puede generar una notificación instantánea siempre que detecte malware en la red mediante el
envío de alertas por correo electrónico, mensajes de Syslog o capturas de SNMP. Esto permite identificar
rápidamente qué usuario ha descargado el malware y eliminarlo antes de que provoque daños graves o se
propague a otros usuarios. Además, cada firma generada por WildFire se propaga automáticamente a todos los
cortafuegos de Palo Alto Networks protegidos con suscripciones a Threat Prevention o WildFire, lo que ofrece
una protección automática frente al malware detectado en redes de todo el mundo.
Generación de logs e informes de WildFire
Para cada muestra analizada por WildFire, este sistema genera un informe del comportamiento detallado unos
minutos después del envío de la muestra. Estos informes están disponibles en el log de envío de WildFire del
cortafuegos, el portal de WildFire o mediante consultas a la API de WildFire. Los informes muestran
información detallada del comportamiento de la muestra e información sobre el usuario de destino, la aplicación
que ha entregado el archivo y todas las direcciones URL involucradas en la entrega o en la actividad de llamadas
a casa del archivo. Si desea más información sobre cómo acceder a los informes y a las descripciones de los
campos de los informes, consulte Visualización de informes de WildFire.
En la siguiente captura de pantalla se muestra parte del informe de una muestra para el análisis de un archivo.
A continuación, se incluye una captura de pantalla del informe de análisis de un enlace de correo electrónico.


Muestras de prueba de malware
Palo Alto Networks proporciona un sistema de malware de muestra que puede utilizar para probar la
configuración de WildFire. Antes de descargar el archivo para probar la configuración, asegúrese de configurar
el cortafuegos según los procedimientos descritos en Reenvío de archivos a un dispositivo WF-500 o Reenvío
de muestras a la nube de WildFire.
A continuación se indica información sobre el archivo de prueba:
 Cada vez que accede a la dirección URL de prueba, el servidor genera un archivo único llamado
wildfire-test-pe-file.exe e inicia una descarga. Cada archivo de prueba tiene además un valor de hash
SHA-256 único.
 El resultado del archivo siempre será que es malintencionado.
 Aunque WildFire genera una firma para el archivo de prueba, esta firma se deshabilita y no se distribuye al
servidor de actualizaciones de Palo Alto Networks. Si la generación de firmas está habilitada en un
dispositivo WF-500, este no genera ninguna firma para el archivo de prueba.
Para acceder al archivo de prueba de malware, seleccione el siguiente enlace y cópielo y péguelo en un
explorador: http://wildfire.paloaltonetworks.com/publicapi/test/pe.
Si ha habilitado el descifrado en el cortafuegos, puede acceder a la versión cifrada del sitio si sustituye HTTP
por HTTPS.
Después de descargar el archivo, consulte el log Filtrado de datos del cortafuegos para determinar si el archivo
se ha reenviado y, después de unos cinco minutos, busque los resultados en el log Envío de WildFire. Para obtener
información sobre cómo comprobar la configuración de WildFire, consulte Comprobación del reenvío a un
dispositivo WF-500 y Verificación del reenvío a la nube de WildFire.
Para obtener información sobre las pruebas de la API de WildFire, consulte Uso de la API para recuperar un
archivo de prueba de malware de muestra.

Descripción general de WildFire Implementaciones de WildFire
Implementaciones de WildFire
El cortafuegos de próxima generación de Palo Alto Networks admite las siguientes implementaciones de WildFire:
 Nube de WildFire: En esta implementación, un cortafuegos de Palo Alto Networks reenvía los archivos al
entorno de WildFire alojado, que pertenece y es mantenido por Palo Alto Networks. Cuando WildFire
detecta nuevo malware, genera nuevas firmas en 15-30 minutos. Los cortafuegos equipados con una
suscripción a WildFire pueden recibir las nuevas firmas en 15 minutos. Los cortafuegos con solamente una
suscripción a Threat Prevention pueden recibir las nuevas firmas en la siguiente actualización de firmas de
antivirus en 24-48 horas.
Los servidores de nube de WildFire disponibles son wildfire-public-cloud para la nube de WildFire alojada
en EE. UU. y wildfire.paloaltonetworks.jp para la nube de WildFire alojada en Japón. Es posible que desee
utilizar el servidor de Japón si no desea que se envíen archivos buenos a los servidores de nube de EE. UU.
Si se envía un archivo a la nube de Japón y WildFire determina que es malintencionado, la nube de Japón lo
reenvía a los servidores de nube de EE. UU., donde WildFire lo vuelve a analizar para confirmar si es
malintencionado. Si los cortafuegos se encuentran en Japón, observará una respuesta más rápida en el caso
del envío de muestras y la generación de informes.
 Dispositivo WildFire: En esta implementación, debe instalar un dispositivo WF-500 en su red corporativa
y configurar los cortafuegos de Palo Alto Networks para reenviar los archivos al dispositivo en lugar de a la
nube de WildFire de Palo Alto Networks (opción predeterminada). Esta implementación impide que el
cortafuegos tenga que enviar archivos fuera de la red para su análisis. De forma predeterminada, el
dispositivo no envía ningún archivo fuera de la red a menos que habilite explícitamente la función de envío
de muestras a inteligencia de la nube. Esta función permite que el dispositivo reenvíe el malware detectado
a la nube de WildFire de Palo Alto Networks, donde se analizan los archivos y se generan firmas para las
muestras malintencionadas. A continuación, los servidores de actualización proporcionan estas firmas a
todos los cortafuegos de Palo Alto Networks suscritos a Threat Prevention o WildFire. El dispositivo se
puede configurar además para generar firmas localmente según las muestras que recibe de los cortafuegos
conectados o mediante el envío de las muestras con la API XML de WildFire. Para obtener más información,
consulte Generación de firmas/URL en un dispositivo WF-500. Un único dispositivo WildFire puede recibir
y analizar archivos de hasta 100 cortafuegos de Palo Alto Networks.
A continuación se describen las diferencias principales entre las implementaciones de la nube de WildFire y el
dispositivo WildFire:
 El dispositivo WildFire habilita la creación de un espacio aislado local para el malware de modo que los
archivos buenos nunca salgan de su red. De forma predeterminada, el dispositivo WildFire no reenvía
ningún archivo a la nube de WildFire, pero puede configurar la opción de inteligencia de la nube en el
dispositivo para reenviar las muestras malintencionadas o los informes sobre muestras malintencionadas
a Palo Alto Networks. Si no desea que el dispositivo envíe muestras de malware a Palo Alto Networks, se
recomienda configurar el dispositivo para que envíe como mínimo informes del malware. Estos informes
ayudarán a Palo Alto Networks a recopilar información estadística sobre el malware para comprender mejor
la prevalencia del malware y determinar el nivel de propagación del malware.
 El dispositivo WF-500 no tiene un portal de WildFire, pero puede configurar la inteligencia de la nube en el
dispositivo para enviar los archivos automáticamente a la nube de WildFire. Además, puede descargar muestras de
los informes de WildFire y, a continuación, cargarlas en el portal o utilizar la API XML de WildFire para enviar los
archivos a la nube. Después de cargar los archivos manualmente en el portal, las muestras aparecen en el portal
como una carga manual (consulte Carga de archivos mediante el portal de la nube de WildFire). En el caso de
las muestras reenviadas por un cortafuegos de Palo Alto Networks a un dispositivo WF-500 o a la nube de
WildFire, los informes siempre están disponibles en el log de envío de WildFire del cortafuegos.

Implementaciones de WildFire Descripción general de WildFire
 En la nube de WildFire se ejecutan varias máquinas virtuales para representar la variedad de sistemas
operativos y aplicaciones utilizados al ejecutar los archivos de muestra. En el dispositivo WF-500 hay varias
máquinas virtuales disponibles, pero solamente puede haber una activa para el análisis de archivos. Antes de
seleccionar la máquina virtual que se va a utilizar, revise los atributos de las máquinas virtuales disponibles y
seleccione la que mejor se adapte a su entorno. Aunque configure el dispositivo WF-500 para utilizar una
sola configuración de la imagen de máquina virtual, el dispositivo utiliza varias instancias de la imagen para
realizar análisis con el fin de aumentar el rendimiento. Para obtener información sobre cómo visualizar y
seleccionar la máquina virtual, consulte Integración del dispositivo WF-500 en una red.

Descripción general de WildFire Requisitos para la suscripción a WildFire
Requisitos para la suscripción a WildFire

WildFire ofrece detección y prevención de malware de día cero mediante una combinación de detección de malware
basada en firmas y en aislamiento y bloqueo del malware. No se requiere ninguna suscripción para usar WildFire para
el aislamiento de archivos enviados desde cortafuegos de Palo Alto Networks a la nube de WildFire.
Para que el cortafuegos detecte y bloquee el malware conocido detectado por WildFire, requiere una suscripción a
Threat Prevention o WildFire. La suscripción a Threat Prevention permite que el cortafuegos reciba diariamente
actualizaciones de firmas de antivirus, lo que proporciona protección para todas las muestras de malware que WildFire
detecta globalmente. Asimismo, la suscripción de Threat Prevention proporciona acceso a actualizaciones semanales
de contenido que incluyen protección frente a vulnerabilidades y firmas antispyware.
Para habilitar un dispositivo WF-500 para el análisis local, solamente necesita instalar una licencia de asistencia
técnica. Esto permite que el dispositivo se comunique con el servidor de actualizaciones de Palo Alto Networks
para descargar imágenes de los sistemas operativos y actualizaciones diarias del contenido. Las actualizaciones
de contenido permiten generar firmas en el dispositivo WF-500 local y equipar el dispositivo con la información
sobre amenazas más actualizada para garantizar la detección de malware precisa y aumentar la capacidad del
dispositivo para diferenciar el contenido malintencionado del contenido benigno.
Para aprovechar todas la ventajas del servicio de WildFire, cada cortafuegos debe tener una suscripción a
WildFire, lo que permite lo siguiente:
 Actualizaciones dinámicas de WildFire: Nuevas firmas de malware con frecuencias inferiores a una hora.
Se pueden configurar en Dispositivo > Actualizaciones dinámicas. Entre 15 y 30 minutos después de que WildFire
identifique una muestra malintencionada, WildFire genera una nueva firma de malware y la distribuye mediante las
actualizaciones dinámicas de WildFire, que el cortafuegos puede sondear cada 15, 30 o 60 minutos. Puede
configurar el cortafuegos para que realice acciones específicas en las firmas de malware con independencia de las
acciones de firma de antivirus periódicas del perfil de antivirus. Las firmas de WildFire entregadas en la
actualización dinámica incluyen las generadas para el malware detectado en archivos enviados a WildFire por todos
los clientes de Palo Alto Networks WildFire, no solo las muestras de archivos que envía el cortafuegos a WildFire.
WildFire tarda aproximadamente de 15 a 30 minutos en generar una firma y ponerla a disposición

de los suscriptores después de la detección de malware. Los cortafuegos equipados con una
suscripción de WildFire pueden sondear la existencia de nuevas firmas de malware cada 15, 30
o 60 minutos. Por ejemplo, si el cortafuegos se ha configurado para sondear las actualizaciones
de firmas de WildFire cada 30 minutos, es posible que no reciba una firma de un archivo que ha
cargado hasta el segundo intervalo de sondeo después de la detección de malware debido al
tiempo requerido para generar la firma. Si el cortafuegos solamente tiene una suscripción a
Threat Prevention, recibirá las firmas generadas por WildFire después de su inclusión en las
actualizaciones de antivirus, lo cual tienen lugar cada 24-48 horas.
Si los cortafuegos reenvían archivos a un dispositivo WF-500 con la generación de firmas local
habilitada, el dispositivo puede generar firmas en cinco minutos aproximadamente y se puede
configurar el cortafuegos para recuperar estas firmas cada cinco minutos.
 Compatibilidad con tipos de archivos avanzados de WildFire: Además de los archivos portables
ejecutables (PE), una suscripción permite que el cortafuegos también reenvíe los siguientes tipos de archivos
avanzados: APK (solo en la nube de WildFire), Flash, PDF, Microsoft Office y JAR (applet de Java).
Además de estos tipos de archivos, también puede configurar el cortafuegos para que extraiga y reenvíe
enlaces de correo electrónico incluidos en mensajes de correo electrónico SMTP y POP3 mediante el
reenvío del tipo de archivo de enlace de correo electrónico. Observe que el cortafuegos solo extrae enlaces e
información de sesión asociada (emisor, receptor y asunto) de los mensajes de correo electrónico que
atraviesan el cortafuegos; no recibe, almacena, reenvía ni ve el mensaje de correo electrónico.

Requisitos para la suscripción a WildFire Descripción general de WildFire
 API de WildFire: La suscripción a WildFire proporciona acceso a la API de WildFire, lo que permite el acceso
directo mediante programación al servicio de WildFire en la nube de WildFire de Palo Alto Networks o en un
dispositivo WildFire. Puede usar la API de WildFire para enviar archivos y recuperar informes de los archivos
enviados. La API de WildFire admite hasta 1.000 envíos de archivos y hasta 10.000 consultas al día.
 Dispositivo WildFire WF-500: Solo los cortafuegos con una suscripción a WildFire válida pueden reenviar
archivos a un dispositivo WF-500 para su análisis. Los cortafuegos que solamente tienen una suscripción a Threat
Prevention instalada pueden reenviar archivos a la nube de WildFire, pero no a un dispositivo WF-500.

Descripción general de WildFire Prácticas recomendadas para mantener las firmas actualizadas
Prácticas recomendadas para mantener las firmas actualizadas

En esta sección se describen las prácticas recomendadas para mantener un cortafuegos con suscripciones a
Threat Prevention y WildFire actualizado con los últimos sistemas de protección. Para un flujo de trabajo más
dinámico, utilice Panorama para introducir programaciones de actualización dinámicas en los cortafuegos
gestionados usando plantillas de Panorama. Así se garantiza la consistencia entre todos los cortafuegos y se
simplifica la gestión de la programación de actualizaciones.
Estas orientaciones proporcionan dos opciones de programación: la programación mínima recomendada y una
más agresiva. Si elige la programación más agresiva, el dispositivo realizará descargas o instalaciones más
frecuentemente, algunas de las cuales pueden ser de gran volumen (más de 100 MB para las actualizaciones de
antivirus). De igual forma, raramente se podrían producir errores en actualizaciones de firmas. Por lo tanto,
considere la posibilidad de retrasar las instalaciones hasta que haya transcurrido un determinado número de
horas. Utilice el campo Umbral (horas) para especificar cuánto tiempo se debe esperar tras una publicación antes
de realizar una actualización de contenido.
 Antivirus: Palo Alto Networks publica nuevas actualizaciones de contenido de antivirus a diario.
Para obtener el contenido más reciente, programe estas actualizaciones diariamente como mínimo. Se
puede realizar una programación más agresiva cada hora.
 Aplicaciones y amenazas: App-ID nuevo, protección frente a vulnerabilidades y firmas antispyware
publicados como actualizaciones de contenido semanales por Palo Alto Networks (normalmente los
martes). Para obtener el contenido más reciente, programe estas actualizaciones semanalmente como
mínimo. En el caso de un enfoque más agresivo para garantizar que el cortafuegos reciba el último
contenido en cuanto se publica (incluidas las publicaciones ocasionales de contenido urgente fuera de
programación), programe el cortafuegos para la descarga o instalación diarias.
 WildFire: Se publican nuevas firmas de antivirus de WildFire cada 15 minutos. En función de cuándo
WildFire detecte nuevo malware durante el ciclo de publicación, se proporciona protección como una
firma de WildFire 15-30 minutos después de la detección. Para conseguir las firmas de WildFire más
recientes, programe estas actualizaciones cada hora o cada media hora. Para que la programación sea más
agresiva, configure el cortafuegos para realizar comprobaciones cada 15 minutos.
 WF-Private: Si la generación de firmas/direcciones URL (firmas de antivirus, firmas DNS y entradas de
dirección URL para PAN-DB) se configura en un dispositivo WF-500, configure el cortafuegos para
descargar o instalar las actualizaciones mediante la actualización dinámica WF-Private. Una vez que el
dispositivo recibe una muestra malintencionada, genera una firma en cinco minutos en la mayoría de los
casos. Al configurar el cortafuegos para recuperar estas actualizaciones, configure la programación para la
descarga e instalación cada hora o cada media hora. Para una programación más agresiva (recomendada),
configure el cortafuegos para descargar e instalar las actualizaciones cada 5 minutos. Si configura los
cortafuegos para recuperar actualizaciones de WF-Private, se recomienda que los cortafuegos descarguen
también actualizaciones de contenido de Palo Alto Networks (antivirus, aplicaciones/amenazas y
WildFire) para garantizar que los cortafuegos tienen la última protección. Esto es importante debido al
hecho de que cuando el almacenamiento local para las actualizaciones de WF-Private del dispositivo está
lleno, las nuevas categorizaciones de firmas/direcciones URL sobrescriben las existentes empezando por
las más antiguas. Para obtener información detallada sobre la generación de firmas local, consulte
Generación de firmas/URL en un dispositivo WF-500.

Referencia: capacidad de reenvío de archivos del cortafuegos según la plataforma Descripción general de WildFire
Referencia: capacidad de reenvío de archivos del

cortafuegos según la plataforma
En esta sección se describe la velocidad máxima por minuto a la que cada plataforma de cortafuegos de
Palo Alto Networks puede enviar archivos a la nube de WildFire o a un dispositivo WF-500 para el análisis.
Si se alcanza el límite por minuto, el cortafuegos pone en cola las muestras.
En la columna Espacio de unidad reservado de la siguiente tabla se indica la cantidad de espacio de la unidad
del cortafuegos reservada para poner en cola los archivos. Si se alcanza el límite, el cortafuegos cancela el reenvío
de nuevos archivos a WildFire hasta que haya más espacio disponible en la cola.
La velocidad a la que el cortafuegos puede reenviar archivos a WildFire también depende del
ancho de banda del enlace de carga para los sistema WildFire.
Plataforma Número máximo de archivos Espacio de unidad reservado

por minuto
VM-100 5 100 MB
VM-200 10 200 MB
VM-300 20 200 MB
PA-200 5 100 MB
PA-500 10 200 MB
Serie PA-2000 20 200 MB
PA-3020 50 200 MB
PA-3050 50 500 MB
PA-3060 50 500 MB
PA-4020 20 200 MB
PA-4050/4060 50 500 MB
PA-5020/5050 50 500 MB
PA-5060 100 500 MB
PA-7050 100 1 GB

Análisis de archivos del dispositivo
WF-500
En este tema se describe el dispositivo WF-500 y se explica cómo configurarlo y gestionarlo de modo que esté
preparado para recibir archivos para su análisis. Además, en este tema se describen los pasos necesarios para
configurar un cortafuegos de Palo Alto Networks para reenviar archivos a un dispositivo WildFire para su
análisis y cómo configurar el dispositivo para la generación de firmas local con el fin de eliminar la necesidad de
enviar muestras a la nube de WildFire. Asimismo, puede utilizar la API de WildFire para enviar y recuperar
contenido de un dispositivo WF-500.
 Acerca del dispositivo WF-500
 Configuración del dispositivo WF-500
 Configuración de la interfaz VM en el dispositivo WF-500
 Gestión de actualizaciones de contenido en el dispositivo WF-500
 Reenvío de archivos a un dispositivo WF-500
 Generación de firmas/URL en un dispositivo WF-500
 Configuración del cortafuegos para recuperar actualizaciones de un dispositivo WF-500
 Actualización del dispositivo WF-500 y habilitación de la compatibilidad con Windows 7 de 64 bits

Acerca del dispositivo WF-500 Análisis de archivos del dispositivo WF-500
Acerca del dispositivo WF-500

El dispositivo WF-500 proporciona una nube privada de WildFire local, lo que permite analizar archivos
sospechosos en un entorno aislado sin necesidad de que el cortafuegos envíe los archivos fuera de la red.
Para utilizar un dispositivo WF-500 en lugar de la nube de WildFire, configure el servidor de WildFire en el
cortafuegos para que indique el dispositivo WF-500 en lugar del servidor de la nube pública de WildFire.
El dispositivo WF-500 aísla todos los archivos localmente y los analiza en busca de comportamientos
malintencionados con el mismo motor que utiliza el sistema de nube de WildFire. En cuestión de minutos, el
dispositivo devuelve los resultados del análisis al cortafuegos en los logs de envíos de WildFire.
De forma predeterminada, el dispositivo WF-500 no envía ningún archivo a la nube de WildFire de
Palo Alto Networks para la generación de firmas. No obstante, puede configurar el dispositivo para generar firmas
localmente y los cortafuegos conectados pueden recuperar las actualizaciones directamente del dispositivo. Para
obtener información sobre la configuración de la generación de firmas local y los tipos de actualizaciones de
contenido que puede proporcionar el dispositivo, consulte Generación de firmas/URL en un dispositivo WF-500.
El dispositivo WF-500 incluye una función de envío automático que permite enviar solamente el malware
confirmado a la nube pública para la generación de firmas. Además, puede configurar esta función (inteligencia
de la nube) para enviar solamente informes de malware, lo que ayudará a Palo Alto Networks a recopilar
estadísticas sobre el malware. Se recomienda configurar el dispositivo para enviar muestras de malware a la nube
de WildFire de modo que las firmas se generen y distribuyan a todos los clientes. Si no desea enviar de forma
automática todo el malware detectado a la nube de WildFire, puede descargar el malware manualmente en la
pestaña Informe de análisis de WildFire y cargarlo manualmente en el portal de WildFire.
Puede configurar hasta 100 cortafuegos de Palo Alto Networks para que reenvíen archivos a un único
dispositivo WildFire. Cada cortafuegos debe tener una suscripción a WildFire válida para reenviar archivos a un
dispositivo WildFire.
El dispositivo WildFire tiene dos interfaces:
 MGT: Recibe todos los archivos reenviados desde los cortafuegos y devuelve a los cortafuegos los logs que
detallan los resultados. Consulte Integración del dispositivo WF-500 en una red.
 Interfaz de máquina virtual (interfaz VM): Proporciona acceso a la red para los sistemas de espacio
aislado de WildFire para habilitar la comunicación de los archivos de muestra con Internet, lo que permite
que WildFire analice mejor el comportamiento de la muestra. Una vez configurada la interfaz VM, WildFire
puede observar comportamientos malintencionados que el malware no tendría sin acceso a la red, como la
actividad de llamadas a casa. No obstante, para evitar que el malware acceda a la red desde el espacio aislado,
configure esta interfaz en una red aislada con conexión a Internet. Además, puede habilitar la opción Tor
para ocultar la dirección IP pública de su empresa en el caso de los sitios malintencionados a los que acceda
la muestra. Para obtener más información sobre la interfaz VM, consulte Configuración de la interfaz VM
en el dispositivo WF-500.

Análisis de archivos del dispositivo WF-500 Configuración del dispositivo WF-500
Configuración del dispositivo WF-500

En los temas siguientes se describe cómo integrar un dispositivo WildFire en la red:
 Requisitos para la configuración del dispositivo WF-500
 Integración del dispositivo WF-500 en una red
 Verificación de la configuración del dispositivo WF-500
Requisitos para la configuración del dispositivo WF-500
 Monte el dispositivo WF-500 en bastidor y conéctelo con un cable. Consulte WF-500 WildFire Appliance
Hardware Reference Guide (Guía de referencia de hardware de WF-500 WildFire).
 Obtenga la información necesaria para configurar la conectividad de la red en el puerto MGT y la interfaz
de máquina virtual desde su administrador de red (dirección IP, máscara de subred, puerta de enlace,
nombre de host, servidor DNS). Toda la comunicación entre los cortafuegos y el dispositivo se produce en
el puerto MGT, incluidos los envíos de archivos, la distribución de logs de WildFire y la administración de
dispositivos. Por lo tanto, debe asegurarse de que los cortafuegos tienen conectividad con el puerto MGT
del dispositivo. Además, el dispositivo se debe poder conectar al sitio updates.paloaltonetworks.com para
recuperar las actualizaciones de software del sistema operativo.
 Debe tener preparado un ordenador con un cable de consola o cable Ethernet para conectarse al
dispositivo para la configuración inicial.

Configuración del dispositivo WF-500 Análisis de archivos del dispositivo WF-500
Integración del dispositivo WF-500 en una red
En esta sección se describen los pasos necesarios para instalar un dispositivo WF-500 en una red y establecer
una configuración básica.
Integración del dispositivo WF-500 en una red
Paso 1 Conecte el ordenador de gestión al 1. Conéctese al puerto de la consola o al puerto MGT. Ambos se
dispositivo usando el puerto MGT o el encuentran en la parte posterior del dispositivo.
puerto de consola y encienda el dispositivo. • Puerto de la consola: Conector serie macho de 9 clavijas.
Utilice la siguiente configuración en la aplicación de la consola:
9600-8-N-1. Conecte el cable proporcionado al puerto de serie
en el dispositivo de gestión o al conversor USB-serie.
• Puerto MGT: Puerto RJ-45 Ethernet. De forma
predeterminada, la dirección IP del puerto MGT es 192.168.1.1.
La interfaz del ordenador de gestión debe estar en la misma
subred que el puerto MGT. Por ejemplo, establezca la dirección
IP del ordenador de gestión en 192.168.1.5.
2. Conecte el dispositivo.
El dispositivo se encenderá en cuanto establezca la
conexión con la primera fuente de alimentación y sonará un
pitido de advertencia hasta que conecte la segunda fuente de
alimentación. Si el dispositivo ya está conectado, pero está
apagado, utilice el botón de encendido de la parte frontal del
dispositivo para encenderlo.
Paso 2 Registre el dispositivo WildFire. 1. Obtenga el número de serie de la etiqueta de número de serie del
dispositivo o ejecute el siguiente comando y consulte el campo
serial:
admin@WF-500> show system info
2. En un navegador, vaya al sitio de asistencia técnica de
Palo Alto Networks.
3. Registre el dispositivo de la siguiente forma:
Si es el primer dispositivo de Palo Alto Networks que registra y
aún no tiene un inicio de sesión, haga clic en Registrar en el
lado derecho de la página. Para el registro debe proporcionar
una dirección de correo electrónico y el número de serie del
dispositivo. Cuando se le solicite, establezca un nombre de
usuario y una contraseña para acceder a la comunidad de
asistencia técnica de Palo Alto Networks.
Con las cuentas existentes solamente tiene que iniciar sesión y
hacer clic en Mis dispositivos. Desplácese hasta la sección
Registrar dispositivo de la parte inferior de la pantalla e
introduzca el número de serie del dispositivo, su ciudad y código
postal, y haga clic en Registrar dispositivo.

Integración del dispositivo WF-500 en una red (Continuación)
Paso 3 Restablezca la contraseña del administrador. 1. Inicie sesión en el dispositivo con un cliente SSH o mediante el
puerto de la consola. Introduzca un nombre de
usuario/contraseña de administrador/administrador.
2. Establezca una nueva contraseña ejecutando el comando:
admin@WF-500# set password
3. Introduzca la contraseña anterior, pulse Intro y, a continuación,
introduzca y confirme la nueva contraseña. No hay necesidad de
compilar la configuración porque se trata de un comando de
operación.
4. Escriba exit para cerrar la sesión y, a continuación, vuelva a
iniciarla para confirmar que se ha establecido la nueva
contraseña.
Paso 4 Establezca la información de IP para la 1. Inicie sesión en el dispositivo con un cliente SSH o mediante el
interfaz de gestión y el nombre de host puerto de la consola y acceda al modo de configuración.
para el dispositivo. Todos los cortafuegos admin@WF-500> configure
que enviarán archivos al dispositivo 2. Establezca la información de IP:
WF-500 utilizarán el puerto MGT, por lo admin@WF-500# set deviceconfig system ip-address
que debe asegurase de que esta interfaz es 10.10.0.5 netmask 255.255.252.0 default-gateway
accesible desde estos cortafuegos. 10.10.0.1 dns-setting servers primary 10.0.0.246
En este ejemplo se utilizan los siguientes Para configurar un servidor DNS secundario, sustituya
valores: “primary” por “secondary” en el comando anterior y
excluya el resto de los parámetros de la dirección IP. Por
• Dirección IPv4: 10.10.0.5/22
ejemplo:
• Máscara de subred: 255.255.252.0 admin@WF-500# set deviceconfig system
• Puerta de enlace predeterminada: dns-setting servers secondary 10.0.0.247
10.10.0.1 3. Establezca el nombre del host (wildfire-corp1 en este ejemplo):
• Nombre de host: wildfire-corp1 admin@WF-500# set deviceconfig system hostname
• Servidor DNS: 10.0.0.246 wildfire-corp1
4. Compile la configuración para activar la nueva configuración del
puerto de gestión externo (MGT):
admin@WF-500# commit
5. Conecte el puerto de la interfaz de gestión a un conmutador de red.
6. Vuelva a ubicar el PC de gestión en la red corporativa o en
cualquier red necesaria para acceder al dispositivo en la red de
gestión.
7. En el ordenador de gestión, utilice un cliente SSH para
establecer la conexión con la dirección IP o el nombre de host
nuevos asignados al puerto MGT en el dispositivo. En este
ejemplo, la dirección IP es 10.10.0.5.

Paso 5 (Opcional) Configure cuentas de usuario En este ejemplo, se crea una cuenta de superlector para el usuario
adicionales para gestionar el dispositivo bsimpson:
WildFire. Puede asignar dos tipos de 1. Acceda al modo de configuración:
funciones: superusuario y superlector. El admin@WF-500> configure
superusuario es equivalente a la cuenta de 2. Cree la cuenta de usuario:
administrador, pero el superlector
admin@WF-500# set mgt-config users bsimpson
solamente tiene acceso de lectura. <password>
3. Introduzca y confirme la nueva contraseña.
4. Asigne la función de superlector:
admin@WF-500# set mgt-config users bsimpson
permissions role-based superreader yes
Paso 6 (Opcional) Configure la autenticación 1. Cree un perfil de RADIUS mediante las opciones siguientes:
RADIUS para el acceso del admin@WF-500# set shared server-profile radius
administrador. Los pasos siguientes son <profile-name>
un resumen de la configuración de (Configure el servidor de RADIUS y otros atributos.)
RADIUS en el dispositivo. 2. Cree un perfil de autenticación:
admin@WF-500# set shared authentication-profile
<profile-name> method radius server-profile
<server-profile-name>
3. Asigne el perfil a una cuenta de administrador local.
admin@WF-500# set mgt-config users username
authentication-profile authentication-profile-name>
Paso 7 Active el dispositivo con el código de 1. Cambie al modo de operación:

autorización de WildFire que ha recibido admin@WF-500# exit
de Palo Alto Networks. 2. Obtenga e instale la licencia de WildFire:
El dispositivo WF-500 funciona admin@WF-500> request license fetch auth-code
sin un código de autorización, <auth-code>
pero no puede recuperar las 3. Verifique la licencia:
actualizaciones de software sin un admin@WF-500> request support check
código de autorización válido. Se muestra información sobre el sitio de asistencia técnica y la
fecha del contrato de asistencia. Confirme que la fecha mostrada
es válida.
Paso 8 Establezca la fecha/hora actual y la zona 1. Establezca la fecha y la hora:

horaria. admin@WF-500> set clock date <YY/MM/DD> time
<hh:mm:ss>
2. Acceda al modo de configuración:
admin@WF-500> configure
3. Establezca la zona horaria local:
admin@WF-500# set deviceconfig system timezone
<timezone>
La marca de hora que aparecerá en el informe detallado
de WildFire utilizará la zona horaria establecida en el
dispositivo. Si los administradores de varias regiones van
a ver los informes, considere la posibilidad de establecer
la zona horaria en UTC.

Paso 9 (Opcional) Configure la inteligencia de la 1. Para habilitar la inteligencia de la nube, ejecute el comando:
nube para que el dispositivo WildFire admin@WF-500# set deviceconfig setting wildfire
reenvíe los archivos que contienen cloud-intelligence submit-sample yes
malware a la nube de WildFire de 2. Para enviar solamente informes de WildFire sobre malware:
Palo Alto Networks. El sistema de nube admin@WF-500# set deviceconfig setting wildfire
de WildFire vuelve a analizar la muestra y cloud-intelligence submit-report yes
genera una firma si la muestra es de Si la opción de envío de muestras está habilitada, no es
malware, y añade la firma a las necesario habilitar la opción de envío de informes, ya que
actualizaciones de firmas de WildFire. la nube de WildFire vuelve a analizar la muestra y genera
Además, puede optar por enviar un informe nuevo. Si la muestra es malintencionada, la
solamente los informes de WildFire sobre nube genera una firma.
malware. En este caso,
3. Para confirmar la configuración, ejecute el siguiente comando y,
Palo Alto Networks utiliza los informes
a continuación, consulte los campos Submit sample y Submit
con fines de generación de estadísticas.
report:
La opción de inteligencia de la admin@WF-500> show wildfire status
nube está deshabilitada de forma
predeterminada.
Paso 10 (Opcional) Habilite la creación de logs de 1. Seleccione Dispositivo > Configuración > WildFire y edite
archivos buenos en el cortafuegos. Este es Configuración general.
un método eficaz para confirmar que el 2. Seleccione la casilla de verificación Informar de archivos
cortafuegos está reenviando los archivos a buenos para habilitarla y, a continuación, haga clic en Aceptar
WildFire sin descargar malware real. En para guardar.
este caso, el log de filtrado de datos
contiene información sobre los resultados Puede ejecutar el siguiente comando de CLI para habilitar la creación
del análisis de WildFire incluso si los de logs de archivos buenos:
archivos son buenos. Para descargar admin@WF-500# set deviceconfig setting wildfire
malware de muestra para la realización de report-benign-file yes
pruebas, consulte Muestras de prueba de
malware.
Esta opción está deshabilitada de
manera predeterminada.

Paso 11 Establezca una contraseña para la cuenta 1. Para cambiar la contraseña de la cuenta del administrador del
de administrador del portal. Esta cuenta portal de WildFire:
se utiliza cuando se accede a los informes admin@WF-500> set wildfire portal-admin password
de WildFire desde un cortafuegos. El 2. Pulse Intro y escriba y confirme la nueva contraseña.
nombre de usuario y la contraseña
predeterminados son admin/admin.
La cuenta del administrador del
portal es la única cuenta que se
puede utilizar para ver informes
desde los logs. Solamente se puede
cambiar la contraseña de esta cuenta
y no se pueden crear cuentas
adicionales con esta finalidad. No es
la misma cuenta de administrador
utilizada para gestionar el
dispositivo. Además, puede utilizar
la API de WildFire para recuperar
logs, pero en este caso debe utilizar
una clave de API generada en el
dispositivo WF-500. Consulte Uso
de la API de WildFire en un
dispositivo WF-500.
Paso 12 Seleccione la imagen de máquina virtual Para ver una lista de las máquinas virtuales disponibles y determinar
que el dispositivo va a utilizar para el cuál representa mejor su entorno:
análisis de archivos. La imagen se debe admin@WF-500> show wildfire vm-images
basar en los atributos que mejor
Para ver la imagen de máquina virtual actual, ejecute el siguiente
representen el software instalado en los
comando y consulte el campo Selected VM:
ordenadores del usuario final. Cada
admin@WF-500> show wildfire status
imagen virtual contiene distintas
versiones de los sistemas operativos y el Seleccione la imagen que el dispositivo va a utilizar para el análisis:
software, como Windows XP o admin@WF-500# set deviceconfig setting wildfire
Windows 7 (32 bits o 64 bits) y versiones active-vm <vm-image-number>
específicas de Adobe Reader y Flash. Por ejemplo, para utilizar vm-1:
Aunque configure el dispositivo para admin@WF-500# set deviceconfig setting wildfire
utilizar una sola configuración de la active-vm vm-1
imagen de máquina virtual, el dispositivo
utiliza varias instancias de la imagen para
mejorar el rendimiento.
¿Cuál es el siguiente paso?:

• Verificación de la configuración del dispositivo WF-500
• Reenvío de archivos a un dispositivo WF-500
• Actualización del dispositivo WF-500 y habilitación de la compatibilidad con Windows 7 de 64 bits
• Configuración de la interfaz VM en el dispositivo WF-500

Verificación de la configuración del dispositivo WF-500
En este tema se describe cómo verificar la configuración del dispositivo WildFire para garantizar que está listo
para recibir archivos de un cortafuegos de Palo Alto Networks. Para obtener más información sobre los
comandos de CLI a los que se hace referencia en este flujo de trabajo, consulte Referencia de la CLI del software
del dispositivo WildFire.
Verificación de la configuración del dispositivo WF-500
Paso 1 Compruebe si el dispositivo se ha 1. Inicie una sesión en SSH y establezca la conexión con el puerto
registrado y la licencia se ha activado. MGT en el dispositivo.
2. Vea la información de asistencia técnica actual:
admin@WF-500> request support check
Se muestra información sobre el sitio y el contrato de asistencia
técnica. Confirme si la fecha del contrato es válida.
3. Ejecute el siguiente comando para comprobar la conectividad
entre el dispositivo y la nube de WildFire (esto es necesario para
reenviar archivos a la nube):
admin@WF-500> test wildfire registration
El siguiente resultado indica que el dispositivo está registrado en
uno de los servidores de nube de WildFire de
Palo Alto Networks.
Test wildfire
wildfire registration: successful
download server list: successful
select the best server:
cs-s1.wildfire.paloaltonetworks.com

Verificación de la configuración del dispositivo WF-500 (Continuación)
Paso 2 Compruebe el estado del servidor de 1. Muestre el estado de WildFire:

WildFire en el dispositivo. admin@WF-500> show wildfire status
Connection info:
Wildfire cloud:
wildfire.paloaltonetworks.com
Status: Idle
Submit sample: enabled
Submit report: disabled
Selected VM: vm-5
VM internet connection: disabled
VM network using Tor: disabled
Best server:
s1.wildfire.paloaltonetworks.com
Device registered: yes
Service route IP address: 10.3.4.99
Signature verification: enable
Server selection: enable
Through a proxy: no
En el resultado de ejemplo, el estado Idle indica que el
dispositivo está listo para recibir archivos. El envío de muestras
está habilitado, lo que indica que el dispositivo reenviará los
archivos de malware detectados a la nube de WildFire. En el
campo Device registered se muestra yes, lo que significa que
el dispositivo se ha registrado con el sistema de nube de
WildFire. El dispositivo se ha configurado además para utilizar
el espacio aislado vm-5 para el análisis de muestras.
Debe tener un servidor de nube de WildFire definido
incluso si no va a reenviar muestras al servidor de nube.
Si no hay ningún servidor de nube definido, en el campo
Status se muestra Disabled by cloud server.
2. Después de configurar sus cortafuegos para que reenvíen
archivos al dispositivo según se describe en Reenvío de archivos
a un dispositivo WF-500, puede verificar el estado de
conectividad de los cortafuegos en el dispositivo. Para
comprobar si el dispositivo está recibiendo archivos de los
cortafuegos y si está enviando archivos a la nube de WildFire
para la generación de firmas (si la inteligencia de nube está
habilitada), introduzca:
admin@WF-500> show wildfire statistics days 7
Last one hour statistics:
Total sessions submitted : 0
Samples submitted : 0
analyzed : 0
pending : 0
malicious : 0
benign : 0
error : 0
Uploaded : 0
Last 7 days statistics:

analyzed : 34
pending : 0
malicious : 2
benign : 32
error : 0
Uploaded : 0
3. (Opcional) Vea estadísticas más detalladas:

admin@WF-500> show wildfire latest [analysis
|samples | sessions | uploads]
Por ejemplo, para mostrar detalles sobre los resultados del
análisis reciente, introduzca:
admin@WF-500> show wildfire latest analysis

Verificación de la configuración del dispositivo WF-500 (Continuación)
Paso 3 Compruebe si los cortafuegos 1. Muestre una lista de los cortafuegos registrados con el
configurados para reenviar archivos dispositivo:
al dispositivo se han registrado admin@WF-500> show wildfire
correctamente en el dispositivo WildFire. last-device-registration all
El resultado incluye la siguiente información para cada
cortafuegos registrado con el dispositivo: número de serie del
cortafuegos, fecha de registro, dirección IP, versión de software,
modelo de hardware y estado. Si no aparece ningún cortafuegos,
puede que haya algún problema de conectividad entre los
cortafuegos y el dispositivo. Compruebe la red para confirmar
que los cortafuegos y el dispositivo WildFire se pueden
comunicar.
Puede utilizar pruebas de ping en el dispositivo a la dirección de
la puerta de enlace o a uno de los cortafuegos configurados para
reenviar archivos al dispositivo. Por ejemplo, si la dirección IP
del cortafuegos es 10.0.5.254, se muestran las respuestas al
ejecutar el siguiente comando de CLI en el dispositivo:
admin@WF-500> ping host 10.0.5.254
Para verificar la configuración de WildFire en los cortafuegos
que están reenviando archivos al dispositivo, consulte
Comprobación del reenvío a un dispositivo WF-500.

Configuración de la interfaz VM en el dispositivo WF-500 Análisis de archivos del dispositivo WF-500
Configuración de la interfaz VM en el dispositivo WF-500

La interfaz de máquina virtual (interfaz VM) facilita la conectividad de red externa desde las máquinas virtuales de
espacio aislado en el dispositivo WF-500 para permitir la observación de comportamientos malintencionados en cuyo
caso el archivo analizado intenta acceder a la red. En las siguientes secciones se describen la interfaz VM y los pasos
necesarios para configurarla. Además, puede habilitar la función Tor con la interfaz VM, lo cual enmascara el tráfico
malintencionado enviado desde el dispositivo WF-500 mediante la interfaz VM de modo que los sitios de malware a
los que se puede enviar el tráfico no puedan detectar su dirección IP de acceso público.
En esta sección también se describen los pasos necesarios para conectar la interfaz VM con un puerto
especializado en un cortafuegos de Palo Alto Networks para habilitar la conectividad a Internet.
 Descripción general de la interfaz de máquina virtual
 Configuración de la interfaz VM en el dispositivo WF-500
 Configuración del cortafuegos para controlar el tráfico de la interfaz VM de WF-500
Descripción general de la interfaz de máquina virtual
WildFire utiliza la interfaz VM (con la etiqueta 1 en la parte posterior del dispositivo) para mejorar la capacidad
de detección de malware. Esta interfaz permite que un archivo de muestra ejecutado en las máquinas virtuales
de WildFire se comunique con Internet y permite que WildFire analice mejor el comportamiento del archivo de
muestra para determinar si presenta características de malware.
Aunque se recomienda que habilite la interfaz VM, es muy importante que no la conecte a una
red que permita el acceso a cualquiera de sus servidores o hosts, ya que el malware ejecutado
en las máquinas virtuales de WildFire puede utilizar esta interfaz para propagarse.
Esta conexión puede ser una línea DSL especializada o un conexión de red que solamente
permita el acceso directo desde la interfaz VM a Internet y restrinja cualquier acceso a los
servidores o hosts de cliente internos.

Análisis de archivos del dispositivo WF-500 Configuración de la interfaz VM en el dispositivo WF-500
En la siguiente ilustración se muestran dos opciones para conectar la interfaz VM a la red.
Ejemplo de interfaz de máquina virtual Please translate.
 Opción 1 (recomendada): Conecte la interfaz VM a una interfaz en una zona especializada de un

cortafuegos con una política que solamente permita el acceso a Internet. Es importante porque el malware
que se ejecuta en las máquinas virtuales de WildFire puede utilizar potencialmente esta interfaz para
propagarse. Esta es la opción recomendada porque los logs del cortafuegos proporcionarán visibilidad en
cualquier tráfico generado por la interfaz VM.
 Opción 2: Utilice una conexión especializada del proveedor de Internet, como una conexión DSL, para
conectar la interfaz VM a Internet. Asegúrese de que no hay acceso desde esta conexión a los servidores o
hosts internos. Aunque esta es una solución sencilla, el tráfico generado por el malware fuera de la interfaz
VN no se registrará a menos que incluya un cortafuegos o una herramienta de supervisión de tráfico entre
el dispositivo WildFire y la conexión DSL.
Configuración de la interfaz VM en el dispositivo WF-500

En esta sección se describen los pasos necesarios para configurar la interfaz VM en el dispositivo WildFire
mediante la configuración de la opción 1 detallada en Ejemplo de interfaz de máquina virtual. Después de
configurar la interfaz VM mediante esta opción, también debe configurar una interfaz en un cortafuegos de
Palo Alto Networks por el que se enrutará el tráfico desde la interfaz VM según se describe en Configuración
del cortafuegos para controlar el tráfico de la interfaz VM de WF-500.
De forma predeterminada, la interfaz VM está configurada del modo siguiente:
 Dirección IP: 192.168.2.1
 Máscara de red: 255.255.255.0
 Puerta de enlace predeterminada: 192.168.2.254

 DNS: 192.168.2.254
Si tiene pensado habilitar esta interfaz, configúrela con los ajustes adecuados para la red. Si no tiene pensando
utilizar esta interfaz, mantenga los ajustes predeterminados. Tenga en cuenta que la interfaz debe tener valores
de red configurados, ya que en caso contrario se producirá un error de compilación.
Configuración de la interfaz VM
Paso 1 Establezca la información de dirección 1. Acceda al modo de configuración:

IP para la interfaz VM en el dispositivo admin@WF-500> configure
WildFire. 2. Establezca la información de dirección IP para la interfaz VM:
En este ejemplo se utiliza la siguiente
admin@WF-500# set deviceconfig system vm-interface
configuración:
ip-address 10.16.0.20 netmask 255.255.252.0
• Dirección IPv4: 10.16.0.20/22 default-gateway 10.16.0.1 dns-server 10.0.0.246
• Máscara de subred: 255.255.252.0
Solamente puede configurar un servidor DNS en la
• Puerta de enlace predeterminada: interfaz VM. El procedimiento recomendado es utilizar
10.16.0.1 el servidor DNS del ISP o un servicio DNS abierto.
• Servidor DNS: 10.0.0.246
La interfaz VM no puede estar en
la misma red que la interfaz de
gestión (MGT).
Paso 2 Habilite la interfaz VM. 1. Habilite la interfaz VM:

admin@WF-500# set deviceconfig setting wildfire
vm-network-enable yes
2. Confirme la configuración:
Paso 3 Pruebe la conectividad de la interfaz VM. Haga ping a un sistema y especifique la interfaz VM como el origen.
Por ejemplo, si la dirección IP de la interfaz VM es 10.16.0.20, ejecute
el siguiente comando, donde ip-or-hostname es la dirección IP o el
nombre de host de un servidor o una red con la opción de ping
habilitada:
admin@WF-500> ping source 10.16.0.20 host
ip-or-hostname
Por ejemplo:
admin@WF-500> ping source 10.16.0.20 host 10.16.0.1
Paso 4 (Opcional) Habilite la red Tor. Cuando Habilite la red Tor:

esta opción está habilitada, cualquier 1. admin@WF-500# set deviceconfig setting wildfire
tráfico malintencionado que genere el vm-network-use-tor
malware en Internet se envía a la red Tor. 2. Confirme la configuración:
La red Tor enmascara su dirección IP de admin@WF-500# commit
acceso público de modo que los
propietarios del sitio web
malintencionado no puedan determinar el
origen del tráfico.
Paso 5 Continúe con la siguiente sección para Consulte Configuración del cortafuegos para controlar el tráfico de
configurar la interfaz del cortafuegos que la interfaz VM de WF-500.
utilizará para establecer la conexión de la
interfaz VM en el dispositivo.

Análisis de archivos del dispositivo WF-500 Configuración de la interfaz VM en el dispositivo WF-500
Configuración del cortafuegos para controlar el tráfico de la interfaz VM de

WF-500
En el siguiente flujo de trabajo de ejemplo se describe cómo conectar la interfaz VM a un puerto en un

cortafuegos de Palo Alto Networks. Antes de conectar la interfaz VM al cortafuegos, este debe tener una zona
que no sea de confianza conectada a Internet. En este ejemplo, se configura una nueva zona denominada “zona
wf-vm“ que contiene la interfaz utilizada para conectar la interfaz VM del dispositivo al cortafuegos. La política
asociada a la zona wf-vm solamente permite la comunicación de la interfaz VM con la zona que no es de
confianza.
Configuración del cortafuegos para controlar el tráfico de la interfaz VM de WF-500
Paso 1 Configure la interfaz en el cortafuegos al 1. En la interfaz web del cortafuegos, seleccione Red > Interfaces
que se conectará la interfaz VM y y, a continuación, seleccione una interfaz, por ejemplo
establezca el enrutador virtual. Ethernet1/3.
La zona wf-vm solamente debe 2. En la lista desplegable Tipo de interfaz, seleccione Capa3.
contener la interfaz (Ethernet1/3 3. En la pestaña Configurar, cuadro desplegable Zona de
en este ejemplo) utilizada para seguridad, seleccione Nueva zona.
conectar la interfaz VM del 4. En el campo Nombre del cuadro de diálogo zona, introduzca
dispositivo al cortafuegos. Esto wf-vm-zone y haga clic en Aceptar.
permite evitar que el tráfico
5. En el cuadro desplegable Enrutador virtual, seleccione
generado por el malware llegue a
predeterminado.
otras redes.
6. Para asignar una dirección IP a la interfaz, seleccione la pestaña
IPv4, haga clic en Añadir en la sección IP e introduzca la
dirección IP y la máscara de red para asignarlas a la interfaz, por
ejemplo, 10.16.0.0/22.
7. Para guardar la configuración de la interfaz, haga clic en
Aceptar.

Configuración del cortafuegos para controlar el tráfico de la interfaz VM de WF-500 (Continuación)
Paso 2 Cree una política de seguridad en el 1. Seleccione Políticas > Seguridad y haga clic en Añadir
cortafuegos para permitir el acceso de la 2. En la pestaña General, introduzca un Nombre.
interfaz VM a Internet y bloquear todo el
3. En la pestaña Origen, establezca la Zona de origen para la
tráfico entrante. En este ejemplo, el
interfaz wf-vm.
nombre de la política es Interfaz VM de
WildFire. Dado que no creará una política 4. En la pestaña Destino, establezca la Zona de destino como No
de seguridad desde la zona que no es de fiable.
confianza a la zona de la interfaz wf-vm, 5. En las pestañas Aplicación y Categoría de URL/servicio, deje
todo el tráfico entrante se bloqueará de de forma predeterminada Cualquiera.
forma predeterminada. 6. En la pestaña Acciones, establezca Configuración de acción
como Permitir.
7. En Ajuste de log, seleccione la casilla de verificación Log al
finalizar sesión.
Si le preocupa que alguien pueda añadir de forma
accidental otras interfaces a la zona wf-vm, clone la
política de la seguridad de la interfaz VM de WildFire y,
a continuación, en la pestaña Acción de la regla clonada,
seleccione Denegar. Asegúrese de que esta nueva
política de seguridad aparece debajo de la política de
seguridad de la interfaz VM de WildFire. Esto cancela la
regla de permiso de la intrazona implícita que permite la
comunicación entre las interfaces de la misma zona y
deniega o bloquea toda la comunicación en la intrazona.
Paso 3 Conecte los cables. Conecte físicamente la interfaz VM del dispositivo WildFire al
puerto que ha configurado en el cortafuegos (Ethernet 1/3 en este
ejemplo) con un cable RJ-45 directo. La interfaz VM se indica con la
etiqueta 1 en la parte posterior del dispositivo.
Paso 4 Compruebe si la interfaz VM está 1. Consulte la configuración de la interfaz VM:

transmitiendo y recibiendo tráfico. admin@WF-500> show interface vm-interface
2. Compruebe si aumenta el valor de los contadores de
recepción/transmisión. Puede ejecutar el siguiente comando
para generar tráfico de ping desde la interfaz VM hasta un
dispositivo externo:
admin@WF-500> ping source vm-interface-ip host
<gateway-ip>
Por ejemplo:
admin@WF-500> ping source 10.16.0.20 host 10.16.0.1

Análisis de archivos del dispositivo WF-500 Gestión de actualizaciones de contenido en el dispositivo WF-500
Gestión de actualizaciones de contenido en el dispositivo

WF-500
Las actualizaciones de contenido diarias de WF-500 equipan el dispositivo con la información sobre amenazas
más actualizada para garantizar la detección de malware precisa y aumentar la capacidad del dispositivo para
diferenciar el contenido malintencionado del contenido benigno. Además, estas actualizaciones garantizan que
el dispositivo tenga la información necesaria más reciente para generar firmas si la generación de firmas o URL
está habilitada en el dispositivo. Para obtener más información sobre la habilitación de la generación de firmas,
consulte Generación de firmas/URL en un dispositivo WF-500.
 Instalación directa de actualizaciones de contenido desde el servidor de actualizaciones
 Instalación de actualizaciones de contenido desde un servidor habilitado para SCP
Instalación directa de actualizaciones de contenido desde el servidor de

actualizaciones
Instalación directa de actualizaciones de contenido desde el servidor de actualizaciones
Paso 1 Compruebe la conectividad del 1. Inicie sesión en el dispositivo WildFire y ejecute el siguiente
dispositivo con el servidor de comando para mostrar la versión de contenido actual:
actualizaciones e identifique las admin@wf-500> show system info | match
actualizaciones de contenido que se wf-content-version
deben instalar. 2. Confirme si el dispositivo se puede comunicar con el servidor
de actualizaciones de Palo Alto Networks y vea las
actualizaciones disponibles:
admin@wf-500> request wf-content upgrade check
El comando envía una consulta al servidor de actualizaciones de
Palo Alto Networks, proporciona información sobre las
actualizaciones disponibles e identifica la versión instalada
actualmente en el dispositivo.
Version Size Released on Downloaded Installed
---------------------------------------------------------
2-253 57MB 2014/09/20 20:00:08 PDT no no
2-39 44MB 2014/02/12 14:04:27 PST yes current
Si el dispositivo no puede conectarse con el servidor de
actualizaciones, debe permitir la conectividad del dispositivo
con el servidor de actualizaciones de Palo Alto Networks o
descargar e instalar las actualizaciones mediante SCP según se
describe en Instalación de actualizaciones de contenido desde
un servidor habilitado para SCP.

Gestión de actualizaciones de contenido en el dispositivo WF-500 Análisis de archivos del dispositivo WF-500
Instalación directa de actualizaciones de contenido desde el servidor de actualizaciones (Continuación)
Paso 2 Descargue e instale la última actualización 1. Descargue la última actualización de contenido:

de contenido. admin@wf-500> request wf-content upgrade download
latest
2. Vea el estado de la descarga:
admin@wf-500> show jobs all
Puede ejecutar show jobs pending para ver los trabajos
pendientes. En el siguiente resultado se muestra que la descarga
(ID de trabajo 5) ha finalizado (estado FIN):
Enqueued ID Type Status Result Completed
---------------------------------------------------------
2014/04/22 03:42:20 5 Downld FIN OK 03:42:23
3. Una vez finalizada la descarga, instale la actualización:
admin@wf-500> request wf-content upgrade install
version latest
Vuelva a ejecutar el comando show jobs all para supervisar el
estado de la instalación.
Paso 3 Compruebe la actualización de contenido. Ejecute el siguiente comando y consulte el campo

wf-content-version:
admin@wf-500> show system info
A continuación se muestra un resultado de ejemplo con la versión de
actualización de contenido 2-253 instalada:
admin@wf-500> show system info
hostname: wf-500
ip-address: 10.5.164.245
netmask: 255.255.255.0
default-gateway: 10.5.164.1
mac-address: 00:25:90:c3:ed:56
vm-interface-ip-address: 192.168.2.2
vm-interface-netmask: 255.255.255.0
vm-interface-default-gateway: 192.168.2.1
vm-interface-dns-server: 192.168.2.1
time: Mon Apr 21 9:59:07 2014
uptime: 17 days, 23:19:16
family: m
model: WF-500
serial: abcd3333
sw-version: 6.1.0
wf-content-version: 2-253
wfm-release-date: 2014/08/20 20:00:08
logdb-version: 6.1.2
platform-family: m
Paso 4 (Opcional) Programe las actualizaciones 1. Programe el dispositivo para descargar e instalar las
de contenido para instalar las últimas actualizaciones de contenido:
actualizaciones en el cortafuegos a admin@WF-500# set deviceconfig system
intervalos establecidos. update-schedule wf-content recurring [daily |
weekly] action [download-and-install |
Puede configurar el dispositivo para la download-only]
instalación diaria o semanal y para Por ejemplo, para descargar e instalar las actualizaciones
descargar solamente o descargar e instalar diariamente a las 8:00 a.m.:
las actualizaciones. admin@WF-500# set deviceconfig system
update-schedule wf-content recurring daily action
download-and-install at 08:00

Análisis de archivos del dispositivo WF-500 Gestión de actualizaciones de contenido en el dispositivo WF-500
Instalación de actualizaciones de contenido desde un servidor habilitado

para SCP
En el siguiente procedimiento se describe cómo instalar las actualizaciones de contenido en un dispositivo

WildFire sin conectividad directa con el servidor de actualizaciones de Palo Alto Networks. Necesita un
servidor habilitado para Secure Copy (SCP) que almacene temporalmente la actualización de contenido.
Instalación de actualizaciones de contenido desde un servidor habilitado para SCP
Paso 1 Recupere el archivo de actualización de 1. Inicie sesión en el sitio de asistencia técnica de

contenido del servidor de actualizaciones. Palo Alto Networks y haga clic en la sección de actualizaciones
dinámicas.
2. En la sección del dispositivo WildFire, busque la última
actualización de contenido del dispositivo WF-500 y descárguela.
3. Copie el archivo de actualización de contenido en un servidor
habilitado para SCP y anote el nombre del archivo y la ruta de
acceso al directorio.
Paso 2 Instale la actualización de contenido en el 1. Inicie sesión en el dispositivo WF-500 y descargue el archivo de
dispositivo WildFire. actualización de contenido del servidor SCP:
admin@WF-500> scp import wf-content from
username@host:path
Por ejemplo:
admin@WF-500> scp import wf-content from
bart@10.10.10.5:c:/updates/panup-all-wfmeta-2-253.
tgz
Si el servidor SCP se ejecuta en un puerto no estándar o
si necesita especificar la dirección IP de origen, también
puede definir estas opciones en el comando scp import.
2. Instale la actualización:
admin@WF-500> request wf-content upgrade install
file panup-all-wfmeta-2-253.tgz
Vea el estado de la instalación:
admin@WF-500> show jobs all
Paso 3 Compruebe la actualización de contenido. Compruebe la versión de contenido:

admin@wf-500> show system info | match
wf-content-version
En el siguiente resultado se muestra ahora la versión 2-253:
wf-content-version: 2-253

Reenvío de archivos a un dispositivo WF-500 Análisis de archivos del dispositivo WF-500
Reenvío de archivos a un dispositivo WF-500

En los siguientes temas se describe cómo configurar un cortafuegos para reenviar archivos a un dispositivo
WF-500 y cómo comprobar la configuración. Si configura el dispositivo WF-500 para generar actualizaciones
de firmas y URL, es posible que desee configurar el cortafuegos para recuperar actualizaciones de contenido del
dispositivo. Consulte Generación de firmas/URL en un dispositivo WF-500.
Si utiliza Panorama para gestionar sus cortafuegos, simplifique la administración de WildFire mediante las
plantillas de Panorama para introducir la información del servidor de WildFire, el tamaño de archivo permitido
y la configuración de información de sesión en los cortafuegos. Utilice los grupos de dispositivos de Panorama
para configurar e introducir los perfiles de bloqueo de los archivos y las reglas de las políticas de seguridad. A
partir de PAN-OS 6.0, los logs de WildFire muestran qué sistema WildFire ha utilizado cada cortafuegos para
el análisis de archivos (nube de WildFire, dispositivo WF-500 o nube de WildFire de Japón). Al configurar el
servidor de WildFire en Panorama (Panorama > Configuración > WildFire), introduzca el servidor de WildFire que
utilizan sus cortafuegos. Por ejemplo, si los cortafuegos van a reenviar muestras a la nube de WildFire, la
configuración de Panorama debe indicar el servidor de nube con el nombre wildfire-public-cloud. Si los
cortafuegos van a reenviar a un dispositivo WF-500, la configuración de Panorama debe indicar la dirección IP
o el FQDN del dispositivo.
 Configuración de un cortafuegos para reenviar muestras a un dispositivo WF-500
 Comprobación del reenvío a un dispositivo WF-500
Configuración de un cortafuegos para reenviar muestras a un dispositivo

WF-500
Realice los pasos siguientes en cada cortafuegos que va a reenviar muestras al dispositivo WildFire:
Si hay un cortafuegos entre el cortafuegos que va a reenviar archivos a WildFire y la nube de

WildFire o el dispositivo WildFire, asegúrese de que el cortafuegos intermedio permite los
puertos necesarios.
• Nube de WildFire: Utiliza el puerto 443 para el registro y el envío de archivos.
• Dispositivo WildFire: Utiliza el puerto 443 para el registro y el 10443 para el envío de archivos.
Configuración de un cortafuegos para reenviar muestras a un dispositivo WF-500
Paso 1 Compruebe que el cortafuegos tiene una 1. Seleccione Dispositivo > Licencias y confirme que el
suscripción a WildFire y que las cortafuegos tiene instaladas suscripciones a WildFire y Threat
actualizaciones dinámicas están Prevention válidas.
programadas y actualizadas. 2. Seleccione Dispositivo > Actualizaciones dinámicas y haga clic
Consulte Prácticas recomendadas para en Comprobar ahora para asegurarse de que el cortafuegos
mantener las firmas actualizadas para tiene las actualizaciones más recientes del antivirus, aplicaciones
conocer la configuración recomendada. y amenazas y WildFire. Si va a utilizar un dispositivo WildFire
con la opción de generación de firmas o URL habilitada,
compruebe también estas actualizaciones.
3. Confirme y actualice las actualizaciones dinámicas según sea
necesario. Escalone las programaciones de actualizaciones, ya que el
cortafuegos no puede realizar más de una actualización a la vez.

Análisis de archivos del dispositivo WF-500 Reenvío de archivos a un dispositivo WF-500
Configuración de un cortafuegos para reenviar muestras a un dispositivo WF-500 (Continuación)
Paso 2 Defina el servidor de WildFire al que 1. Seleccione Dispositivo > Configuración > WildFire.
reenviará archivos el cortafuegos para su 2. Haga clic en el icono de edición Configuración general.
análisis.
3. En el campo Servidor WildFire, introduzca la dirección IP o el
FQDN del dispositivo WF-500.
Paso 3 Configure el perfil de bloqueo del archivo 1. Seleccione Objetos > Perfiles de seguridad > Bloqueo de
para definir qué aplicaciones y tipos de archivo.
archivos activarán el reenvío a WildFire. 2. Haga clic en Añadir para añadir un nuevo perfil e introduzca un
Si selecciona PE en la columna Nombre y una Descripción.
Tipos de archivos del perfil de 3. Haga clic en Añadir en la ventana Perfil de bloqueo de archivo
objetos para seleccionar una y, a continuación, haga clic en Añadir de nuevo. Haga clic en el
categoría de tipos de archivos, no campo Nombres e introduzca un nombre para la regla.
añada también un tipo de archivo 4. Seleccione las aplicaciones que coincidirán con este perfil. Por
individual que forme parte de esa ejemplo, si selecciona navegación web como la aplicación, el
categoría porque esto produciría perfil coincidirá con cualquier tráfico de la aplicación
entradas redundantes en los logs identificado como “navegación web“.
de filtrado de datos. Por ejemplo, si
5. En el campo Tipo de archivo, seleccione los tipos de archivos
selecciona PE, no es necesario
que activarán la acción de reenvío. Seleccione Cualquiera para
seleccionar exe porque forma
reenviar todos los tipos de archivos admitidos por WildFire.
parte de la categoría PE. Esto
también es aplicable al tipo de 6. En el campo Dirección, seleccione cargar, descargar o ambos.
archivo zip, ya que los tipos de Si selecciona ambos se activará el reenvío siempre que un
archivos admitidos que se usuario trate de cargar o descargar un archivo.
compriman se envían 7. Defina una Acción de la siguiente forma (seleccione Reenviar
automáticamente a WildFire. Si para este ejemplo):
desea asegurarse de que se • Reenviar: El cortafuegos reenviará automáticamente
reenvían todos los tipos de cualquier archivo que coincida con este perfil a WildFire para
archivos de Microsoft Office su análisis, además de distribuir el archivo al usuario.
admitidos, se recomienda elegir la
categoría msoffice. • Continuar y reenviar: Se indica al usuario que debe hacer
clic en Continuar para que se realice la descarga y se reenvíe
Al seleccionar una categoría en el archivo a WildFire. Como aquí se necesita de la acción del
lugar de un tipo de archivo usuario en un explorador web, solo es compatible con
individual también se garantiza aplicaciones de navegación web.
que, como la compatibilidad con
8. Haga clic en Aceptar para guardar.
un nuevo tipo de archivo se añade
a una categoría específica,
automáticamente pasará a formar
parte del perfil de bloqueo del
archivo. Si selecciona Cualquiera,
todos los tipos de archivos
admitidos se reenvían a WildFire.

Paso 4 (Opcional) Si la acción Continuar y 1. Seleccione Red > Perfiles de red > Gestión de interfaz y
reenviar se ha configurado para cualquier añada un nuevo perfil o edite un perfil existente.
tipo de archivo, debe habilitar la opción de
2. Seleccione la casilla de verificación Páginas de respuesta.
página de respuesta en la interfaz de
entrada (la interfaz que recibe el tráfico de 3. Haga clic en Aceptar para guardar el perfil.
sus usuarios en primer lugar). 4. Seleccione Red > Interfaces y, a continuación, edite la interfaz
de capa 3 o la interfaz de VLAN que sea su interfaz de entrada.
5. Haga clic en la pestaña Avanzado y seleccione el perfil Gestión
de interfaz que tenga la opción de página de respuesta habilitada
y selecciónelo en el menú desplegable.
Paso 5 Habilite el reenvío de contenido 1. Seleccione Dispositivo > Configuración > Content-ID.
descifrado. 2. Haga clic en el icono de edición de las opciones Filtrado de URL
Para reenviar archivos cifrados con SSL a y habilite Permitir reenvío de contenido descifrado.
WildFire, el cortafuegos debe tener una 3. Haga clic en ACEPTAR para guardar los cambios.
política de descifrado y la opción de Si ha configurado varios sistemas virtuales en el
reenvío de contenido descifrado cortafuegos, debe habilitar esta opción para cada VSYS.
habilitada. Seleccione Dispositivo > Sistemas virtuales, haga clic
Esta opción solamente la puede en el sistema virtual que desee modificar y seleccione la
habilitar un superusuario. casilla de verificación Permitir reenvío de contenido
descifrado.
Paso 6 Adjunte el perfil de bloqueo de archivos a 1. Seleccione Políticas > Seguridad.

una política de seguridad. 2. Haga clic en Añadir para crear una nueva política para las zonas
a las que está aplicando el reenvío de WildFire o seleccione una
política de seguridad existente.
3. En la pestaña Acciones, seleccione el perfil Bloqueo de archivo
en el menú desplegable.
Si esta regla de seguridad no tiene ningún perfil adjunto,
seleccione Perfiles en el menú Tipo de perfil para
habilitar la selección de un perfil de bloqueo de archivos.
Paso 7 (Opcional) Modifique el tamaño máximo 1. Seleccione Dispositivo > Configuración > WildFire.
del archivo que puede cargar el 2. Haga clic en el icono de edición Configuración general.
cortafuegos en WildFire.
3. Establezca el tamaño máximo para cada tipo de archivo.
Por ejemplo, si establece PDF en 5 MB, los archivos PDF con
un tamaño superior a 5 MB no se reenviarán.

Paso 8 (Solo para PA-7050) Si va a configurar el 1. Seleccione Red > Interfaces y busque un puerto disponible en
reenvío de logs en un cortafuegos PA-7050, una NPC.
debe configurar un puerto de datos en cada 2. Seleccione el puerto y cambie Tipo de interfaz a Tarjeta de log.
NPC con el tipo de interfaz Tarjeta de log.
3. En la pestaña Reenvío de tarjeta de log, introduzca la
Esto se debe a las funciones de tráfico y
información de dirección IP (IPv4 o IPv6) que permite que el
creación de logs de PA-7050 para evitar la
cortafuegos se comunique con los servidores Syslog y de correo
sobrecarga del puerto MGT.
electrónico para habilitar el cortafuegos para los logs y las alertas
La tarjeta de log (LPC) utiliza este puerto de correo electrónico. El puerto necesita además tener acceso a
directamente y el puerto actúa como un la nube de WildFire o al dispositivo WildFire para permitir el
puerto de reenvío de logs para Syslog, el reenvío de archivos.
correo electrónico y SNMP. El 4. Conecte el puerto recién configurado a un conmutador o un
cortafuegos reenvía los siguientes tipos de enrutador. No se requiere ninguna otra configuración. El
logs mediante este puerto: logs de tráfico, cortafuegos PA-7050 utiliza automáticamente este puerto en
coincidencias de HIP, amenazas y cuanto se activa.
WildFire. El cortafuegos utiliza además
este puerto para reenviar enlaces de
archivos o mensajes de correo electrónico
a WildFire para su análisis.
Si el puerto no se ha configurado, se muestra
un error de compilación. Tenga en cuenta
que solamente se puede configurar un
puerto de datos con el tipo Tarjeta de log.
El puerto MGT no se puede utilizar para
reenviar muestras a WildFire incluso si
configura una ruta de servicio.
PA-7050 no reenvía logs a
Panorama. Panorama solamente
enviará una consulta a la tarjeta de
log PA-7050 para obtener
información sobre los logs.
Paso 9 (Opcional) Modifique las opciones de la 1. Haga clic en el icono de edición de Ajustes de información de
sesión que definen qué información de sesión.
sesión se debe registrar en los informes de 2. De forma predeterminada, todos los elementos de información
análisis de WildFire. de la sesión aparecerán en los informes. Desactive las casillas de
verificación que se corresponden con los campos que desea
eliminar de los informes de análisis de WildFire.
3. Haga clic en ACEPTAR para guardar los cambios.
Paso 10 Compile la configuración. Haga clic en Compilar para aplicar los cambios.
Durante la evaluación de la política de seguridad, todos los archivos
que cumplen los criterios definidos en la política de bloqueo de
archivos se reenvían a WildFire. Para obtener información sobre
cómo visualizar los informes de análisis, consulte Elaboración de
informes de WildFire.
Para obtener instrucciones sobre cómo comprobar la configuración,
consulte Comprobación del reenvío a un dispositivo WF-500.

Comprobación del reenvío a un dispositivo WF-500
En este tema se describen los pasos necesarios para comprobar si el cortafuegos se ha configurado
correctamente para reenviar muestras a un dispositivo WF-500. Para obtener información sobre el archivo de
prueba que puede utilizar para comprobar el proceso, consulte Muestras de prueba de malware.
Comprobación del reenvío a un dispositivo WF-500
Paso 1 Compruebe las suscripciones de WildFire 1. Seleccione Dispositivo > Licencias y confirme que se ha
y prevención de amenazas y el registro de instalado una suscripción a WildFire y Threat Prevention válida.
WildFire. Si no hay instaladas licencias válidas, vaya a la sección Gestión
de licencias y haga clic en Recuperar claves de licencia del
El cortafuegos debe tener una
servidor de licencias.
suscripción a WildFire para
reenviar archivos a un dispositivo 2. Compruebe si el cortafuegos se puede comunicar con un
WildFire. Consulte Requisitos para servidor de WildFire para el reenvío de archivos:
la suscripción a WildFire. admin@PA-200> test wildfire registration
En la siguiente salida, el cortafuegos indica un dispositivo
WildFire. Si el cortafuegos indica la nube de WildFire, mostrará
el nombre de host de uno de los sistemas WildFire en la nube de
WildFire.
Test wildfire
select the best server: s1.wildfire.paloaltonetworks.com
Si los problemas con las licencias continúan, póngase en contacto

con su distribuidor o con un ingeniero de sistemas de
Palo Alto Networks para confirmar todas las licencias y conseguir un
nuevo código de autorización si es necesario.
Paso 2 Confirme si el cortafuegos envía los 1. Para determinar adónde está reenviando archivos el cortafuegos
archivos al servidor de WildFire correcto. (a la nube de WildFire o a un dispositivo WildFire), seleccione
Dispositivo > Configuración > WildFire.
2. Haga clic en el botón de edición Configuración general.
El servidor de WildFire ubicado en EE. UU. es
wildfire-public-cloud y el servidor de WildFire ubicado en Japón
es wildfire-paloaltonetworks.jp. Si ha configurado el cortafuegos
para el reenvío a un dispositivo WF-500, se muestran la
dirección IP o el FQDN del dispositivo WildFire.
Si olvida el nombre de la nube pública de WildFire,
cancele la selección del campo Servidor de WildFire y
haga clic en Aceptar para que el campo se rellene
automáticamente con el valor predeterminado para la
nube de WildFire.

Comprobación del reenvío a un dispositivo WF-500 (Continuación)
Paso 3 Revise los logs para comprobar que los 1. Seleccione Supervisar > Logs > Filtrado de datos.
archivos se reenvían a WildFire. 2. Vea la columna Acción para determinar los resultados del
reenvío:
• Forward: Indica que la muestra se ha reenviado
correctamente del plano de datos al plano de gestión en el
cortafuegos mediante un perfil de bloqueo de archivos y una
política de seguridad. En este punto, el cortafuegos aún no ha
reenviado la muestra a la nube de WildFire o a un dispositivo
WildFire.
• Wildfire-upload-success: Indica que el cortafuegos ha
reenviado el archivo a WildFire. Esto significa que el archivo
no ha sido firmado por un firmante de confianza y no ha sido
analizado previamente por WildFire.
• Wildfire-upload-skip: Indica que el archivo es apto para su
envío a WildFire, pero no ha sido necesario analizarlo porque
WildFire lo ha analizado previamente.
• Para ver los Logs de WildFire, seleccione Supervisar > Logs >
Envíos de WildFire. Si se incluyen los logs de WildFire, el
cortafuegos está reenviando correctamente los archivos a
WildFire y WildFire está devolviendo informes de análisis.
Paso 4 Compruebe la configuración de la acción 1. Seleccione Objetos > Perfiles de seguridad > Bloqueo de
en el perfil de bloqueo de archivos. archivo y haga clic en el perfil de bloqueo de archivo para
modificarlo.
2. Confirme que la acción está establecida en Reenviar o en
Continuar y reenviar. Si se establece en Continuar y reenviar,
el cortafuegos solamente reenvía tráfico http/https, ya que es el
único tipo de tráfico que permite que el cortafuegos
proporcione una página de respuesta al usuario.
Paso 5 Compruebe la política de seguridad. 1. Seleccione Políticas > Seguridad y haga clic en la regla de política
de seguridad que activa el reenvío de archivos a WildFire.
2. Haga clic en la pestaña Acciones y asegúrese que el perfil de
bloqueo de archivos está seleccionado en la lista desplegable
Bloqueo de archivo.

Paso 6 Compruebe el estado de WildFire en el Vea el estado de WildFire:

cortafuegos y confirme si el campo Status admin@PA-200> show wildfire status
se corresponde con Idle y si Device
En el siguiente resultado se muestra la dirección IP del dispositivo
registered y Valid wildfire license se
WF-500 y que el estado es Idle, lo que significa que el dispositivo está
corresponden con yes. En el resultado se
preparado para recibir archivos.
muestra también el tamaño permitido Connection info:
para cada tipo de archivo que el Wildfire cloud: 10.3.4.99
Status: Idle
cortafuegos va a reenviar. Best server: 10.3.4.99:10443
Valid wildfire license: yes
Signature verification: enable
Server selection: enable
Through a proxy: no
File size limit info:

pe 10 MB
apk 10 MB
pdf 1000 KB
ms-office 10000 KB
jar 10 MB
flash 5 MB
Forwarding info:
file idle time out (second): 90
total file forwarded: 13
file forwarded in last minute: 0
concurrent files: 0

Paso 7 Compruebe las estadísticas de WildFire El siguiente comando muestra el resultado de un cortafuegos en
para confirmar que el valor de los funcionamiento y los contadores para cada tipo de archivo que el
contadores aumenta. cortafuegos ha reenviado a WildFire. Si todos los campos del
contador muestran 0, el cortafuegos no está reenviando archivos y
debe comprobar la conectividad entre el cortafuegos y el dispositivo
WF-500. Además, compruebe si el perfil de bloqueo de archivos del
cortafuegos se ha configurado correctamente y si el perfil se ha
asociado a una regla de seguridad que permite las transferencias de
archivos.
Packet based counters:
Total msg rcvd: 4548
Total bytes rcvd: 4337198
Total msg read: 4545
Total bytes read: 4227894
Total msg lost by read: 3
Total DROP_NO_MATCH_FILE 3
Total files received from DP: 86
Counters for file cancellation:
CANCEL_BY_DP 1
CANCEL_FILE_DUP 3
Counters for file forwarding:
file type: apk
file type: pdf
file type: email-link
file type: ms-office
file type: pe
FWD_CNT_LOCAL_FILE 2
FWD_CNT_REMOTE_FILE 2
file type: flash
FWD_CNT_LOCAL_DUP 3
FWD_CNT_REMOTE_DUP_CLEAN 22
FWD_CNT_REMOTE_DUP_MAL 15
file type: jar
file type: unknown
file type: pdns
Error counters:
FWD_ERR_CONN_FAIL 24
Reset counters:
DP receiver reset cnt: 2
File cache reset cnt: 2
Service connection reset cnt: 1
Log cache reset cnt: 2
Report cache reset cnt: 2
Resource meters:
data_buf_meter 0%
msg_buf_meter 0%
ctrl_msg_buf_meter 0%
File forwarding queues:

priority: 1, size: 0

Paso 8 Compruebe el estado de las 1. Seleccione Dispositivo > Actualizaciones dinámicas.

actualizaciones dinámicas y las 2. Asegúrese de que el antivirus, las aplicaciones y amenazas y
programaciones para asegurarse de que el WildFire tienen las actualizaciones más recientes y que se ha
cortafuegos recibe automáticamente las establecido la programación para cada elemento. Escalone las
firmas de WildFire. programaciones de actualizaciones, ya que el cortafuegos no
Consulte Prácticas recomendadas para puede realizar más de una actualización a la vez.
mantener las firmas actualizadas. 3. Haga clic en Comprobar ahora en la parte inferior de las
ventanas para ver si hay alguna actualización disponible, lo que
también confirma que el cortafuegos se puede comunicar con
updates.paloaltonetworks.com.
Si el cortafuegos no tiene conectividad con el servidor de
actualización, descargue las actualizaciones directamente desde
Palo Alto Networks. Inicie sesión en el sitio de asistencia técnica de
Palo Alto Networks y seleccione la sección de actualizaciones
dinámicas.
Paso 9 Compruebe el estado del registro y las Consulte Verificación de la configuración del dispositivo WF-500.
estadísticas de los cortafuegos que
reenvían a un dispositivo WF-500.

Análisis de archivos del dispositivo WF-500 Generación de firmas/URL en un dispositivo WF-500
Generación de firmas/URL en un dispositivo WF-500

El dispositivo WF-500 puede generar firmas localmente, lo que elimina la necesidad de enviar datos a la nube
pública para bloquear el contenido malintencionado. El dispositivo puede analizar los archivos reenviados desde
los cortafuegos de Palo Alto Networks o desde la API de WildFire y generar los siguiente tipos de firmas que
bloquean tanto los archivos malintencionados como el tráfico de comandos y control asociado:
 Firmas de antivirus: Detectan y bloquean archivos malintencionados. WildFire añade estas firmas a las
actualizaciones de contenido de WildFire y antivirus.
 Firmas DNS: Detectan y bloquean los dominios de devolución de llamada para el tráfico de comandos
y control asociado al malware. WildFire añade estas firmas a las actualizaciones de contenido de WildFire y
antivirus.
 Categorización de URL: Categoriza los dominios de devolución de llamadas como malware y actualiza la
categoría de URL en PAN-DB.
Los cortafuegos deben ejecutar PAN-OS 6.1 o posterior para habilitar las actualizaciones dinámicas de un
dispositivo WF-500. Además, debe configurar los cortafuegos para recibir actualizaciones de contenido del
dispositivo WF-500, lo que ocurre cada cinco minutos. De forma opcional, puede enviar el archivo de muestra
de malware (o solamente el informe XML) a la nube de WildFire para habilitar la generación de firmas para la
distribución mediante las publicaciones de contenido de Palo Alto Networks.
Si el almacenamiento local del dispositivo está lleno, las nuevas categorizaciones de firmas/URL sobrescriben
las existentes empezando por las más antiguas.
En los siguientes temas se describe cómo habilitar la generación de firmas/URL en el dispositivo WF-500 y
cómo configurar los cortafuegos para recuperar actualizaciones de contenido del dispositivo:
 Habilitación de la generación firmas/URL en el dispositivo WF-500
 Configuración del cortafuegos para recuperar actualizaciones de un dispositivo WF-500
Habilitación de la generación firmas/URL en el dispositivo WF-500
En este flujo de trabajo se describe cómo habilitar un dispositivo WildFire para generar actualizaciones de
firmas de antivirus, firmas DNS y categorización de URL (solamente para PAN-DB) según las muestras que el
dispositivo recibe de los cortafuegos conectados y la API XML de WildFire.
Habilitación de la generación de firmas/URL en el dispositivo
Paso 1 Antes de configurar esta función, Realice el procedimiento descrito en Gestión de actualizaciones de
compruebe si el dispositivo WF-500 se ha contenido en el dispositivo WF-500.
configurado para recibir las últimas
actualizaciones de contenido de
Palo Alto Networks. Las actualizaciones de
contenido equipan el dispositivo con la
información sobre amenazas más
actualizada para garantizar la detección de
malware precisa y la generación de firmas.

Generación de firmas/URL en un dispositivo WF-500 Análisis de archivos del dispositivo WF-500
Habilitación de la generación de firmas/URL en el dispositivo (Continuación)
Paso 2 Habilite la generación de firmas/URL. 1. Inicie sesión en el dispositivo y escriba configure para acceder
al modo de configuración.
2. Habilite todas las opciones de prevención de amenazas:
signature-generation av yes dns yes url yes
Para configurar los cortafuegos conectados para la recuperación
de actualizaciones del dispositivo, consulte Configuración del
cortafuegos para recuperar actualizaciones de un dispositivo
WF-500.
Paso 3 (Opcional) Configure el dispositivo 1. Para enviar automáticamente informes de análisis:

WF-500 para reenviar informes de análisis admin@WF-500# set deviceconfig setting wildfire
o muestras malintencionadas a la nube de cloud-intelligence submit-report yes
WildFire de the Palo Alto Networks. Si Si la opción de envío de muestras está habilitada según se
las capturas de paquetes (PCAP) están describe en el siguiente paso, no es necesario habilitar el
habilitadas, PCAP también se reenviará envío de informes dado que la nube de WildFire vuelve
con el archivo de muestra. a analizar la muestra y genera un informe nuevo además
de generar una firma para las muestras malintencionadas.
2. Para enviar automáticamente muestras de archivos:
cloud-intelligence submit-sample yes
Configuración del cortafuegos para recuperar actualizaciones de un

dispositivo WF-500
Si usa la opción de Habilitación de la generación firmas/URL en el dispositivo WF-500, puede configurar los
cortafuegos para recuperar las actualizaciones de contenido periódicas del dispositivo. Esto garantiza que la red
esté protegida de las amenazas que WildFire detecta en el entorno local. Como procedimiento recomendado,
debe configurar los cortafuegos para recuperar actualizaciones de contenido de los servidores de actualizaciones
de Palo Alto Networks y de la nube de WildFire. Esto garantiza que los cortafuegos reciban firmas según las
amenazas detectadas en todo el mundo y no solo las firmas generadas por el dispositivo WF-500 local.
En el siguiente flujo de trabajo se describe cómo configurar un cortafuegos de Palo Alto Networks para
recuperar actualizaciones de contenido de un dispositivo WildFire.
Configuración del cortafuegos para recuperar actualizaciones de un dispositivo WF-500
Paso 1 Inicie la interfaz web del cortafuegos y vaya Seleccione Dispositivo > Actualizaciones dinámicas.
a la página Actualizaciones dinámicas.

Análisis de archivos del dispositivo WF-500 Generación de firmas/URL en un dispositivo WF-500
Configuración del cortafuegos para recuperar actualizaciones de un dispositivo WF-500 (Continuación)
Paso 2 Compruebe las actualizaciones más 1. Haga clic en Comprobar ahora (ubicado en la esquina inferior
recientes. izquierda de la ventana) para comprobar las actualizaciones más
recientes. El enlace de la columna Acción indica si una
actualización está disponible:
• Descargar: Indica que hay disponible un nuevo archivo de
actualización. Haga clic en el enlace para iniciar la descarga
directamente en el cortafuegos. Tras descargarlo
correctamente, el enlace en la columna Acción cambia de
Descargar a Instalar.
En la siguiente captura de pantalla se muestra la nueva sección
WF-Private de Actualizaciones dinámicas. Aquí es donde se
descargan las actualizaciones del dispositivo WF-500.
Para comprobar el estado de una acción, haga clic en Tareas

(en la esquina inferior derecha de la ventana).
• Revertir: Indica que el cortafuegos ha descargado
previamente la actualización correspondiente. Haga clic en
Revertir para instalar la versión anterior de la actualización.
Paso 3 Instale las actualizaciones. Haga clic en el enlace Instalar de la columna Acción. Cuando se
complete la instalación, aparecerá una marca de verificación en la
columna Instalado actualmente.
Paso 4 Programe la actualización. 1. Haga clic en Ninguna a la derecha de Programación si no hay

ninguna programación configurada. Si hay una programación y
Para recibir actualizaciones en el
desea modificarla, haga clic en la programación definida.
intervalo mínimo, configure el
cortafuegos para descargar e 2. Especifique la frecuencia de las actualizaciones seleccionando
instalar actualizaciones cada cinco un valor en el menú desplegable Periodicidad.
minutos. Consulte Prácticas Las actualizaciones del dispositivo WF-500 están disponibles
recomendadas para mantener las Cada 5 minutos (procedimiento recomendado), Cada 15
firmas actualizadas. minutos, Cada 30 minutos o Cada hora.
3. Especifique si el cortafuegos va a Descargar e instalar la
actualización (procedimiento recomendado) o a Únicamente
descargar.
4. Para especificar el tiempo de espera después de una publicación
de contenido antes de actualizar el contenido, introduzca el
número de horas de espera en el campo Umbral (horas). Esto
aumenta la protección en caso de que haya errores en la
publicación de contenido.
5. Haga clic en Aceptar para guardar estos ajustes de
programación.
6. Haga clic en Confirmar para guardar estos ajustes en la
configuración actual.

Actualización del dispositivo WF-500 y Análisis de archivos del
habilitación de la compatibilidad con Windows 7 dispositivo WF-500
Actualización del dispositivo WF-500 y habilitación de la

compatibilidad con Windows 7 de 64 bits
En este tema se describe cómo actualizar el sistema operativo del dispositivo WF-500 y cómo instalar y habilitar
el entorno de espacio aislado de máquina virtual (VM) de Windows 7 de 64 bits. Tenga en cuenta que al
actualizar a la versión 6.1, primero debe descargar e instalar la imagen de Windows 7 de 64 bits antes de
actualizar el sistema operativo del dispositivo WF-500. Dado que las imágenes de VM pueden tener un tamaño
de 4 GB, debe descargarlas de los servidores de actualizaciones de Palo Alto Networks y, a continuación,
alojarlas en el servidor habilitado para SCP correspondiente. A continuación, utilice el cliente SCP del
dispositivo para descargar las imágenes del servidor habilitado para SCP antes de actualizar el dispositivo.
Dado que el dispositivo solamente puede utilizar un entorno cada vez para analizar las muestras, después de
actualizar el dispositivo, revise la lista de imágenes de VM disponibles y seleccione la imagen que mejor se adapte
a su entorno. En el caso de Windows 7, si en su entorno se combinan los sistemas Windows 7 de 32 bits y
Windows 7 de 64 bits, se recomienda seleccionar la imagen de Windows 7 de 64 bits para que WildFire analice
los archivos PE de 32 bits y 64 bits. Aunque configure el dispositivo para utilizar una sola configuración de la
imagen de máquina virtual, el dispositivo utiliza con fines de mejora varias instancias de la imagen para los
análisis de archivos.
Actualice el dispositivo WF-500 antes de actualizar los cortafuegos configurados para reenviar
muestras al dispositivo.
Si va a actualizar a la versión de mantenimiento 6.1, no es necesario que instale la imagen de
Windows 7 de 64 bits. Solo tiene que descargar la última actualización de la imagen e instalarla
a continuación.
En el siguiente flujo de trabajo se describe cómo actualizar el dispositivo WF-500 y habilitar el entorno de
Windows 7 de 64 bits:
Actualización del dispositivo WF-500
Paso 1 Determine la ruta de actualización y 1. Inicie sesión en el dispositivo WF-500 y consulte la información
descargue un archivo de imagen base si es del sistema:
necesario. admin@WF-500> show system info
No puede actualizar directamente 2. Compruebe el campo sw-version: para determinar la versión

a la versión 6.1 del sistema instalada y continúe del modo siguiente:
operativo del dispositivo WildFire • Si se ha instalado la versión 6.0.0 o posterior, continúe con el
desde la versión 5.1. Aunque no es Paso 2.
necesario instalar la versión 6.0.0
• Si se ha instalado una versión anterior a 6.0.0, continúe con
(versión con características),
los pasos de esta sección.
primero debe descargar la imagen
y, a continuación, descargar e 3. Descargue la imagen base de la versión 6.0.0:
instalar la versión 6.1.0. Todas las admin@WF-500> request system software download
versiones requieren la descarga de version 6.0.0
archivos de imagen base para 4. Compruebe el estado de la descarga:
omitir la versión con admin@WF-500> show jobs all
características. 5. Una vez finalizada la descarga, continúe con el Paso 2.

Actualización del dispositivo WF-500 (Continuación)
Paso 2 Descargue los archivos de WildFire 1. Compruebe el servidor de actualizaciones por si hay versiones
requeridos para preparar la actualización del software del sistema operativo de WildFire disponibles:
de 6.1.0. admin@WF-500> request system software check
En este caso, necesita el archivo de En este caso, busque la versión 6.1.0. La columna Descargado
imagen 6.1.0 del sistema operativo de indica si la imagen se ha descargado en el dispositivo. Si la
WildFire, la imagen base de Windows 7 de imagen ya se ha descargado, puede continuar. Si la imagen no se
64 bits y la imagen del complemento de ha descargado, ejecute el siguiente comando:
Windows 7 de 64 bits. admin@WF-500> request system software download
version 6.1.0
2. Para descargar imágenes de Windows 7 de 64 bits, vaya al sitio
de asistencia técnica de Palo Alto Networks, haga clic en la
sección de actualizaciones de software y, en la sección de
imágenes de VM de invitado de WF-500, busque y descargue la
última imagen base de Windows 7 de 64 bits y la imagen del
complemento de Windows 7 de 64 bits.
Dado que los archivos de VM pueden tener un tamaño de
4 GB, asegúrese de que el software del servidor habilitado
para Secure Copy (SCP) es compatible con transferencias de
archivos de más de 4 GB y compruebe si hay suficiente
espacio libre para almacenar los archivos temporalmente.
Los nombres de los archivos son similares a los
siguientes:
• Imagen base: WFWin7_64Base_m-1.0.0_64base
• Imagen del complemento:
WFWin7_64Addon1_m-1.0.0_64addon
3. Mueva los archivos al servidor habilitado para SCP y anote el
nombre y la ruta de acceso al directorio de los archivos.
Paso 3 Descargue las imágenes de VM en el 1. Descargue el archivo de imagen base del servidor habilitado
dispositivo WF-500. para SCP:
admin@WF-500> scp import wildfire-vm-image from
username@host:path
Por ejemplo:
bart@10.43.15.41:c:/scp/WFWin7_64Base_m-1.0.0_64ba
se
La ruta de SCP después de la dirección IP o el nombre
del host varía según el software SCP utilizado. En el caso
de Windows, la ruta es c:/carpeta/nombre de archivo o
//carpeta/nombre de archivo. En el caso de los sistemas
Unix/Mac, la ruta es /carpeta/nombre de archivo o
//carpeta/nombre de archivo.
2. Descargue la imagen del complemento:
username@host:path
Por ejemplo:
bart@10.43.15.41:c:/scp/WFWin7_64Base_m-1.0.0_64ad
don1

Actualización del dispositivo WF-500 (Continuación)
Paso 4 Instale las imágenes de VM de Windows 7 1. Instale la imagen base de Windows 7 de 64 bits:
de 64 bits. admin@WF-500> request system wildfire-vm-image
upgrade install WFWin7_64Base_m-1.0.0_64base
2. Instale la imagen del complemento de Windows 7 de 64 bits:
admin@WF-500> request system wildfire-vm-image
upgrade install WFWin7_64Base_m-1.0.0_64addon1
Paso 5 Instale el archivo de imagen del sistema Instale la imagen del sistema operativo del dispositivo WF-500 que
operativo 6.1. ha descargado anteriormente:
admin@WF-500> request system software install version
6.1.0
Paso 6 Reinicie el dispositivo y confirme si la 1. Para confirmar si la actualización ha finalizado, ejecute el

instalación se ha realizado correctamente. siguiente comando y busque el tipo de trabajo Install y el
estado FIN:
admin@WF-500> show jobs all
Enqueued ID Type Status

Result Completed
----------------------------------------------------------
2014/07/30 10:38:48 2 Downld FIN
OK 10:39:08
2. Una vez finalizada la actualización, reinicie el dispositivo:

admin@WF-500> request restart system
3. Compruebe si en el campo sw-version se muestra 6.1:
admin@WF-500> show system info | match sw-version
Paso 7 (Opcional) Habilite el entorno de espacio 1. Para ver la imagen de la máquina virtual activa, ejecute el
aislado de Windows 7 de 64 bits. siguiente comando y consulte el campo Selected VM:
2. Vea una lista de las imágenes de máquinas virtuales disponibles:
admin@WF-500> show wildfire vm-images
En el siguiente resultado se muestra que vm-5 es la imagen de
Windows 7 de 64 bits:
vm-5
Windows 7 64bit, Adobe Reader 11, Flash 11, Office
2010. Support PE, PDF, Office 2010 and earlier
3. Seleccione la imagen que se va a utilizar para el análisis:
active-vm <vm-image-number>
Por ejemplo, para utilizar vm-5, ejecute el siguiente comando:
active-vm vm-5

Análisis de archivo de la nube de
WildFire
En los siguientes temas se describe cómo configurar un cortafuegos Palo Alto Networks para que reenvíe
archivos a la nube de WildFire para su análisis y cómo cargar archivos manualmente usando el portal de
WildFire. También puede usar la API de WildFire para enviar muestras a la nube de WildFire.
 Reenvío de muestras a la nube de WildFire
 Verificación del reenvío a la nube de WildFire
 Carga de archivos mediante el portal de la nube de WildFire

Reenvío de muestras a la nube de WildFire Análisis de archivo de la nube de WildFire
Reenvío de muestras a la nube de WildFire

Para configurar en un cortafuegos de Palo Alto Networks el envío automático de muestras a la nube de WildFire
para identificar malware, debe configurar un perfil de bloqueo de archivos con la acción reenviar o continuar y
reenviar (solo reenviar para enlaces de correo electrónico) y, a continuación, adjuntar el perfil a la regla de
seguridad que activa la inspección de malware de día cero. Las muestras pueden ser tipos de archivos específicos
o enlaces HTTP/HTTPS incluidos en mensajes SMTP o POP3. Por ejemplo, puede configurar una política con
un perfil de bloqueo de archivo que active el cortafuegos para reenviar un tipo de archivo específico (PDF, por
ejemplo) a WildFire o todos los tipos de archivos admitidos que los usuarios intenten descargar durante una
sesión de navegación web. El cortafuegos puede reenviar archivos cifrados si se ha configurado el descifrado de
SSL y se ha habilitado la opción para el reenvío de archivos cifrados. Para habilitar el Análisis de enlaces de
correo electrónico de WildFire, solo tiene que configurar el cortafuegos para que reenvíe el tipo de archivo de
enlace de correo electrónico.
Si utiliza Panorama para gestionar sus cortafuegos, simplifique la administración de WildFire mediante las plantillas
de Panorama para introducir la información del servidor de WildFire, el tamaño de archivo permitido y la
configuración de información de sesión en los cortafuegos. Utilice los grupos de dispositivos de Panorama para
configurar e introducir los perfiles de bloqueo de los archivos y las reglas de las políticas de seguridad. A partir de
PAN-OS 6.0, los logs de WildFire muestran qué sistema WildFire ha utilizado cada cortafuegos para el análisis de
archivos (nube de WildFire, dispositivo WF-500 o nube de WildFire de Japón). Al configurar el servidor de WildFire
en Panorama (Panorama > Configuración > WildFire), introduzca el servidor de WildFire que utilizan sus cortafuegos.
Por ejemplo, si los cortafuegos van a reenviar muestras a la nube de WildFire, la configuración de Panorama debe
indicar el servidor de nube con el nombre wildfire-public-cloud. Si los cortafuegos van a reenviar a un dispositivo
WF-500, la configuración de Panorama debe indicar la dirección IP o el FQDN del dispositivo.
Si hay un cortafuegos entre el cortafuegos que va a reenviar archivos a WildFire y la nube de

WildFire o el dispositivo WildFire, asegúrese de que el cortafuegos intermedio permite los
puertos necesarios.
• Nube de WildFire: Utiliza el puerto 443 para el registro y el envío de archivos.
• Dispositivo WildFire: Utiliza el puerto 443 para el registro y el 10443 para el envío de archivos.
Siga estas instrucciones en todos los cortafuegos que reenviarán archivos a WildFire:
Configuración de un perfil de bloqueo de archivos y posterior adición del mismo a un perfil

de seguridad
Paso 1 Compruebe que el cortafuegos tiene 1. Seleccione Dispositivo > Licencias y confirme que el
suscripciones a WildFire y prevención de cortafuegos tiene suscripciones a WildFire y Threat Prevention
amenazas y que las actualizaciones válidas.
dinámicas están programadas y 2. Seleccione Dispositivo > Actualizaciones dinámicas y haga clic
actualizadas. Consulte Prácticas en Comprobar ahora para asegurarse de que el cortafuegos
recomendadas para mantener las firmas tiene las actualizaciones más recientes del antivirus, aplicaciones
actualizadas para conocer la y amenazas y WildFire.
configuración recomendada.
3. Si las actualizaciones no están programadas, hágalo ahora.
Tener una suscripción a WildFire Escalone las programaciones de actualizaciones, ya que el
ofrece muchas ventajas, como el cortafuegos no puede realizar más de una actualización a la vez.
reenvío de tipos de archivos
avanzados y la recepción de firmas
de WildFire en no más de
15 minutos. Para obtener más
información, consulte Requisitos
para la suscripción a WildFire.

Análisis de archivo de la nube de WildFire Reenvío de muestras a la nube de WildFire

de seguridad (Continuación)
Paso 2 Configure el perfil de bloqueo del archivo 1. Seleccione Objetos > Perfiles de seguridad > Bloqueo de
para definir qué aplicaciones y tipos de archivo.
archivos activarán el reenvío a WildFire. 2. Haga clic en Añadir para añadir un nuevo perfil e introduzca un
Si selecciona PE en la columna Nombre y una Descripción.
Tipos de archivos del perfil de 3. Haga clic en Añadir en la ventana Perfil de bloqueo de archivo
objetos para seleccionar una y, a continuación, haga clic en Añadir de nuevo. Haga clic en el
categoría de tipos de archivos, no campo Nombres e introduzca un nombre para la regla.
añada también un tipo de archivo 4. Seleccione las aplicaciones que coincidirán con este perfil. Por
individual que forme parte de esa ejemplo, seleccione navegación-web para buscar coincidencias
categoría porque esto produciría con cualquier aplicación identificada como de navegación web.
entradas redundantes en los logs
5. En el campo Tipo de archivo, seleccione los tipos de archivos
de filtrado de datos. Por ejemplo, si
que activarán la acción de reenvío. Seleccione Cualquiera para
selecciona PE, no es necesario
reenviar todos los tipos de archivo admitidos por WildFire o
seleccionar exe porque forma
seleccione PE para que solo reenvíe archivos Portable
parte de la categoría PE. Esto
Executable.
también se aplica al tipo de archivo
zip, ya que el cortafuegos reenviará 6. En el campo Dirección, seleccione cargar, descargar o ambos.
automáticamente los tipos de La opción ambos activará el reenvío siempre que un usuario
archivos compatibles que estén trate de cargar o descargar un archivo.
comprimidos. Si desea asegurarse 7. Defina una acción de la siguiente forma:
de que se reenvían todos los tipos • Reenviar: el cortafuegos reenviará automáticamente
de archivos de Microsoft Office cualquier archivo que coincida con este perfil a WildFire para
admitidos, se recomienda elegir la su análisis, además de distribuir el archivo al usuario.
categoría msoffice.
• Continuar y reenviar: Se indica al usuario que debe hacer
Al seleccionar una categoría en clic en Continuar para que se realice la descarga y se reenvíe
lugar de un tipo de archivo el archivo a WildFire. Como aquí se necesita de la acción del
individual también se garantiza usuario en un explorador web, solo es compatible con
que, como la compatibilidad con aplicaciones de navegación web.
un nuevo tipo de archivo se añade
a una categoría específica,
automáticamente pasará a formar
parte del perfil de bloqueo del
archivo. Si selecciona Cualquiera,
todos los tipos de archivos
admitidos se reenvían a WildFire.
Paso 3 (Opcional) Habilite páginas de respuesta 1. Seleccione Red > Perfiles de red > Gestión de interfaz y
para permitir a los usuarios decidir si añada un nuevo perfil o edite un perfil existente.
reenvían un archivo.
2. Haga clic en la casilla de verificación Páginas de respuesta para
Si la acción Continuar y reenviar habilitarla.
se ha configurado para cualquier 3. Haga clic en Aceptar para guardar el perfil.
tipo de archivo, debe habilitar la
4. Seleccione Red > Interfaces y, a continuación, edite la interfaz
opción de página de respuesta en
de capa 3 o la interfaz VLAN que sea la interfaz de entrada.
la interfaz de entrada (la interfaz
que recibe el tráfico de sus 5. Haga clic en la pestaña Avanzado y seleccione el perfil Gestión
usuarios en primer lugar). de interfaz con la opción de página de respuesta habilitada.

Reenvío de muestras a la nube de WildFire Análisis de archivo de la nube de WildFire

Paso 4 Habilite el reenvío de contenido 1. Seleccione Dispositivo > Configuración > Content-ID.
descifrado. 2. Haga clic en el icono de edición de las opciones Filtrado de URL
Para reenviar archivos cifrados con SSL a y habilite Permitir reenvío de contenido descifrado.
WildFire, el cortafuegos debe tener una 3. Haga clic en ACEPTAR para guardar los cambios.
política de descifrado y la opción de Si el cortafuegos tiene múltiples sistemas virtuales, debe
reenvío de contenido descifrado habilitar esta opción por VSYS. En esta situación,
habilitada. seleccione Dispositivo > Sistemas virtuales, haga clic en
Esta opción solamente la puede el sistema virtual que desea modificar y seleccione la
habilitar un superusuario. casilla de verificación Permitir reenvío de contenido
descifrado.
Paso 5 Adjunte el perfil de bloqueo de archivos a 1. Seleccione Políticas > Seguridad.

una política de seguridad. 2. Haga clic en Añadir para crear una nueva política para las zonas
a las que desea aplicar el reenvío de WildFire o seleccione una
política de seguridad existente.
3. En la pestaña Acciones, seleccione el perfil Bloqueo de archivo
en el menú desplegable.
Si esta regla de seguridad no tiene ningún perfil adjunto,
seleccione Perfiles en el menú Tipo de perfil para
habilitar la selección de un perfil de bloqueo de archivos.
Paso 6 (Opcional) Modifique el tamaño máximo 1. Seleccione Dispositivo > Configuración > WildFire.
del archivo permitido para cargar en 2. Haga clic en el icono de edición Configuración general.
WildFire.
3. Establezca el tamaño máximo para cada tipo de archivo. Por
ejemplo, si establece PDF en 5 MB, los archivos PDF con un
tamaño superior a 5 MB no se reenviarán.
Paso 7 (Opcional) Modifique las opciones de la 1. Haga clic en el icono de edición de Ajustes de información de
sesión que definen qué información de sesión.
sesión se debe registrar en los informes de 2. De forma predeterminada, todos los elementos de información
análisis de WildFire. de la sesión aparecerán en los informes. Borre las casillas de
verificación que correspondan a campos que desee eliminar de
los informes de análisis de WildFire.

Análisis de archivo de la nube de WildFire Reenvío de muestras a la nube de WildFire

reenvío de logs en un cortafuegos una NPC.
PA-7050, debe configurar un puerto de 2. Seleccione el puerto y cambie Tipo de interfaz a Tarjeta de log.
datos en cada NPC con el tipo de interfaz
Tarjeta de log. Esto se debe a las
funciones de tráfico y creación de logs de
PA-7050 para evitar la sobrecarga del
puerto MGT.
de correo electrónico. El puerto necesita además tener acceso a
La tarjeta de log (LPC) utiliza este puerto la nube de WildFire o al dispositivo WildFire para permitir el
directamente y el puerto actúa como un reenvío de archivos.
puerto de reenvío de logs para Syslog, el 4. Conecte el puerto recién configurado a un conmutador o un
correo electrónico y SNMP. El enrutador. No se requiere ninguna otra configuración. El
cortafuegos reenvía los siguientes tipos de cortafuegos PA-7050 utiliza automáticamente este puerto en
logs mediante este puerto: logs de tráfico, cuanto se activa.
coincidencias de HIP, amenazas y
Si el puerto no se ha configurado, se
muestra un error de compilación. Tenga
en cuenta que solamente se puede
configurar un puerto de datos con el tipo
Tarjeta de log. El puerto MGT no se
puede utilizar para reenviar muestras a
WildFire incluso si configura una ruta de
servicio.
Panorama. Panorama enviará una
consulta a la tarjeta de log PA-7050
para obtener información sobre
los logs.
Paso 9 Compile la configuración. Haga clic en Compilar para aplicar los cambios.
Durante la evaluación de la política de seguridad, todos los archivos
que cumplen los criterios definidos en la política de bloqueo de
archivos se reenvían a WildFire. Para obtener información sobre
cómo visualizar los informes de WildFire, consulte Elaboración de
informes de WildFire.
Para obtener instrucciones sobre cómo comprobar la configuración,
consulte Verificación del reenvío a la nube de WildFire.

Verificación del reenvío a la nube de WildFire Análisis de archivo de la nube de WildFire
Verificación del reenvío a la nube de WildFire

En este tema se describen los pasos necesarios para comprobar si el cortafuegos se ha configurado
correctamente para reenviar muestras a la nube de WildFire. Para obtener información sobre el archivo de
prueba que puede utilizar para comprobar el proceso, consulte Muestras de prueba de malware.
Verificación del reenvío a la nube de WildFire
Paso 1 Compruebe las suscripciones de WildFire 1. Seleccione Dispositivo > Licencias y confirme que se ha
y prevención de amenazas y el registro de instalado una suscripción a WildFire y Threat Prevention válida.
WildFire. Si no hay instaladas licencias válidas, vaya a la sección Gestión
de licencias y haga clic en Recuperar claves de licencia del
servidor de licencias.
2. Compruebe si el cortafuegos se puede comunicar con un
servidor de WildFire para el reenvío de archivos:
admin@PA-200> test wildfire registration
En la siguiente salida, el cortafuegos indica la nube de WildFire.
Si el cortafuegos está indicando un dispositivo WildFire,
mostrará la dirección IP o FQDN del dispositivo.
Test wildfire
select the best server:
s1.wildfire.paloaltonetworks.com
3. Si los problemas con las licencias continúan, póngase en

contacto con su distribuidor o con un ingeniero de sistemas de
Palo Alto Networks para confirmar todas las licencias y
conseguir un nuevo código de autorización si es necesario.
Paso 2 Confirme que el cortafuegos está 1. Para determinar si el cortafuegos está reenviando archivos (a la
enviando archivos al sistema WildFire nube WildFire de Palo Alto Networks o a un dispositivo de
correcto. WildFire), seleccione Dispositivo > Configuración > WildFire.
2. Haga clic en el botón de edición Configuración general.
El servidor de WildFire ubicado en EE. UU. es
wildfire-public-cloud y el servidor de WildFire ubicado en Japón
es wildfire-paloaltonetworks.jp. Si se ha configurado el
cortafuegos para el reenvío a un dispositivo WF-500, se
muestran la dirección IP o el FQDN del dispositivo WildFire.
Si olvida el nombre de la nube pública de WildFire,
cancele la selección del campo Servidor de WildFire y
haga clic en Aceptar para que el campo se rellene
automáticamente con el valor predeterminado para la
nube de WildFire.

Análisis de archivo de la nube de WildFire Verificación del reenvío a la nube de WildFire
Verificación del reenvío a la nube de WildFire (Continuación)
Paso 3 Compruebe los logs para asegurarse de 1. Seleccione Supervisar > Logs > Filtrado de datos.
que el reenvío funciona correctamente. 2. Vea la columna Acción para determinar los resultados del
Para obtener información sobre la reenvío:
habilitación de detalles de encabezados de • Forward: Indica que la muestra se ha reenviado
correo electrónico en los logs, consulte correctamente del plano de datos al plano de gestión en el
Habilitación de información de cortafuegos mediante un perfil de bloqueo de archivos y una
encabezados de correo electrónico en política de seguridad. En este punto, el cortafuegos aún no ha
logs de WildFire. reenviado la muestra a la nube de WildFire o a un dispositivo
WildFire.
• Wildfire-upload-success: Indica que el cortafuegos ha
reenviado el archivo a WildFire. Esto significa que el archivo
no ha sido firmado por un firmante de confianza y no ha sido
analizado previamente por WildFire.
• Wildfire-upload-skip: Indica que el archivo es apto para su
envío a WildFire, pero no ha sido necesario analizarlo porque
WildFire lo ha analizado previamente.
3. Consulte los logs de WildFire seleccionando Supervisar >
Logs > Envíos de WildFire. Si se enumeran los logs de WildFire,
el cortafuegos está reenviando correctamente los archivos a
WildFire y WildFire está devolviendo los resultados del análisis
de archivos.
Para obtener más información sobre logs relacionados
con WildFire, consulte Logs de WildFire.
Paso 4 Compruebe la configuración de la acción 1. Seleccione Objetos > Perfiles de seguridad > Bloqueo de
en el perfil de bloqueo de archivos. archivo y haga clic en el perfil de bloqueo de archivo.
2. Confirme que la acción está establecida en Reenviar o en
Continuar y reenviar. Si se establece en Continuar y reenviar,
el cortafuegos solamente reenvía tráfico http/https, ya que es el
único tipo de tráfico que permite que el cortafuegos
proporcione una página de respuesta al usuario.
Paso 5 Compruebe que el perfil de bloqueo de 1. Seleccione Políticas > Seguridad y haga clic en la regla de
archivos está en una política de seguridad política de seguridad que activa el reenvío de archivos a
correcta. WildFire.
2. Haga clic en la pestaña Acciones y asegúrese que el perfil de
bloqueo de archivos está seleccionado en la lista desplegable
Bloqueo de archivo.

Paso 6 Compruebe el estado del servidor de admin@PA-200> show wildfire status

WildFire en el dispositivo. Cuando reenvíe los archivos a la nube de WildFire, el resultado
debería tener un aspecto similar al siguiente:
Connection info:
Nube de WildFire: public cloud
Status: Idle
Best server: s1.wildfire.paloaltonetworks.com
Valid wildfire license: yes
Signature verification: habilitar
Server selection: habilitar
Through a proxy: no
Forwarding info:
file size limit for pe (MB): 10
file size limit for jar (MB): 1
file size limit for apk (MB): 2
file size limit for pdf (KB): 500
file size limit for ms-office (KB): 10000
file idle time out (second): 90
total file forwarded: 1
file forwarded in last minute: 0
concurrent files: 0

Análisis de archivo de la nube de WildFire Verificación del reenvío a la nube de WildFire
Paso 7 Compruebe las estadísticas de WildFire El siguiente comando muestra el resultado de un cortafuegos en
para confirmar que el valor de los funcionamiento y los contadores para cada tipo de archivo que el
contadores aumenta. cortafuegos ha reenviado a WildFire. Si todos los campos del
contador muestran 0, el cortafuegos no está reenviando archivos y
debe comprobar la conectividad entre el cortafuegos y el dispositivo
WF-500. Además, compruebe si el perfil de bloqueo de archivos del
cortafuegos se ha configurado correctamente y si el perfil se ha
asociado a una regla de seguridad que permite las transferencias de
archivos.
Packet based counters:
Total msg rcvd: 12011
Total bytes rcvd: 10975328
Total msg read: 11963
Total bytes read: 10647634
Total msg lost by read: 48
Total DROP_NO_MATCH_FILE 48
Total files received from DP: 196
Counters for file cancellation:

CANCEL_FILE_DUP 11
CANCEL_CONCURRENT_LIMIT 7
Counters for file forwarding:
file type: apk
file type: pdf
file type: email-link
file type: ms-office
file type: pe
file type: flash

FWD_CNT_LOCAL_DUP 11
FWD_CNT_REMOTE_DUP_CLEAN 56
FWD_CNT_REMOTE_DUP_TBD 8
FWD_CNT_REMOTE_DUP_MAL 3
file type: jar
file type: unknown
file type: pdns
Error counters:
LOG_ERR_REPORT_CACHE_NOMATCH 880
Reset counters:
DP receiver reset cnt: 2
File cache reset cnt: 2
Service connection reset cnt: 1
Log cache reset cnt: 2
Report cache reset cnt: 2
Resource meters:
data_buf_meter 0%
msg_buf_meter 0%
ctrl_msg_buf_meter 0%
File forwarding queues:


Paso 8 Compruebe el estado de las 1. Seleccione Dispositivo > Actualizaciones dinámicas.

actualizaciones dinámicas y las 2. Asegúrese de que el antivirus, las aplicaciones y amenazas y
programaciones para asegurarse de que el WildFire tienen las actualizaciones más recientes y que se ha
cortafuegos está recibiendo establecido la programación para cada elemento.
automáticamente las firmas generadas por
3. Haga clic en Comprobar ahora en la parte inferior de las
WildFire. Consulte Prácticas
ventanas para ver si hay alguna actualización disponible, lo que
recomendadas para mantener las firmas
también confirma que el cortafuegos se puede comunicar con
actualizadas.
updates.paloaltonetworks.com.
Si el cortafuegos no tiene conectividad con el servidor de
actualización, descargue las actualizaciones directamente desde
Palo Alto Networks. Inicie sesión en el sitio de asistencia técnica de
Palo Alto Networks y seleccione la sección de actualizaciones
dinámicas.

Análisis de archivo de la nube de WildFire Carga de archivos mediante el portal de la nube de WildFire
Carga de archivos mediante el portal de la nube de WildFire

Todos los clientes de Palo Alto Networks con una cuenta de asistencia técnica pueden cargar archivos
manualmente en el portal de Palo Alto Networks WildFire para su análisis. El portal de WildFire admite la carga
manual de todos los Tipos de archivos admitidos.
Carga manual en WildFire
Paso 1 Cargue manualmente un archivo a 1. Inicie sesión en el portal de WildFire.

WildFire para su análisis. Si su cortafuegos realiza reenvíos al portal de WildFire en Japón,
use https://wildfire.paloaltonetworks.jp.
2. Haga clic en el botón Cargar muestra y, a continuación, haga
clic en Añadir archivos.
3. Acceda al archivo, resáltelo y, a continuación, haga clic en Abrir.
El nombre del archivo aparecerá debajo del icono Añadir
archivos.
4. Haga clic en el icono Iniciar a la derecha del archivo, o bien haga
clic en el botón Iniciar carga si hay varios archivos en cola para
la carga. Si los archivos se cargan correctamente, podrá ver el
mensaje Acción realizada correctamente al lado de cada archivo.
5. Cierre el cuadro de diálogo emergente Uploaded File

Information (Información sobre archivo cargado).
Paso 2 Vea los resultados del análisis. WildFire 1. Actualice la página del portal en el navegador.
tardará unos 5 minutos en completar el 2. Haga clic en Manual debajo de la columna de origen para ver los
análisis del archivo. resultados de la carga de muestras manual.
Como no se asocia la carga manual 3. La página del informe mostrará una lista de todos los archivos
con un cortafuegos específico, las que se han cargado en su cuenta. Encuentre el archivo que ha
cargas manuales aparecerán de cargado y haga clic en el icono de detalles a la izquierda del
forma separada de los cortafuegos campo de fecha.
registrados y no mostrarán El portal muestra un informe completo del análisis del archivo,
información de sesión en los en el que se detalla el comportamiento del archivo observado. Si
informes. WildFire identifica el archivo como malware, genera una firma
que posteriormente se distribuirá a todos los cortafuegos de
Palo Alto Networks configurados con una suscripción a
WildFire o Threat Prevention.

Carga de archivos mediante el portal de la nube de WildFire Análisis de archivo de la nube de WildFire

Elaboración de informes de WildFire
Cuando se detecta malware en su red, es importante reaccionar rápido para evitar que se propague a otros
sistemas de su red. Para asegurarse de recibir alertas inmediatas de detección de malware en su red, configure
sus cortafuegos para que envíen notificaciones de correo electrónico, traps SNMP o Syslog siempre que
WildFire devuelva un veredicto de malware sobre una muestra. Esto le permite ver rápidamente el informe del
análisis de WildFire e identificar qué usuario descargó el malware, determinar si el usuario ejecutó el archivo
infectado o accedió al enlace de correo electrónico malintencionado y evaluar si el malware ha intentado
propagarse a otros hosts. Si determina que el usuario accedió al contenido malintencionado, puede desconectar
rápidamente el equipo de la red para impedir que el malware se propague y seguir los procesos de respuesta a
incidentes y reparación según sea necesario.
El siguiente capítulo describe el sistema de elaboración de informes y logs de WildFire y cómo usar esta
información para localizar amenazas e identificar a los usuarios atacados por software malintencionado.
 Logs de WildFire
 Habilitación de información de encabezados de correo electrónico en logs de WildFire
 Supervisión de envíos con el portal de WildFire
 Personalización de la configuración del portal de WildFire
 Adición de cuentas de usuario del portal de WildFire
 Visualización de informes de WildFire
 Contenido del informe de WildFire
 Configuración de alertas para el malware detectado
 WildFire en acción

Logs de WildFire Elaboración de informes de WildFire
Logs de WildFire
Cada cortafuegos que configure para reenviar muestras a WildFire registrará la acción de reenvío en los logs de
filtrado de datos. Cuando WildFire analiza la muestra, si según el veredicto es malware, WildFire devuelve los
resultados al log de envío de WildFire en el cortafuegos. También puede configurar el cortafuegos para que
registre la información de encabezado de correo electrónico de archivos enviados por correo electrónico o
enlaces HTTP/HTTPS incluidos en mensajes POP3 y SMTP. Para obtener más información, consulte
Habilitación de información de encabezados de correo electrónico en logs de WildFire.
El informe de análisis detallado de cada archivo o enlace de correo electrónico que analiza WildFire se encuentra en
la vista detallada del log de envíos de WildFire. También puede ver informes de análisis en el portal de WildFire.
Si configura sus cortafuegos para el reenvío de muestras a un dispositivo WF-500, sólo puede
ver resultados de análisis en el cortafuegos que envió el archivo al dispositivo o usando la
API XML de WildFire para recuperar el informe de la aplicación.
 Logs de acción de reenvío: los logs de filtrado de datos ubicados en Supervisar > Logs > Filtrado de datos
mostrarán los archivos que se han bloqueado/reenviado en función del perfil de bloqueo del archivo. Para
determinar qué archivos se han reenviado a WildFire, busque los siguientes valores en la columna Action
(Acción) del log:
Acción Descripción
wildfire-upload-success El cortafuegos reenvió la muestra a la nube de WildFire o al dispositivo

WF-500. Esto significa que el archivo no ha sido firmado por un firmante de
confianza y no ha sido analizado previamente por WildFire.
wildfire-upload-skip Aparecerá en todos los archivos que se identifiquen como aptos para enviarse
a WildFire por un perfil de bloqueo de archivos o una política de seguridad,
pero que no fue necesario que WildFire analizase porque ya se habían
analizado previamente. En este caso, la acción de reenviar aparecerá en el
registro de filtrado de datos porque era una acción de reenvío válida, pero
que no se envió y analizó en WildFire porque el archivo ya se envió a la nube
de WildFire o dispositivo de WildFire desde otra sesión, posiblemente desde
otro cortafuegos.
Esta acción no se producirá con el reenvío de enlaces de correo electrónico.
wildfire-upload-fail La muestra no se ha podido cargar en WildFire. Esto suele deberse a
problemas de comunicación de red entre el cortafuegos y la nube de
WildFire. Verifique la conectividad y compruebe las DNS.
 Registros de WildFire: Los resultados del análisis de las muestras examinadas por WildFire se devuelven a los
logs del cortafuegos una vez se complete el análisis. Estos logs se escriben en el cortafuegos que reenvió el archivo
en Supervisar > Logs > Envíos a WildFire. Si los logs se reenvían desde el cortafuegos a Panorama, se escriben en el
servidor de Panorama, en Supervisar > Logs > Envíos a WildFire. La columna Categoría de los logs de WildFire
mostrará Bueno (los enlaces de correo electrónico inofensivos no se registran), lo que significa que el archivo es
seguro, o Malintencionado, lo que indica que WildFire ha determinado que el archivo contiene código
malintencionado. Si se determina que la muestra es malintencionada, el generador de firmas de WildFire generará
una firma. Si su cortafuegos está configurado para reenviar archivos a un dispositivo WF-500, puede configurar el
dispositivo para que reenvíe muestras a la nube de WildFire para la generación de firmas o puede realizar una
Habilitación de la generación firmas/URL en el dispositivo WF-500.

Elaboración de informes de WildFire Logs de WildFire
De manera predeterminada, los cortafuegos con una suscripción a WildFire únicamente recuperarán
resultados de análisis desde la nube de WildFire o el dispositivo WF-500 si la muestra se identifica como
malware. Para generar logs de archivos buenos, seleccione Dispositivo > Configuración > WildFire y modifique
Configuración general; a continuación, haga clic en la casilla de verificación Informar de archivos buenos.
También puede usar el siguiente comando de la CLI: admin@PA-200# set deviceconfig setting wildfire
report-benign-file.
Los veredictos benignos de enlaces de correo electrónico no se registran.
Para ver el informe detallado de una muestra que analizada por WildFire, busque la entrada del log en
Supervisar > Envíos a WildFire, haga clic en el icono a la izquierda de la entrada de log para mostrar los detalles
y, a continuación, haga clic en la pestaña Informe de análisis de WildFire. Aparecerá un mensaje de inicio de
sesión para acceder al informe y, tras introducir las credenciales correspondientes, el informe se recuperará
del sistema WildFire y se mostrará en su explorador. Para obtener información sobre cuentas de portal para
acceder a la nube de WildFire, consulte Adición de cuentas de usuario del portal de WildFire. Para obtener
información sobre la cuenta de administrador usada para recuperar informes de un dispositivo WildFire,
consulte Integración del dispositivo WF-500 en una red y el paso que describe la cuenta portal-admin.

Habilitación de información de encabezados de Elaboración de informes de WildFire
correo electrónico en logs de WildFire
Habilitación de información de encabezados de correo

electrónico en logs de WildFire
El cortafuegos puede captar información de encabezados de correo electrónico (emisor, destinatarios y asunto
del correo electrónico) y enviarla junto con los correspondientes archivos adjuntos y enlaces del propio mensaje
de correo electrónico que reenvía a WildFire. Si WildFire determina que el archivo adjunto o enlace de correo
electrónico es malicioso, incluye la información del correo electrónico en el log de envíos a WildFire que
devuelve al cortafuegos. Esta información puede ayudarle a localizar y solucionar rápidamente las amenazas
detectadas en correos electrónicos recibidos por los usuarios. Tenga en cuenta que ni el cortafuegos ni WildFire
reciben, almacenan o visualizan el contenido en sí del correo electrónico.
El siguiente flujo de trabajo describe cómo se habilitan las opciones de encabezados de correo electrónico, cómo
se establece el atributo User-ID y cómo se encuentra la información de log que le ayudará a identificar a los
destinatarios que han descargado archivos adjuntos maliciosos o que han recibido correos electrónicos con
enlaces maliciosos.
Configuración de la opción de encabezados de correo electrónico en los logs de WildFire
Paso 1 Habilite la opción de encabezado de 1. Seleccione Dispositivo > Configuración > WildFire.
correo electrónico en el cortafuegos que 2. Modifique la sección Ajustes de información de sesión y habilite
reenviará muestras a WildFire: una o más de las opciones (remitente, destinatario y asunto).
Paso 2 (Opcional) Configure la opción User-ID y 1. Seleccione Dispositivo > Identificación de usuarios >
habilite que el cortafuegos busque Configuración de asignación de grupos.
coincidencias de información de User-lD 2. Seleccione el perfil de asignación de grupos deseado para
con la información identificada en los modificarlo.
encabezados y enlaces de los correos
3. En la pestaña Perfil de servidor de la sección Dominios de
electrónicos reenviados a WildFire.
correo electrónico, rellene el campo Lista de dominios:
Cuando se produzca una coincidencia, el • Atributos de correo electrónico: Este campo se rellena
nombre de usuario de la sección de automáticamente después de completar el campo Lista de
encabezado de correo electrónico de log dominios y hacer clic en Aceptar. Los atributos se basan en
de WildFire contendrá un enlace. Al hacer su tipo de servidor de LDAP (Sun/RFC, Active Directory y
clic en el mismo, se abrirá la pestaña ACC, Novell).
filtrada por el usuario o el grupo de
usuarios. • Lista de dominios: Introduzca la lista de dominios de
correo electrónico de su organización usando una lista
separada por comas de hasta 256 caracteres.

Habilitación de información de encabezados de Elaboración de informes de WildFire
correo electrónico en logs de WildFire
Configuración de la opción de encabezados de correo electrónico en los logs de WildFire (Continuación)
Paso 3 Confirme que la información del 1. Seleccione Supervisar > Logs > Filtrado de datos en el
encabezado de correo electrónico aparece cortafuegos y busque un log que tenga la acción
en los informes de WildFire. wildfire-upload-success. La fecha/hora debería ser posterior a la
fecha/hora en que habilitó esta opción.
En un plazo aproximado de 15 minutos
después de reenviar el archivo o enlace, 2. Vea el log y el informe de análisis seleccionando Supervisar >
WildFire genera un log. Logs > Envíos a WildFire y busque el log correspondiente para
el enlace o el archivo adjunto.
Los enlaces de correo electrónico
3. Haga clic en el icono detalles de log de la primera columna. En
buenos no se registran.
la pestaña Información de registro, verá la nueva información
de correo electrónico en la sección Encabezados de correo
electrónico.
Si User-ID está configurado en el cortafuegos, el

dominio y el nombre de usuario recopilados por User-ID
se muestran en el campo User-ID del destinatario.
Use la información del encabezado de correo electrónico y el
User-ID para localizar el mensaje en el servidor de correo electrónico
y eliminarlo o usar la información para encontrar el destinatario y
eliminar la amenaza si este ya ha abierto el correo electrónico.

Supervisión de envíos con el portal de WildFire Elaboración de informes de WildFire
Supervisión de envíos con el portal de WildFire

Vaya a la nube WildFire de Palo Alto Networks, en el portal de WildFire, e inicie sesión usando sus credenciales
de asistencia técnica de Palo Alto Networks o su cuenta de WildFire. El portal se abrirá para mostrar el panel,
que enumera información de informes de resumen de todos los cortafuegos asociados a la suscripción a
WildFire o cuenta de asistencia técnica específica. Para cada dispositivo incluido, el portal mostrará estadísticas
del número de archivos de malware detectados, muestras buenas analizadas y archivos pendientes en espera de
análisis.
Si sus cortafuegos están configurados para reenviar muestras a un dispositivo WF-500, los
resultados de los logs sólo se pueden ver desde el cortafuegos que reenvió el archivo o usando
la API XML de WildFire.
Para obtener información sobre la configuración de cuentas de WildFire adicionales que pueden usarse para
revisar información de informes, consulte Adición de cuentas de usuario del portal de WildFire.

Elaboración de informes de WildFire Personalización de la configuración del portal de WildFire
Personalización de la configuración del portal de WildFire

Esta sección describe los ajustes que pueden personalizarse para una cuenta de portal, como la zona horaria y
las notificaciones de correo electrónico de cada cortafuegos. También puede eliminar logs almacenados en el
portal de cada cortafuegos que reenvía muestras a la nube de WildFire.
Personalización de la configuración del portal

de WildFire
Paso 1 Configure la zona horaria para la cuenta 1. Inicie sesión en el portal de WildFire usando sus credenciales de
del portal. inicio de sesión en el sitio de asistencia técnica de
Palo Alto Networks o su cuenta de usuario de WildFire.
2. Haga clic en el vínculo Settings (Configuración), situado en la
parte superior derecha de la ventana del portal.
3. Seleccione la zona horaria del menú desplegable y, a
continuación, haga clic en Update Time Zone (Actualizar zona
horaria) para guardar el cambio.
La marca de hora que aparecerá en el informe detallado
de WildFire se basa en la zona horaria establecida en su
cuenta del portal.
Paso 2 Elimine los logs de WildFire de 1. En el menú desplegable Delete WildFire Logs (Eliminar logs de
cortafuegos específicos. Con esto WildFire), seleccione el cortafuegos (por número de serie).
eliminará todos los logs y las 2. Haga clic en el botón Delete Logs (Eliminar logs).
notificaciones del cortafuegos
3. Haga clic en ACEPTAR para continuar con la eliminación.
seleccionado.
Paso 3 Configure las notificaciones de correo 1. En la página de configuración del portal, aparece una tabla con
electrónico que se generarán en función los encabezados de columna Dispositivo, Malware y Bueno.
de los resultados de los archivos enviados Marque Malware (Malware) y/o Benign (Bueno) para cada
a WildFire. Las notificaciones de correo cortafuegos del que desee recibir notificaciones. Haga clic en
electrónico se envían a la cuenta de correo Notificación de actualización para habilitar las notificaciones
electrónico registrada en la cuenta de para los cortafuegos seleccionados.
asistencia técnica. 2. El primer elemento de la fila mostrará Manual. Seleccione
Malware (Malware) y/o Benign (Bueno) para obtener una
notificación de los archivos que se han cargado manualmente a
la nube de WildFire, o que se han enviado mediante la API de
WildFire y haga clic en Update Notification para guardar.
Active las casillas de verificación directamente debajo de
los encabezados de columna Malware (Malware) y
Benign (Bueno) para activar todas las casillas de
verificación de los dispositivos mostrados.

Adición de cuentas de usuario del portal de WildFire Elaboración de informes de WildFire
Adición de cuentas de usuario del portal de WildFire

Las cuentas del portal de WildFire las crea un superusuario (o el propietario registrado de un dispositivo de
Palo Alto Networks) para permitir que otros usuarios inicien sesión en el portal web de WildFire y vean datos de
WildFire de dispositivos concedidos de forma específica por el superusuario o el propietario registrado.
Un superusuario es la persona que ha registrado un cortafuegos de Palo Alto Networks y tiene la principal cuenta de
asistencia técnica del dispositivo o los dispositivos. El usuario de WildFire puede ser un usuario del sitio de asistencia
técnica existente que pertenezca a cualquier cuenta (incluidas la cuenta secundaria, la principal o cualquier otra cuenta
del sistema), o puede ser un usuario que no tenga una cuenta de asistencia técnica de Palo Alto Networks, pero se le
ha otorgado acceso sólo para el portal de WildFire y un conjunto concreto de cortafuegos.
Si su cortafuegos reenvía archivos a un dispositivo WF-500, no puede ver informes de esas

muestras en el portal de WildFire, incluso al habilitar la inteligencia de la nube en el dispositivo
para el envío de archivos a la nube. El objetivo de enviar muestras desde un dispositivo a la nube
de WildFire es que la nube genere firmas para el malware detectado. A continuación,
Palo Alto Networks distribuirá esas firmas a los cortafuegos de los clientes que cuenten con una
suscripción a WildFire o Threat Prevention.
Adición de cuentas de usuario de WildFire
Paso 1 Acceda a la sección para gestionar 1. Inicie sesión en el sitio de asistencia técnica de
usuarios y cuentas en el sitio de asistencia Palo Alto Networks.
técnica y seleccione una cuenta. 2. En Manage Account (Gestionar cuenta), haga clic en Users and
Accounts (Usuarios y cuentas).
3. Seleccione una cuenta o una cuenta secundaria existente.
Paso 2 Añada un usuario de WildFire. 1. Haga clic en el botón Add WildFire User (Añadir usuario de
WildFire).
2. Introduzca la dirección de correo electrónico del usuario
destinatario que desea añadir.
El usuario puede ser un usuario de sitio de asistencia técnica
existente que pertenezca a cualquier cuenta (incluidas la
cuenta secundaria, la cuenta principal, Palo Alto Networks
o cualquier otra cuenta del sistema), así como cualquier
dirección de correo electrónico que no disponga de una
cuenta de asistencia técnica. La única restricción es que la
dirección de correo electrónico no puede proceder de una
cuenta de correo electrónico gratuita basada en web (Gmail,
Hotmail, Yahoo, etc.). Si se introduce una cuenta de correo
electrónico de un dominio no compatible, se mostrará un
mensaje de advertencia.

Elaboración de informes de WildFire Adición de cuentas de usuario del portal de WildFire
Adición de cuentas de usuario de WildFire (Continuación)
Paso 3 Asigne cortafuegos a la nueva cuenta de 1. Seleccione el o los cortafuegos por número de serie a los que
usuario y acceda al portal de WildFire. desea conceder acceso y cumplimente los detalles de cuenta
opcionales.
Se enviará un correo electrónico al usuario. Los usuarios con
una cuenta de asistencia técnica existente recibirán un correo
electrónico con una lista de los cortafuegos de los cuales ahora
pueden ver los informes de WildFire. Si el usuario no tiene una
cuenta de asistencia técnica, el portal enviará un correo
electrónico con instrucciones sobre cómo acceder al portal y
cómo configurar una nueva contraseña.
2. El nuevo usuario podrá entonces iniciar sesión en el portal de
WildFire y ver informes de WildFire de los cortafuegos a los que
se le ha concedido acceso. Además, los usuarios podrán
configurar alertas de correo electrónico automáticas para estos
dispositivos con el fin de recibir alertas sobre los archivos
analizados. También es posible elegir la opción de recibir
informes sobre archivos con malware o buenos.

Visualización de informes de WildFire Elaboración de informes de WildFire
Visualización de informes de WildFire

El método principal usado para ver informes de WildFire enviados a la nube de WildFire o a un dispositivo de
WildFire es acceder al cortafuegos que ha reenviado el archivo a WildFire y, a continuación, seleccionar Supervisar >
Logs > Envíos de WildFire y seleccionar la pestaña Informe de análisis de WildFire. Desde aquí puede ver el informe
directamente o descargarlo haciendo clic en el icono Descargar PDF ubicado en la esquina superior derecha del
informe. Si el cortafuegos reenvía logs a Panorama, se puede acceder a ellos desde los logs de Panorama. También
puede recuperar informes del portal de WildFire o un dispositivo WF-500 mediante la API XML de WildFire. Para
obtener más información, consulte Consulta de un informe PDF o XML de WildFire.
Al enviar archivos a la nube de WildFire (mediante el reenvío de cortafuegos, la carga manual o la API de
WildFire), puede acceder a los informes desde el cortafuegos, así como desde el portal de WildFire. Para acceder
a los informes desde el portal, inicie sesión en el portal de WildFire y haga clic en el botón Informes, en la parte
superior de la página del portal de WildFire. El portal muestra una lista con la fecha en que se recibió, el número
de serie del cortafuegos que reenvió el archivo, la URL o nombre del archivo y el veredicto (malware o bueno).
La búsqueda también está disponible en la parte superior de la página y se puede usar para buscar por nombre
de archivo o el valor hash.
Para ver un informe individual desde el portal, haga clic en el icono Informes, situado a la izquierda del nombre
del informe. Para guardar el informe detallado, haga clic en el botón Descargar como PDF en la esquina superior
derecha de la página del informe. A continuación se muestra una lista de archivos de muestra enviados por un
cortafuegos:

Elaboración de informes de WildFire Contenido del informe de WildFire
Contenido del informe de WildFire

Los informes de WildFire muestran información detallada de comportamiento sobre la muestra que analizó
WildFire, así como información sobre el usuario de destino, la información del encabezado de correo
electrónico (si está habilitada), la aplicación que entregó el archivo y todas las direcciones URL involucradas en
la entrega o en la actividad teléfono-casa del archivo. La organización del informe puede diferir dependiendo
del sistema WildFire (nube de WildFire o dispositivo WF-500) que analizó la muestra. El informe contendrá
parte o la totalidad de la información descrita en la siguiente tabla basada en la información de sesión
configurada en el cortafuegos que reenvió el archivo, y también en función del comportamiento observado.
Al visualizar un informe de WildFire para un archivo que se ha cargado manualmente al portal de

WildFire o mediante la API de WildFire, el informe no mostrará información de sesión, ya que el
tráfico no ha atravesado el cortafuegos. Por ejemplo, el informe no mostraría atacante/origen ni
víctima/destino.
Encabezado del informe Descripción
Descargar PDF • Haga clic en el icono Descargar PDF (ubicado en la esquina superior derecha)
para que el cortafuegos genere una versión en PDF del informe de WildFire.
Información del archivo • Tipo de archivo: Flash, PE, PDF, APK, JAR/Class o MS Office. Este campo se
llama URL en el caso de informes de enlaces de correo electrónico
HTTP/HTTPS y mostrará la URL analizada.
• Firmante de archivo: Entidad que firmó el archivo con el fin de autenticarlo.
• Valor Hash: Un archivo hash es muy similar a una huella digital, que identifica
exclusivamente un archivo para garantizar que este no se ha modificado de
ninguna forma. A continuación, se enumeran las versiones hash que genera
WildFire para cada archivo analizado:
• SHA-1: Muestra la información SHA-1 del archivo.
• SHA-256: Muestra la información SHA-256 del archivo.
• MD5: Muestra la información MD5 del archivo.
• Tamaño de archivo: Tamaño (en bytes) del archivo que analizó WildFire.
• Marca de tiempo de primera visualización: Si el sistema WildFire ha
analizado el archivo anteriormente, esta es la fecha/hora en la que se visualizó
por primera vez.
• Verdict (veredicto): Muestra el veredicto del análisis:
• Benign (bueno): El archivo es seguro y no muestra comportamiento
malintencionado.
• Malware: WildFire ha identificado el archivo como malware y generará una
firma que proteja contra futuras exposiciones.
• Archivo de muestra: Haga clic en el enlace Descargar archivo para descargar el
archivo de muestra en su sistema local. Tenga en cuenta que sólo puede descargar
archivos con el veredicto de malware, no los buenos.

Contenido del informe de WildFire Elaboración de informes de WildFire
Estado de cobertura Haga clic en el enlace Virus Total para ver información de cobertura antivirus en
el extremo y muestras que ya han sido identificadas por otros proveedores. Si
ninguno de los proveedores enumerados ha detectado nunca antes el archivo, se
indicará que no se ha encontrado el archivo (file not found).
Asimismo, si el informe se presenta en el cortafuegos, la información actualizada
acerca de la firma y la cobertura de filtrado de URL que Palo Alto Networks
proporciona actualmente también se muestra en esta sección. Dado que esta
información se recupera dinámicamente, no aparecerá en el informe en PDF.
La siguiente captura de pantalla muestra el estado de cobertura que aparece tras
presentar el informe en el cortafuegos.
La siguiente información de cobertura es proporcionada por firmas activas.

• Tipo de cobertura: El tipo de protección proporcionada por
Palo Alto Networks (virus, DNS, WildFire o URL de malware).
• ID de firma: Se asigna un número de ID único a cada firma que proporciona
Palo Alto Networks.
• Detalle: El nombre conocido del virus.
• Fecha de publicación: La fecha en que Palo Alto Networks publicó la
cobertura para protegerse contra el malware.
• Versión del contenido: El número de versión para la publicación de contenido
que ofrece protección contra el malware.
Si el cortafuegos está configurado para reenviar archivos a un
dispositivo WildFire, el cortafuegos solicitará al dispositivo y a la nube
de WildFire que determine si la dispone de información de cobertura.
Si el estado de cobertura está disponible para ambos sistemas
(nube/dispositivo), se mostrará una tabla separada para cada sistema.

información de sesión Contiene información de sesión basada en el tráfico que atraviesa el cortafuegos
que reenvió la muestra. Para definir la información de sesión que WildFire incluirá
en los informes, seleccione Dispositivo > Configuración > WildFire > Ajustes de
información de sesión.
Las siguientes opciones están disponibles:
• IP de origen
• Puerto de origen
• IP de destino
• Puerto de destino
• Sistema virtual (si VSYS múltiple está configurado en el cortafuegos)
• Aplicación
• Usuario (si el ID de usuarios está configurado en el cortafuegos)
• URL
• Nombre de archivo
• Remitente de correo electrónico
• Destinatario de correo electrónico
• Asunto de correo electrónico
Análisis dinámico Si un archivo tiene un riesgo bajo y WildFire puede determinar fácilmente que es
seguro, solamente se realiza un análisis estático, en lugar de un análisis dinámico.
Cuando se realiza un análisis dinámico, esta sección contiene pestañas para cada
entorno virtual en el que se ejecutó la muestra cuando se analizó en la nube de
WildFire. Por ejemplo, puede que la pestaña Máquina virtual 1 tenga Windows XP,
Adobe Reader 9.3.3 y Office 2003 y que Máquina virtual 2 tenga atributos similares,
pero con Office 2007. Cuando un archivo se somete a un análisis dinámico
completo, se ejecuta en cada máquina virtual y los resultados de cada entorno
pueden verse haciendo clic en cualquiera de las pestañas de máquinas virtuales.
En el dispositivo WF-500, sólo se usa una máquina virtual para el análisis,
que debe seleccionar en función de los atributos de entorno virtual que más
se adapten a su entorno local. Por ejemplo, si la mayoría de los usuarios tiene
Windows 7 de 32 bits, se seleccionaría dicha máquina virtual.

Contenido del informe de WildFire Elaboración de informes de WildFire
Resumen de Cada pestaña de máquina virtual resume el comportamiento del archivo de muestra
comportamientos en el entorno específico. Algunos ejemplos son si la muestra ha creado o
modificado archivos, iniciado un proceso, generado procesos nuevos, modificado
el registro o instalado objetos de ayuda del explorador.
La columna Gravedad indica la gravedad de cada comportamiento. El indicador de
gravedad mostrará una barra para gravedad baja y varias barras para niveles de
gravedad más altos. Esta información también se añade a las secciones de análisis
dinámico y estático.
A continuación, se describen los distintos comportamientos que se analizan:

• Actividad de red: Muestra la actividad de la red realizada por la muestra, como
el acceso a otros hosts de la red, consultas DNS y la actividad teléfono-casa.
Se proporciona un enlace para descargar la captura de paquete.
• Actividad del host (por proceso): Enumera las actividades realizadas en el
host, tales como claves de registro que se han establecido, modificado o
eliminado.
• Actividad de proceso: Muestra archivos que han empezado un proceso
principal, el nombre del proceso y la acción que ha realizado el proceso.
• Archivo: Muestra archivos que han empezado un proceso secundario, el nombre
del proceso y la acción que ha realizado el proceso.
• Mutex: Si el archivo de muestra genera otros hilos de ejecución de programa, el
nombre de mutex y el proceso principal se registran en este campo.
• Línea temporal de actividad: Proporciona una lista por reproducción de toda
la actividad registrada de la muestra. Esto ayudará a comprender la secuencia de
eventos que se produjeron durante el análisis.
La información de línea temporal de actividad solamente está
disponible en la exportación a PDF de los informes de WildFire.
Envío de malware Use esta opción para enviar manualmente la muestra a Palo Alto Networks.
La nube de WildFire volverá a analizar la muestra y generará una firma si determina
que la muestra es maliciosa. Esto es útil en un dispositivo WF-500 que no tiene
generación de firmas o inteligencia de la nube habilitadas, que se usa para reenviar
malware desde el dispositivo a la nube de WildFire.

Veredicto incorrecto de Haga clic en este enlace para enviar la muestra al equipo de amenazas de
informe Palo Alto Networks si cree que el veredicto es un falso positivo o un falso negativo.
El equipo de amenazas realizará más análisis en la muestra para determinar si
debería volver a clasificarse. Si se determina que una muestra de malware es segura,
la firma del archivo se deshabilita en una actualización de firma de antivirus futura
o, si se determina que un archivo bueno es malintencionado, se genera una nueva
firma. Una vez completada la investigación, recibirá un correo electrónico donde
que describe la acción que se ha realizado.

Configuración de alertas para el malware detectado Elaboración de informes de WildFire
Configuración de alertas para el malware detectado

Esta sección describe los pasos necesarios para configurar un cortafuegos de Palo Alto Networks para enviar
una alerta cada vez que WildFire identifica un archivo o enlace de correo electrónico malicioso. Puede configurar
alertas para archivos buenos también, pero no para enlaces de correos electrónicos buenos. Las alertas también
se pueden configurar desde el portal de WildFire; consulte Supervisión de envíos con el portal de WildFire. Este
ejemplo describe cómo configurar una alerta de correo electrónico; sin embargo, también puede configurar el
reenvío de logs para recibir alertas a través de syslog, traps SNMP o Panorama.
Configuración de alertas de correo electrónico para malware
Paso 1 Configure un perfil de servidor de correo 1. Seleccione Dispositivo > Perfiles de servidor > Correo
electrónico si no hay uno ya configurado. electrónico.
2. Haga clic en Añadir y, a continuación, introduzca un Nombre
para el perfil. Por ejemplo, WildFire-Correoelectronico-Perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este
perfil en el menú desplegable Ubicación.
4. Haga clic en Añadir para añadir una nueva entrada de servidor
de correo electrónico e introduzca la información necesaria para
conectar con el servidor SMTP y enviar mensajes de correo
electrónico (puede añadir hasta cuatro servidores de correo
electrónico al perfil):
• Servidor: Nombre para identificar el servidor de correo
electrónico (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor
SMTP existente.
• Mostrar nombre: El nombre que aparecerá en el campo De
del correo electrónico.
• De: La dirección de correo electrónico desde la que se envían
las notificaciones de correo electrónico.
• Para: La dirección de correo electrónico a la que se envían las
notificaciones de correo electrónico.
• Destinatarios adicionales: introduzca una dirección de
correo electrónico para enviar notificaciones a un segundo
destinatario.
• Puerta de enlace: La dirección IP o el nombre de host de la
puerta de enlace SMTP que se usará para enviar los mensajes
de correo electrónico.
5. Haga clic en Aceptar para guardar el perfil de servidor.
6. Haga clic en Confirmar para guardar los cambios en la
configuración actual.

Elaboración de informes de WildFire Configuración de alertas para el malware detectado
Configuración de alertas de correo electrónico para malware (Continuación)
Paso 2 Pruebe el perfil del servidor de correo 1. Seleccione Supervisar > Informes en PDF > Programador de
electrónico. correo electrónico.
2. Haga clic en Añadir y seleccione el nuevo perfil de correo
electrónico en el menú desplegable Perfil de correo
electrónico.
3. Haga clic en el botón Enviar correo electrónico de prueba y un
correo electrónico de prueba se enviará a los destinatarios
definidos en el perfil de correo electrónico.
Paso 3 Configure un perfil de reenvío de logs 1. Seleccione Objetos > Reenvío de logs.
para reenviar logs de WildFire a 2. Haga clic en Añadir e indique un nombre para el perfil. Por
Panorama, una cuenta de correo ejemplo, WildFire-Reenvio-Log.
electrónico, SNMP o un servidor syslog.
3. En la sección Configuración de WildFire, seleccione el perfil de
En este ejemplo reenviará logs de
correo electrónico de la columna Correo electrónico para
WildFire a una cuenta de correo
Malintencionado.
electrónico cuando el veredicto de
WildFire es Malintencionado. También
puede habilitar Bueno, que genera más
actividad si está realizando pruebas.
Para reenviar logs a Panorama, seleccione debajo de la

columna de Panorama las casillas de verificación Bueno o
Malintencionado. Para SNMP y Syslog, seleccione el menú
desplegable y seleccione el perfil adecuado o haga clic en
Nuevo para configurar un nuevo perfil.
Paso 4 Aplique el perfil de reenvío de logs al 1. Seleccione Políticas > Seguridad y haga clic en la política usada
perfil de seguridad que contiene el perfil para el reenvío de WildFire.
de bloqueo de archivos. 2. En la sección Ajuste de log de la pestaña Acciones, haga clic en
el menú desplegable Reenvío de logs y seleccione el nuevo
perfil de reenvío de logs. En este ejemplo, el perfil se denomina
WildFire-Reenvio-Log.
3. Haga clic en ACEPTAR para guardar los cambios y, a
continuación, haga clic en Compilar para confirmar la
configuración. Ahora los registros de WildFire se reenviarán a
las direcciones de correo electrónico definidas en el perfil de
correo electrónico.

Configuración de alertas para el malware detectado Elaboración de informes de WildFire
Configuración de alertas de correo electrónico para malware (Continuación)
reenvío de logs en un cortafuegos una NPC.
PA-7050, debe configurar un puerto de 2. Seleccione el puerto y cambie Tipo de interfaz a Tarjeta de log.
datos en cada NPC con el tipo de interfaz
Tarjeta de log. Esto se debe a las
funciones de tráfico y creación de logs de
PA-7050 para evitar la sobrecarga del
puerto MGT.
de correo electrónico. El puerto necesita además tener acceso a
La tarjeta de log (LPC) utiliza este puerto la nube de WildFire o al dispositivo WildFire para permitir el
directamente y el puerto actúa como un reenvío de archivos.
puerto de reenvío de logs para Syslog, el 4. Conecte el puerto recién configurado a un conmutador o un
correo electrónico y SNMP. El enrutador. No se requiere ninguna otra configuración. El
cortafuegos reenvía los siguientes tipos de cortafuegos PA-7050 utiliza automáticamente este puerto en
logs mediante este puerto: logs de tráfico, cuanto se activa.
coincidencias de HIP, amenazas y
5. Compile la configuración.
Si el puerto no se ha configurado, se
muestra un error de compilación. Tenga
en cuenta que solamente se puede
configurar un puerto de datos con el tipo
Tarjeta de log. El puerto MGT no se
puede utilizar para reenviar muestras a
WildFire incluso si configura una ruta de
servicio.
Panorama. Panorama solamente
enviará una consulta a la tarjeta de
log PA-7050 para obtener
información sobre los logs.

Elaboración de informes de WildFire WildFire en acción
WildFire en acción
El siguiente caso de ejemplo resume todo el ciclo de vida de WildFire. En este ejemplo, un representante de
ventas de Palo Alto Networks descarga una nueva herramienta de ventas de software que un socio de ventas ha
cargado en Dropbox. El socio de ventas cargó sin querer una versión infectada del archivo de instalación de la
herramienta de ventas, y el representante de ventas descargó después el archivo infectado.
Este ejemplo mostrará cómo un cortafuegos de Palo Alto Networks junto con WildFire puede detectar malware
de día cero descargado por un usuario final incluso cuando el tráfico tiene cifrado SSL. Una vez que WildFire
identifica el malware, se envía un log al cortafuegos y este alerta al administrador, que a continuación se pone
en contacto con el usuario para eliminar el malware. WildFire genera a continuación una nueva firma para el
malware y los cortafuegos con una suscripción a Threat Prevention o WildFire descargan la firma para
protegerse en caso de futuras exposiciones. Aunque algunos sitios web de uso compartido de archivos tienen
una función antivirus que comprueba los archivos cuando se cargan, sólo pueden proteger contra malware
“conocido”.
Si desea más información sobre la configuración de WildFire, consulte Reenvío de muestras a la nube de
WildFire o Reenvío de archivos a un dispositivo WF-500.
Este ejemplo, usa un sitio web que usa cifrado SSL, de modo que el cortafuegos debe tener
descifrado y Permitir reenvío de contenido descifrado habilitados. Para obtener
información sobre cómo habilitar el reenvío de contenido descifrado, consulte Reenvío de
muestras a la nube de WildFire o Reenvío de archivos a un dispositivo WF-500.
\
Caso de ejemplo de WildFire
Paso 1 El representante de ventas de la empresa asociada carga un archivo de una herramienta de ventas denominado
sales-tool.exe en su cuenta de Dropbox y, a continuación, envía un correo electrónico a la representante de
ventas de Palo Alto Networks con un enlace al archivo.
Paso 2 La representante de ventas de Palo Alto recibe el correo electrónico del socio de ventas y hace clic en el enlace
de descarga, que la lleva al sitio de Dropbox. A continuación, hace clic en Descargar para guardar el archivo en
su escritorio.

WildFire en acción Elaboración de informes de WildFire
Caso de ejemplo de WildFire (Continuación)
Paso 3 El cortafuegos que protege a la representante de ventas de Palo Alto tiene un perfil de bloqueo de archivos
adjunto a una política de seguridad que busca archivos en cualquier aplicación utilizada para descargar o cargar
cualquier tipo de archivo compatible (Flash, PE, PDF, APK, JAR/Class o MS Office). Tenga en cuenta que el
cortafuegos también puede estar configurado para el reenvío del tipo de archivo email-link, que permite al
cortafuegos extraer enlaces HTTP/HTTPS contenidos en mensajes de correo electrónico SMTP y POP3.
En cuanto la representante de ventas hace clic en Descargar, la política del cortafuegos reenvía el archivo
sales-tool.exe a WildFire, donde el archivo se analiza para comprobar si hay malware de día cero. Aun cuando la
representante de ventas use Dropbox, que tiene cifrado SSL, el cortafuegos está configurado para descifrar
tráfico, por lo que todo el tráfico se puede inspeccionar. Las siguientes capturas de pantalla muestran el perfil de
bloqueo de archivos, la política de seguridad configurada con el perfil de bloqueo de archivos y la opción para
permitir el reenvío de contenido descifrado.

Paso 4 En este momento, WildFire ha recibido el archivo y está analizándolo en busca de más de 200 comportamientos
malintencionados distintos. Para ver que el archivo se ha reenviado correctamente, consulte Supervisar > Logs >
Filtrado de datos en el cortafuegos.
Paso 5 En aproximadamente cinco minutos, WildFire ha terminado el análisis del archivo y envía un log de WildFire al
cortafuegos con los resultados del análisis. En este ejemplo, el log de WildFire muestra que el archivo es
malintencionado.
Paso 6 El cortafuegos se configura con un perfil de reenvío de logs que enviará alertas de WildFire al administrador de
seguridad cuando se detecte malware.

Paso 7 El administrador de seguridad identificará el usuario por el nombre (si está configurado User-ID) o, en caso
contrario, por dirección IP. En este punto, el administrador puede apagar la red o la conexión de VPN que está
usando la representante de ventas y, a continuación, ponerse en contacto con el grupo de asistencia técnica para
que ayude al usuario a comprobar y limpiar el sistema.
Al usar el informe de análisis detallado de WildFire, el técnico del grupo de asistencia técnica puede determinar
si el sistema del usuario está infectado con malware examinando los archivos, los procesos y la información de
registro detallados en el informe del análisis de WildFire. Si el usuario ejecuta el malware, el técnico puede
intentar limpiar el sistema manualmente o volver a crear una imagen de este.
Para obtener detalles de los campos del informe de WildFire, consulte Contenido del informe de WildFire.
Ilustración: Vista parcial del informe de análisis de WildFire en PDF
Paso 8 Una vez que el administrador ha identificado el malware y está comprobando el sistema del usuario, ¿cómo puede
protegerse frente a futuras exposiciones? La respuesta: En este ejemplo, el administrador ha definido una
programación en el cortafuegos para descargar e instalar firmas de WildFire cada 15 minutos y para descargar e instalar
actualizaciones del antivirus a diario. En menos de una hora y media, la representante de ventas ha descargado el
archivo infectado, WildFire ha identificado el malware de día cero, ha generado una firma, la ha añadido a la base de
datos de firmas de actualización de WildFire proporcionada por Palo Alto Networks y el cortafuegos ha descargado
e instalado la nueva firma. Este cortafuegos y cualquier otro cortafuegos de Palo Alto Networks configurado para
descargar firmas de WildFire y de antivirus ahora está protegido frente a este malware detectado recientemente.
La siguiente captura de pantalla muestra la programación de actualizaciones de WildFire:

Todo esto tiene lugar mucho antes de que la mayoría de los proveedores de antivirus perciban incluso la
existencia de software malintencionado de día cero. En este ejemplo, en un plazo muy breve, el malware ya no
se considera de día cero porque Palo Alto Networks ya lo ha detectado y ha proporcionado protección a los
clientes para evitar exposiciones futuras.


API de WildFire
La API de WildFire permite enviar trabajos de análisis de archivos mediante programación a WildFire y consultar los
datos de informe mediante una interfaz API XML sencilla además de ser compatible con la nube de WildFire y el
dispositivo WF-500. Todas las funciones de la API compatibles con la nube de WildFire son también compatibles con
el dispositivo WF-500, pero en el caso del dispositivo, debe generar las claves de acceso a la API utilizadas para acceder
a WildFire en el dispositivo en lugar de en el sitio de asistencia técnica de Palo Alto Networks. Las direcciones URL
utilizadas para acceder a la nube de WildFire y el dispositivo WildFire también son distintas. Los ejemplos de esta
sección se basan en la nube de WildFire. Para ver un ejemplo de uso de la API en un dispositivo WF-500, consulte
Uso de la API de WildFire en un dispositivo WF-500.
 Acerca de las suscripciones a WildFire y las claves de API
 Uso de la API de WildFire
 Métodos de envío de archivos de la API de WildFire
 Consulta de un informe PDF o XML de WildFire
 Uso de la API para recuperar un archivo de prueba de malware de muestra
 Uso de la API para recuperar un archivo de muestra o PCAP
 Uso de la API de WildFire en un dispositivo WF-500
Nombre de categoría 87
Acerca de las suscripciones a WildFire y las claves de API API de WildFire
Acerca de las suscripciones a WildFire y las claves de API

Se proporciona acceso a la clave de API de WildFire si como mínimo un cortafuegos de Palo Alto Networks
tiene una suscripción a WildFire activa y registrada a nombre de un titular de cuenta de su organización.
Puede compartir la misma clave de API en la organización. La clave de API aparece en la sección My Account
(Mi cuenta) del portal web de WildFire junto con las estadísticas, como cuántas cargas y consultas se han
realizado usando la clave. La clave se debe considerar secreta y no debe compartirse fuera de los canales
autorizados.
Si utiliza la API de WildFire en un dispositivo WF-500, genere las claves de API directamente en el dispositivo,
ya que no es necesario generar las claves de API en el sitio de asistencia técnica. Para obtener más información,
consulte Uso de la API de WildFire en un dispositivo WF-500.
88 Nombre de categoría
API de WildFire Uso de la API de WildFire
Uso de la API de WildFire

La API de WildFire utiliza solicitudes HTTP estándar para enviar y recibir datos. Las llamadas a la API se
pueden realizar directamente mediante las utilidades de línea de comandos, como cURL, o mediante cualquier
marco de secuencias de comandos o aplicaciones compatible con los servicios REST.
Los métodos de la API se alojan en el portal de WildFire y el protocolo HTTPS (no HTTP) es necesario para
proteger la clave de API y cualquier otro dato intercambiado con el servicio.
Una clave de API de WildFire permite hasta 1000 cargas de muestra por día y hasta 10.000 informes por día.
Para utilizar la API WildFire en un dispositivo WF-500, genere una clave de API en el dispositivo y utilice la dirección
IP o el FQDN de la dirección URL utilizada para buscar el dispositivo. Las demás funciones coinciden en caso de
utilizar la API en la nube de WildFire. Por ejemplo, la dirección URL para recuperar un informe de la nube de WildFire
es https://wildfire.paloaltonetworks.com/publicapi/get/report. La dirección URL para recuperar un informe de
un dispositivo WF-500 con la dirección IP 10.3.4.50 sería https://10.3.4.50/publicapi/get/report. Para ver un
ejemplo, consulte Uso de la API de WildFire en un dispositivo WF-500.
Métodos de envío de archivos de la API de WildFire API de WildFire
Métodos de envío de archivos de la API de WildFire

Utilice los siguientes métodos para enviar archivos a WildFire:
 Envío de un archivo a la nube de WildFire mediante el método de envío de archivos
 Envío de un archivo a WildFire mediante el método de envío de URL
Envío de un archivo a la nube de WildFire mediante el método de envío de

archivos
La API de WildFire se puede utilizar para enviar todos los Tipos de archivos admitidos. El archivo y la clave de
API son necesarios para el envío a WildFire para el análisis. El método de envío de archivos devuelve código
que indica un estado satisfactorio o erróneo. Si el resultado es un código 200 OK, significa que el envío se ha
realizado correctamente y normalmente el resultado está disponible para su consulta en cinco minutos.
En la tabla siguiente se describen los atributos de la API necesarios para enviar archivos a la nube de WildFire
mediante el método de envío de archivos:
URL https://wildfire.paloaltonetworks.com/publicapi/submit/file
Método POST
Parámetros apikey Su clave de API de WildFire
file Archivo de muestra que se va a analizar

Resultado 200 OK Indica que la acción se ha realizado correctamente y que
se devuelve un informe
401 Unauthorized Clave de API no válida
405 Method Not Allowed Uso de un método distinto de POST
413 Request Entity Too Large Tamaño de archivo de muestra superior al límite máximo
418 Unsupported File Type No se admite el tipo de archivo de muestra
419 Max Request Reached Se ha superado el número máximo de cargas por día
500 Error interno
513 Error al cargar el archivo
Envío de un archivo a WildFire mediante el método de envío de URL
Utilice el método de envío de URL para enviar un archivo para su análisis mediante una URL Este método es
idéntico, en cuanto a interfaz y funcionalidad, al método de envío de archivo, aunque un parámetro de URL
sustituye al parámetro de archivo. El parámetro de URL debe indicar un tipo de archivo admitido accesible. Si
el resultado es un código 200 OK, significa que el envío ha tenido éxito; el resultado suele estar disponible para
su consulta en 5 minutos.
API de WildFire Métodos de envío de archivos de la API de WildFire
La tabla siguiente describe los atributos de la API necesarios para enviar archivos a la nube de WildFire
utilizando una URL:
URL https://wildfire.paloaltonetworks.com/publicapi/submit/url
Método POST
Parámetros apikey Su clave de API de WildFire
url URL del archivo que se va a analizar. La dirección URL

debe contener el nombre del archivo (por ejemplo,
http://paloaltonetworks.com/folder1/my-file.pdf).
se devuelve un informe
413 Request Entity Too Large Tamaño de archivo de muestra superior al límite máximo
418 Unsupported File Type No se admite el tipo de archivo de muestra
419 Max Request Reached Se ha superado el número máximo de cargas por día
422 Error de descarga de URL
500 Error interno
Ejemplos de código para el envío de archivos

El siguiente comando cURL muestra cómo enviar un archivo a WildFire mediante el método de envío de
archivos:
curl –k -F apikey=yourAPIkey -F file=@local-file-path
https://wildfire.paloaltonetworks.com/publicapi/submit/file
El siguiente ejemplo de código Shell muestra un comando simple para enviar un archivo a la API de WildFire
para su análisis. La clave de API se proporciona como el primer parámetro y la ruta del archivo es el segundo
parámetro:
#manual upload sample to WildFire with APIKEY
#Parameter 1: APIKEY
#Parameter 2: location of the file
key=$1
file=$2
/usr/bin/curl -i -k -F apikey=$key -F file=@$file

https://wildfire.paloaltonetworks.com/submit/file
El siguiente comando cURL muestra cómo enviar un archivo a WildFire mediante el método de envío de URL:
curl –k -F apikey=yourAPIkey -F url=URL
https://wildfire.paloaltonetworks.com/publicapi/submit/url
Consulta de un informe PDF o XML de WildFire API de WildFire
Consulta de un informe PDF o XML de WildFire

Utilice el método de obtención de informes para buscar un informe XML o PDF de los resultados del análisis
de una muestra concreta. Utilice el hash MD5, SHA-1 o SHA-256 del archivo de muestra como consulta de
búsqueda.
En la tabla siguiente se describen los atributos de la API necesarios para consultar informes:
URL https://wildfire.paloaltonetworks.com/publicapi/get/report
Método POST
Parámetros hash Valor de hash MD5, SHA-1 o SHA-256 de la muestra
apikey Su clave de API de WildFire
format Formato del informe: PDF o XML

Resultado 200 OK Indica que la acción se ha realizado correctamente y que se
devuelve un informe
404 Not Found Informe no encontrado
419 Se ha superado la cuota de solicitud de informes
420 Argumentos insuficientes
421 Argumentos no válidos
500 Error interno
Consulta de la API de ejemplo para informe PDF o XML
El siguiente comando cURL muestra una consulta de un informe PDF mediante el hash MD5 de un archivo de
muestra:
curl –k -F hash=1234556 -F format=pdf -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/report
Para recuperar la versión XML del informe, sustituya format=pdf por format=xml.
Por ejemplo:
curl -k -F hash=1234556 -F format=xml -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/report
API de WildFire Uso de la API para recuperar un archivo de prueba de malware de muestra
Uso de la API para recuperar un archivo de prueba de

malware de muestra
A continuación se describe la sintaxis de la API para recuperar un archivo de malware de muestra, que se puede
utilizar para probar el procesamiento de muestra de WildFire de extremo a extremo.
Para obtener detalles del archivo de muestra, consulte Muestras de prueba de malware.
Para recuperar el archivo utilizando la API:
API : GET https://wildfire.paloaltonetworks.com/publicapi/test/pe
Esto devolverá un archivo de prueba y cada llamada a la API devolverá un archivo similar, pero con un valor
SHA256 diferente.
Si hay algún problema al recuperar el archivo, se devuelve el error de servidor interno 500.
Para recuperar el archivo de prueba mediante cURL:
curl –k https://wildfire.paloaltonetworks.com/publicapi/test/pe
Uso de la API para recuperar un archivo de muestra o PCAP
 Uso de la API para recuperar un archivo de muestra

 Uso de la API para recuperar una captura de paquetes (PCAP)
Uso de la API para recuperar un archivo de muestra
Utilice el método de obtención de muestras para recuperar una muestra concreta. Puede utilizar el hash MD5,
SHA-1 o SHA-256 del archivo de muestra como consulta de búsqueda.
URL https://wildfire.paloaltonetworks.com/publicapi/get/sample
Método POST

se devuelve una muestra
Uso de la API para recuperar un archivo de prueba de malware de muestra API de WildFire
403 Forbidden Permiso denegado
404 Not Found Muestra no encontrada
419 Se ha superado la cuota de solicitud de

muestras
500 Error interno
Consulta de la API de ejemplo para la obtención de muestras

El siguiente comando cURL muestra una consulta de una muestra mediante el hash MD5 de la muestra:
curl -k -F hash=md5hash -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/sample
Uso de la API para recuperar una captura de paquetes (PCAP)
Utilice el método de obtención de PCAP para la consulta de una PCAP registrada durante el análisis de una
muestra concreta. Utilice el hash MD5, SHA-1 o SHA-256 del archivo de muestra como consulta de búsqueda.
De forma opcional, puede definir la plataforma de la PCAP correspondiente para especificar qué PCAP se debe
devolver. Si no se especifica ninguna plataforma, el método devuelve una PCAP de una sesión con un resultado
de Malware.
En el caso de las muestras cargadas antes de agosto de 2014, no se garantiza la devolución de

una PCAP si no se especifica ninguna plataforma.
En la siguiente tabla se describen los parámetros de plataforma disponibles:

ID de plataforma Descripción
1 Windows XP, Adobe Reader 9.3.3, Office 2003
2 Windows XP, Adobe Reader 9.4.0, Flash 10, Office 2007
3 Windows XP, Adobe Reader 11, Flash 11, Office 2010
4 Windows 7 de 32 bits, Adobe Reader 11, Flash 11, Office 2010
5 Windows 7 de 64 bits, Adobe Reader 11, Flash 11, Office 2010
201 Android 2.3, API 10, avd2.3.1
En la siguiente tabla se describen los atributos de la API necesarios para las PCAP:
URL https://wildfire.paloaltonetworks.com/publicapi/get/pcap
Método POST
API de WildFire Uso de la API para recuperar un archivo de prueba de malware de muestra
platform* Entorno de análisis de destino

se devuelve una PCAP
403 Forbidden Permiso denegado
404 Not Found PCAP no encontrada
419 Se ha superado la cuota de solicitud de

muestras
500 Error interno
* Parámetro opcional
Consulta de la API de ejemplo para la obtención de PCAP
El siguiente comando cURL muestra una consulta de una PCAP mediante el hash MD5 de la muestra:
curl -k -F hash=md5hash -F apikey=yourAPIkey -F platform=targetPlatform
https://wildfire.paloaltonetworks.com/publicapi/get/pcap
Uso de la API de WildFire en un dispositivo WF-500 API de WildFire
Uso de la API de WildFire en un dispositivo WF-500

Para utilizar la API XML de WildFire en un dispositivo WF-500, primero debe generar una clave de API en el
dispositivo y, a continuación, utilizar la clave de API del equipo host que realiza las funciones de la API.
La dirección URL utilizada para buscar el dispositivo se basa en la dirección IP o el FQDN del dispositivo.
Después de generar las claves y utilizar la dirección URL para buscar el dispositivo, puede ejecutar las funciones
de la API compatibles con la nube de WildFire.
En los siguientes temas se describe cómo gestionar las claves de API en el dispositivo y se incluye un ejemplo
de uso de la API de WildFire para enviar muestras de archivos al dispositivo.
 Generación de claves de API en el dispositivo WildFire
 Gestión de claves de API en el dispositivo WildFire
 Uso de la API de WildFire en un dispositivo WildFire
Generación de claves de API en el dispositivo WildFire
Generación de una clave de API
Paso 1 Genere una clave de API nueva en el 1. Inicie sesión en la CLI del dispositivo WildFire.
dispositivo WildFire. El dispositivo 2. Genere la clave de API mediante uno de los siguientes métodos:
admite hasta 100 claves de API.
• Genere una clave automáticamente:
El procedimiento recomendado
admin@WF-500> create wildfire api-key name
es omitir la opción de valor de
key-name
clave en este paso para que el
cortafuegos genere una clave Por ejemplo, para crear una clave con el nombre my-api-key:
automáticamente. Si introduce admin@WF-500> create wildfire api-key name
una clave manualmente, el valor my-api-key
de clave se debe corresponder con • Para generar una clave manualmente (donde key-value es una
64 caracteres alfabéticos (a-z) o clave de 64 bits):
números (0-9) elegidos
aleatoriamente.
my-api-key key key-value
Por ejemplo:
my-api-key key
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F45
5F142494BC43D4A1
API de WildFire Uso de la API de WildFire en un dispositivo WF-500
Generación de una clave de API (Continuación)
Paso 2 Vea las claves de API que ha generado. Vea todas las claves de API:
admin@WF-500> show wildfire api-key all
Este comando muestra además la fecha de generación de la clave y la
última vez que se utilizó la clave.
En este ejemplo, el dispositivo ha generado la siguiente clave con el
nombre my-api-key:
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F1424
94BC43D4A1
Gestión de claves de API en el dispositivo WildFire
En esta sección se describen algunos comandos útiles que puede utilizar para gestionar las claves de API de
WildFire en el dispositivo y se describe cómo exportar e importar las claves. Por ejemplo, es posible que desee
exportar todas las claves con fines de copia de seguridad o para facilitar el acceso a las claves desde los sistemas
que utilizarán la API para ejecutar varias funciones en el dispositivo.
Gestión de claves de API
• Utilice los siguientes comandos para deshabilitar • Deshabilite o habilite una clave de API:
las claves de API temporalmente, habilitar las
admin@WF-500> edit wildfire api-key status [disable |
claves o eliminar las claves no utilizadas.
enable] key api-key
Por ejemplo, para deshabilitar la clave de API utilizada en este
ejemplo:
admin@WF-500> edit wildfire api-key status disable key
494BC43D4A1
En el comando anterior, puede escribir los primeros dígitos
únicos de la clave y, a continuación, hacer clic en la pestaña
para incluir los dígitos restantes.
• Elimine una clave de API:
admin@WF-500> delete wildfire api-key key api-key
Por ejemplo:
admin@WF-500> delete wildfire api-key key
94BC43D4A1
Gestión de claves de API (Continuación)
• Utilice los siguientes comandos para importar o • Guarde todas las claves de API en un archivo para preparar las
exportar las claves de API del dispositivo claves para su exportación:
mediante Secure Copy (SCP).
admin@WF-500# save wildfire api-key to filename
Por ejemplo:
admin@WF-500> save wildfire api-key to my-api-keys
Para aplicar SCP al archivo de claves de API en un servidor
habilitado para SCP:
admin@WF-500> scp export wildfire-api-keys to
username@host:path
Por ejemplo:
admin@WF-500> scp export wildfire-api-keys to
bart@10.10.10.5:c:/scp/
Además, puede importar las claves de un servidor habilitado para
SCP:
admin@WF-500> scp import wildfire-api-keys from
bart@10.10.10.5:c:/scp/my-api-keys
• Después de importar las claves de API, debe cargarlas:
admin@WF-500# load wildfire api-key mode [merge |
replace] from my-api-keys
Si omite la opción mode, el comportamiento predeterminado
combina las claves nuevas. Para sustituir todas las claves de API del
dispositivo, utilice la opción replace. Por ejemplo, para sustituir
todas las claves de API, introduzca el comando:
admin@WF-500# load wildfire api-key mode replace from
my-api-keys
• Confirme si se han cargado las claves:
admin@WF-500> show wildfire api-keys all
Uso de la API de WildFire en un dispositivo WildFire
En el siguiente flujo de trabajo se describe cómo utilizar la API de WildFire para enviar un archivo de muestra
a un dispositivo WF-500 para su análisis. Una vez que comprenda los conceptos básicos de este flujo de trabajo,
puede utilizar cualquier función de la API disponible en la nube de WildFire. Consulte en API de WildFire los
enlaces a otros ejemplos de la API de WildFire basados en la nube de WildFire. Las funciones son las mismas,
pero en el caso del dispositivo the WF-500, debe utilizar la clave de API generada en el dispositivo y la dirección
URL del dispositivo.
Este flujo de trabajo requiere un equipo host con la herramienta de línea de comandos cURL
instalada. A continuación, debe enviar los archivos del equipo host al dispositivo WildFire
mediante la sintaxis de dirección URL.
API de WildFire Uso de la API de WildFire en un dispositivo WF-500
Uso de la API de WildFire para enviar una muestra de archivo
Paso 1 Genere una clave WildFire API para que el equipo host ejecute las funciones de API en el dispositivo WildFire.
Para obtener más información, consulte Generación de claves de API en el dispositivo WildFire.
1. Acceda a la CLI en el dispositivo WildFire y genere una clave de API:
admin@WF-500> create wildfire api-key name my-api-key
2. Vea las claves de API:
admin@WF-500> show wildfire api-key all
3. Asegúrese de que la clave está habilitada y, a continuación, seleccione y copie la clave. En la siguiente captura
de pantalla se muestra un clave de API de ejemplo con el nombre my-api-key.
Paso 2 Con la nueva clave de API que ha generado, envíe un archivo de muestra al dispositivo WildFire.
1. Incluya el archivo de muestra en una carpeta a la que se pueda acceder desde el equipo host con la herramienta
de línea de comandos cURL instalada y anote la ruta del archivo de muestra.
2. Envíe el archivo mediante cURL:
curl -k -F apikey=your-API-key -F file=@local-file-path --remote-name
https://WF-appliance-IP/publicapi/submit/file
La sintaxis varía según el host utilizado. En los siguientes ejemplos se muestra la sintaxis en caso de utilizar
un host de Linux y un host de Windows.
Host de Linux:
curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F
file=@test-wf-api.docx --remote-name https://10.3.4.99/publicapi/submit/file
Host de Windows (la única diferencia es la ruta de acceso al archivo después del símbolo @):
curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F
file=@c://scp/test-wf-api.docx --remote-name https://10.3.4.99/publicapi/submit/file
3. Compruebe si la API ha enviado el archivo correctamente al dispositivo WildFire. Para ver una lista de las
muestras recientes enviadas al dispositivo:
admin@WF-500> show wildfire latest samples
En la siguiente captura de pantalla se puede ver que el archivo de muestra test-wf-api.docx se ha enviado
correctamente al dispositivo:
Si no se encuentra el archivo de muestra en el dispositivo, compruebe la conectividad entre el equipo host y el dispositivo,
y confirme si la ruta de acceso a la carpeta o el archivo es correcta. Además, puede ejecutar show wildfire status (el
estado debe ser Idle) y show wildfire statistics para comprobar si el dispositivo está listo para el análisis de
archivos. Para obtener más información sobre la solución de problemas, consulte la guía del administrador de
Palo Alto Networks WildFire.

Referencia de la CLI del software del
dispositivo WildFire
En esta sección se describen los comandos de la CLI específicos para el software del dispositivo WF-500. El
resto de comandos, tales como las interfaces de configuración, confirmación de la configuración y el ajuste de
la información del sistema, son idénticos a PAN-OS y también se muestran en la jerarquía. Para obtener
información sobre los comandos de PAN-OS, consulte la guía de referencia de la interfaz de línea de comandos
de PAN-OS de Palo Alto Networks.
 Conceptos de la CLI del software del dispositivo WildFire
 Modos de comando de la CLI de WildFire
 Acceso a la CLI
 Uso de la CLI
 Referencia de comandos del modo de configuración
 Referencia de comandos del modo de operación

Conceptos de la CLI del software del dispositivo WildFire Referencia de la CLI del software del dispositivo WildFire
Conceptos de la CLI del software del dispositivo WildFire

En esta sección se presenta la interfaz de línea de comandos (CLI) del software del dispositivo WildFire y se
describe su uso:
 Estructura de la CLI del software del dispositivo WildFire
 Convenciones de comandos de la CLI del software del dispositivo WildFire
 Mensajes de comandos de la CLI del dispositivo WildFire
 Símbolos de opciones de comandos
 Niveles de privilegio
Estructura de la CLI del software del dispositivo WildFire
La CLI del software del dispositivo WildFire se usa manejar dicho dispositivo. La CLI es la única interfaz del
dispositivo. Sirve para ver información de estado y configuración y modificar la configuración del dispositivo.
Acceda a la CLI del software del dispositivo WildFire a través de SSH o de un acceso directo a la consola usando
el puerto de la consola.
La CLI del software del dispositivo WildFire tiene dos modos de funcionamiento:
 Modo de operación: Permite ver el estado del sistema, navegar por la CLI del software del dispositivo
WildFire y acceder al modo de configuración.
 Modo de configuración: Permite ver y modificar la jerarquía de configuración.
Convenciones de comandos de la CLI del software del dispositivo WildFire
El mensaje de comandos básico incluye el nombre de usuario y de host del dispositivo:

username@hostname>
Ejemplo:
admin@WF-500>
Al entrar en el modo de configuración, el mensaje cambia de > a #:
username@hostname>(Operational mode)
username@hostname> configure
Entering configuration mode
[editar]
username@hostname# (Configuration mode)
En el modo de configuración, el contexto de jerarquía actual se muestra en el titular [editar...] que
aparece entre corchetes cuando se emite un comando.

Referencia de la CLI del software del dispositivo WildFire Conceptos de la CLI del software del dispositivo WildFire
Mensajes de comandos de la CLI del dispositivo WildFire
Se pueden mostrar mensajes al emitir un comando. Los mensajes ofrecen información de contexto y pueden
ayudar a corregir comandos no válidos. En los siguientes ejemplos, el mensaje se muestra en negrita.
Ejemplo: Comando desconocido
username@hostname# application-group
Unknown command: application-group
[edit network]
username@hostname#
Ejemplo: Modos de cambio
username@hostname# exit
Exiting configuration mode
username@hostname>
Ejemplo: Sintaxis no válida
username@hostname> debug 17
Unrecognized command
Invalid syntax.
username@hostname>
La CLI comprueba la sintaxis de cada comando. Si la sintaxis es correcta, se ejecuta el comando y se registran
los cambios de la jerarquía del candidato. Si la sintaxis no es correcta, aparece un mensaje de sintaxis no válida,
como en el siguiente ejemplo:
username@hostname# set deviceconfig setting wildfire cloud-intelligence
submit-sample yes
Unrecognized command
Invalid syntax.
[edit]
username@hostname#
Símbolos de opciones de comandos
El símbolo que precede a una opción puede proporcionar información adicional acerca de la sintaxis de
comandos.
Símbolo Descripción
* Esta opción es obligatoria.

> Hay opciones adicionales anidadas para este comando.
+ Hay opciones de comando adicionales para este comando en este nivel.
| Hay una opción para especificar un “valor de excepción” o un “valor de

coincidencia” para restringir el comando.

Conceptos de la CLI del software del dispositivo WildFire Referencia de la CLI del software del dispositivo WildFire
Símbolo Descripción
““ Aunque las comillas dobles no son un símbolo de opción de comando,

debe usarse al introducir frases de varias palabras en comandos de CLI.
Por ejemplo, para crear un nombre de grupo de dirección llamado Grupo
de prueba y añadir el usuario llamado nombre1 a este grupo, debe escribir
el nombre del grupo con comillas dobles alrededor del siguiente modo:
establecer grupo de direcciones “Grupo de prueba” usuario1.
Si no coloca comillas dobles alrededor del nombre del grupo, la CLI

podría interpretar la palabra Prueba como el nombre del grupo y Grupo
como el nombre de usuario y se mostraría el siguiente mensaje de error:
“prueba no es un nombre válido”.
Las comillas simples tampoco serían válidas en este ejemplo.
Los siguientes ejemplos muestran cómo se usan estos símbolos.

Ejemplo: En el siguiente comando, es obligatoria la palabra clave from:
username@hostname> scp import configuration ?
+ remote-port SSH port number on remote host
* from Source (username@host:path)
username@hostname> scp import configuration
Ejemplo: This command output shows options designated with + and >.
username@hostname# set rulebase security rules rule1 ?
+ action action
+ application application
+ destination destination
+ disabled disabled
+ from from
+ log-end log-end
+ log-setting log-setting
+ log-start log-start
+ negate-destination negate-destination
+ negate-source negate-source
+ schedule schedule
+ service service
+ source source
+ to to
> profiles profiles
<Enter> Finish input
[edit]
username@hostname# set rulebase security rules rule1

Referencia de la CLI del software del dispositivo WildFire Conceptos de la CLI del software del dispositivo WildFire
Cada opción de la lista marcada con + se puede añadir al comando.

La palabra clave perfiles (con >) tiene opciones adicionales:
username@hostname# set rulebase security rules rule1 profiles ?
+ virus Help string for virus
+ spyware Help string for spyware
+ vulnerability Help string for vulnerability
+ group Help string for group
<Enter> Finish input
[edit]
username@hostname# set rulebase security rules rule1 profiles
Niveles de privilegio
Los niveles de privilegio determinan los comandos que el usuario tiene permitido ejecutar y la información que
el usuario tiene permitido ver.
Nivel Descripción
Superlector Tiene solo acceso de lectura completo al dispositivo.
Superusuario Tiene acceso de escritura completo al dispositivo.

Modos de comando de la CLI de WildFire Referencia de la CLI del software del dispositivo WildFire
Modos de comando de la CLI de WildFire

Esta sección describe los modos usados para interactuar con la CLI del software del dispositivo WildFire:
 Modo de configuración
 Modo de operación
Modo de configuración
Al introducir comandos en el modo de configuración se modifica la configuración del candidato.

La configuración del candidato modificada se almacena en la memoria del dispositivo y se conserva mientras el
dispositivo esté en funcionamiento.
Cada comando de configuración implica una acción, y también puede incluir palabras clave, opciones y valores.
En esta sección se describen el modo de configuración y la jerarquía de configuración:
 Uso de comandos del modo de configuración
 Jerarquía de configuración
 Navegación por la jerarquía
Uso de comandos del modo de configuración
Use los siguientes comandos para almacenar y aplicar cambios de configuración:
 save: Guarda la configuración del candidato en el sistema de almacenamiento no volátil del dispositivo.
La configuración guardada se conserva hasta que se vuelva a usar el comando save para sobrescribirla. Tenga
en cuenta que este comando no activa la configuración.
 commit: Aplica la configuración del candidato al dispositivo. Una configuración compilada vuelve activa la
configuración del dispositivo.
 set: Cambia un valor de la configuración del candidato.
 load: Asigna la última configuración guardada o una configuración especificada para ser la configuración
del candidato.
Si sale del modo de configuración sin emitir los comandos save o commit, los cambios en la
configuración se pueden perder en caso de pérdida de potencia.

Referencia de la CLI del software del dispositivo WildFire Modos de comando de la CLI de WildFire
Please translate.
Mantener la configuración de un candidato y separar los pasos de guardado y compilación conlleva importantes
ventajas en comparación con las arquitecturas CLI tradicionales:
 Distinguir entre los conceptos de save y commit permite hacer múltiples cambios simultáneos y reduce la
vulnerabilidad del sistema.
 Los comandos se pueden adaptar fácilmente para funciones similares. Por ejemplo, al configurar dos
interfaces Ethernet, cada una con una dirección IP, puede editar la configuración de la primera interfaz,
copiar el comando, modificar solo la interfaz y la dirección IP y, a continuación, aplicar el cambio a la segunda
interfaz.
 La estructura de comandos siempre es constante.

Dado que la configuración del candidato siempre es exclusiva, todos los cambios autorizados de la configuración
del candidato son coherentes entre sí.
Jerarquía de configuración
La configuración del dispositivo se organiza con una estructura jerárquica. Para mostrar un segmento del nivel
actual de la jerarquía, use el comando show. Al introducir mostrar, aparece la jerarquía completa, mientras que
al introducir mostrar con palabras clave, aparece un segmento de la jerarquía. Por ejemplo, si se ejecuta el
comando show en el nivel superior del modo de configuración, se muestra toda la configuración. Si se ejecuta
el comando edit mgt-config y se introduce show, o se ejecuta el comando show mgt-config, solo
aparece la parte de la jerarquía relativa a la configuración de gestión.

Rutas de jerarquía
Al introducir comandos, la ruta se traza a través de la jerarquía del siguiente modo:
Por ejemplo, el siguiente comando asigna el servidor de DNS principal 10.0.0.246 para el dispositivo:
[edit]
username@hostname# set deviceconfig system dns-setting servers primary
10.0.0.246
Este comando genera un nuevo elemento en la jerarquía y en los resultados del siguiente comando show:
[edit]
username@hostname# show deviceconfig system dns-settings
dns-setting {
servers {
primary 10.0.0.246
}
}
[edit]
username@hostname#

Referencia de la CLI del software del dispositivo WildFire Modos de comando de la CLI de WildFire
Navegación por la jerarquía
El titular [edit...] debajo de la línea del símbolo de sistema del modo de configuración muestra el contexto de la
jerarquía actual.
[editar]
indica que el contexto relativo es el máximo nivel de la jerarquía, mientras que
[editar deviceconfig]
indica que el contexto relativo está al nivel de deviceconfig.
Use los comandos de la lista para navegar por la jerarquía de configuración.
Nivel Descripción
edit Establece el contexto para la configuración dentro de la jerarquía de

comandos.
arriba Cambia el contexto al nivel superior de la jerarquía.
máximo Cambia el contexto al nivel más alto de la jerarquía.
Si se emite el comando establecer después de usar los comandos arriba y principal, se

inicia desde un nuevo contexto.

Modo de operación
La primera vez que se inicia sesión en el dispositivo, la CLI del software del dispositivo WildFire se abre en el
modo de operación. Los comandos del modo de operación tienen que ver con acciones que se ejecutan
inmediatamente. No suponen cambios en la configuración, y no es necesario guardarlos o compilarlos.
Los comandos del modo de operación son de varios tipos:
 Acceso a la red: Se abre una ventana para otro host. Es compatible con SSH.
 Monitoring and troubleshooting: Realizar diagnósticos y análisis. Incluye los comandos debug y ping.
 Mostrar comandos: Muestra o borra la información actual. Incluye los comandos clear y show.
 Comandos de navegación de la CLI del software del dispositivo WildFire: Entrar en el modo de
configuración o salir de la CLI del software del dispositivo WildFire. Incluye los comandos configure, exit
y quit.
 Comandos del sistema: Hace solicitudes en el nivel del sistema o reinicia. Incluye los comandos establecer
y solicitud.

Referencia de la CLI del software del dispositivo WildFire Acceso a la CLI
Acceso a la CLI
En esta sección se describe cómo acceder y comenzar a usar la CLI del software del dispositivo WildFire:
 Establecimiento de una conexión directa con la consola
 Establecimiento de una conexión de SSH
Establecimiento de una conexión directa con la consola
Utilice la siguiente configuración en la conexión directa de la consola:
 Tasa de datos: 9600
 Bits de datos: 8
 Paridad: no
 Bits de terminación: 1
 Control de flujo: Ninguno
Establecimiento de una conexión de SSH
Para acceder a la CLI del software del dispositivo WildFire:
Inicio de la CLI de WildFire
1. Utilice software de emulación de terminal para establecer una conexión de la consola

SSH con el dispositivo WF-500.
2. Introduzca el nombre del usuario administrativo. El valor predeterminado es admin.
3. Introduzca la contraseña administrativa. El valor predeterminado es admin.

La CLI del software del dispositivo WildFire se abre en el modo de operación y se
muestra el siguiente mensaje de la CLI:
username@hostname>
Uso de la CLI
 Acceso a los modos de operación y configuración
 Mostrar opciones de comandos de la CLI del software del dispositivo WildFire
 Restricción de resultados de comandos
 Establecimiento del formato de salida para comandos de configuración

Uso de la CLI Referencia de la CLI del software del dispositivo WildFire
Acceso a los modos de operación y configuración
Al iniciar sesión, la CLI del software del dispositivo WildFire se abre en el modo de operación. Puede alternar
entre los modos de operación y navegación en cualquier momento.
 Para introducir el modo de configuración desde el modo operativo, use el comando configure:
username@hostname> configure
Entering configuration mode
[editar]
username@hostname#
 Para salir del modo de configuración y regresar al modo de operación, use el comando abandonar o el
comando salir:
username@hostname# quit
Exiting configuration mode
username@hostname>
Para introducir un comando del modo de operación mientras está en el modo de configuración, use el comando
run. Por ejemplo, para mostrar recursos del sistema desde el modo de configuración, use run show
system resources.
Mostrar opciones de comandos de la CLI del software del dispositivo WildFire
Use ? (o Meta-H) para mostrar una lista de opciones de comandos, basada en el contexto:
 Para mostrar una lista de comandos de operación, introduzca ? en el mensaje del comando.
username@hostname> ?
clear Clear runtime parameters
configure Manipulate software configuration information
debug Debug and diagnose
exit Exit this session
grep Searches file for lines containing a pattern match
less Examine debug file content
ping Ping hosts and networks
quit Exit this session
request Make system-level requests
scp Use ssh to copy file to another host
set Set operational parameters
show Show operational parameters
ssh Start a secure shell to another host
tail Print the last 10 lines of debug file content
username@hostname>
 Para mostrar las opciones disponibles de un comando especificado, introduzca el comando seguido de ?.
Ejemplo:
username@hostname> ping ?
+ bypass-routing Bypass routing table, use specified interface
+ count Number of requests to send (1..2000000000 packets)
+ do-not-fragment Don't fragment echo request packets (IPv4)

Referencia de la CLI del software del dispositivo WildFire Uso de la CLI
+ inet Force to IPv4 destination

+ interface Source interface (multicast, all-ones, unrouted packets)
+ interval Delay between requests (seconds)
+ no-resolve Don't attempt to print addresses symbolically
+ pattern Hexadecimal fill pattern
+ record-route Record and report packet's path (IPv4)
+ size Size of request packets (0..65468 bytes)
+ source Source address of echo request
+ tos IP type-of-service value (0..255)
+ ttl IP time-to-live value (IPv6 hop-limit value) (0..255 hops)
+ verbose Display detailed output
+ wait Delay after sending last packet (seconds)
<host> Hostname or IP address of remote host
Restricción de resultados de comandos
Algunos comandos de operación incluyen una opción para restringir el resultado que aparece. Para restringir el
resultado, introduzca un símbolo de barra vertical seguido de except o match y el valor que se debe excluir
o incluir:
Ejemplo:
El siguiente resultado de muestra pertenece al comando show system info:
username@hostname> show system info
hostname: WF-500
ip-address: 192.168.2.20
netmask: 255.255.255.0
default-gateway: 192.168.2.1
mac-address: 00:25:90:95:84:76
vm-interface-ip-address: 10.16.0.20
vm-interface-netmask: 255.255.252.0
vm-interface-default-gateway: 10.16.0.1
vm-interface-dns-server: 10.0.0.247
time: Mon Apr 15 13:31:39 2013
uptime: 0 days, 0:02:35
family: m
model: WF-500
serial: 009707000118
sw-version: 5.1.0
logdb-version: 5.0.2
platform-family: m
username@hostname>
El siguiente ejemplo muestra solamente información del modelo del sistema:
username@hostname> show system info | match model

model: WF-500
username@hostname>

Uso de la CLI Referencia de la CLI del software del dispositivo WildFire
Establecimiento del formato de salida para comandos de configuración
Cambie el formato de salida para los comandos de configuración utilizando el comando set cli
config-output-format en el modo de operación. Las opciones incluyen el formato predefinido, json (JavaScript
Object Notation), formato establecido y formato XML. El formato predefinido es un formato jerárquico donde
las secciones de configuración tienen sangría y están entre llaves.

Referencia de la CLI del software del dispositivo WildFire Referencia de comandos del modo de configuración
Referencia de comandos del modo de configuración

En esta sección se incluye información de referencia para los siguientes comandos del modo de configuración,
los cuales son específicos del software del dispositivo WF-500. El resto de los comandos que forman parte del
software del dispositivo WildFire son idénticos a los de PAN-OS según se describe en la guía de referencia de
la interfaz de línea de comandos de PAN-OS de Palo Alto Networks.
 set deviceconfig setting wildfire
 set deviceconfig system update-schedule
 set deviceconfig system vm-interface
set deviceconfig setting wildfire
Descripción
Establezca la configuración de Wildfire en el dispositivo WF-500. Puede configurar el reenvío de archivos

malintencionados, definir el servidor de nube que recibe los archivos infectados con malware y habilitar o
deshabilitar la interfaz VM.
Ubicación de jerarquía
set deviceconfig settings
Sintaxis
wildfire {
active-vm;
cloud-server <value>;
vm-network-enable {no | yes};
vm-network-use-tor {enable | disable};
cloud-intelligence {
submit-report {no | yes};
submit-sample {no | yes};
signature-generation {
av {no | yes};
dns {no | yes};
url {no | yes};
{
{
{

Referencia de comandos del modo de configuración Referencia de la CLI del software del dispositivo WildFire
Opciones
+ active-vm: Seleccione el entorno de máquina virtual que WildFire va a utilizar para el

análisis de muestras. Cada VM tiene una configuración diferente, como Windows XP,
versiones específicas de Flash, Adobe Reader, etc. Para ver qué VM se ha seleccionado,
ejecute el comando admin@WF-500> show wildfire status y consulte el campo Selected
VM. Para ver la información del entorno de VM, ejecute el siguiente comando:
admin@WF-500> show wildfire vm-images.
+ cloud-server: Nombre de host del servidor de nube al que el dispositivo reenvía las
muestras malintencionadas o los informes para repetir el análisis. El servidor de nube
predeterminado es wildfire-public-cloud. Para configurar el reenvío, utilice el siguiente
comando: set deviceconfig setting wildfire cloud-intelligence.
+ vm-network-enable: Habilita o deshabilita la red de VM. Si se habilita, los archivos de
muestra ejecutados en el espacio aislado de la máquina pueden acceder a Internet. Esto
permite que WildFire analice mejor el comportamiento del malware para buscar elementos
como la actividad de llamadas a casa.
+ vm-network-use-tor: Habilita o deshabilita la red Tor para la interfaz VM. Si se
habilita esta opción, el tráfico malintencionado procedente de los sistemas de espacio
aislado del dispositivo WF-500 durante el análisis de muestras se envía a través de la
red Tor. La red Tor enmascara su dirección IP de acceso público de modo que los
propietarios del sitio web malintencionado no puedan determinar el origen del tráfico.
+ cloud-intelligence: Configure el dispositivo para enviar informes de WildFire o
muestras a la nube de WildFire de Palo Alto Networks. La opción de envío de informes
permite enviar informes de las muestras malintencionadas a la nube con fines de
recopilación de información estadística. La opción de envío de muestras permite enviar
muestras malintencionadas a la nube. Si la opción de envío de muestras está habilitada,
no es necesario habilitar la opción de envío de informes, ya que la muestra se vuelve a
analizar en la nube y se generan un nuevo informe y una firma si la muestra es
malintencionada.
+ signature-generation: Permite que el dispositivo genere firmas localmente, lo que
elimina la necesidad de enviar datos a la nube pública para bloquear el contenido
malintencionado. El dispositivo WF-500 analiza los archivos reenviados desde los
cortafuegos de Palo Alto Networks o desde la API de WildFire y genera firmas de antivirus
y DNS que bloquean tanto los archivos malintencionados como el tráfico de comandos y
control asociado. Si el dispositivo detecta una dirección URL malintencionada, envía la
dirección URL a PAN-DB y PAN-DB le asigna la categoría de malware.
Resultado de muestra
A continuación se muestra un resultado de ejemplo de la configuración de WildFire:

admin@WF-500# show deviceconfig setting wildfire
wildfire {
active-vm vm-5;
cloud-intelligence {
submit-sample yes;
submit-report no;
}
cloud-server wildfire-public-cloud;
signature-generation {
av yes;
dns yes;
url yes;
}
}

Nivel de privilegios requerido
 superuser, deviceadmin
set deviceconfig system update-schedule
Descripción
Programe las actualizaciones de contenido en un dispositivo WF-500. Estas actualizaciones de contenido

equipan el dispositivo con la información sobre amenazas más actualizada para garantizar la detección de
malware precisa y aumentar la capacidad del dispositivo para diferenciar el contenido malintencionado del
contenido benigno.
set deviceconfig system update-schedule
Sintaxis
wf-content recurring {
daily at <value> action {download-and-install | download-only};
weekly {
action {download-and-install | download-only};
at <value>;
day-of-week {friday | monday | saturday | sunday | thursday | tuesday | wednesday};
}
}
Opciones
> wf-content: Actualizaciones de contenido de WF-500.

> daily: Programe la actualización diaria.
+ action: Especifique la acción que se va a realizar. Puede programar el dispositivo
para descargar e instalar la actualización o descargar solamente y, a continuación,
instalar manualmente.
+ at: Especificación de hora en hh:mm (por ejemplo, 20:10).
> hourly: Programe la actualización cada hora.
+ at: Minutos transcurridos después de una hora.
> weekly: Programe la actualización una vez por semana.

Referencia de comandos del modo de configuración Referencia de la CLI del software del dispositivo WildFire
+ at: Especificación de hora en hh:mm (por ejemplo, 20:10).

+ day-of-week: Día de la semana (viernes, lunes, sábado, domingo, jueves, martes o
miércoles).
admin@WF-500# show
update-schedule {
wf-content {
recurring {
weekly {
at 19:00;
action download-and-install;
day-of-week friday;
}
}
}
}
superuser, deviceadmin
set deviceconfig system vm-interface
Descripción
La interfaz VM es utilizada por el malware que se ejecuta en el espacio aislado de la máquina virtual del
dispositivo WF-500 para acceder a Internet. Se recomienda la activación de este puerto, que a su vez ayudará a
WildFire a identificar mejor la actividad maliciosa si el software malintencionado accede a Internet para
phone-home u otra actividad. Es importante que esta interfaz tenga una conexión a Internet aislada. Para
obtener más información, consulte Configuración de la interfaz VM en el dispositivo WF-500.
Tras configurar la interfaz vm, habilítela ejecutando el siguiente comando:
set deviceconfig setting wildfire vm-network-enable yes
set deviceconfig system

Sintaxis
set vm-interface {
default-gateway <ip_address>;
dns-server <ip_address>;
ip-address <ip_address>;
link-state;
mtu;
netmask <ip_address>;
speed-duplex;
{
Opciones
admin@WF-500# set vm-interface

+ default-gateway: Puerta de enlace predeterminada para la interfaz VM.
+ dns-server: Servidor DNS para la interfaz VM.
+ ip-address: Dirección IP para la interfaz VM.
+ link-state: Establezca el estado del enlace en activo o inactivo.
+ mtu: Unidad de transmisión máxima para la interfaz VM.
+ netmask: Máscara de red IP para la interfaz VM.
+ speed-duplex: Velocidad y dúplex para la interfaz VM.
A continuación se muestra una interfaz vm configurada.

vm-interface {
ip-address 10.16.0.20;
netmask 255.255.252.0;
default-gateway 10.16.0.1;
dns-server 10.0.0.246;
}

Referencia de comandos del modo de operación Referencia de la CLI del software del dispositivo WildFire
Referencia de comandos del modo de operación

En esta sección se incluye información de referencia para los siguientes comandos del modo de operación, los
cuales son específicos del software del dispositivo WF-500. El resto de los comandos que forman parte del
software del dispositivo WildFire son idénticos a los de PAN-OS. Consulte la guía de referencia de la interfaz
de línea de comandos de PAN-OS de Palo Alto Networks para obtener información sobre estos comandos.
 create wildfire api-key
 delete wildfire api-key
 delete wildfire-metadata
 edit wildfire api-key
 load wildfire api-key
 request system raid
 request system wildfire-vm-image
 request wf-content
 save wildfire api-key
 set wildfire portal-admin
 show system raid
 show wildfire
 test wildfire registration
create wildfire api-key
Descripción
Genere claves de API en el dispositivo WF-500 que va utilizar en un sistema externo para enviar muestras al
dispositivo, realizar consultas en los informes o recuperar muestras y capturas de paquetes (PCAP) del
dispositivo.
Sintaxis
create {
wildfire {
api-key {
key <value>;
name <value>;
{
{
{

Referencia de la CLI del software del dispositivo WildFire Referencia de comandos del modo de operación
Opciones
+ key: Para crear una clave de API, introduzca un valor de clave manualmente. El valor
debe constar de 64 caracteres alfabéticos (a-z) o números (0-9). Si no especifica la
opción de clave, el dispositivo genera una clave automáticamente.
+ name: De forma opcional, puede introducir un nombre para la clave de API. El nombre de
clave de API se utiliza simplemente para etiquetar las claves y facilitar la
identificación de las claves asignadas para usos específicos y no tiene ningún efecto en
la funcionalidad de las claves.
El siguiente resultado indica que el dispositivo tiene tres claves de API y una clave se llama my-api-key.
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
| Apikey | Name
| Status | Create Time | Last Used Time |
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
| C625DE87CBFB6EF0B1A8183A74AB5B61287F7F63B6E14E2FFC704AABF5640D62 | my-api-key
| Enabled | 2014-06-24 16:38:50 | |
| D414CC910E93E9E05942A5E6F94DA36777B444543E71761CF5E9ACFA547F7D6F |
| Enabled | 2014-06-25 09:05:30 | 2014-06-26 14:49:35 |
| 73585ACAFEC0109CB65EB944B8DFC0B341B9B73A6FA7F43AA9862CAD47D0884C |
| Enabled | 2014-08-04 17:00:42 | |
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
delete wildfire api-key
Descripción
Elimine una clave de API del dispositivo WF-500. Los sistemas configurados para el uso de la API para realizar
funciones de la API en el dispositivo no pueden acceder al dispositivo una vez eliminada la clave.
Sintaxis
delete {
wildfire {
api-key {
key <value>;
{
{
{

Opciones
+ key <value>: Valor de la clave que desea eliminar. Para ver una lista de las claves de
API, ejecute el siguiente comando: admin@WF-500> show wildfire api-keys all
admin@WF-500> delete wildfire api-key key

A0418F8EADABA4C78CD3106D71147321462C5AA085B2979136447B1EC334655A
APIKey A0418F8EADABA4C78CD3106D71147321462C5AA085B2979136447B1EC334655A
deleted
delete wildfire-metadata
Descripción
Elimine actualizaciones de contenido del dispositivo WF-500. Para obtener más información sobre las
actualizaciones de contenido y cómo instalarlas, consulte request wf-content.
Sintaxis
delete {
wildfire-metadata update <value>;
{
Opciones
+ update <value>: Defina la actualización de contenido que desee eliminar.
En el siguiente resultado se muestra la eliminación de una actualización con el nombre

panup-all-wfmeta-2-181.candidate.tgz.
admin@WF-500> delete wildfire-metadata update panup-all-wfmeta-2-181.candidate.tgz
successfully removed panup-all-wfmeta-2-181.candidate.tgz

edit wildfire api-key
Descripción
Modifique un nombre de clave de API o el estado de la clave (habilitada/deshabilitada) en un dispositivo
WF-500.
Sintaxis
edit {
wildfire {
api-key [name | status] key <value>;
{
{
Opciones
+ name: Cambie el nombre de una clave de API.
+ status: Habilite o deshabilite una clave de API.
* key: Especifique la clave que se va a modificar.
El valor de la clave de este comando es obligatorio. Por ejemplo, para cambiar el nombre de una clave llamada
stu a stu-key1, introduzca el siguiente comando:
En el caso del siguiente comando, no es necesario introducir el nombre de la clave anterior. Solo
se debe introducir el nuevo nombre de la clave.
admin@WF-500> edit wildfire api-key name stu-key1 key

B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288
Para cambiar el estado de stu-key1 a deshabilitada, introduzca el siguiente comando:
admin@WF-500> edit wildfire api-key status disable key
B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288
Resultado de ejemplo en el que se muestra que stu-key1 está deshabilitada:
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
| Apikey | Name | Status | Create Time |
Last Used Time |
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
|
| B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288 | stu-key1 | Disabled | 2014-08-21 07:23:34 |
|
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+

load wildfire api-key
Descripción
Después de importar las claves de API en el dispositivo WF-500, debe utilizar el comando load para que las
claves estén disponibles para su uso. Utilice este comando para sustituir todas las claves de API existentes.
Además, puede combinar las claves del archivo de importación con la base de datos de claves existentes.
Sintaxis
load {
wildfire {
from <value> mode [merge | replace];
{
{
Opciones
* from: Especifique el nombre de archivo de la clave de API que desee importar. En el

caso de los archivos de claves, se utiliza la extensión de archivo .keys. Por ejemplo,
my-api-keys.keys. Para ver una lista de las claves disponibles para su importación,
introduzca el siguiente comando:
admin@WF-500> load wildfire api-key from ?
+ mode: De forma opcional, puede introducir el modo para la importación
(combinación/sustitución). Por ejemplo, para sustituir la base de datos de claves del
dispositivo por el contenido del nuevo archivo de claves, introduzca el siguiente
comando:
admin@WF-500> load wildfire api-key mode replace from my-api-keys.keys
Si no especifica la opción mode, la acción predeterminada combina las claves.

request system raid
Descripción
Use esta opción para manejar los pares de RAID instalados en el dispositivo WildFire. El dispositivo WF-500
se entrega con cuatro unidades en los cuatro primeros conectores de unidades (A1, A2, B1, B2). Las unidades
A1 y A2 son el par RAID 1 y las unidades B1 y B2 son el segundo par RAID 1.
request system
Sintaxis
raid {
remove <value>;
OR...
copy {
from <value>;
to <value>;
}
OR...
add {
Opciones
> add: Añada una unidad al par de discos RAID correspondiente.

> copy: Copie y migre desde una unidad a otra unidad del conector.
> remove: La unidad se elimina del par de discos RAID.
El siguiente resultado muestra un dispositivo WildFire WF-500 con una RAID configurada correctamente.
admin@WF-500> show system raid
Disk Pair A Available

Disk id A1 Present
Disk id A2 Present
Disk Pair B Available
Disk id B1 Present
Disk id B2 Present

request system wildfire-vm-image
Realice actualizaciones de las imágenes del espacio aislado de la máquina virtual (VM) del dispositivo WF-500
utilizadas para analizar archivos. Para recuperar imágenes de VM del servidor de actualizaciones de
Palo Alto Networks, primero debe descargar la imagen manualmente, alojarla en un servidor habilitado para
SCP y, a continuación, recuperar la imagen del dispositivo mediante el cliente SCP. Una vez descargada la imagen
en el dispositivo, puede instalarla mediante este comando.
request system
Sintaxis
request {
system {
wildfire-vm-image {
upgrade install file <value>;
}
}
}
Opciones
> wildfire-vm-image: Instale las imágenes de la máquina virtual (VM).

+ upgrade install file: Actualice la imagen de VM. Después de la opción de archivo,
escriba ? para ver una lista de las imágenes de VM disponibles. Por ejemplo, ejecute el
siguiente comando para mostrar las imágenes disponibles: admin@WF-500> request
system wildfire-vm-image upgrade install file ?
Para mostrar las imágenes de VM disponibles, ejecute el siguiente comando:

admin@WF-500> request system wildfire-vm-image upgrade install file ?
Para instalar una imagen de VM (Windows 7 de 64 bits en este ejemplo), ejecute el siguiente comando:
admin@WF-500> request system wildfire-vm-image upgrade install
WFWin7_64Base_m-1.0.0_64base

request wf-content
Actualice el contenido en un dispositivo WF-500. Estas actualizaciones de contenido equipan el dispositivo con
la información sobre amenazas más actualizada para garantizar la detección de malware precisa y aumentar la
capacidad del dispositivo para diferenciar el contenido malintencionado del contenido benigno. Para programar
las actualizaciones de contenido de modo que se instalen automáticamente, consulte set deviceconfig system
update-schedule y, para eliminar las actualizaciones de contenido de WF-500, consulte delete wildfire-metadata.
request
Sintaxis
request wf-content
{
downgrade install {previous | <value>};
upgrade
{
check
download latest
info
install {
file <filename>
version latest;
}
}
}
Opciones
> downgrade: Instala una versión de contenido anterior. Utilice la opción anterior para
instalar el paquete de contenido instalado previamente o introduzca un valor para
cambiar a una versión inferior del paquete de contenido específica.
> upgrade: Realiza funciones de actualización del contenido.
> check: Obtenga información sobre los paquetes de contenido disponibles del servidor
de actualizaciones de Palo Alto Networks.
> download: Descargue un paquete de contenido.
> info: Muestre la información sobre los paquetes de contenido disponibles.
> install: Instale un paquete de contenido.
> file: Especifique el nombre del archivo que contiene el paquete de contenido.
> version: Descargue o actualice en función del número de versión del paquete de
contenido.

Para mostrar las actualizaciones de contenido disponibles, ejecute el siguiente comando:

admin@WF-500> request wf-content upgrade check
Version Size Released on Downloaded Installed

-------------------------------------------------------------------------
2-217 58MB 2014/07/29 13:04:55 PDT yes current
2-188 58MB 2014/07/01 13:04:48 PDT yes previous
2-221 59MB 2014/08/02 13:04:55 PDT no no
save wildfire api-key
Descripción
Utilice el comando save para guardar todas las claves de API del dispositivo WF-500 en un archivo. A
continuación, puede exportar el archivo de claves para hacer copias de seguridad o modificar las claves en
bloque. Para obtener información detallada sobre el uso de la API de WildFire en un dispositivo WF-500,
consulte Acerca de las suscripciones a WildFire y las claves de API.
save
Sintaxis
save {
wildfire {
api-key to <value>;
{
{
Opciones
* to: Introduzca el nombre de archivo para la exportación de claves. Por ejemplo, para
exportar todas las claves de API de WF-500 a un archivo con el nombre my-wf-keys,
introduzca el siguiente comando:
admin@WF-500> save wildfire api-key to my-wf-keys

set wildfire portal-admin
Descripción
Establece la contraseña de la cuenta de administrador del portal que el administrador utilizará para ver los
informes de análisis de WildFire generados por un dispositivo WF-500. El nombre de la cuenta (admin) y la
contraseña son obligatorios para ver el informe en el cortafuegos o en Panorama en Supervisar > Envíos de
WildFire > Ver informe WildFire. El nombre de usuario y la contraseña predeterminados son admin/admin.
La cuenta del administrador del portal es la única cuenta que puede configurar en el dispositivo
para ver los informes del cortafuegos o Panorama. No puede crear cuentas ni cambiar el nombre
de la cuenta. No es la misma cuenta de administrador utilizada para gestionar el dispositivo.
set wildfire
Sintaxis
set {
wildfire {
portal-admin {
password <value>;
}
}
A continuación se muestra el resultado de este comando.

admin@WF-500> set wildfire portal-admin password
Enter password:
Confirm password:

show system raid
Descripción
Muestra la configuración RAID del dispositivo. El dispositivo WF-500 se entrega con cuatro unidades en los
cuatro primeros conectores de unidades (A1, A2, B1, B2). Las unidades A1 y A2 son el par RAID 1 y las
unidades B1 y B2 son el segundo par RAID 1.
show system
Sintaxis
raid {
detail;
{
Opciones
No hay opciones adicionales.

A continuación se muestra la configuración de RAID en un dispositivo WF-500 en funcionamiento.

admin@WF-500> show system raid detail
Disk Pair A Available

Status clean
Disk id A1 Present
model : ST91000640NS
size : 953869 MB
partition_1 : active sync
Disk id A2 Present
size : 953869 MB
Disk Pair B Available
Status clean
Disk id B1 Present
size : 953869 MB
Disk id B2 Present
size : 953869 MB
superuser, superreader
show wildfire
Descripción
Muestra varios tipos de información del dispositivo WildFire, como las claves de API disponibles, la
información de registro, la actividad, las muestras recientes que ha analizado el dispositivo y la máquina virtual
seleccionada para realizar el análisis.

show wildfire
Sintaxis
api-keys
all {
details;
}
key <value>;
}
last-device-registration all |
latest {
analysis {
filter malicious|benign;
sort-by SHA256|Submit Time|Start Time|Finish Time|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
samples {
sort-by SHA256|Create Time|File Name|File Type|File Size|Malicious|Status;
limit 1-20000;
days 1-7;
}
OR...
sessions {
sort-by SHA256|Create Time|Src IP|Src Port|Dst Ip|Dst Port|File|Device
ID|App|Malicious|Status;
limit 1-20000;
days 1-7;
}
OR...
uploads {
sort-by SHA256|Create Time|Finish Time|Status;
limit 1-20000;
days 1-7;
}
sample-status {
sha256 {
equal <value>;
}
}
statistics days <1-31>;
status |
vm-images |
}

Opciones
admin@WF-500> show wildfire

> api-keys: Muestra los detalles de las claves de API generadas en el dispositivo
WF-500. Puede ver la última vez que se ha utilizado la clave, el nombre de la clave, el
estado (habilitada o deshabilitada) y la fecha y la hora de generación de la clave.
> last-device-registration: Se muestra una lista de las últimas actividades de
registro.
> latest: Se muestran las últimas 30 actividades, lo que incluye las últimas 30
actividades de análisis, los últimos 30 archivos analizados, la información de sesión
de red para los archivos analizados y los archivos cargados en el servidor de la nube
pública.
> sample-status: Se muestra el estado de la muestra de WildFire. Introduzca el valor de
SHA o MD5 del archivo para ver el estado del análisis actual.
> statistics: Se muestran estadísticas de WildFire básicas.
> status: Se muestran el estado del dispositivo y la información de configuración, como
la máquina virtual (VM) utilizada para el análisis de muestras, si se van a enviar las
muestras o los informes a la nube, la red de VM y la información de registro.
> vm-images: Se muestran los atributos de las imágenes de la máquina virtual disponibles
utilizadas para el análisis de muestras. Para ver la imagen activa actual, ejecute el
comando admin@WF-500> show wildfire status y consulte el campo Selected VM.
A continuación se muestra el resultado de este comando.

+------------------------------------------------------------------+----------------+-
--------+---------------------+---------------------+
| Apikey | Name |
Status | Create Time | Last Used Time |
+------------------------------------------------------------------+----------------+-
--------+---------------------+---------------------+
| C625DE87CBFB6EF0B1A8183A74AB5B61287F7F63B6E14E2FFC704AABF5640D62 | my-api-key-stu |
Enabled | 2014-06-24 16:38:50 | |
| D414CC910E93E9E05942A5E6F94DA36777B444543E71761CF5E9ACFA547F7D6F | |
Enabled | 2014-06-25 09:05:30 | 2014-06-26 14:49:35 |
+------------------------------------------------------------------+----------------+-
--------+---------------------+---------------------+
admin@WF-500> show wildfire last-device-registration all

+--------------+---------------------+-------------+------------+----------+--------+
| Device ID | Last Registered | Device IP | SW Version | HW Model | Status |
+--------------+---------------------+-------------+------------+----------+--------+
| 001606000114 | 2014-07-31 12:35:53 | 10.43.14.24 | 6.1.0-b14 | PA-200 | OK |
+--------------+---------------------+-------------+------------+----------+--------+
admin@WF-500> show wildfire latest

> analysis Show latest 30 analysis
> samples Show latest 30 samples
> sessions Show latest 30 sessions
> uploads Show latest 30 uploads

admin@WF-500> show wildfire sample-status sha256 equal

809bad2d3fbdf1c18ef47ba9c5a0feca691103f094bc8d7e0cbed480870fd78c
Sample information:
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
| Create Time | File Name |
File Type | File Size | Malicious | Status |
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
| 2014-08-04 11:49:41 | 25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf |
Adobe Flash File | 64502 | No | analysis complete |
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
Session information:
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
| Create Time | Src IP | Src Port | Dst IP | Dst Port | File
| Device ID | App |
Malicious | Status |
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
| 2014-08-04 11:49:41 | 10.10.10.50 | 80 | 192.168.2.10 | 64108 |
25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf | 001606000114 | flash |
No | completed |
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
Analysis information:
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
| Submit Time | Start Time | Finish Time | Malicious | VM Image
| Status |
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
| 2014-08-04 11:49:41 | 2014-08-04 11:49:41 | 2014-08-04 11:56:52 | No | Windows
7 x64 SP1, Adobe Reader 11, Flash 11, Office 2010 | completed |
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
admin@WF-500> show wildfire statistics
Last one hour statistics :

analyzed : 0
pending : 0
malicious : 0
benign : 0
error : 0

uploaded : 0
Last 24 hours statistics :

analyzed : 13
pending : 0
malicious : 0
benign : 13
error : 0
uploaded : 0
Connection info:
Wildfire cloud: s1.wildfire.paloaltonetworks.com
Status: Idle
Submit sample: disabled
Submit report: disabled
Selected VM: vm-5
VM internet connection: disabled
VM network using Tor: disabled
Best server: s1.wildfire.paloaltonetworks.com
Signature verification: habilitar
Server selection: habilitar
Through a proxy: no
test wildfire registration
Descripción
Realiza una prueba para comprobar el estado de registro de un dispositivo WildFire o un cortafuegos de
Palo Alto Networks en un servidor de WildFire. Si el resultado de la prueba es correcto, se muestran la dirección
IP o el nombre del servidor de WildFire. Se requiere el registro correcto para que el dispositivo WildFire o el
cortafuegos puedan reenviar archivos al servidor de WildFire.

Sintaxis
test {
wildfire {
registration;
}
}
Opciones
No hay opciones adicionales.
A continuación se muestra el resultado correcto de un cortafuegos que puede comunicarse con un dispositivo
WildFire. Si es un dispositivo WildFire apuntando a la nube de WildFire de Palo Alto Networks, el nombre de
uno de los servidores de la nube se muestra en el campo select the best server:.
Test wildfire
select the best server: ca-s1.wildfire.paloaltonetworks.com

Palo Alto Networks. Guía Del Administrador de WildFire Versión 6.1 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Palo Alto Networks. Guía Del Administrador de WildFire Versión 6.1 PDF

Transféré par

Droits d'auteur :

Formats disponibles

®

Palo Alto Networks

Guía del administrador de WildFire

Acerca de esta guía

 Para enviar sus comentarios sobre la documentación, diríjase a: documentation@paloaltonetworks.com.

Palo Alto Networks

Descripción general de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

Análisis de archivos del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . 17

Guía del administrador de GlobalProtect iii

Elaboración de informes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Referencia de la CLI del software del dispositivo WildFire . . . . . . . . . . . . . 101

iv Guía del administrador de WildFire

Guía del administrador de WildFire v

Guía del administrador de WildFire 1

2 Guía del administrador de WildFire

Ilustración: Flujo de trabajo de decisiones de WildFire de alto nivel

Guía del administrador de WildFire 3

Ilustración: Flujo de decisiones de WildFire detallado

4 Guía del administrador de WildFire

Reenvío de archivos y enlaces de correo electrónico

Tipos de archivos admitidos

WildFire puede analizar los siguientes tipos de archivos:

 Flash: Applets de Adobe Flash y contenido de Flash insertado en páginas web.

 PDF: Portable Document Format.

Guía del administrador de WildFire 5

No se requiere una suscripción a WildFire en el cortafuegos para el reenvío de los tipos de

Espacios aislados virtuales de WildFire

 Microsoft Windows XP de 32 bits

 Microsoft Windows 7 de 32 bits

6 Guía del administrador de WildFire

Análisis de enlaces de correo electrónico de WildFire

Guía del administrador de WildFire 7

Generación de logs e informes de WildFire

8 Guía del administrador de WildFire

Guía del administrador de WildFire 9

Muestras de prueba de malware

10 Guía del administrador de WildFire

Guía del administrador de WildFire 11

12 Guía del administrador de WildFire

Requisitos para la suscripción a WildFire

WildFire tarda aproximadamente de 15 a 30 minutos en generar una firma y ponerla a disposición

Guía del administrador de WildFire 13

14 Guía del administrador de WildFire

Prácticas recomendadas para mantener las firmas actualizadas

Guía del administrador de WildFire 15

Referencia: capacidad de reenvío de archivos del

Plataforma Número máximo de archivos Espacio de unidad reservado

Serie PA-2000 20 200 MB

PA-5060 100 500 MB

16 Guía del administrador de WildFire

Guía del administrador de WildFire 17

Acerca del dispositivo WF-500

18 Guía del administrador de WildFire

Configuración del dispositivo WF-500

Requisitos para la configuración del dispositivo WF-500

Guía del administrador de WildFire 19

Integración del dispositivo WF-500 en una red

20 Guía del administrador de WildFire

Integración del dispositivo WF-500 en una red (Continuación)

Guía del administrador de WildFire 21

Integración del dispositivo WF-500 en una red (Continuación)

Paso 7 Active el dispositivo con el código de 1. Cambie al modo de operación:

Paso 8 Establezca la fecha/hora actual y la zona 1. Establezca la fecha y la hora: