Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sede de la empresa:
www.paloaltonetworks.com/company/contact-us
Esta guía describe las tareas administrativas necesarias para utilizar y mantener la función WildFire de Palo Alto
Networks. Los temas tratados incluyen información de licencias, la configuración de cortafuegos para reenviar archivos
para su inspección, la visualización de informes y cómo configurar y gestionar el dispositivo WF-500.
Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el
cortafuegos, consulte https://www.paloaltonetworks.com/documentation.
Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia
técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.
Para leer las notas sobre la última versión, vaya a la página de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Para enviar sus comentarios sobre la documentación, escríbanos a: documentation@paloaltonetworks.com.
Acerca de WildFire
El malware moderno es el eje de la mayoría de los ataques a la red más sofisticados de la actualidad, y cada vez
se personaliza más para burlar las soluciones de seguridad tradicionales. Palo Alto Networks ha desarrollado un
enfoque integrado que permite controlar todo el ciclo de vida del malware, lo que incluye la prevención de
infecciones, la identificación de malware de día cero (malware no detectado) o malware específico (dirigido a un
sector o una corporación concretos), así como la localización y eliminación de infecciones activas.
El motor de WildFire de Palo Alto Networks expone el malware específico y de día cero mediante la
observación directa en un entorno virtual en el sistema WildFire. La funcionalidad WildFire hace, además, un
uso extensivo de la tecnología App-ID de Palo Alto Networks identificando las transferencias de archivos en
todas las aplicaciones, no solo en los archivos adjuntos del correo electrónico o en las descargas de archivos del
explorador.
Para obtener información sobre la política de privacidad del sistema WildFire de Palo Alto Networks, consulte
https://live.paloaltonetworks.com/docs/DOC-2880.
Flujo de trabajo de decisiones de WildFire de alto nivel ilustra el flujo de trabajo básico de WildFire y Flujo de
decisiones de WildFire detallado describe el ciclo de vida completo de WildFire desde el momento en el que un
usuario descarga un archivo malintencionado hasta el momento en el que WildFire genera una firma que
utilizarán los cortafuegos de Palo Alto Networks como medida de protección frente a la futura exposición al
malware.
En el flujo de trabajo de decisiones de WildFire de alto nivel se describe el flujo de trabajo para
la descarga de un archivo. El análisis de un enlace HTTP/HTTPS incluido en un mensaje de
correo electrónico es muy similar, pero hay algunas leves diferencias. Para obtener más
información, consulte Análisis de enlaces de correo electrónico.
Implementaciones de WildFire
Puede configurar un cortafuegos de Palo Alto Networks para que reenvíe automáticamente los archivos
desconocidos para el análisis usando los siguientes tipos de implementaciones de WildFire:
Nube pública de WildFire
Nube privada de WildFire
Nube híbrida de WildFire
En una implementación de nube pública de WildFire, un cortafuegos de Palo Alto Networks reenvía los
archivos al entorno de WildFire alojado, que pertenece y es mantenido por Palo Alto Networks. Cuando
WildFire detecta nuevo malware, genera nuevas firmas en 15-30 minutos. Los cortafuegos equipados con una
suscripción a WildFire pueden recibir las nuevas firmas en 15 minutos. Los cortafuegos con solamente una
suscripción a Threat Prevention pueden recibir las nuevas firmas en la siguiente actualización de firmas de
antivirus en 24-48 horas.
Los servidores de nube de WildFire disponibles son wildfire.paloaltonetworks.com para la nube de WildFire
alojada en EE. UU. y wildfire.paloaltonetworks.jp para la nube de WildFire alojada en Japón. Es posible que
desee que el cortafuegos utilice el servidor de Japón si no desea que se reenvíen archivos benignos a los
servidores de nube de EE. UU. Sin embargo, la nube de Japón no reenvía archivos malintencionados a los
servidores de nube de EE. UU., por lo que se puede generar una firma y distribuirse a los usuarios de WildFire,
a fin de identificar y bloquear la amenaza. Si los cortafuegos se encuentran en Japón, observará una respuesta
más rápida en el caso del envío de muestras y la generación de informes.
Las máquinas virtuales múltiples se ejecutan en la nube de WildFire para representar los diversos sistemas
operativos y aplicaciones que luego se utilizan para analizar el comportamiento de los archivos de muestra
reenviados por los cortafuegos de Palo Alto Networks. La nube pública de WildFire también admite el análisis
de múltiples versiones; los archivos específicos de cada aplicación, tal como los documentos de Microsoft
Office, PDF y los archivos multimedia se analizan a través de la nube pública de WildFire en las distintas
versiones de la aplicación, a fin de identificar el malware dirigido exclusivamente a versiones específicas de
aplicaciones cliente.
En una implementación de nube privada de Palo Alto Networks, los cortafuegos de Palo Alto Networks
reenvían archivos a un dispositivo WF-500 de su red corporativa que se utiliza para alojar una ubicación de
análisis de nube privada. La nube privada de WildFire alojada en un dispositivo WF-500 local puede recibir y
analizar archivos de hasta 100 cortafuegos de Palo Alto Networks.
Con el espacio aislado local proporcionado por la nube privada de WildFire, los archivos benignos o greyware
nunca salen de la red. De manera predeterminada, la nube privada tampoco envía el malware fuera de la red; sin
embargo, puede optar por reenviar automáticamente el malware a la nube pública de WildFire. La nube pública
de WildFire vuelve a analizar la muestra, genera una firma si es malware y distribuye la firma a los cortafuegos
globales de Palo Alto Networks con suscripciones WildFire o de prevención de amenazas. O bien, Carga manual
de archivos en el portal de WildFire o Uso de la API de WildFire para enviar archivos descubiertos en la nube
privada para el análisis adicional y la distribución de firma global.
Si no desea que la nube privada de WildFire reenvíe ni siquiera muestras de malware fuera de la red, se
recomienda que habilite el dispositivo para que reenvíe el informe de malware (y no la muestra en sí) a la nube
pública de WildFire. Los informes de WildFire proporcionan información estadística que ayuda a Palo Alto
Networks a evaluar la penetración y propagación del malware. Para obtener más información, consulte Envío
de malware o informes desde el dispositivo WF-500.
Habilitación de firmas y generación de URL en el dispositivo WF-500 para generar firmas localmente para el
malware identificado en la nube privada. Las firmas generadas por el dispositivo WF-500 se distribuyen a los
cortafuegos conectados de manera que los cortafuegos puedan bloquear eficazmente el malware la próxima vez
que sea detectado.
En una implementación de nube híbrida de WildFire, un único cortafuegos puede enviar ciertas muestras a la
nube pública de WildFire y otras a una nube privada de WildFire alojada en un dispositivo WF-500. Configure
los ajustes en el cortafuegos para que reenvíe archivos a una ubicación de análisis de WildFire (ya sea de nube
pública o privada) según el tipo de archivo, la aplicación y la dirección de transmisión del archivo (carga o
descarga). Una implementación de nube híbrida de WildFire ofrece la flexibilidad para analizar documentos
privados localmente y dentro de la red, mientras que la nube pública de WildFire analiza los archivos obtenidos
de Internet. Por ejemplo, reenvíe datos de la Industria de Tarjeta de Pago (PCI) e Información de Salud
Protegida (PHI) exclusivamente a la nube privada de WildFire para el análisis, y envíe portables ejecutables (PE)
a la nube pública de WildFire para su análisis. En una implementación de nube híbrida de WildFire, la descarga
de archivos en la nube pública para el análisis le brinda la ventaja de un veredicto rápido para los archivos que
se procesaron anteriormente en la nube pública de WildFire, y también libera la capacidad del dispositivo
WF-500 para procesar contenido confidencial. Además, puede reenviar ciertos tipos de archivos a la nube
pública de WildFire que actualmente no son compatibles con el análisis del dispositivo WF-500, tal como los
archivos del Paquete de Aplicaciones de Android (APK).
Para establecer el reenvío de nube híbrida, consulte Reenvío de archivos para el análisis de WildFire.
Conceptos de WildFire
Espacio aislado virtual
Veredictos
Análisis de tipo de archivos
Análisis de enlaces de correo electrónico
Firmas
Alertas
Logs e informes
WildFire ejecuta los archivos sospechosos que recibe en un entorno virtual y observa su comportamiento para
determinar si muestran signos de actividades malintencionadas, como cambios en la configuración de seguridad
del explorador, introducción de código en otros procesos, modificación de archivos de las carpetas del sistema
Windows o dominios a los que la muestra ha intentado acceder. La nube pública de WildFire también analiza
archivos de distintas versiones de la aplicación, a fin de identificar el malware dirigido exclusivamente a versiones
específicas de aplicaciones cliente (la nube privada de WildFire no admite análisis de múltiples versiones y no
analiza archivos específicos de aplicaciones). Cuando el motor de WildFire completa el análisis, genera un
informe experto detallado que resume los comportamientos observados y asigna un veredicto de malware,
benigno o grayware. De forma similar, WildFire extrae los enlaces de los mensajes de correo electrónico y visita
los enlaces para determinar si las páginas web correspondientes contienen vulnerabilidades de seguridad. Si
WildFire detecta un comportamiento malintencionado, genera un informe, envía la dirección URL a PAN-DB
y clasifica la dirección URL como malware.
WildFire ofrece compatibilidad con espacios aislados para los siguientes sistemas operativos:
Veredictos
WildFire proporciona veredictos para identificar las muestras que analiza como seguras, malintencionadas o no
deseadas (el grayware se considera intrusivo pero no malintencionado):
Grayware: la muestra no supone una amenaza directa para la seguridad, pero puede exhibir un
comportamiento intrusivo. El grayware generalmente incluye adware, spyware y objetos de ayuda al
explorador (BHO).
Malware: la muestra es de naturaleza malintencionada y supone una amenaza para la seguridad. El malware
puede incluir virus, gusanos, troyanos, herramientas de acceso remoto (RAT), rootkits y botnets. Si WildFire
identifica el archivo como malware, genera y distribuye una firma para prevenir la futura exposición a la
amenaza.
Un cortafuegos de Palo Alto Networks puede configurarse con un perfil de análisis de WildFire a fin de reenviar
muestras para el análisis de WildFire según el tipo de archivo. Si un usuario descarga una muestra de archivo en
una sesión que coincide con la regla de seguridad a la cual se adjunta el perfil de análisis de WildFire, el
cortafuegos realiza una comprobación del hash de archivo con WildFire para determinar si WildFire ha
analizado previamente el archivo. Si el archivo es desconocido, el cortafuegos lo reenvía a WildFire.
El cortafuegos puede reenviar archivos para el análisis de WildFire según los siguientes tipos de archivo:
apk: archivos de paquete de aplicaciones de Android (APK). Los archivos APK no son compatibles con el
análisis de nube privada de WildFire usando un dispositivo WF-500.
MS-Office: archivos de Microsoft Office, incluidos documentos (DOC, DOCX, RTF), libros (XLS, XLSX) y
presentaciones de PowerPoint (PPT, PPTX), y documentos Office Open XML (OOXML) 2007+.
pe: archivos portables ejecutables (PE). Los PE incluyen archivos ejecutables, código de objeto, DLL y FON
(fuentes). No se requiere una suscripción para el reenvío de los tipos de archivos PE a WildFire para su
análisis, pero sí se requiere para todos los demás tipos de archivos admitidos.
pdf: archivos con formato de documento portátil (PDF).
Para obtener más información sobre cómo habilitar el cortafuegos para reenviar muestras a WildFire según el
tipo de archivo, consulte Reenvío de archivos para el análisis de WildFire.
Un cortafuegos de Palo Alto Networks puede extraer enlaces HTTP/HTTPS incluidos en mensajes de correo
electrónico SMTP y POP3, y reenviar los enlaces a la nube pública o privada de WildFire para su análisis.
Habilite el reenvío de enlaces desconocidos incluidos en mensajes de correo electrónico al configurar un perfil
de análisis de WildFire con el tipo de archivo email-link. El cortafuegos solo extrae enlaces e información de
sesión asociada (remitente, destinatario y asunto) de los mensajes de correo electrónico que atraviesan el
cortafuegos; no recibe, almacena, reenvía ni ve el mensaje de correo electrónico.
Después de recibir un enlace de un cortafuegos, WildFire visita el enlace para determinar si la página web
correspondiente contiene vulnerabilidades de seguridad. Si WildFire determina que la página es benigna o
grayware, no genera un log. Sin embargo, si detecta comportamiento malintencionado en la página, el
cortafuegos devuelve un veredicto malintencionado y:
Genera un informe de análisis detallado y registra el informe en el log de WildFire Submissions (Envíos de
WildFire) en el cortafuegos. El log incluye la información del encabezado de correo electrónico (remitente,
destinatario y asunto de correo electrónico) de manera que pueda identificar el mensaje y eliminarlo del
servidor de correo, o mitigar la amenaza si el correo electrónico ya se envió o abrió.
Firmas
Las ventajas clave de la función WildFire de Palo Alto Networks son que permite detectar malware de día cero
en el tráfico web (HTTP/HTTPS), los protocolos de correo electrónico (SMTP, IMAP y POP) y el tráfico FTP,
y permite generar firmas rápidamente como método de protección frente a futuras infecciones por el malware
detectado. WildFire genera automáticamente una firma basada en la carga útil de malware de la muestra y
comprueba su precisión y seguridad. Dado que el malware evoluciona rápidamente, las firmas que genera
WildFire cubrirán diversas variantes de dicho malware. Cuando WildFire detecta nuevo malware, genera nuevas
firmas en 15-30 minutos. Los cortafuegos equipados con una suscripción a WildFire pueden recibir las nuevas
firmas en 15 minutos. Si no tiene una suscripción a WildFire, las firmas estarán disponibles en un plazo de 24-48
horas como parte de la actualización de antivirus de los cortafuegos con una suscripción a Threat Prevention.
En cuanto el cortafuegos descarga e instala la nueva firma, todos los archivos que contienen el malware (o una
variante de este) son eliminados automáticamente por el cortafuegos. La información recopilada por WildFire
durante el análisis del malware también se utiliza para reforzar otras funciones de Threat Prevention, como la
adición de direcciones URL de malware a PAN-DB y la generación de firmas DNS y de antivirus y antispyware.
Palo Alto Networks también desarrolla firmas para el tráfico de comandos y control, lo que permite la
interrupción inmediata de la comunicación de cualquier tipo de malware en la red. Si desea obtener más
información sobre las ventajas de tener una suscripción de WildFire, consulte Requisitos para la suscripción a
WildFire.
Alertas
Habilite el cortafuegos para que proporcione notificaciones al instante cuando detecte malware en la red.
Configuración de alertas para los logs de malware para enviar como alertas por correo electrónico, mensajes
syslog o traps SNMP. Las notificaciones de alerta le permiten identificar rápidamente qué usuario ha descargado
el malware y eliminarlo antes de que provoque daños graves o se propague a otros usuarios. Además, cada firma
generada por WildFire se propaga automáticamente a todos los cortafuegos de Palo Alto Networks protegidos
con suscripciones a Threat Prevention o WildFire, lo que ofrece una protección automática frente al malware
detectado en redes de todo el mundo.
Logs e informes
Puede Supervisión de la actividad de WildFire usando un cortafuegos que envía muestras para análisis, el portal
de WildFire o la API de WildFire.
Para cada muestra que WildFire analiza, WildFire genera un informe de análisis de WildFire que clasifica la
muestra como malware, grayware o benigno, y detalla la información y el comportamiento de la muestra.
Se puede acceder a los informes de análisis de WildFire en el cortafuegos que envió la muestra y la nube de
WildFire (pública o privada) que analizó la muestra:
Visualización de informes para muestras enviadas a la nube pública de WildFire
Uso del cortafuegos: todas las muestras enviadas por un cortafuegos para el análisis de WildFire se registran
como entradas de WildFire Submissions (Envíos de WildFire) (Monitor > WildFire Submissions [Supervisión
> Envíos de WildFire]). Para cada entrada de envío de WildFire, puede abrir una vista de log detallado para
visualizar el informe de análisis de WildFire para la muestra o para descargar el informe como PDF.
Uso del portal de WildFire: supervise la actividad de WildFire, incluido el informe de análisis de WildFire
para cada muestra, que también puede descargarse como PDF. En una implementación de nube pública de
WildFire, los detalles están disponibles en el portal de WildFire para las muestras enviadas a la nube pública
por los cortafuegos conectados y las muestras que se cargan manualmente en el portal.
Visualización de informes para muestras enviadas a la nube privada de WildFire
Uso del cortafuegos: todas las muestras enviadas por un cortafuegos para el análisis de WildFire se registran
como entradas de WildFire Submissions (Envíos de WildFire) (Monitor > WildFire Submissions
[Supervisión > Envíos de WildFire]). Para cada entrada de envío de WildFire, puede abrir una vista de log
detallado para visualizar el informe de análisis de WildFire para la muestra o para descargar el informe como
PDF.
Uso del portal de WildFire: (solo cuando la inteligencia de nube está habilitada en el dispositivo WF-500)
supervise la actividad de WildFire, incluido el informe de análisis de WildFire para cada muestra, que también
puede descargarse como PDF. En una implementación de nube privada de WildFire, el portal de WildFire
proporciona detalles de las muestras que se cargan manualmente en el portal y las muestras enviadas por un
dispositivo WF-500 con la inteligencia de nube habilitada.
Uso de la API de WildFire: recupere informes de análisis de WildFire desde un dispositivo WF-500.
Los informes de análisis de WildFire muestran información detallada de comportamiento sobre la muestra, la
información sobre el usuario de destino, la aplicación que entregó el archivo y todas las URL involucradas en la
entrega o en la actividad teléfono-casa del archivo. Para obtener detalles de los campos del informe, consulte
Informes de análisis de WildFire: Detallados.
La siguiente captura de pantalla muestra parte de un informe de análisis de WildFire para un archivo enviado a
la nube de WildFire, seguida de una segunda captura de pantalla que muestra un informe de análisis de WildFire
para un enlace de correo electrónico.
WildFire Dynamic Updates (Actualizaciones dinámicas de WildFire): ofrece nuevas firmas de malware
con frecuencias inferiores a una hora. Se puede configurar en Device > Dynamic Updates (Dispositivo >
Actualizaciones dinámicas). Entre 15 y 30 minutos después de que WildFire identifique una muestra
malintencionada, WildFire genera una nueva firma de malware y la distribuye mediante las actualizaciones
dinámicas de WildFire, que el cortafuegos puede sondear cada 15, 30 o 60 minutos. Puede configurar el
cortafuegos para que realice acciones específicas en las firmas de malware separadas de las acciones de firma
de antivirus periódicas del perfil de antivirus. Las firmas de WildFire entregadas en la actualización dinámica
incluyen las generadas para el malware detectado en archivos enviados a WildFire por todos los clientes de
Palo Alto Networks WildFire, no solo las muestras de archivos que el cortafuegos envía a WildFire.
WildFire Advanced File Type Support (Compatibilidad avanzada de WildFire con el tipo de archivo):
permite que el cortafuegos reenvíe muestras para el análisis de WildFire según el tipo de archivo (consulte
Análisis de tipo de archivos) y permite configurar el cortafuegos para extraer y reenviar enlaces incluidos en
mensajes de correo electrónico para el Análisis de enlaces de correo electrónico de WildFire.
WildFire API (API de WildFire): brinda acceso a la API de WildFire, lo que permite el acceso directo
mediante programación al servicio de WildFire en la nube de WildFire de Palo Alto Networks o en un
dispositivo WF-500. Use la API de WildFire para enviar archivos para el análisis y para recuperar los
posteriores informes de análisis de WildFire. La API de WildFire admite hasta 1000 envíos de archivos y
hasta 10.000 consultas al día.
Solo los cortafuegos con una suscripción a WildFire válida pueden reenviar archivos a un dispositivo WF-500
para el análisis de nube privada.
Antivirus: Palo Alto Networks publica nuevas actualizaciones de contenido de antivirus a diario. Para
obtener el contenido más reciente, programe estas actualizaciones diariamente como mínimo. Se puede
realizar una programación más agresiva cada hora.
Applications and Threats (Aplicaciones y amenazas): App-ID nuevo, protección frente a
vulnerabilidades y firmas antispyware publicados como actualizaciones de contenido semanales por Palo
Alto Networks (normalmente los martes). Para recibir el contenido más reciente, programe estas
actualizaciones semanalmente como mínimo. En el caso de un enfoque más agresivo para garantizar que el
cortafuegos reciba el contenido más actual en cuanto se publica (incluidas las publicaciones ocasionales de
contenido urgente fuera de programación), programe el cortafuegos para la descarga o instalación diarias.
WildFire: se publican nuevas firmas de antivirus de WildFire cada 15 minutos. En función del momento
en que WildFire detecte nuevo malware durante el ciclo de publicación, se proporciona protección como
una firma de WildFire 15-30 minutos después de la detección. Para conseguir las firmas de WildFire más
recientes, programe estas actualizaciones cada hora o cada media hora. Para que la programación sea más
agresiva, configure el cortafuegos para realizar comprobaciones cada 15 minutos.
WF-Private: si el dispositivo WF-500 está configurado para generar firmas y categorías URL (firmas de
antivirus, firmas DNS y entradas de URL para PAN-DB), configure el cortafuegos para que
descargue/instale las actualizaciones usando la actualización dinámica WF-Private. Una vez que el
dispositivo recibe una muestra malintencionada, genera una firma en cinco minutos en la mayoría de los
casos. Al configurar el cortafuegos para recuperar estas actualizaciones, configure la programación para la
descarga e instalación cada hora o cada media hora. Para que la programación sea más agresiva
(recomendado), configure el cortafuegos para que descargue e instale actualizaciones cada 5 minutos. Si
configura los cortafuegos para recuperar actualizaciones de WF-Private, se recomienda que los
cortafuegos descarguen también actualizaciones de contenido de Palo Alto Networks (antivirus,
aplicaciones/amenazas y WildFire) para garantizar que los cortafuegos tengan la protección más
actualizada. Esto es importante debido al hecho de que cuando el almacenamiento local para las
actualizaciones de WF-Private del dispositivo está lleno, las nuevas categorizaciones de firmas/direcciones
URL sobrescriben las existentes empezando por las más antiguas. Para obtener detalles sobre la generación
de firmas locales, consulte Habilitación de firmas y generación de URL.
MGT (Gestión): recibe todos los archivos enviados desde los cortafuegos y devuelve logs que detallan los
resultados a los cortafuegos. Consulte Configuración del dispositivo WF-500.
Virtual Machine Interface (VM interface) Interfaz de máquina virtual (interfaz VM): ofrece acceso a la
red para los sistemas de espacio aislado de WildFire para permitir que los archivos de muestra se comuniquen
con Internet, lo que permite que WildFire analice mejor el comportamiento de la muestra. Cuando se
configura la interfaz de VM, WildFire puede observar comportamientos malintencionados que el malware
habitualmente no realizaría sin acceso a la red, tal como la actividad teléfono-casa. Sin embargo, para prevenir
que el malware ingrese en la red desde el espacio aislado, configure la interfaz de VM en una red aislada con
conexión a Internet. También puede habilitar la opción Tor para ocultar la dirección IP pública utilizada por
la empresa de sitios malintencionados a los que accede la muestra. Para obtener más información sobre la
interfaz VM, consulte Configuración de la interfaz de VM.
Antes de comenzar:
Monte el dispositivo WF-500 en el rack y conecte los cables. Consulte la Guía de referencia de hardware del
dispositivo WildFire.
Obtenga la información necesaria para configurar la conectividad de red en el puerto MGT (gestión) y la interfaz VM
desde su administrador de red (dirección IP, máscara de subred, puerta de enlace, nombre de host, servidor DNS).
Toda la comunicación entre los cortafuegos y el dispositivo se produce en el puerto MGT, incluidos los envíos de
archivos, la distribución de logs de WildFire y la administración de dispositivos. Por lo tanto, asegúrese de que los
cortafuegos tengan conectividad con el puerto MGT en el dispositivo. Además, el dispositivo debe ser capaz de
conectarse al sitio updates.paloaltonetworks.com para recuperar sus actualizaciones de software del sistema
operativo.
Debe tener preparado un ordenador con un cable de consola o cable Ethernet para conectarse al dispositivo para
realizar la configuración inicial.
Step 1 Conecte el ordenador de gestión al 1. Conéctese al puerto de la consola o al puerto MGT. Ambos se
dispositivo usando el puerto MGT o el encuentran en la parte posterior del dispositivo.
puerto de consola, y encienda el • Console Port (Puerto de la consola): conector serie macho
dispositivo. de 9 clavijas. Utilice la siguiente configuración en la
aplicación de la consola: 9600-8-N-1. Conecte el cable
proporcionado al puerto de serie en el dispositivo de gestión
o al conversor USB-serie.
• MGT Port (Puerto MGT): puerto RJ-45 Ethernet. De forma
predeterminada, la dirección IP del puerto MGT es
192.168.1.1. La interfaz del ordenador de gestión debe estar
en la misma subred que el puerto MGT. Por ejemplo,
establezca la dirección IP del ordenador de gestión en
192.168.1.5.
2. Encienda el dispositivo.
El dispositivo se encenderá en cuanto establezca la
conexión con la primera fuente de alimentación y sonará
un pitido de advertencia hasta que conecte la segunda
fuente de alimentación. Si el dispositivo ya está
conectado, pero está apagado, utilice el botón de
encendido de la parte frontal del dispositivo para
encenderlo.
Step 2 Registre el dispositivo WF-500. 1. Obtenga el número de serie de la etiqueta de número de serie del
dispositivo o ejecute el siguiente comando y consulte el campo
serial:
admin@WF-500> show system info
2. En un navegador, vaya al sitio de Asistencia técnica de Palo Alto
Networks.
3. Registre el dispositivo de la siguiente forma:
• Si es el primer dispositivo de Palo Alto Networks que registra
y aún no dispone de inicio de sesión, haga clic en Register
(Registrar) en el lado derecho de la página. Para el registro
debe proporcionar una dirección de correo electrónico y el
número de serie del dispositivo. Cuando se le solicite,
establezca un nombre de usuario y una contraseña para
acceder a la comunidad de asistencia técnica de Palo Alto
Networks.
• Con las cuentas existentes solo tiene que iniciar sesión y hacer
clic en My Devices (Mis dispositivos). Desplácese hasta la
sección Register Device (Registrar dispositivo) de la parte
inferior de la pantalla e introduzca el número de serie del
dispositivo, su ciudad y código postal, y haga clic en Register
Device (Registrar dispositivo).
4. Para confirmar el registro de WildFire en el dispositivo WF-500,
inicie sesión en el dispositivo con un cliente SSH o mediante el
puerto de la consola. Introduzca el nombre de
usuario/contraseña admin/admin e introduzca el siguiente
comando en el dispositivo:
admin@WF-500> test wildfire registration
El siguiente resultado indica que el dispositivo está registrado en
uno de los servidores de nube de WildFire de Palo Alto
Networks.
Test wildfire
wildfire registration: successful
download server list: successful
select the best server:
cs-s1.wildfire.paloaltonetworks.com
Step 3 Restablezca la contraseña del 1. Establezca una nueva contraseña ejecutando el comando:
administrador. admin@WF-500# set password
2. Introduzca la contraseña anterior, pulse Intro y, a continuación,
introduzca y confirme la nueva contraseña. No es necesario
compilar la configuración porque se trata de un comando de
operación.
3. Escriba exit para cerrar la sesión y, a continuación, vuelva a
iniciarla para confirmar que se ha establecido la nueva
contraseña.
Step 4 Configure los ajustes de interfaz de 1. Inicie sesión en el dispositivo con un cliente de SSH o usando el
gestión. puerto de la consola y acceda al modo de configuración.
admin@WF-500> configure
Este ejemplo utiliza los siguientes valores:
2. Establezca la información de IP:
• Dirección IPv4: 10.10.0.5/22
admin@WF-500# set deviceconfig system ip-address
• Máscara de subred: 255.255.252.0 10.10.0.5 netmask 255.255.252.0 default-gateway
• Puerta de enlace predeterminada: 10.10.0.1 dns-setting servers primary 10.0.0.246
10.10.0.1 Configure un segundo servidor DNS al reemplazar
• Nombre de host: wildfire-corp1 “primary” (primario) por “secondary”(secundario) en el
• Servidor DNS: 10.0.0.246 comando anterior, sin incluir los demás parámetros IP.
Por ejemplo:
admin@WF-500# set deviceconfig system
dns-setting servers secondary 10.0.0.247
3. Establezca el nombre de host (wildfire-corp1 en este ejemplo):
admin@WF-500# set deviceconfig system hostname
wildfire-corp1
4. Confirme la configuración para activar la nueva configuración
del puerto de gestión (MGT):
admin@WF-500# commit
5. Conecte el puerto de la interfaz de gestión a un conmutador de
red.
6. Vuelva a ubicar el PC de gestión en la red corporativa o en
cualquier red necesaria para acceder al dispositivo en la red de
gestión.
7. En el ordenador de gestión, utilice un cliente SSH para
establecer la conexión con la dirección IP o el nombre de host
nuevos asignados al puerto MGT en el dispositivo. En este
ejemplo, la dirección IP es 10.10.0.5.
Step 6 Establezca manualmente la fecha, hora y Establezca manualmente la fecha, hora y zona horaria del
zona horaria actuales, o sincronice el reloj dispositivo WF-500.
local del dispositivo WF-500 con un 1. Establezca la fecha y la hora:
servidor de protocolo de tiempo de redes admin@WF-500> set clock date <YY/MM/DD> time
(NTP). <hh:mm:ss>
2. Introduzca el modo de configuración:
admin@WF-500> configure
3. Establezca la zona horaria local:
admin@WF-500# set deviceconfig system timezone
<timezone>
La marca de hora que aparecerá en el informe detallado
de WildFire utilizará la zona horaria establecida en el
dispositivo. Si los administradores de varias regiones van
a ver los informes, considere la posibilidad de establecer
la zona horaria en UTC.
Sincronice el reloj local del dispositivo WF-500 con un servidor de
protocolo de tiempo de redes (NTP):
1. Introduzca el modo de configuración:
admin@WF-500> configure
2. Introduzca la dirección IP del servidor NTP que desea usar para
sincronizar el reloj local del WF-500:
admin@WF-500# set deviceconfig system ntp-servers
primary-ntp-server ntp-server-address <server IP
address>
3. (Opcional) Introduzca la dirección IP de un servidor NTP
secundario:
admin@WF-500# set deviceconfig system ntp-servers
secondary-ntp-server ntp-server-address <server IP
address>
El dispositivo WF-500 no prioriza el servidor NTP
primario o secundario, se sincroniza con cualquiera de
los servidores.
4.Establezca la autenticación de NTP:
• Deshabilite la autenticación de NTP:
admin@WF-500# set deviceconfig system ntp-servers
primary-ntp-server authentication-type none
• Habilite el intercambio de clave simétrica (secretos
compartidos) para autenticar las actualizaciones de hora del
servidor NTP:
admin@WF-500# set deviceconfig system ntp-servers
primary-ntp-server authentication-type
symmetric-key
Ahora introduzca la key-ID (identificación de clave, 1 -
65534), elija el algorithm (algoritmo) para utilizar en la
autenticación de NTP (MD5 o SHA1) y luego introduzca y
confirme la authentication-key (clave de autenticación)
del algoritmo de autenticación.
• Utilice la clave automática (criptografía de clave pública) para
autenticar las actualizaciones de hora del servidor NTP:
admin@WF-500# set deviceconfig system ntp-servers
primary-ntp-server authentication-type autokey
Step 7 Seleccione la imagen de máquina virtual • Para ver una lista de las máquinas virtuales disponibles y
que el dispositivo debe utilizar para el determinar cuál representa mejor su entorno:
análisis de archivos. admin@WF-500> show wildfire vm-images
La imagen se debe basar en los atributos • Para ver la imagen de máquina virtual actual, ejecute el siguiente
que mejor representen el software comando y consulte el campo Selected VM:
instalado en los ordenadores del usuario
admin@WF-500> show wildfire status
final. Cada imagen virtual contiene
distintas versiones de los sistemas • Seleccione la imagen que el dispositivo va a utilizar para el análisis:
operativos y el software, como Windows admin@WF-500# set deviceconfig setting wildfire
XP o Windows 7 (32 bits o 64 bits) y active-vm <vm-image-number>
versiones específicas de Adobe Reader y
Por ejemplo, para utilizar vm-1:
Flash. Aunque configure el dispositivo
admin@WF-500# set deviceconfig setting wildfire
para utilizar una sola configuración de la
active-vm vm-1
imagen de máquina virtual, el dispositivo
utiliza varias instancias de la imagen para
mejorar el rendimiento.
• Habilite la característica de inteligencia de nube del Envío de malware a la nube pública de WildFire.
dispositivo WF-500 para enviar automáticamente
muestras de malware descubiertas en la nube
privada de WildFire a la nube pública de WildFire.
La nube pública de WildFire volverá a analizar la
muestra y generará una firma si determina que la
muestra es maliciosa. La firma se añade a las
actualizaciones de firma de WildFire para
distribuirse a usuarios globales.
• Si no desea enviar muestras de malware fuera de Envío de informes de análisis a la nube pública de WildFire.
la nube privada de WildFire, envíe informes de
análisis de WildFire para malware a la nube
pública de WildFire.
Si el dispositivo WF5-500 no está
habilitado para enviar malware a la nube
pública de WildFire, la práctica
recomendada es habilitar los envíos de
informes de análisis de malware para
contribuir con la inteligencia de amenazas
de WildFire y mejorarla.
• Configure cuentas de usuario adicionales para En este ejemplo, se crea una cuenta de superlector para el usuario
gestionar el dispositivo WF-500. bsimpson:
Puede asignar dos tipos de roles: superusuario y 1. Introduzca el modo de configuración:
superlector. El superusuario es equivalente a la admin@WF-500> configure
cuenta de administrador, mientras que el 2. Cree la cuenta de usuario:
superlector solamente tiene acceso de lectura. admin@WF-500# set mgt-config users bsimpson
<password>
3. Introduzca y confirme la nueva contraseña.
4. Asigne la función de superlector:
admin@WF-500# set mgt-config users bsimpson
permissions role-based superreader yes
• Configure la autenticación RADIUS para el 1. Cree un perfil de RADIUS mediante las opciones siguientes:
acceso de administrador. admin@WF-500# set shared server-profile radius
<profile-name>
(Configure el servidor de RADIUS y otros atributos).
2. Cree un perfil de autenticación:
admin@WF-500# set shared authentication-profile
<profile-name> method radius server-profile
<server-profile-name>
3. Asigne el perfil a una cuenta de administrador local.
admin@WF-500# set mgt-config users username
authentication-profile authentication-profile-name>
• Establezca una contraseña para la cuenta de Solo se puede cambiar la contraseña de la cuenta de administrador
administrador del portal de WildFire. del portal de WildFire y no se pueden crear cuentas de administrador
adicionales. El nombre de usuario y la contraseña predeterminados
El administrador del portal de WildFire
son admin/admin.
puede usar el portal para enviar muestras
manualmente para el análisis de nube 1. Para cambiar la contraseña de la cuenta del administrador del
pública de WildFire y para visualizar portal de WildFire:
informes de análisis para estas muestras admin@WF-500> set wildfire portal-admin password
(consulte Carga manual de archivos en el 2. Pulse Intro y escriba y confirme la nueva contraseña.
portal de WildFire). Si el dispositivo
WF-500 está habilitado para Envío de
malware a la nube pública de WildFire
automáticamente, los informes de análisis
para estas muestras también estarán
disponibles a través del portal de WildFire.
Siguientes pasos... • Configuración de la interfaz de VM para habilitar el dispositivo
WF-500 para observar comportamientos malintencionados
donde el archivo que se está analizando busca acceso a la red.
• Uso de la API de WildFire para recuperar los informes de análisis
de WildFire para las muestras analizadas en una nube privada de
WildFire.
• Si habilita la inteligencia de nube para Envío de malware a la nube
pública de WildFire para un análisis adicional, utilice el portal de
WildFire para visualizar informes del malware enviado.
Configuración de la interfaz de VM
La interfaz de máquina virtual (interfaz VM) facilita la conectividad de red externa desde las máquinas virtuales
de espacio aislado en el dispositivo WF-500 para permitir la observación de comportamientos malintencionados
en que el archivo analizado intenta acceder a la red. En las siguientes secciones se describen la interfaz VM y los
pasos necesarios para configurarla. Además, puede habilitar la función Tor con la interfaz VM, lo cual
enmascarará el tráfico malintencionado enviado desde el dispositivo WF-500 mediante la interfaz VM, de modo
que los sitios de malware a los que se puede enviar el tráfico no puedan detectar su dirección IP de acceso
público.
En esta sección también se describen los pasos necesarios para conectar la interfaz VM a un puerto
especializado en un cortafuegos de Palo Alto Networks para habilitar la conectividad a Internet.
Descripción general de la interfaz de máquina virtual
Configuración de la interfaz VM en el dispositivo WF-500
Conexión del cortafuegos a la interfaz de VM del dispositivo WF-500
WildFire utiliza la interfaz VM (con la etiqueta 1 en la parte posterior del dispositivo) para mejorar la capacidad
de detección de malware. Esta interfaz permite que un archivo de muestra ejecutado en las máquinas virtuales
de WildFire se comunique con Internet y permite que WildFire analice mejor el comportamiento del archivo de
muestra para determinar si presenta características de malware.
Si bien se recomienda que habilite la interfaz VM, es muy importante que no la conecte a una red
que permita el acceso a cualquiera de sus servidores o hosts, ya que el malware ejecutado en
las máquinas virtuales de WildFire puede utilizar esta interfaz para propagarse.
Esta conexión puede ser una línea DSL especializada o un conexión de red que solamente
permita el acceso directo desde la interfaz VM a Internet y restrinja cualquier acceso a los
servidores o hosts de cliente internos.
Opción-1 (recomendada): conecte la interfaz VM a una interfaz en una zona especializada de un cortafuegos
con una política que solamente permita el acceso a Internet. Es importante porque el malware que se ejecuta
en las máquinas virtuales de WildFire puede utilizar potencialmente esta interfaz para propagarse. Esta es la
opción recomendada porque los logs del cortafuegos proporcionarán visibilidad en cualquier tráfico
generado por la interfaz VM.
Opción-2: utilice una conexión especializada del proveedor de Internet, como una conexión DSL, para
conectar la interfaz VM a Internet. Asegúrese de que no hay acceso desde esta conexión a servidores/hosts
internos. Aunque esta es una solución sencilla, el tráfico generado por el malware fuera de la interfaz de VM
no se registrará a menos que incluya un cortafuegos o una herramienta de supervisión de tráfico entre el
dispositivo WF-500 y la conexión DSL.
En esta sección se describen los pasos necesarios para configurar la interfaz VM en el dispositivo WF-500
mediante la configuración de la opción 1 detallada en el Ejemplo de la interfaz de máquina virtual. Después de
configurar la interfaz VM mediante esta opción, también debe configurar una interfaz en un cortafuegos de Palo
Alto Networks por el que se enrutará el tráfico desde la interfaz VM según se describe en Conexión del
cortafuegos a la interfaz de VM del dispositivo WF-500.
De forma predeterminada, la interfaz VM está configurada del modo siguiente:
Configuración de la interfaz de VM
Step 3 Pruebe la conectividad de la interfaz VM. Haga ping a un sistema y especifique la interfaz de VM como el
origen. Por ejemplo, si la dirección IP de la interfaz de VM es
10.16.0.20, ejecute el siguiente comando, donde ip-or-hostname es la
dirección IP o el nombre de host de un servidor o una red con la
opción de ping habilitada:
admin@WF-500> ping source 10.16.0.20 host ip-or-hostname
Por ejemplo:
admin@WF-500> ping source 10.16.0.20 host 10.16.0.1
Configuración del cortafuegos para controlar el tráfico de la interfaz VM del dispositivo WF-500
Step 1 Configure la interfaz en el cortafuegos al 1. En la interfaz web del cortafuegos, seleccione Network >
que se conectará la interfaz VM y Interfaces (Red > Interfaces) y, a continuación, seleccione una
establezca el enrutador virtual. interfaz, por ejemplo Ethernet1/3.
La zona wf-vm solamente debe 2. En la lista desplegable Interface Type (Tipo de interfaz),
contener la interfaz (Ethernet1/3 seleccione Layer3 (Capa3).
en este ejemplo) utilizada para 3. En la pestaña Config (Configurar), en el cuadro desplegable
conectar la interfaz VM del Security Zone (Zona de seguridad), seleccione New Zone
dispositivo al cortafuegos. Esto (Nueva zona).
permite evitar que el tráfico 4. En el campo Name (Nombre) del cuadro de diálogo Zone
generado por el malware llegue a (Zona), introduzca wf-vm-zone y haga clic en OK (Aceptar).
otras redes.
5. En el cuadro desplegable Virtual Router (Enrutador virtual),
seleccione default (predeterminado).
6. Para asignar una dirección IP a la interfaz, seleccione la pestaña
IPv4, haga clic en Add (Añadir) en la sección IP e introduzca la
dirección IP y la máscara de red para asignarlas a la interfaz, por
ejemplo, 10.16.0.0/22.
7. Para guardar la configuración de la interfaz, haga clic en OK (Aceptar).
Configuración del cortafuegos para controlar el tráfico de la interfaz VM del dispositivo WF-500 (Continuado)
Step 2 Cree una política de seguridad en el 1. Seleccione Policies > Security (Políticas > Seguridad) y haga
cortafuegos para permitir el acceso de la clic en Add (Añadir).
interfaz VM a Internet y bloquear todo el 2. En la pestaña General (General), introduzca un Name
tráfico entrante. En este ejemplo, el (Nombre).
nombre de la política es Interfaz VM de
3. En la pestaña Source (Origen), establezca la Source Zone (Zona
WildFire. Dado que no creará una política
de origen) en wf-vm-zone.
de seguridad desde la zona que no es de
confianza a la zona de la interfaz wf-vm, 4. En la pestaña Destination (Destino), establezca la Destination
todo el tráfico entrante se bloqueará de Zone (Zona de destino) como Untrust (No fiable).
forma predeterminada. 5. En las pestañas Application (Aplicación) y Service/URL
Category (Categoría de URL/servicio), deje de forma
predeterminada Any (Cualquiera).
6. En la pestaña Actions (Acciones), establezca Action Setting
(Configuración de acción) como Allow (Permitir).
7. En Log Setting (Ajuste de log), seleccione la casilla de
verificación Log at Session End (Log al finalizar sesión).
Si le preocupa que alguien pueda añadir de forma
accidental otras interfaces a la zona wf-vm, clone la
política de la seguridad de la interfaz VM de WildFire y,
a continuación, en la pestaña Action (Acción) de la regla
clonada, seleccione Deny (Denegar). Asegúrese de que
esta nueva política de seguridad aparezca debajo de la
política de seguridad de la interfaz VM de WildFire. Esta
acción cancela la regla de permiso de la intrazona
implícita que permite la comunicación entre las
interfaces de la misma zona y deniega o bloquea toda la
comunicación en la intrazona.
Step 3 Conecte los cables. Conecte físicamente la interfaz VM del dispositivo WF-500 al puerto
que ha configurado en el cortafuegos (Ethernet 1/3 en este ejemplo)
con un cable RJ-45 directo. La interfaz VM se indica con la etiqueta
1 en la parte posterior del dispositivo.
Instalación directa de las actualizaciones del contenido de inteligencia de amenazas desde el servidor de
actualizaciones
Step 1 Compruebe la conectividad del 1. Inicie sesión en el dispositivo WF-500 y ejecute el siguiente
dispositivo con el servidor de comando para mostrar la versión de contenido actual:
actualizaciones e identifique las admin@wf-500> show system info | match
actualizaciones de contenido que se wf-content-version
deben instalar.
2. Confirme si el dispositivo se puede comunicar con el servidor
de actualizaciones de Palo Alto Networks y vea las
actualizaciones disponibles:
admin@wf-500> request wf-content upgrade check
El comando envía una consulta al servidor de actualizaciones de
Palo Alto Networks, proporciona información sobre las
actualizaciones disponibles e identifica la versión instalada
actualmente en el dispositivo.
Version Size Released on Downloaded Installed
---------------------------------------------------------
2-253 57MB 2014/09/20 20:00:08 PDT no no
2-39 44MB 2014/02/12 14:04:27 PST yes current
Si el dispositivo no puede conectarse con el servidor de
actualizaciones, debe permitir la conectividad del dispositivo
con el servidor de actualizaciones de Palo Alto Networks o
descargar e instalar las actualizaciones mediante SCP según se
describe en Instalación de las actualizaciones del contenido de
WF-500 desde un servidor habilitado para SCP.
Instalación directa de las actualizaciones del contenido de inteligencia de amenazas desde el servidor de
actualizaciones (Continuado)
Step 4 (Opcional) Programe las actualizaciones 1. Programe el dispositivo para descargar e instalar las
de contenido para que se instalen de actualizaciones de contenido:
forma diaria o semanal. admin@WF-500# set deviceconfig system
update-schedule wf-content recurring [daily |
weekly] action [download-and-install |
download-only]
Por ejemplo, para descargar e instalar las actualizaciones
diariamente a las 8:00 a.m.:
admin@WF-500# set deviceconfig system
update-schedule wf-content recurring daily action
download-and-install at 08:00
2. Confirme la configuración
admin@WF-500# commit
Step 1 Recupere el archivo de actualización de 1. Inicie sesión en el sitio de Asistencia técnica de Palo Alto Networks y
contenido del servidor de actualizaciones. haga clic en Dynamic Updates (Actualizaciones dinámicas).
2. En la sección del dispositivo WF-500, busque la última actualización
de contenido del dispositivo WF-500 y descárguela.
3. Copie el archivo de actualización de contenido en un servidor
habilitado para SCP y anote el nombre del archivo y la ruta de
acceso al directorio.
Step 2 Instale la actualización de contenido en el 1. Inicie sesión en el dispositivo WF-500 y descargue el archivo de
dispositivo WF-500. actualización de contenido del servidor SCP:
admin@WF-500> scp import wf-content from
username@host:path
Por ejemplo:
admin@WF-500> scp import wf-content from
bart@10.10.10.5:c:/updates/panup-all-wfmeta-2-253.
tgz
Si el servidor SCP se ejecuta en un puerto no estándar o
si necesita especificar la dirección IP de origen, también
puede definir estas opciones en el comando scp import.
2. Instale la actualización:
admin@WF-500> request wf-content upgrade install
file panup-all-wfmeta-2-253.tgz
Vea el estado de la instalación:
admin@WF-500> show jobs all
Antivirus signatures (Firmas de antivirus): detectan y bloquean archivos malintencionados. WildFire añade
estas firmas a las actualizaciones de contenido de WildFire y antivirus.
DNS signatures (Firmas DNS): detectan y bloquean los dominios de devolución de llamada para el tráfico
de comandos y control asociado al malware. WildFire añade estas firmas a las actualizaciones de contenido
de WildFire y antivirus.
URL categories (Categorización de URL): categoriza los dominios de devolución de llamadas como
malware y actualiza la categoría de URL en PAN-DB.
Configure los cortafuegos para que reciban las firmas generadas por el dispositivo WF-500 con una frecuencia de
cada cinco minutos. También puede enviar la muestra de malware a la nube pública de WildFire a fin de habilitar
la firma que se distribuirá a nivel global a través de las publicaciones de contenido de Palo Alto Networks.
Los siguientes pasos describen cómo habilitar el dispositivo WF-500 para generar firmas y categorías de URL,
y cómo distribuir las firmas y categorías a los cortafuegos de la red.
Habilitación del dispositivo WF-500 para generar y distribuir las firmas y categorías de URL
Antes de comenzar, asegúrese de que dispone de Configuración de las actualizaciones del contenido de WF-500 para que
el dispositivo WF-500 reciba la inteligencia de amenazas más reciente de Palo Alto Networks.
Step 1 Habilite las firmas y la generación de 1. Inicie sesión en el dispositivo y escriba configure para acceder
categorías URL al modo de configuración.
2. Habilite todas las opciones de prevención de amenazas:
admin@WF-500# set deviceconfig setting wildfire
signature-generation av yes dns yes url yes
3. Confirme la configuración:
admin@WF-500# commit
Habilitación del dispositivo WF-500 para generar y distribuir las firmas y categorías de URL
Step 2 Elabore una programación para que los Para varios cortafuegos gestionados por Panorama:
cortafuegos conectados al dispositivo Inicie Panorama y seleccione Panorama > Device Deployment >
reciban las firmas y categorías de URL Dynamic Updates (Panorama > Implementación de dispositivo >
generadas por el dispositivo. Actualizaciones dinámicas), haga clic en Schedules
La práctica recomendada es (Programaciones) y en Add (Añadir) para añadir actualizaciones de
configurar sus cortafuegos para contenido programadas para los dispositivos gestionados.
recuperar las actualizaciones de Para obtener detalles sobre el uso de Panorama para establecer que
contenido de la nube pública de los cortafuegos gestionados reciban firmas y categorías de URL
WildFire y el dispositivo WF-500. desde un dispositivo WF-500, consulte Actualizaciones de contenido
Esto garantiza que los cortafuegos programadas para los dispositivos usando Panorama.
reciban firmas según las amenazas
detectadas en todo el mundo y no Para un único cortafuegos:
solo las firmas generadas por el 1. Inicie sesión en la interfaz web del cortafuegos y seleccione
dispositivo local. Device > Dynamic Updates (Dispositivo > Actualizaciones
dinámicas).
Para los cortafuegos configurados para enviar archivos a un
dispositivo WF-500 (en una nube privada de WildFire o una
implementación de nube híbrida), se muestra la sección
WF-Private.
2. Establezca Schedule (Programación) para que el cortafuegos
descargue e instale actualizaciones de contenido desde el
dispositivo WF-500.
Dado que los archivos de VM pueden tener un tamaño de 4 GB, asegúrese de que el software
del servidor habilitado para Secure Copy (SCP) sea compatible con transferencias de archivos
de más de 4 GB y compruebe si hay suficiente espacio libre para almacenar los archivos
temporalmente.
Step 1 Descargue la versión de software 7.0 en Inicie sesión en el dispositivo WF-500 y descargue la versión de
el dispositivo WF-500. software 7.0.0:
admin@WF-500> request system software download version
No puede omitir ninguna versión
7.0.0
importante al actualizar el
dispositivo WF-500. Por ejemplo, Para comprobar el estado de la descarga, utilice el siguiente
si desea actualizar la versión 6.0 a comando:
la 7.0, primero debe instalar la admin@WF-500> show jobs all
versión 6.1.
Step 2 Descargue la imagen de VM 7.0 en un 1. En el sitio de Asistencia técnica de Palo Alto Networks, haga clic
servidor habilitado para SCP. en Software Updates (Actualizaciones de software).
2. En la sección de imágenes de VM invitadas de WF-500,
descargue la imagen de VM invitada 7.0
(WFWinXpGf_m-1.0.0-c6.xpgf) en el sistema local:
Step 4 Instale la imagen de VM en el dispositivo Ejecute el siguiente comando para instalar la imagen de VM en el
WF-500. dispositivo WF-500:
admin@WF-500> request system wildfire-vm-image upgrade
install file WFWinXpGf__m-1.0.0_c6.xpgf
Step 5 Instale la versión de software 7.0 en el Instale la imagen del sistema operativo del dispositivo WF-500
dispositivo WF-500. (descargado en Step 1) al ejecutar el siguiente comando:
admin@WF-500> request system software install version
7.0.0
Step 6 Reinicie el dispositivo WF-500 y confirme 1. Confirme que la actualización se haya completado. Ejecute el
si la instalación se ha realizado siguiente comando y busque el tipo de trabajo Install y el
correctamente. estado FIN:
admin@WF-500> show jobs all
2. Reinicie el dispositivo:
admin@WF-500> request restart system
3. Compruebe si en el campo sw-version se muestra 7.0:
admin@WF-500> show system info | match sw-version
Step 7 (Opcional) Habilite el entorno de espacio 1. Para ver la imagen de la máquina virtual activa, ejecute el
aislado de Windows 7 de 64 bits. siguiente comando y consulte el campo Selected VM:
admin@WF-500> show wildfire status
2. Vea una lista de las imágenes de máquinas virtuales disponibles:
admin@WF-500> show wildfire vm-images
En el siguiente resultado se muestra que vm-5 es la imagen de
Windows 7 de 64 bits:
vm-5
Windows 7 de 64 bits, Adobe Reader 11, Flash 11,
Office 2010. Support PE, PDF, Office 2010 and
earlier
3. Seleccione la imagen que se va a utilizar para el análisis:
admin@WF-500# set deviceconfig setting wildfire
active-vm <vm-image-number>
Por ejemplo, para utilizar vm-5, ejecute el siguiente comando:
admin@WF-500# set deviceconfig setting wildfire
active-vm vm-5
4. Commit (confirme) la configuración:
admin@WF-500# commit
Step 8 Actualice los cortafuegos conectados al Actualice los cortafuegos a PAN-OS 7.0.
dispositivo.
Step 9 Habilite los cortafuegos para que 1. Defina el tráfico que debe enviarse para el análisis de WildFire:
continúen enviando los archivos al a. Seleccione Objects > Security Profiles > WildFire Analysis
dispositivo WF-500 para el análisis. (Objetos > Perfiles de seguridad > Análisis de WildFire) y
Este paso es necesario para para cada regla de perfil, actualice el ajuste de análisis en
garantizar que los ajustes de private-cloud (nube privada).
WildFire que migraron durante la b. (Opcional) Para usar la nube pública de WildFire para
actualización se configuren analizar ciertos archivos (por ejemplo, archivos APK que no
correctamente. Durante la son compatibles con el análisis de dispositivo WF-500),
actualización a PAN-OS 7.0, los añada o modifique una regla de perfil de análisis de WildFire
ajustes del envío de archivos para usar la ubicación de Analysis (Análisis) de public cloud
migran desde el perfil de bloqueo (nube pública). El tráfico que coincida con la ubicación del
de archivos hacia el perfil de análisis public-cloud (nube pública) configurada se enviará a
análisis de WildFire. El nuevo la nube pública de WildFire para el análisis.
perfil de análisis de WildFire
habilita el firewall para admitir una 2. Seleccione Device > Setup > WildFire (Dispositivo >
implementación de nube híbrida Configuración > WildFire) y configure las ubicaciones de
de WildFire, donde los archivos WildFire a las que el cortafuegos enviará los archivos para el
pueden enviarse a la nube pública análisis:
y a la nube privada para análisis. a. En el campo WildFire Private Cloud (Nube privada de
WildFire), introduzca la dirección IP o el FQDN del
dispositivo WF-500.
b. Si el cortafuegos estuviera conectado a un dispositivo
WF-500 antes de la actualización, el campo WildFire Public
Cloud (Nube pública de WildFire) se completará
automáticamente con la dirección IP o FQDN del
dispositivo WF-500. Complete este campo según si desea
analizar archivos usando solo el dispositivo WF-500 o tanto
el dispositivo WF-500 como la nube pública de WildFire:
– Para continuar enviando archivos solo al dispositivo
WF-500, elimine la entrada de nube pública de WildFire y
deje el campo en blanco.
– Para habilitar el cortafuegos para que envíe los archivos al
dispositivo WF-500 y a la nube pública de WildFire alojada
en EE. UU., introduzca wildfire.paloaltonetworks.com.
Para usar la nube de Japón, introduzca
wildfire.paloaltonetworks.jp.
Siguientes pasos... Reenvío de archivos para el análisis de WildFire.
Configuración de un cortafuegos para que envíe archivos y enlaces de correo electrónico a WildFire
Antes de comenzar:
Si hay otro cortafuegos entre el cortafuegos que está configurando para que envíe los archivos y la nube de WildFire
o el dispositivo WF-500, asegúrese de que el cortafuegos del medio permita los siguientes puertos:
• La nube pública de WildFire utiliza el puerto 443 para el registro y los envíos de archivos.
• El dispositivo WF-500 utiliza el puerto 443 para el registro y el puerto 10443 para los envíos de archivos.
Verifique que el cortafuegos tenga suscripciones válidas de WildFire y Threat Prevention (Device > Licenses
[Dispositivo > Licencias]).
Verifique que las actualizaciones de contenido estén programadas y vigentes. Seleccione Device > Dynamic Updates
(Dispositivo > Actualizaciones dinámicas) y haga clic en Check Now (Comprobar ahora) para asegurarse de que el
cortafuegos tenga las actualizaciones más recientes del antivirus, aplicaciones y amenazas y WildFire.
(Solo para cortafuegos de la serie PA-7000) Para habilitar un cortafuegos de la serie PA-7000 para que envíe archivos
y enlaces de correo electrónico para el análisis de WildFire, primero debe configurar el puerto de datos en una NPC
como una interfaz de tarjeta de logs.
Configuración de un cortafuegos para que envíe archivos y enlaces de correo electrónico a WildFire
Step 1 Configure los ajustes de WildFire. 1. Seleccione Device > Setup > WildFire (Dispositivo >
Configuración > WildFire) y modifique el icono de edición de
Los ajustes de WildFire incluyen la
General Settings (Configuración general).
definición de las ubicaciones de análisis de
nube pública y privada de WildFire, y la 2. Introduzca la nube pública de WildFire y la nube privada de
opción de habilitar los informes para WildFire que desea utilizar para el análisis de WildFire:
grayware o archivos benignos. • Para enviar archivos a la WildFire Public Cloud (Nube
pública de WildFire) alojada en EE. UU., introduzca
Únicamente en Panorama:
wildfire.paloaltonetworks.com.
Si Panorama detecta una entrada
Para enviar archivos a la nube de WildFire alojada en
de log WildFire Submissions
Japón, introduzca wildfire.paloaltonetworks.jp.
(Envíos de WildFire) con campos
Si se encuentra en la región de Japón, puede que
incompletos, Panorama puede
también experimente una respuesta más rápida en los
conectarse a WildFire para
envíos de muestras y la generación de informes al
recopilar información sobre la
utilizar la nube de Japón. También puede usar la nube
muestra y completar los datos de la de Japón si no desea que el grayware o los archivos
entrada del log. Seleccione
benignos se envíen a los servidores de nube de
Panorama > Setup > WildFire
EE. UU.; sin embargo, si se determina que un archivo
(Panorama > Configuración > enviado a la nube de Japón es malintencionado, se
WildFire) e introduzca un enviará a los servidores de EE. UU. para el análisis y
WildFire Server (Servidor
la generación de firmas.
WildFire) con el que se
comunicará Panorama para • Para enviar archivos a una WildFire Private Cloud (Nube
recopilar detalles de muestra (de privada de WildFire), introduzca la dirección IP o el FQDN
manera predeterminada, del dispositivo WF-500.
Panorama utilizará la nube pública • Deje uno de los campos vacíos si no planea usar dicha nube
de WildFire). para el análisis de archivos.
3. (Opcional) Modifique los File Size Limits (Límites de tamaño
de archivo) para los archivos enviados desde el cortafuegos. Por
ejemplo, si establece PDF en 5 MB, los archivos PDF con un
tamaño superior a 5 MB no se reenviarán.
4. (Opcional) Habilite los informes para archivos benignos y
grayware:
• Seleccione Report Benign Files (Informar archivos
benignos) para permitir el registro de archivos que reciben un
veredicto benigno de WildFire.
• Seleccione Report Grayware Files (Informar archivos de
grayware) para permitir el registro de archivos que reciben un
veredicto de grayware de WildFire.
Para ver los logs de archivos que reciben los veredictos
de grayware y benignos, seleccione Monitor > WildFire
Submissions (Supervisar > Envíos de WildFire).
5. (Opcional) Defina qué información de sesión se debe registrar
en los informes de análisis de WildFire.
a. Modifique los ajustes de información de la sesión.
b. De manera predeterminada, toda la información de sesión se
muestra en los informes de análisis de WildFire. Desmarque
las casillas de verificación para quitar los campos
correspondientes de los informes de análisis de WildFire y
haga clic en OK (Aceptar) para guardar los ajustes.
Configuración de un cortafuegos para que envíe archivos y enlaces de correo electrónico a WildFire
Step 2 Defina el tráfico que debe enviarse para el 1. Seleccione Objects > Security Profiles > WildFire Analysis
análisis de WildFire. (Objetos > Perfiles de seguridad > Análisis de WildFire), haga
clic en Add (Añadir) para añadir un nuevo perfil de análisis y
Si tiene un dispositivo WF-500 asigne al perfil un Name (Nombre) descriptivo.
configurado, puede usar las nubes
privada y pública en una 2. Add (Añada) una regla de perfil para definir el tráfico que debe
implementación de nube híbrida. enviarse para el análisis y asigne a la regla un Name (Nombre)
Analice los archivos confidenciales descriptivo, tal como local-PDF-análisis.
localmente en la red, a la vez que 3. Defina la regla de perfil para que coincida con el tráfico
envía todos los demás archivos desconocido y para que reenvíe muestras para el análisis en
desconocidos a la nube pública de función de lo siguiente:
WildFire para el análisis integral y • Applications (Aplicaciones): envíe archivos para el análisis
devoluciones de avisos de según la aplicación en uso.
veredicto. • File Types (Tipos de archivos): envíe archivos para el análisis
según el tipo de archivo, incluidos los enlaces de mensajes de
correo electrónico. Por ejemplo, seleccione PDF para enviar
PDF desconocidos detectados por el cortafuegos para el análisis.
• Direction (Dirección): envíe archivos para el análisis según la
dirección de transmisión del archivo (carga, descarga o
ambas). Por ejemplo, seleccione both (ambas) para enviar
todos los PDF desconocidos para el análisis,
independientemente de la dirección de transmisión.
4. Establezca la ubicación del Analysis (Análisis) a la cual se
enviarán los archivos que coincidan con la regla.
• Seleccione public-cloud (nube pública) para enviar archivos que
coincidan con la regla a la nube pública de WildFire para el análisis.
• Seleccione private-cloud (nube privada) para reenviar
archivos que coincidan con la regla a la nube privada de
WildFire para el análisis.
Por ejemplo, para analizar PDF que podrían contener
información confidencial o exclusiva sin enviar estos
documentos fuera de la red, establezca la ubicación del
Analysis (Análisis) para el análisis de PDF local de la regla en
la private-cloud (nube privada).
Configuración de un cortafuegos para que envíe archivos y enlaces de correo electrónico a WildFire
Step 3 Adjunte el perfil de análisis de WildFire a 1. Seleccione Policies > Security (Políticas > Seguridad) y Add
una regla de política de seguridad. (Añadir), o modifique una regla de política.
El tráfico permitido por la regla de 2. Haga clic en la pestaña Actions (Acciones) dentro de la regla de política.
política de seguridad se evalúa en función 3. En la sección de Profile Settings (Configuración de perfil),
del perfil de análisis de WildFire adjunto; seleccione Profiles (Perfiles) como el Profile Type (Tipo de
los cortafuegos envían el tráfico que perfil) y seleccione un perfil de WildFire Analysis (Análisis de
coincide con el perfil para el análisis de WildFire) para adjuntar la regla de política
WildFire. .
Step 4 (Opcional) Habilite el cortafuegos para Para enviar tráfico descifrado para el análisis de WildFire, el
que envíe tráfico descifrado para el cortafuegos primero debe estar habilitado para realizar el
análisis de WildFire. descifrado.
El tráfico descifrado por el cortafuegos se En un único cortafuegos:
evalúa en función de la política de 4. Seleccione Device > Setup > Content-ID (Dispositivo >
seguridad y, si coincide con el perfil de Configuración > ID de contenido).
análisis de WildFire adjuntado a una regla
de política, puede enviarse a WildFire y 5. Edite las opciones de filtro de la URL y habilite Allow
analizarse antes de volver a cifrarse. Forwarding of Decrypted Content (Permitir reenvío de
contenido descifrado).
Solo un superusuario puede 6. Haga clic en OK (Aceptar) para guardar los cambios.
habilitar esta opción.
En un cortafuegos con sistemas virtuales configurados:
Seleccione Device > Virtual Systems (Dispositivo > Sistemas
virtuales), haga clic en el sistema virtual que desea modificar y
seleccione la casilla de verificación Allow Forwarding of Decrypted
Content (Permitir reenvío de contenido descifrado).
Step 5 Confirme la configuración. Haga clic en Commit (Confirmar) para aplicar los ajustes.
Configuración de un cortafuegos para que envíe archivos y enlaces de correo electrónico a WildFire
Palo Alto Networks proporciona un archivo de malware de muestra que puede utilizar para probar la configuración
de WildFire. Siga los pasos a continuación para descargar la muestra de prueba de malware, verificar que el archivo
se esté enviando correctamente para el análisis de WildFire y visualizar los resultados del análisis.
Step 2 En la interfaz web del cortafuegos, seleccione Monitor > WildFire Submissions (Supervisar > Envíos de
WildFire) para confirmar que el archivo se haya enviado para el análisis.
Pueden transcurrir alrededor de cinco minutos hasta que los resultados del análisis del archivo se muestren en la
página WildFire Submissions (Envíos de WildFire).
El veredicto del archivo de prueba siempre se mostrará como malware.
Después de configurar el cortafuegos para Reenvío de archivos para el análisis de WildFire, use las siguientes
opciones para verificar la conexión entre el cortafuegos y la nube pública o privada de WildFire, y para
supervisar el reenvío de archivos.
Varias de las opciones para verificar que un cortafuegos esté enviando muestras para el análisis
de WildFire son comandos de CLI. Para obtener detalles sobre cómo comenzar y usar la CLI,
consulte la Guía de inicio rápido de la CLI de PAN-OS.
Verifique que el cortafuegos tenga Use el comando test wildfire registration para verificar que
comunicación con un servidor de WildFire. el cortafuegos esté conectado a una nube privada de WildFire, la
nube pública de WildFire o ambas.
El siguiente resultado de ejemplo corresponde a un cortafuegos en
una implementación de Nube privada de WildFire:
Verifique el estado de la conexión del Use el comando show wildfire status para lo siguiente:
cortafuegos a la nube pública o privada de • Comprobar el estado de la nube pública o privada de WildFire a la
WildFire, incluida la cantidad total de archivos cual el cortafuegos está conectado. El estado Idle indica que la
reenviados por el cortafuegos para el análisis. nube de WildFire (pública o privada) está lista para recibir los
archivos para el análisis.
• Confirme los límites de tamaño configurados para los archivos
reenviados por el cortafuegos (Device > Setup > WildFire
[Dispositivo > Configuración > WildFire]).
• Supervise el reenvío de archivos, incluido el recuento total de
archivos reenviados por el cortafuegos para el análisis de WildFire.
Si el cortafuegos está en una implementación de nube híbrida de
WildFire, la cantidad de archivos reenviados a la nube pública de
WildFire y la nube privada de WildFire también se muestran.
El siguiente ejemplo muestra el resultado de show wildfire status
para un cortafuegos en una implementación de nube privada de
WildFire:
Visualice las muestras enviadas por el Use el comando show wildfire statistics para confirmar los tipos
cortafuegos de acuerdo con el tipo de archivo de archivos que se reenvían a la nube pública o privada de WildFire.
(incluidos los enlaces de correo electrónico). • El comando muestra el resultado de un cortafuegos en
Use esta opción para confirmar que los funcionamiento y muestra los contadores para cada tipo de
enlaces de correo electrónico se archivo que el cortafuegos reenvía para el análisis de WildFire. Si
reenvían para el análisis de WildFire, ya el campo de un contador muestra 0, el cortafuegos no está
que solo los enlaces de correo reenviando ese tipo de archivo.
electrónico que reciben un veredicto de • Confirme que los enlaces de correo electrónico se estén
malware se registran como entradas de reenviando para el análisis al comprobar que los siguientes
WildFire Submissions (Envíos de contadores no muestren cero:
WildFire), incluso si está habilitado el
registro de muestras benignas y de – FWD_CNT_APPENDED_BATCH: indica el número de enlaces de
grayware. Esto se debe a la mera correo electrónico añadidos a un lote en espera para
cantidad de entradas de envíos de cargarse en WildFire.
WildFire que se registrarían para los enlaces de – FWD_CNT_LOCAL_FILE: indica el número total de enlaces de
correo electrónicos benignos. correo electrónico cargados en WildFire.
Verifique que una muestra específica haya sido Ejecute los siguientes comandos de CLI en el cortafuegos para ver
reenviada por el cortafuegos y compruebe el muestras que el cortafuegos ha enviado para el análisis de WildFire:
estado de esa muestra. • Vea todas las muestras reenviadas por el cortafuegos mediante el
Esta opción puede ser útil al resolver comando de CLI debug wildfire upload-log.
problemas para: • Vea solo las muestras reenviadas a la nube pública de WildFire
• Confirmar que las muestras que aún mediante el comando de CLI debug wildfire upload-log
no recibieron un veredicto de WildFire channel public.
hayan sido reenviadas correctamente
• Vea solo las muestras reenviadas a la nube privada de WildFire
por el cortafuegos. Debido a que los
mediante el comando de CLI debug wildfire upload-log
WildFire Submissions (Envíos de
channel private.
WildFire) se registran en el cortafuegos
únicamente cuando el análisis de El siguiente ejemplo muestra el resultado para los tres comandos
WildFire está completo y la muestra enumerados anteriormente cuando se emiten en un cortafuegos de
recibió un veredicto de WildFire, use una implementación de nube pública de WildFire:
esta opción para verificar que el
cortafuegos haya enviado una muestra
que actualmente está siendo analizada
por WildFire.
• Realice el seguimiento del estado para
un único archivo o para el enlace de
correo electrónico permitido de
acuerdo con su política de seguridad,
cotejado con un perfil de análisis de
WildFire y luego reenviado para el
análisis de WildFire.
• Compruebe que un cortafuegos en
una implementación de Nube híbrida de
WildFire esté reenviando los tipos de
archivos correctos y los enlaces de
correo electrónico a la nube pública de
WildFire o a una nube privada de
WildFire.
Supervise las muestras reenviadas Usando la interfaz web del cortafuegos, seleccione Monitor > Logs >
correctamente para el análisis de WildFire. WildFire Submissions (Supervisar > Logs > Envíos de WildFire).
Todos los archivos reenviados por un cortafuegos a la nube pública
o privada de WildFire para el análisis se registran en la página de
envíos de WildFire.
• Compruebe el veredicto de WildFire para una muestra:
De manera predeterminada, solo las muestras que reciben
veredictos de malware se muestran como entradas de WildFire
Submissions (Envíos de WildFire). Para habilitar el registro de
muestras benignas o grayware, seleccione Device > Setup >
WildFire > Report Benign Files/ Report Grayware Files
(Dispositivo > Configuración > WildFire > Informar archivos
benignos/Informar archivos de grayware).
Habilite el registro de archivos benignos como un paso
rápido de solución de problemas para verificar que el
cortafuegos esté reenviando archivos. Compruebe los logs
de WildFire Submissions (Envíos de WildFire) para
verificar que los archivos se estén reenviando para el
análisis y que estén recibiendo veredictos de WildFire (en
este caso, un veredicto benigno).
• Confirme la ubicación del análisis para una muestra:
La columna WildFire Cloud (Nube de WildFire) muestra la
ubicación a la cual se envió el archivo y en la que se analizó (nube
pública o nube privada). Esto es útil al implementar una Nube
híbrida de WildFire.
Step 2 Visualice los resultados del análisis del 1. Actualice la página del portal en el navegador.
archivo. 2. Haga clic en Manual debajo de la columna de origen para ver los
WildFire tardará unos cinco minutos en resultados de la carga de muestras manual.
completar el análisis del archivo. 3. La página del informe mostrará una lista de todos los archivos
que se han cargado en su cuenta. Encuentre el archivo que ha
Como la carga manual no se asocia
cargado y haga clic en el icono de detalles a la izquierda del
con un cortafuegos específico, las
campo de fecha.
cargas manuales aparecerán de
forma separada de los cortafuegos El portal muestra un informe completo del análisis del archivo,
registrados y no mostrarán en el que se detalla el comportamiento del archivo observado. Si
información de sesión en los WildFire identifica el archivo como malware, genera una firma
informes. que posteriormente se distribuirá a todos los cortafuegos de
Palo Alto Networks configurados con una suscripción a
WildFire o Threat Prevention.
Habilitación del dispositivo WF-500 para enviar malware o informes a la nube pública de WildFire
Step 1 Ejecute el siguiente comando de CLI del dispositivo WF-500 para habilitar el dispositivo para que envíe
automáticamente muestras de malware a la nube pública de WildFire:
admin@WF-500# set deviceconfig setting wildfire cloud-intelligence submit-sample yes
Si el cortafuegos que envió originalmente la muestra para el análisis a la nube privada de WildFire tiene
capturas de paquetes (PCAP) habilitadas, las PCAP para el malware también se reenviarán a la nube
pública de WildFire.
Step 2 Ingrese en el portal de WildFire para ver informes de análisis de malware enviados automáticamente a la nube
pública de WildFire.
Envío de informes de análisis a la nube pública de WildFire
Si el dispositivo WF5-500 está habilitado para Envío de malware a la nube pública de WildFire, no es necesario que habilite
también el dispositivo para que envíe informes a la nube pública. Cuando el malware se envía a la nube pública de WildFire,
la nube pública genera un nuevo informe de análisis para la muestra.
Si desea que el dispositivo WF-500 envíe automáticamente informes de malware a la nube pública de WildFire (y no la
muestra de malware), ejecute el siguiente comando de CLI en el dispositivo WF-500:
admin@WF-500# set deviceconfig setting wildfire cloud-intelligence submit-report yes
La velocidad a la que el cortafuegos puede reenviar archivos a WildFire también depende del
ancho de banda del enlace de carga para los sistema WildFire.
VM-100 5 100 MB
VM-200 10 200 MB
VM-300 20 200 MB
PA-200 5 100 MB
PA-500 10 200 MB
PA-3020 50 200 MB
PA-3050/3060 50 500 MB
PA-4020 20 200 MB
PA-4050/4060 50 500 MB
Habilite las siguientes opciones para los logs de WildFire Submissions (Envíos de WildFire):
Habilitación del registro de muestras benignas y grayware
Inclusión de información de encabezados de correo electrónico en logs e informes de WildFire
Inclusión de información de ID de usuario en logs e informes de WildFire
El registro de muestras benignas y grayware está deshabilitado de manera predeterminada. Los enlaces de correo
electrónico que reciben veredictos benignos o de grayware no se registran.
Step 1 Seleccione Device > Setup > WildFire (Dispositivo > Configuración > WildFire) y modifique General Settings
(Configuración general).
Step 2 Seleccione Report Benign Files (Informar archivos benignos) o Report Grayware Files (Informar archivos de
grayware), y haga clic en OK (Aceptar) para guardar la configuración.
Siga los pasos a continuación para incluir información de encabezados de correo electrónico (remitente,
destinatario y asunto de correo electrónico) en logs e informes de WildFire.
La información de la sesión se reenvía a la nube de WildFire junto con la muestra y se utiliza para generar el
informe de análisis de WildFire. Ni el cortafuegos ni la nube de WildFire reciben, almacenan o visualizan el
contenido real del correo electrónico.
Step 1 Seleccione Device > Setup > WildFire (Dispositivo > Configuración > WildFire).
Step 2 Modifique la sección Ajustes de información de sesión y habilite una o más de las opciones (Email sender
[Remitente del correo electrónico], Email recipient [Destinatario del correo electrónico] y Email subject
[Asunto del correo electrónico]).
Habilite el cortafuegos para que coteje información de ID de usuario con la información de encabezado de correo
electrónico, a fin de que la ID de usuario del destinatario de un documento adjunto o enlace de correo electrónico
malintencionado sea identificada para una entrada de WildFire.
Step 1 Seleccione Device > User Identification > Group Mapping Settings (Dispositivo > Identificación de usuarios >
Configuración de asignación de grupos).
Step 3 En la pestaña Server Profile (Perfil de servidor) de la sección Mail Domains (Dominios de correo), rellene el
campo Domain List (Lista de dominios):
• Mail Attributes (Atributos de correo electrónico): este campo se rellena automáticamente después de
completar el campo Domain List (Lista de dominios) y hacer clic en OK (Aceptar). Los atributos se basan en
su tipo de servidor de LDAP (Sun/RFC, Active Directory y Novell).
• Domain List (Lista de dominios): introduzca la lista de dominios de correo electrónico de su organización
usando una lista separada por comas de hasta 256 caracteres.
Cuando la información del encabezado de correo electrónico coincide con una ID de usuario, el campo Recipient User-ID
(ID de usuario de destinatario) en la sección Email Headers (Encabezados de correo electrónico) de la vista de log
detallado se vinculará a un ACC filtrado para ese usuario o grupo de usuarios.
Las muestras que los cortafuegos envían para el análisis de WildFire se muestran como entradas en el log de
WildFire Submissions (Envíos de WildFire) en la interfaz web del cortafuegos. Para cada entrada de WildFire
puede abrir una vista del log ampliada que muestra los detalles del log y el informe de análisis de WildFire de la
muestra.
Supervisión de envíos e informes de WildFire
Step 3 Para visualizar las muestras enviadas por un cortafuegos a una nube pública, privada o híbrida de WildFire,
seleccione Monitor > WildFire Submissions (Supervisión > Envíos de WildFire). Cuando WildFire completa
el análisis de una muestra, los resultados se devuelven al cortafuegos que envió la muestra y se ponen a
disposición en los logs de envíos de WildFire. La columna Verdict (veredicto) indica si la muestra es benigna,
malintencionada o grayware.
Step 4 En cualquiera de las entradas, seleccione el icono de detalles del log para abrir una vista detallada del log para cada entrada:
La vista detallada del log muestra la información del log y el informe de análisis de WildFire de la entrada. Si el
cortafuegos tiene capturas de paquetes (PCAP) habilitadas, las PCAP de la muestra también se mostrarán.
Para todas las muestras, el informe del análisis de WildFire muestra información del archivo y la sesión. Para las
muestras de malware, el informe de análisis de WildFire se amplía para incluir detalles sobre los atributos del
archivo y el comportamiento que indicaron que el archivo era malintencionado.
Step 5 (Opcional) Download PDF (Descargar PDF) del informe de análisis de WildFire.
Puede configurar un cortafuegos de Palo Alto Networks para enviar una alerta cada vez que WildFire identifica
un archivo o enlace de correo electrónico malintencionado. Puede configurar alertas para archivos benignos
también, pero no para enlaces de correos electrónicos benignos y grayware. Este ejemplo describe cómo
configurar una alerta de correo electrónico; sin embargo, también puede configurar el reenvío de logs para
establecer el envío de alertas a través de syslog, traps SNMP o Panorama.
Step 1 Configure un perfil de servidor de correo 1. Seleccione Device > Server Profiles > Email (Dispositivo >
electrónico. Perfiles de servidor > Correo electrónico).
2. Haga clic en Add (Añadir) y, a continuación, introduzca un
Name (Nombre) para el perfil. Por ejemplo,
WildFire-Email-Profile.
3. (Opcional) Seleccione el sistema virtual al que se aplica este
perfil en el menú desplegable Location (Ubicación).
4. Haga clic en Add (Añadir) para añadir un nuevo servidor de
correo electrónico e introduzca la información necesaria para
conectarse al servidor de protocolo simple de transferencia de
correo (SMTP) y enviar mensajes de correo electrónico (puede
añadir hasta cuatro servidores de correo electrónico al perfil):
• Server (Servidor): nombre para identificar el servidor de
correo (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor
SMTP existente.
• Display Name (Nombre para mostrar): el nombre que
aparecerá en el campo From (De) del correo electrónico.
• From (De): la dirección de correo electrónico desde la que se
envían las notificaciones de correo electrónico.
• To (Para): la dirección de correo electrónico a la que se envían
las notificaciones de correo electrónico.
• Additional Recipient(s) (Destinatarios adicionales):
introduzca una dirección de correo electrónico para enviar
notificaciones a un segundo destinatario.
• Gateway (Puerta de enlace): la dirección IP o el nombre de
host de la puerta de enlace SMTP que se usará para enviar los
mensajes de correo electrónico.
5. Haga clic en OK (Aceptar) para guardar el perfil del servidor.
6. Haga clic en Commit (Confirmar) para guardar los cambios en
la configuración en curso.
Step 2 Configure un perfil de servidor de correo 1. Seleccione Monitor > PDF Reports > Email Scheduler
electrónico. (Supervisar > Informes en PDF > Programador de correo
electrónico).
2. Haga clic en Add (Añadir) y seleccione el nuevo perfil de correo
electrónico en el menú desplegable Email Profile (Perfil de
correo electrónico).
3. Haga clic en el botón Send test (Enviar prueba) del correo
electrónico y se enviará un correo electrónico de prueba a los
destinatarios definidos en el perfil de correo electrónico.
Step 3 Configure un perfil de reenvío de logs 1. Seleccione Objects > Log Forwarding (Objetos > Reenvío de
para reenviar logs de WildFire a logs).
Panorama, una cuenta de correo 2. Haga clic en Add (Añadir) e indique un nombre para el perfil.
electrónico, SNMP o un servidor syslog. Por ejemplo, WildFire-Log-Forwarding.
En este ejemplo, configurará logs de 3. En la sección WildFire Settings (Configuración de WildFire),
correo electrónico para cuando se seleccione el perfil de correo electrónico de la columna Email
determine que la muestra es (Correo electrónico) para Malicious (Malintencionado) como se
malintencionada. También puede habilitar muestra en la captura de pantalla.
el reenvío de logs Benign (Benignos) y
Grayware, lo cual genera más actividad si
está realizando pruebas.
Step 4 Añada el perfil de reenvío de logs a una 1. Seleccione Policies > Security (Políticas > Seguridad) y haga
política de seguridad utilizada para el clic en la política que se utiliza para el reenvío de WildFire.
reenvío de WildFire (con un perfil de 2. En la pestaña Actions (Acciones), dentro de la sección Log
análisis de WildFire adjunto). Setting (Configuración de logs), seleccione el perfil de Log
El perfil de análisis de WildFire define el Forwarding (Envío de logs) que configuró.
tráfico que el cortafuegos reenvía para el 3. Haga clic en OK (Aceptar) para guardar los cambios y, a
análisis de WildFire. Para establecer un continuación, haga clic en Commit (Confirmar) para guardar la
perfil de análisis de WildFire y adjuntarlo configuración.
a una regla de política de seguridad,
consulte Reenvío de archivos para el
análisis de WildFire.
Esta sección describe los ajustes que pueden personalizarse para una cuenta de nube de WildFire, como la zona
horaria y las notificaciones de correo electrónico de cada cortafuegos conectado a la cuenta. También puede
eliminar logs de cortafuegos almacenados en la nube.
Inicie sesión en la nube de WildFire y seleccione Settings (Configuración) en la barra del menú para modificar los
siguientes ajustes de zona horaria, log y notificación.
• Configure la zona horaria para la cuenta de la Seleccione una zona horaria en la lista desplegable Set Time Zone
nube de WildFire. (Establecer zona horaria) y haga clic en Update Time Zone
(Actualizar zona horaria) para guardar los cambios.
La marca de hora que aparece en los informes de análisis de
WildFire se basa en la zona horaria configurada en la cuenta
de la nube de WildFire.
• Elimine los logs de WildFire alojados en la nube 1. En la lista desplegable Delete WildFire Reports (Eliminar
para cortafuegos específicos. informes de WildFire) seleccione un cortafuegos (por número
de serie) y haga clic en Delete Reports (Eliminar informes) para
eliminar los logs de ese cortafuegos del portal de WildFire. Esta
acción no elimina los logs almacenados en el cortafuegos.
2. Haga clic en OK (Aceptar) para continuar con la eliminación.
• Configure las notificaciones de correo 1. En la sección Configure Alerts (Configurar alertas), seleccione
electrónico en función de los veredictos del las casillas de verificación Malware, Grayware o Benign
análisis de WildFire. (Benigno) para recibir notificaciones de correo electrónico
basadas en esos veredictos:
• Seleccione las casillas de verificación de veredicto en la fila All
(Todos) para recibir notificaciones de veredicto para todas las
muestras cargadas en la nube de WildFire.
• Seleccione las casillas de verificación de veredicto en la fila
Manual para recibir notificaciones de veredicto para todas las
muestras cargadas manualmente en la nube pública de
WildFire usando el portal de WildFire.
• Seleccione las casillas de verificación de veredicto para uno o
varios números de serie de cortafuegos para recibir
notificaciones de veredicto para las muestras enviadas por
esos cortafuegos.
2. Seleccione Update Notification (Actualizar notificación) para
habilitar el envío por correo electrónico de las notificaciones de
veredicto a la dirección de correo electrónico asociada a su
cuenta de asistencia técnica.
Las cuentas del portal de WildFire son creadas por un superusuario (el propietario registrado de un dispositivo
de Palo Alto Networks) para permitir que otros usuarios inicien sesión en la nube de WildFire y vean datos de
WildFire de dispositivos a los que obtuvieron acceso a través del superusuario. Un usuario de WildFire puede
ser un usuario asociado con una cuenta existente de Palo Alto Networks o un usuario no asociado con una
cuenta de asistencia técnica de Palo Alto Networks, al cual puede tener acceso para las nubes públicas de
WildFire y un conjunto específico de datos de cortafuegos.
Step 1 Seleccione la cuenta para la cual desea 1. Inicie sesión en el sitio de Asistencia técnica de Palo Alto
añadir usuarios que puedan acceder al Networks.
portal de WildFire. 2. En Manage Account (Gestionar cuenta), haga clic en Users and
Los usuarios del portal de WildFire Accounts (Usuarios y cuentas).
pueden visualizar datos para todos los 3. Seleccione una cuenta o una cuenta secundaria existente.
cortafuegos asociados con la cuenta de
asistencia técnica.
Step 2 Añada un usuario de WildFire. 1. Haga clic en el botón Add WildFire User (Añadir usuario de
WildFire).
2. Introduzca la dirección de correo electrónico para el usuario que
desea añadir.
La única restricción al agregar un usuario es que la
dirección de correo electrónico no puede ser de una
cuenta de correo electrónico web gratuito (como Gmail,
Hotmail y Yahoo). Si se introduce una cuenta de correo
electrónico de un dominio no compatible, se mostrará
un mensaje de advertencia.
Step 3 Asigne cortafuegos a la nueva cuenta de Seleccione los cortafuegos por número de serie a los que desea
usuario y acceda a la nube de WildFire. conceder acceso y cumplimente los detalles de cuenta opcionales.
Los usuarios con una cuenta de asistencia técnica existente recibirán
un mensaje de correo electrónico con una lista de los cortafuegos de
los cuales ahora pueden ver los informes de WildFire. Si el usuario
no tiene una cuenta de asistencia técnica, el portal enviará un mensaje
de correo electrónico con instrucciones sobre cómo acceder al portal
y configurar una nueva contraseña.
El nuevo usuario podrá entonces iniciar sesión en el portal de
WildFire y ver informes de WildFire de los cortafuegos a los que se
le ha concedido acceso. Además, podrá configurar alertas de correo
electrónico automáticas para estos dispositivos con el fin de recibir
alertas sobre los archivos analizados. También es posible elegir la
opción de recibir informes sobre archivos con malware o benignos.
El portal de WildFire muestra informes para las muestras enviadas desde los cortafuegos, cargadas manualmente
o cargadas usando la API de WildFire. Seleccione Reports (Informes) para mostrar los informes más recientes
para las muestras analizadas por la nube de WildFire. Para cada muestra enumerada, la entrada del informe
muestra la fecha y hora en que la nube recibió la muestra, el número de serie del cortafuegos que envió el archivo,
el nombre de archivo o URL, y el veredicto asignado por WildFire (benigno, grayware o malware).
Use la opción de búsqueda para buscar informes basados en el nombre de archivo o el valor hash de la muestra.
También puede acotar los resultados visualizados al mostrar únicamente los informes de las muestras enviadas
por una Source (Fuente) específica (visualizar solo los resultados enviados manualmente o por un cortafuegos
específico) o para las muestras que recibieron un Verdict (Veredicto) específico de WildFire (benigno, malware,
grayware o pendiente).
Para ver un informe individual desde el portal, haga clic en el icono Reports (Informes), situado a la izquierda
del nombre del informe. Para guardar el informe detallado, haga clic en el botón Download as PDF (Descargar
como PDF) en la esquina superior derecha de la página del informe. Para obtener detalles sobre los informes
del análisis de WildFire, consulte Informes de análisis de WildFire: Detallados.
A continuación se muestra una lista de archivos de muestra enviados por un cortafuegos específico:
Información del archivo • File Type (Tipo de archivo): Flash, PE, PDF, APK, JAR/de clase o MS Office.
Este campo se llama URL en el caso de informes de enlaces de correo electrónico
HTTP/HTTPS y mostrará la URL analizada.
• File Signer (Firmante del archivo): entidad que firmó el archivo con el fin de
autenticarlo.
• Hash Value (Valor hash): un archivo hash es muy similar a una huella digital, que
identifica exclusivamente un archivo para garantizar que este no se ha modificado
de ninguna forma. A continuación, se enumeran las versiones hash que genera
WildFire para cada archivo analizado:
• SHA-1: muestra el valor SHA-1 para el archivo.
• SHA-256: muestra el valor SHA-256 para el archivo.
• MD5: muestra el valor MD5 para el archivo.
• File Size (Tamaño del archivo): tamaño (en bytes) del archivo que analizó
WildFire.
• First Seen Timestamp (Marca de tiempo de primera visualización): si el sistema
WildFire ha analizado el archivo anteriormente, esta es la fecha/hora en la que se
visualizó por primera vez.
• Verdict (Veredicto): muestra en veredicto del análisis:
• Benign (Benigno): el archivo es seguro y no muestra comportamiento
malintencionado.
• Grayware: el archivo se comporta de manera similar a malware, pero no
supone una amenaza directa para la seguridad. El grayware incluye
ejecutables que muestran comportamiento intrusivo, pero que no son de
naturaleza malintencionada. Algunos ejemplos de grayware incluyen adware,
spyware y objetos de ayuda al explorador (BHO).
• Malware: WildFire ha identificado el archivo como malware y generará una
firma que proteja contra futuras exposiciones.
• Sample File (Archivo de muestra): haga clic en el enlace Download File (Descargar
archivo) para descargar el archivo de muestra en su sistema local. Tenga en cuenta
que solo puede descargar archivos con el veredicto de malware, no los benignos.
Estado de cobertura Haga clic en el enlace Virus Total para ver información de cobertura antivirus en
el extremo y muestras que ya han sido identificadas por otros proveedores. Si
ninguno de los proveedores enumerados ha detectado nunca antes el archivo, se
indicará que no se ha encontrado el archivo (file not found).
Asimismo, si el informe se presenta en el cortafuegos, la información actualizada
acerca de la firma y la cobertura de filtrado de URL que Palo Alto Networks
proporciona actualmente para proteger contra amenazas también se muestra en
esta sección. Dado que esta información se recupera dinámicamente, no aparecerá
en el informe en PDF.
La siguiente captura de pantalla muestra el estado de cobertura que aparece tras
presentar el informe en el cortafuegos.
Análisis dinámico Si un archivo tiene un riesgo bajo y WildFire puede determinar fácilmente que es
seguro, solamente se realiza un análisis estático, en lugar de un análisis dinámico.
Cuando se realiza un análisis dinámico, esta sección contiene pestañas para cada
entorno virtual en el que se ejecutó la muestra cuando se analizó en la nube de
WildFire. Por ejemplo, puede que la pestaña Máquina virtual 1 tenga Windows XP,
Adobe Reader 9.3.3 y Office 2003 y que Máquina virtual 2 tenga atributos similares,
pero con Office 2007. Cuando un archivo se somete a un análisis dinámico
completo, se ejecuta en cada máquina virtual y los resultados de cada entorno
pueden verse haciendo clic en cualquiera de las pestañas de máquinas virtuales.
En el dispositivo WF-500, solo se usa una máquina virtual para el análisis,
que debe seleccionar en función de los atributos de entorno virtual que más
se adapten a su entorno local. Por ejemplo, si la mayoría de los usuarios tiene
Windows 7 de 32 bits, se seleccionaría dicha máquina virtual.
Resumen de comportamientos Cada pestaña de máquina virtual resume el comportamiento del archivo de muestra
en el entorno específico. Algunos ejemplos son si la muestra ha creado o
modificado archivos, iniciado un proceso, generado procesos nuevos, modificado
el registro o instalado objetos de ayuda del explorador.
La columna Severity (Gravedad) indica la gravedad de cada comportamiento. El
indicador de gravedad mostrará una barra para gravedad baja y varias barras para
niveles de gravedad más altos. Esta información también se añade a las secciones
de análisis dinámico y estático.
Envío de malware Use esta opción para enviar manualmente la muestra a Palo Alto Networks. La
nube de WildFire volverá a analizar la muestra y generará firmas si determina que
la muestra es malintencionada. Esto es útil en un dispositivo WF-500 que no tiene
generación de firmas o inteligencia de nube habilitadas, que se usa para reenviar
malware desde el dispositivo a la nube de WildFire.
Informe de veredicto Haga clic en este enlace para enviar la muestra al equipo de amenazas de Palo Alto
incorrecto Networks si cree que el veredicto es un falso positivo o un falso negativo. El equipo
de amenazas realizará más análisis en la muestra para determinar si debería volver
a clasificarse. Si se determina que una muestra de malware es segura, la firma del
archivo se deshabilita en una actualización de firma de antivirus futura o, si se
determina que un archivo benigno es malintencionado, se genera una nueva firma.
Una vez completada la investigación, recibirá un mensaje de correo electrónico
donde se describe la acción que se ha realizado.
La API de WildFire puede usarse para enviar todos los tipos de archivos compatibles (para obtener una lista de
tipos de archivos compatibles, consulte Análisis de tipo de archivos). Proporcione el archivo y la clave de API
al enviar WildFire para su análisis. El código de retorno del método de envío de archivos indica un estado
satisfactorio o erróneo. Si el resultado es un código 200 OK, significa que el envío se ha realizado correctamente
y normalmente el resultado está disponible para su consulta en cinco minutos.
En la tabla siguiente se describen los atributos de la API necesarios para enviar archivos a la nube de WildFire
mediante el método de envío de archivos:
URL https://wildfire.paloaltonetworks.com/publicapi/submit/file
Método POST
Parámetros apikey Su clave de API de WildFire
413 Request Entity Too Large Tamaño de archivo de muestra superior al límite máximo
419 Max Request Reached Se ha superado el número máximo de cargas por día.
Utilice el método de envío de URL para enviar un archivo para su análisis mediante una URL. Este método es
idéntico, en cuanto a interfaz y funcionalidad, al método de envío de archivo, aunque un parámetro de URL
sustituye al parámetro de archivo. El parámetro de URL debe indicar un tipo de archivo admitido accesible. Si
el resultado es un código 200 OK, significa que el envío ha tenido éxito; el resultado suele estar disponible para
su consulta en 5 minutos.
La tabla siguiente describe los atributos de la API necesarios para enviar archivos a la nube de WildFire
utilizando una URL:
URL https://wildfire.paloaltonetworks.com/publicapi/submit/url
Método POST
Parámetros apikey Su clave de API de WildFire
413 Request Entity Too Large Tamaño de archivo de muestra superior al límite máximo
419 Max Request Reached Se ha superado el número máximo de cargas por día.
key=$1
file=$2
El siguiente comando cURL muestra cómo enviar un archivo a WildFire utilizando el método de envío de URL:
curl –k -F apikey=yourAPIkey -F url=URL
https://wildfire.paloaltonetworks.com/publicapi/submit/url
URL https://wildfire.paloaltonetworks.com/publicapi/get/report
Método POST
Parámetros hash El valor de hash MD5 o SHA-256 de la muestra
El siguiente comando cURL muestra una consulta de un informe PDF que usa el hash MD5 de un archivo de
muestra:
curl –k -F hash=1234556 -F format=pdf -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/report
Para recuperar la versión XML del informe, sustituya format=pdf por format=xml. Por
ejemplo:
curl -k -F hash=1234556 -F format=xml -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/report
Utilice el método de obtención de muestras para recuperar una muestra concreta. Puede utilizar el hash MD5 o
SHA-256 del archivo de muestra como consulta de búsqueda.
URL https://wildfire.paloaltonetworks.com/publicapi/get/sample
Método POST
Parámetros hash El valor de hash MD5 o SHA-256 de la muestra
Utilice el método de obtención de PCAP para la consulta de una PCAP registrada durante el análisis de una
muestra concreta. Utilice el hash MD5 o SHA-256 del archivo de muestra como consulta de búsqueda. De
forma opcional, puede definir la plataforma de la PCAP correspondiente para especificar qué PCAP se debe
devolver. Si no se especifica ninguna plataforma, el método devuelve una PCAP de una sesión con un resultado
de Malware (malware).
ID de plataforma Descripción
En la siguiente tabla se describen los atributos de la API necesarios para las PCAP:
URL https://wildfire.paloaltonetworks.com/publicapi/get/pcap
Método POST
Parámetros hash El valor de hash MD5 o SHA-256 de la muestra
* Parámetro opcional
Ejemplo de consulta de la API para la obtención de PCAP
El siguiente comando cURL muestra una consulta de una PCAP mediante el hash MD5 de la muestra:
curl -k -F hash=md5hash -F apikey=yourAPIkey -F platform=targetPlatform
https://wildfire.paloaltonetworks.com/publicapi/get/pcap
Step 1 Genere una clave de API nueva en el 1. Inicie sesión en la CLI del dispositivo WF-500.
dispositivo WF-500. El dispositivo 2. Genere la clave de API mediante uno de los siguientes métodos:
admite hasta 100 claves de API.
• Genere una clave automáticamente:
El procedimiento recomendado
admin@WF-500> create wildfire api-key name
es omitir la opción de valor de
key-name
clave en este paso para que el
cortafuegos genere una clave Por ejemplo, para crear una clave con el nombre my-api-key:
automáticamente. Si introduce admin@WF-500> create wildfire api-key name
una clave manualmente, el valor my-api-key
de clave se debe corresponder con • Para generar una clave manualmente (donde key-value es una
64 caracteres alfabéticos (a-z) o clave de 64 bits):
números (0-9) elegidos
admin@WF-500> create wildfire api-key name
aleatoriamente.
my-api-key key key-value
Por ejemplo:
admin@WF-500> create wildfire api-key name
my-api-key key
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F45
5F142494BC43D4A1
Step 2 Vea las claves de API que ha generado. Vea todas las claves de API:
admin@WF-500> show wildfire api-key all
En esta sección se describen algunos comandos útiles que puede utilizar para gestionar las claves de API de
WildFire en el dispositivo y se describe cómo exportar e importar las claves. Por ejemplo, es posible que desee
exportar todas las claves con fines de copia de seguridad o para facilitar el acceso a las claves desde los sistemas
que utilizarán la API para ejecutar varias funciones en el dispositivo.
Utilice los siguientes comandos para importar o exportar las claves de API del dispositivo mediante Secure Copy
(SCP):
• Guarde todas las claves de API en un archivo para preparar las claves para su exportación:
admin@WF-500# save wildfire api-key to filename
Por ejemplo:
admin@WF-500> save wildfire api-key to my-api-keys
Para aplicar SCP al archivo de claves de API en un servidor habilitado para SCP:
admin@WF-500> scp export wildfire-api-keys to username@host:path
Por ejemplo:
admin@WF-500> scp export wildfire-api-keys to bart@10.10.10.5:c:/scp/
Además, puede importar las claves de un servidor habilitado para SCP:
admin@WF-500> scp import wildfire-api-keys from bart@10.10.10.5:c:/scp/my-api-keys
• Después de importar las claves de API, debe cargarlas:
admin@WF-500# load wildfire api-key mode [merge | replace] from my-api-keys
Si omite la opción mode, el comportamiento predeterminado combina las claves nuevas. Para sustituir todas las claves
de API del dispositivo, utilice la opción replace. Por ejemplo, para sustituir todas las claves de API, introduzca el
comando:
admin@WF-500# load wildfire api-key mode replace from my-api-keys
• Confirme si se han cargado las claves:
admin@WF-500> show wildfire api-keys all
En el siguiente flujo de trabajo se describe cómo utilizar la API de WildFire para enviar un archivo de muestra
a un dispositivo WF-500 para su análisis. Una vez que comprenda los conceptos básicos de este flujo de trabajo,
puede utilizar cualquier función de la API disponible en la nube de WildFire. Las funciones son las mismas, pero
en el caso del dispositivo WF-500, debe utilizar la clave de API generada en el dispositivo y la dirección URL
del dispositivo.
Este flujo de trabajo requiere un equipo host con la herramienta de línea de comandos cURL
instalada. A continuación, debe enviar los archivos del equipo host al dispositivo WF-500 con la
sintaxis de dirección URL.
Step 1 Genere una clave API de WildFire para que el equipo host que ejecutará las funciones de API funcione en el
dispositivo WF-500. Para obtener más información, consulte Generación de claves de API en el
dispositivo WF-500.
1. Acceda a la CLI en el dispositivo WF-500 y genere una clave de API:
admin@WF-500> create wildfire api-key name my-api-key
2. Vea las claves de API:
admin@WF-500> show wildfire api-key all
3. Asegúrese de que la clave esté habilitada y, a continuación, seleccione y copie la clave. En la siguiente captura
de pantalla se muestra un clave de API de ejemplo con el nombre my-api-key.
Step 2 Con la nueva clave de API que ha generado, envíe un archivo de muestra al dispositivo WF-500.
1. Incluya el archivo de muestra en una carpeta a la que se pueda acceder desde el equipo host con la herramienta
de línea de comandos cURL instalada y anote la ruta del archivo de muestra.
2. Envíe el archivo mediante cURL:
curl -k -F apikey=your-API-key -F file=@local-file-path --remote-name
https://WF-appliance-IP/publicapi/submit/file
La sintaxis varía según el host utilizado. En los siguientes ejemplos se muestra la sintaxis en caso de utilizar
un host de Linux y un host de Windows.
Host de Linux:
curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F
file=@test-wf-api.docx --remote-name https://10.3.4.99/publicapi/submit/file
Host de Windows (la única diferencia es la ruta de acceso al archivo después del símbolo @):
curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F
file=@c://scp/test-wf-api.docx --remote-name https://10.3.4.99/publicapi/submit/file
3. Compruebe si la API ha enviado el archivo correctamente al dispositivo WF-500. Para ver una lista de las
muestras recientes enviadas al dispositivo:
admin@WF-500> show wildfire latest samples
En la siguiente captura de pantalla se puede ver que el archivo de muestra test-wf-api.docx se ha enviado
correctamente al dispositivo:
Si no se encuentra el archivo de muestra en el dispositivo, compruebe la conectividad entre el equipo host y el dispositivo,
y confirme si la ruta de acceso a la carpeta o el archivo es correcta. Además, puede ejecutar show wildfire status (el
estado debe ser Idle) y show wildfire statistics para comprobar si el dispositivo está listo para el análisis de
archivos. Para obtener más información sobre la solución de problemas, consulte la guía del administrador de Palo Alto
Networks WildFire’s.
La CLI del software del dispositivo WF-500 se usa para gestionar dicho dispositivo. La CLI es la única interfaz
del dispositivo. Sirve para ver información de estado y configuración, y modificar la configuración del
dispositivo. Acceda a la CLI del software del dispositivo WF-500 a través de SSH o de un acceso directo a la
consola usando el puerto de la consola.
La CLI del software del dispositivo WF-500 tiene dos modos de funcionamiento:
Operational mode (Modo de operación): permite ver el estado del sistema, navegar por la CLI del software
del dispositivo WF-500 y acceder al modo de configuración.
Se pueden mostrar mensajes al emitir un comando. Los mensajes ofrecen información de contexto y pueden
ayudar a corregir comandos no válidos. En los siguientes ejemplos, el mensaje se muestra en negrita.
Ejemplo: Comando desconocido
username@hostname# application-group
Unknown command: application-group
[edit network]
username@hostname#
Ejemplo: Modos de cambio
username@hostname# exit
Exiting configuration mode
username@hostname>
Ejemplo: Sintaxis no válida
username@hostname> debug 17
Unrecognized command
Invalid syntax.
username@hostname>
La CLI comprueba la sintaxis de cada comando. Si la sintaxis es correcta, se ejecuta el comando y se registran
los cambios de la jerarquía del candidato. Si la sintaxis no es correcta, aparece un mensaje de sintaxis no válida,
como en el siguiente ejemplo:
username@hostname# set deviceconfig setting wildfire cloud-intelligence
submit-sample yes
Unrecognized command
Invalid syntax.
[edit]
username@hostname#
El símbolo que precede a una opción puede proporcionar información adicional acerca de la sintaxis de
comandos.
Símbolo Descripción
Símbolo Descripción
Niveles de privilegio
Los niveles de privilegio determinan los comandos que el usuario tiene permitido ejecutar y la información que
el usuario tiene permitido ver.
Nivel Descripción
Modo de configuración
save (guardar): guarda la configuración del candidato en el sistema de almacenamiento no volátil del
dispositivo. La configuración guardada se conserva hasta ser sobrescrita por comandos save (guardar)
posteriores. Tenga en cuenta que este comando no activa la configuración.
commit (confirmar): confirma la configuración del candidato al dispositivo. Una configuración confirmada
vuelve activa la configuración del dispositivo.
load (cargar): asigna la última configuración guardada o una configuración especificada para ser la
configuración del candidato.
Si sale del modo de configuración sin emitir los comandos save (guardar) o commit (confirmar),
los cambios en la configuración se pueden perder en caso de pérdida de alimentación.
Mantener la configuración de un candidato y separar los pasos de guardado y compilación conlleva importantes
ventajas en comparación con las arquitecturas CLI tradicionales:
Distinguir entre los conceptos de save (guardar) y commit (confirmar) permite hacer múltiples cambios
simultáneos y reduce la vulnerabilidad del sistema.
Los comandos se pueden adaptar fácilmente para funciones similares. Por ejemplo, al configurar dos
interfaces Ethernet, cada una con una dirección IP, puede editar la configuración de la primera interfaz,
copiar el comando, modificar solo la interfaz y la dirección IP y, a continuación, aplicar el cambio a la segunda
interfaz.
Jerarquía de configuración
La configuración del dispositivo se organiza con una estructura jerárquica. Para mostrar un segmento del nivel
actual de la jerarquía, use el comando show. Al introducir mostrar, aparece la jerarquía completa, mientras que
al introducir show con palabras clave, aparece un segmento de la jerarquía. Por ejemplo, si se ejecuta el
comando show en el nivel superior del modo de configuración, se muestra toda la configuración. Si se ejecuta
el comando edit mgt-config y se introduce show, o se ejecuta el comando show mgt-config, solo
aparece la parte de la jerarquía relativa a la configuración de gestión.
Rutas de jerarquía
Por ejemplo, el siguiente comando asigna el servidor de DNS principal 10.0.0.246 para el dispositivo:
[edit]
username@hostname# set deviceconfig system dns-setting servers primary
10.0.0.246
Este comando genera un nuevo elemento en la jerarquía y en los resultados del siguiente comando show:
[edit]
username@hostname# show deviceconfig system dns-settings
dns-setting {
servers {
primary 10.0.0.246
}
}
[edit]
username@hostname#
El titular [edit...] debajo de la línea del símbolo de sistema del modo de configuración muestra el contexto de la
jerarquía actual.
[editar]
indica que el contexto relativo es el máximo nivel de la jerarquía, mientras que
[editar deviceconfig]
indica que el contexto relativo está al nivel de deviceconfig.
Use los comandos de la lista para navegar por la jerarquía de configuración.
Nivel Descripción
Si se emite el comando set después de usar los comandos up y top, se inicia desde un nuevo
contexto.
Modo de operación
La primera vez que se inicia sesión en el dispositivo, la CLI del software del dispositivo WF-500 se abre en el
modo de operación. Los comandos del modo de operación tienen que ver con acciones que se ejecutan
inmediatamente. No suponen cambios en la configuración y no es necesario guardarlos o compilarlos.
Los comandos del modo de operación son de varios tipos:
Network access (Acceso a la red): se abre una ventana para otro host. Es compatible con SSH.
Display commands (Mostrar comandos): muestra o borra la información actual. Incluye los comandos
clear y show.
WF-500 appliance software CLI navigation commands (Comandos de navegación de la CLI del
software del dispositivo WildFire): permite ingresar en el modo de configuración o salir de la CLI del
software del dispositivo WF-500. Incluye los comandos configure, exit y quit.
System commands (Comandos del sistema): permite realizar solicitudes en el nivel del sistema o reiniciar.
Incluye los comandos set y request.
Acceso a la CLI
En esta sección se describe cómo acceder y comenzar a usar la CLI del software del dispositivo WF-500:
Establecimiento de una conexión directa con la consola
Establecimiento de una conexión de SSH
Bits de datos: 8
Paridad: no
Bits de terminación: 1
Uso de la CLI
Acceso a los modos de operación y configuración
Visualización de las opciones de comandos de la CLI del software del dispositivo WF-500
Restricción de resultados de comandos
Establecimiento del formato de salida para comandos de configuración
Al iniciar sesión, la CLI del software del dispositivo WF-500 se abre en el modo de operación. Puede alternar
entre los modos de operación y navegación en cualquier momento.
Para introducir el modo de configuración desde el modo operativo, use el comando configure:
username@hostname> configure
Entering configuration mode
[editar]
username@hostname#
Para salir del modo de configuración y regresar al modo de operación, use el comando abandonar o el
comando exit:
username@hostname# quit
Exiting configuration mode
username@hostname>
Para introducir un comando del modo de operación mientras está en el modo de configuración, use el comando
run. Por ejemplo, para mostrar recursos del sistema desde el modo de configuración, use run show
system resources.
Use ? (o Meta-H) para mostrar una lista de opciones de comandos, basada en el contexto:
Para mostrar una lista de comandos de operación, introduzca ? en el mensaje del comando.
username@hostname> ?
clear Clear runtime parameters
configure Manipulate software configuration information
debug Debug and diagnose
exit Exit this session
grep Searches file for lines containing a pattern match
less Examine debug file content
ping Ping hosts and networks
quit Exit this session
request Make system-level requests
scp Use ssh to copy file to another host
Para mostrar las opciones disponibles de un comando especificado, introduzca el comando seguido de ?.
Ejemplo:
username@hostname> ping ?
+ bypass-routing Bypass routing table, use specified interface
+ count Number of requests to send (1..2000000000 packets)
+ do-not-fragment Don't fragment echo request packets (IPv4)
+ inet Force to IPv4 destination
+ interface Source interface (multicast, all-ones, unrouted packets)
+ interval Delay between requests (seconds)
+ no-resolve Don't attempt to print addresses symbolically
+ pattern Hexadecimal fill pattern
+ record-route Record and report packet's path (IPv4)
+ size Size of request packets (0..65468 bytes)
+ source Source address of echo request
+ tos IP type-of-service value (0..255)
+ ttl IP time-to-live value (IPv6 hop-limit value) (0..255 hops)
+ verbose Display detailed output
+ wait Delay after sending last packet (seconds)
<host> Hostname or IP address of remote host
Algunos comandos de operación incluyen una opción para restringir el resultado que aparece. Para restringir el
resultado, introduzca un símbolo de barra vertical seguido de except o match y el valor que se debe excluir
o incluir:
Ejemplo:
El siguiente resultado de muestra pertenece al comando show system info:
username@hostname> show system info
hostname: WF-500
ip-address: 192.168.2.20
netmask: 255.255.255.0
default-gateway: 192.168.2.1
mac-address: 00:25:90:95:84:76
vm-interface-ip-address: 10.16.0.20
vm-interface-netmask: 255.255.252.0
vm-interface-default-gateway: 10.16.0.1
vm-interface-dns-server: 10.0.0.247
time: Mon Apr 15 13:31:39 2013
uptime: 0 days, 0:02:35
family: m
model: WF-500
serial: 009707000118
sw-version: 5.1.0
logdb-version: 5.0.2
platform-family: m
username@hostname>
El siguiente ejemplo muestra solo información del modelo del sistema:
username@hostname>
Cambie el formato de salida para los comandos de configuración utilizando el comando set cli
config-output-format en el modo de operación. Las opciones incluyen el formato predeterminado, JSON
(JavaScript Object Notation), formato establecido y formato XML. El formato predefinido es un formato
jerárquico donde las secciones de configuración tienen sangría y están entre llaves.
Descripción
Ubicación de jerarquía
Sintaxis
wildfire {
active-vm;
cloud-server <value>;
vm-network-enable {no | yes};
vm-network-use-tor {enable | disable};
cloud-intelligence {
submit-report {no | yes};
submit-sample {no | yes};
signature-generation {
av {no | yes};
dns {no | yes};
url {no | yes};
{
{
{
Opciones
Resultado de muestra
superuser, deviceadmin
Descripción
Ubicación de jerarquía
Sintaxis
wf-content recurring {
daily at <value> action {download-and-install | download-only};
weekly {
action {download-and-install | download-only};
at <value>;
day-of-week {friday | monday | saturday | sunday | thursday | tuesday | wednesday};
}
}
Opciones
Resultado de muestra
admin@WF-500# show
update-schedule {
wf-content {
recurring {
weekly {
at 19:00;
action download-and-install;
day-of-week friday;
}
}
}
}
superuser, deviceadmin
Descripción
La interfaz VM es utilizada por el malware que se ejecuta en el espacio aislado de la máquina virtual del
dispositivo WF-500 para acceder a Internet. Se recomienda la activación de este puerto, que a su vez ayudará a
WildFire a identificar mejor la actividad maliciosa si el software malintencionado accede a Internet para la
actividad teléfono-casa u otra actividad. Es importante que esta interfaz tenga una conexión a Internet aislada.
Para obtener más información, consulte Configuración de la interfaz de VM.
Tras configurar la interfaz vm, habilítela ejecutando el siguiente comando:
set deviceconfig setting wildfire vm-network-enable yes
Ubicación de jerarquía
Sintaxis
set vm-interface {
default-gateway <ip_address>;
dns-server <ip_address>;
ip-address <ip_address>;
link-state;
mtu;
netmask <ip_address>;
speed-duplex;
{
Opciones
Resultado de muestra
superuser, deviceadmin
Descripción
Genere claves de API en el dispositivo WF-500 que va utilizar en un sistema externo para enviar muestras al
dispositivo, realizar consultas en los informes o recuperar muestras y capturas de paquetes (PCAP) del
dispositivo.
Sintaxis
create {
wildfire {
api-key {
key <value>;
name <value>;
{
{
{
Opciones
+ key: Para crear una clave de API, introduzca un valor de clave manualmente. El valor
debe constar de 64 caracteres alfabéticos (a-z) o números (0-9). Si no especifica la
opción de clave, el dispositivo genera una clave automáticamente.
+ name: de forma opcional, puede introducir un nombre para la clave de API. El nombre de
clave de API se utiliza simplemente para etiquetar las claves y facilitar la
identificación de las claves asignadas para usos específicos y no tiene ningún efecto en
la funcionalidad de las claves.
Resultado de muestra
El siguiente resultado indica que el dispositivo tiene tres claves de API y una clave se llama my-api-key.
admin@WF-500> show wildfire api-keys all
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
| Apikey | Name
| Status | Create Time | Last Used Time |
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
| C625DE87CBFB6EF0B1A8183A74AB5B61287F7F63B6E14E2FFC704AABF5640D62 | my-api-key
| Enabled | 24/06/2014 16:38:50 | |
| D414CC910E93E9E05942A5E6F94DA36777B444543E71761CF5E9ACFA547F7D6F |
| Enabled | 2014-06-25 09:05:30 | 2014-06-26 14:49:35 |
| 73585ACAFEC0109CB65EB944B8DFC0B341B9B73A6FA7F43AA9862CAD47D0884C |
| Enabled | 04/08/2014 17:00:42 | |
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
superuser, deviceadmin
Descripción
Elimine una clave de API del dispositivo WF-500. Los sistemas configurados para el uso de la API para realizar
funciones de la API en el dispositivo no pueden acceder al dispositivo una vez eliminada la clave.
Sintaxis
delete {
wildfire {
api-key {
key <value>;
{
{
{
Opciones
+ key <value>: el valor de la clave que desea eliminar. Para ver una lista de las claves
de API, ejecute el siguiente comando: admin@WF-500> show wildfire api-keys all
Resultado de muestra
APIKey A0418F8EADABA4C78CD3106D71147321462C5AA085B2979136447B1EC334655A
deleted
superuser, deviceadmin
delete wildfire-metadata
Descripción
Elimine actualizaciones de contenido del dispositivo WF-500. Para obtener más información sobre las
actualizaciones de contenido y cómo instalarlas, consulte request wf-content.
Sintaxis
delete {
wildfire-metadata update <value>;
{
Opciones
Resultado de muestra
superuser, deviceadmin
Descripción
Sintaxis
edit {
wildfire {
api-key [name | status] key <value>;
{
{
Opciones
Resultado de muestra
El valor de la clave de este comando es obligatorio. Por ejemplo, para cambiar el nombre de una clave llamada
stu a stu-key1, introduzca el siguiente comando:
En el caso del siguiente comando, no es necesario introducir el nombre de la clave anterior. Solo
se debe introducir el nuevo nombre de la clave.
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
| Apikey | Name | Status | Create Time |
Last Used Time |
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
|
| B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288 | stu-key1 | Disabled | 2014-08-21 07:23:34 |
|
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
superuser, deviceadmin
Descripción
Después de importar las claves de API en el dispositivo WF-500, debe utilizar el comando load para que las
claves estén disponibles para su uso. Utilice este comando para sustituir todas las claves de API existentes.
Además, puede combinar las claves del archivo de importación con la base de datos de claves existentes.
Sintaxis
load {
wildfire {
from <value> mode [merge | replace];
{
{
Opciones
* from: especifique el nombre de archivo de la clave de API que desea importar. Los
archivos de claves utilizan la extensión de archivo .keys. Por ejemplo,
my-api-keys.keys. Para ver una lista de las claves disponibles para su importación,
introduzca el siguiente comando:
admin@WF-500> load wildfire api-key from ?
+ mode: de forma opcional, puede introducir el modo para la importación
(combinación/sustitución). Por ejemplo, para sustituir la base de datos de claves del
dispositivo por el contenido del nuevo archivo de claves, introduzca el siguiente
comando:
admin@WF-500> load wildfire api-key mode replace from my-api-keys.keys
superuser, deviceadmin
Descripción
Use esta opción para manejar los pares de RAID instalados en el dispositivo WildFire. El dispositivo WF-500
se entrega con cuatro unidades en los cuatro primeros conectores de unidades (A1, A2, B1, B2). Las unidades
A1 y A2 son el par RAID 1 y las unidades B1 y B2 son el segundo par RAID 1.
Ubicación de jerarquía
request system
Sintaxis
raid {
remove <value>;
OR...
copy {
from <value>;
to <value>;
}
OR...
add {
Opciones
Resultado de muestra
El siguiente resultado muestra un dispositivo WF-500 con una RAID configurada correctamente.
admin@WF-500> show system raid
superuser, deviceadmin
Realice actualizaciones de las imágenes del espacio aislado de la máquina virtual (VM) del dispositivo WF-500
utilizadas para analizar archivos. Para recuperar imágenes de VM del servidor de actualizaciones de Palo Alto
Networks, primero debe descargar la imagen manualmente, alojarla en un servidor habilitado para SCP y, a
continuación, recuperar la imagen del dispositivo mediante el cliente SCP. Una vez descargada la imagen en el
dispositivo, puede instalarla mediante este comando.
Ubicación de jerarquía
request system
Sintaxis
request {
system {
wildfire-vm-image {
upgrade install file <value>;
}
}
}
Opciones
Resultado de muestra
Para instalar una imagen de VM (Windows 7 de 64 bits en este ejemplo), ejecute el siguiente comando:
admin@WF-500> request system wildfire-vm-image upgrade install file
WFWin7_64Base_m-1.0.0_64base
superuser, deviceadmin
request wf-content
Realice las actualizaciones de contenido en un dispositivo WF-500. Estas actualizaciones de contenido equipan
el dispositivo con la información sobre amenazas más actualizada para garantizar la detección de malware
precisa y mejorar la capacidad del dispositivo para diferenciar el contenido malintencionado del contenido
benigno. Para programar las actualizaciones de contenido de modo que se instalen automáticamente, consulte
set deviceconfig system update-schedule y, para eliminar las actualizaciones de contenido de WF-500, consulte
delete wildfire-metadata.
Ubicación de jerarquía
request
Sintaxis
request wf-content
{
downgrade install {previous | <value>};
upgrade
{
check
download latest
info
install {
file <filename>
version latest;
}
}
}
Opciones
> downgrade: instala una versión de contenido anterior. Utilice la opción anterior para
instalar el paquete de contenido instalado previamente o introduzca un valor para
cambiar a una versión inferior específica del paquete de contenido.
Resultado de muestra
superuser, deviceadmin
Descripción
Utilice el comando save para guardar todas las claves de API del dispositivo WF-500 en un archivo. Puede
exportar el archivo de claves para hacer copias de seguridad o modificar las claves en bloque. Para obtener
información detallada sobre el uso de la API de WildFire en un dispositivo WF-500, consulte Acerca de las
suscripciones a WildFire y claves de API.
Ubicación de jerarquía
save
Sintaxis
save {
wildfire {
api-key to <value>;
{
{
Opciones
* to: introduzca el nombre de archivo para la exportación de claves. Por ejemplo, para
exportar todas las claves de API de WF-500 a un archivo con el nombre my-wf-keys,
introduzca el siguiente comando:
admin@WF-500> save wildfire api-key to my-wf-keys
superuser, deviceadmin
Descripción
Establece la contraseña de la cuenta de administrador del portal que el administrador utilizará para ver los
informes de análisis de WildFire generados por un dispositivo WF-500. El nombre de la cuenta (admin) y la
contraseña son obligatorios para ver el informe en el cortafuegos o en Panorama en Monitor > WildFire
Submissions > View WildFire Report (Supervisar > Envíos de WildFire > Ver informe de WildFire). El nombre
de usuario y la contraseña predeterminados son admin/admin.
La cuenta del administrador del portal es la única cuenta que puede configurar en el dispositivo
para ver los informes del cortafuegos o Panorama. No puede crear cuentas ni cambiar el nombre
de la cuenta. No es la misma cuenta de administrador utilizada para gestionar el dispositivo.
Ubicación de jerarquía
set wildfire
Sintaxis
set {
wildfire {
portal-admin {
password <value>;
}
}
Resultado de muestra
superuser, deviceadmin
Descripción
Muestra la configuración RAID del dispositivo. El dispositivo WF-500 se entrega con cuatro unidades en los
cuatro primeros conectores de unidades (A1, A2, B1, B2). Las unidades A1 y A2 son el par RAID 1 y las
unidades B1 y B2 son el segundo par RAID 1.
Ubicación de jerarquía
show system
Sintaxis
raid {
detail;
{
Opciones
No additional options.
Resultado de muestra
Disk id A1 Present
model : ST91000640NS
size : 953869 MB
partition_1 : active sync
partition_2 : active sync
Disk id A2 Present
model : ST91000640NS
size : 953869 MB
partition_1 : active sync
partition_2 : active sync
Disk Pair B Available
Status clean
Disk id B1 Present
model : ST91000640NS
size : 953869 MB
partition_1 : active sync
partition_2 : active sync
Disk id B2 Present
model : ST91000640NS
size : 953869 MB
partition_1 : active sync
partition_2 : active sync
superuser, superreader
show wildfire
Descripción
Muestra varios tipos de información del dispositivo WF-500, como las claves de API disponibles, la información
de registro, la actividad, las muestras recientes que ha analizado el dispositivo y la máquina virtual seleccionada
para realizar el análisis.
Ubicación de jerarquía
show wildfire
Sintaxis
api-keys
all {
details;
}
key <value>;
}
last-device-registration all |
latest {
analysis {
filter malicious|benign;
sort-by SHA256|Submit Time|Start Time|Finish Time|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
samples {
filter malicious|benign;
sort-by SHA256|Create Time|File Name|File Type|File Size|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
sessions {
filter malicious|benign;
sort-by SHA256|Create Time|Src IP|Src Port|Dst Ip|Dst Port|File|Device
ID|App|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
uploads {
sort-by SHA256|Create Time|Finish Time|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
sample-status {
sha256 {
equal <value>;
}
}
statistics days <1-31>;
status |
vm-images |
}
Opciones
> api-keys: muestra los detalles de las claves de API generadas en el dispositivo
WF-500. Puede ver la última vez que se ha utilizado la clave, el nombre de la clave, el
estado (habilitada o deshabilitada) y la fecha y la hora de generación de la clave.
> last-device-registration: se muestra una lista de las últimas actividades de
registro.
> latest: se muestran las últimas 30 actividades, lo que incluye las últimas 30
actividades de análisis, los últimos 30 archivos analizados, la información de sesión
de red para los archivos analizados y los archivos cargados en el servidor de la nube
pública.
> sample-status: se muestra el estado de la muestra de WildFire. Introduzca el valor de
SHA o MD5 del archivo para ver el estado del análisis actual.
> statistics: se muestran estadísticas de WildFire básicas.
> status: se muestran el estado del dispositivo y la información de configuración, como
la máquina virtual (VM) utilizada para el análisis de muestras, si se van a enviar las
muestras o los informes a la nube, la red de VM y la información de registro.
> vm-images: se muestran los atributos de las imágenes de la máquina virtual disponibles
utilizadas para el análisis de muestras. Para ver la imagen activa actual, ejecute el
siguiente comando: admin@WF-500> show wildfire status and view the Select VM field.
Resultado de muestra
Sample information:
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
| Create Time | File Name |
File Type | File Size | Malicious | Status |
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
| 2014-08-04 11:49:41 | 25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf |
Adobe Flash File | 64502 | No | analysis complete |
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
Session information:
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
| Create Time | Src IP | Src Port | Dst IP | Dst Port | File
| Device ID | App |
Malicious | Status |
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
| 2014-08-04 11:49:41 | 10.10.10.50 | 80 | 192.168.2.10 | 64108 |
25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf | 001606000114 | flash |
No | completed |
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
Analysis information:
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
| Submit Time | Start Time | Finish Time | Malicious | VM Image
| Status |
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
| 2014-08-04 11:49:41 | 2014-08-04 11:49:41 | 2014-08-04 11:56:52 | No | Windows
7 x64 SP1, Adobe Reader 11, Flash 11, Office 2010 | completed |
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
Connection info:
Wildfire cloud: s1.wildfire.paloaltonetworks.com
Status: Idle
Submit sample: disabled
Submit report: disabled
Selected VM: vm-5
VM internet connection: disabled
VM network using Tor: disabled
Best server: s1.wildfire.paloaltonetworks.com
Device registered: yes
Service route IP address: 10.3.4.99
Signature verification: enable
Server selection: enable
Through a proxy: no
superuser, superreader
Descripción
Realiza una prueba para comprobar el estado de registro de un dispositivo WF-500 o un cortafuegos de Palo
Alto Networks en un servidor de WildFire. Si el resultado de la prueba es correcto, se muestran la dirección IP
o el nombre del servidor de WildFire. Se requiere el registro correcto para que el dispositivo WF-500 o el
cortafuegos puedan reenviar archivos al servidor de WildFire.
Sintaxis
test {
wildfire {
registration;
}
Opciones
Resultado de muestra
A continuación se muestra el resultado correcto de un cortafuegos que puede comunicarse con un dispositivo
WF-500. Si es un dispositivo WF-500 que apunta a la nube de WildFire de Palo Alto Networks, el nombre de
uno de los servidores de la nube se muestra en el campo select the best server:.
Test wildfire
wildfire registration: successful
download server list: successful
select the best server: ca-s1.wildfire.paloaltonetworks.com
superuser, superreader
Este ejemplo utiliza un sitio web que emplea el cifrado SSL En este caso, el cortafuegos cuenta
con descifrado habilitado, incluida la opción de reenviar contenido descifrado para el análisis.
Para habilitar el reenvío de contenido descifrado a la nube de WildFire, consulte Reenvío de
archivos para el análisis de WildFire.
\
Step 1 El representante de ventas de la empresa asociada carga el archivo de una herramienta de ventas denominado
sales-tool.exe en su cuenta de Dropbox y, a continuación, envía un mensaje de correo electrónico a la
representante de ventas de Palo Alto Networks con un enlace al archivo.
Step 2 La representante de ventas de Palo Alto recibe el correo electrónico del socio de ventas y hace clic en el enlace
de descarga, que la lleva al sitio de Dropbox. A continuación, hace clic en Download (Descargar) para guardar
el archivo en su escritorio.
Step 3 El cortafuegos que protege a la representante de ventas de Palo Alto tiene una regla de perfil de análisis de
WildFire adjunta a una regla de política de seguridad que busca archivos en cualquier aplicación utilizada para
descargar o cargar cualquier tipo de archivo compatible. El cortafuegos también puede estar configurado para
el reenvío del tipo de archivo de enlace de correo electrónico, que permite al cortafuegos extraer enlaces
HTTP/HTTPS contenidos en mensajes de correo electrónico SMTP y POP3. En cuanto la representante de
ventas hace clic en Descargar, la política del cortafuegos reenvía el archivo sales-tool.exe a WildFire, donde el
archivo se analiza para comprobar si hay malware de día cero. Aún cuando la representante de ventas use
Dropbox, que tiene cifrado SSL, el cortafuegos está configurado para descifrar tráfico, por lo que todo el tráfico
se puede inspeccionar. Las siguientes capturas de pantalla muestran la regla del perfil de análisis de WildFire, la
regla de política de seguridad configurada con el perfil de análisis de WildFire y la opción para permitir el reenvío
de contenido descifrado.
Step 4 En este momento, WildFire ha recibido el archivo y está analizándolo en busca de más de 200 comportamientos
malintencionados distintos. Verificación del envío de archivos para comprobar que el cortafuegos haya
reenviado correctamente un archivo o enlaces de correo electrónico para el análisis de WildFire.
Step 5 En aproximadamente cinco minutos, WildFire ha terminado el análisis del archivo y envía un log de WildFire al
cortafuegos con los resultados del análisis. En este ejemplo, el log de WildFire muestra que el archivo es
malintencionado.
Step 6 El cortafuegos se configura con un perfil de reenvío de logs que enviará alertas de WildFire al administrador de
seguridad cuando se detecte malware.
Step 7 El administrador de seguridad identificará al usuario por el nombre (si está configurada la ID de usuario) o, en
caso contrario, por dirección IP. En este punto, el administrador puede apagar la red o la conexión de VPN que
está usando la representante de ventas y, a continuación, ponerse en contacto con el grupo de asistencia técnica
para que ayude al usuario a comprobar y limpiar el sistema.
Al usar el informe de análisis detallado de WildFire, el técnico del grupo de asistencia técnica puede determinar
si el sistema del usuario está infectado con malware examinando los archivos, los procesos y la información de
registro detallados en el informe del análisis de WildFire. Si el usuario ejecuta el malware, el técnico puede
intentar limpiar el sistema manualmente o volver a crear una imagen de este.
Para obtener detalles sobre los campos del informe de WildFire, consulte Informes de análisis de WildFire:
Detallados.
Step 8 Una vez que el administrador ha identificado el malware y está comprobando el sistema del usuario, ¿cómo puede
protegerse frente a futuras exposiciones? La respuesta: En este ejemplo, el administrador ha definido una
programación en el cortafuegos para descargar e instalar firmas de WildFire cada 15 minutos y para descargar e instalar
actualizaciones del antivirus a diario. En menos de una hora y media, la representante de ventas ha descargado el
archivo infectado, WildFire ha identificado el malware de día cero, ha generado una firma, la ha añadido a la base de
datos de firmas de actualización de WildFire proporcionada por Palo Alto Networks y el cortafuegos ha descargado
e instalado la nueva firma. Este cortafuegos y cualquier otro cortafuegos de Palo Alto Networks configurado para
descargar firmas de WildFire y de antivirus ahora están protegidos frente a este malware detectado recientemente. La
siguiente captura de pantalla muestra la programación de actualizaciones de WildFire:
Todo esto tiene lugar mucho antes de que la mayoría de los proveedores de antivirus perciban incluso la
existencia de software malintencionado de día cero. En este ejemplo, en un plazo muy breve, el malware ya no
se considera de día cero porque Palo Alto Networks ya lo ha detectado y ha proporcionado protección a los
clientes para evitar exposiciones futuras.