WildFire Administrator Guide-7.0-Spanish

Palo Alto Networks
Guía del administrador de WildFire™

Versión 7.0
Información de contacto
Sede de la empresa:
Palo Alto Networks

4401, Great America Parkway
Santa Clara, CA 95054 (EE. UU.)
www.paloaltonetworks.com/company/contact-us
Acerca de esta guía
Esta guía describe las tareas administrativas necesarias para utilizar y mantener la función WildFire de Palo Alto
Networks. Los temas tratados incluyen información de licencias, la configuración de cortafuegos para reenviar archivos
para su inspección, la visualización de informes y cómo configurar y gestionar el dispositivo WF-500.
 Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el
cortafuegos, consulte https://www.paloaltonetworks.com/documentation.
 Para acceder a la base de conocimientos, foros de debate y vídeos, consulte https://live.paloaltonetworks.com.
 Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia
técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.
 Para leer las notas sobre la última versión, vaya a la página de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Para enviar sus comentarios sobre la documentación, escríbanos a: documentation@paloaltonetworks.com.
Palo Alto Networks, Inc.

www.paloaltonetworks.com
© 2014–2015 Palo Alto Networks, Inc. Palo Alto Networks es una marca comercial registrada de Palo Alto Networks. Hay una lista de nuestras
marcas comerciales disponible en http://www.paloaltonetworks.com/company/trademarks.html. El resto de las marcas mencionadas
en este documento podrían ser marcas comerciales de sus respectivas compañías.
Fecha de revisión: mayo 17, 2016
2 • WildFire 7.0 Administrator s Guide Palo Alto Networks

Tabla de contenido
Descripción general de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

Acerca de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Implementaciones de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Nube pública de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Nube privada de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Nube híbrida de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Conceptos de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Espacio aislado virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Veredictos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Análisis de tipo de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Análisis de enlaces de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Firmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Logs e informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Requisitos para la suscripción a WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Prácticas recomendadas para mantener las firmas actualizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Configuración del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Acerca del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Configuración del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Configuración de la interfaz de VM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Descripción general de la interfaz de máquina virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Configuración de la interfaz VM en el dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Conexión del cortafuegos a la interfaz de VM del dispositivo WF-500. . . . . . . . . . . . . . . . . . . . . . . . . 32
Configuración de las actualizaciones del contenido de WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Instalación de las actualizaciones del contenido de WF-500 directamente desde el servidor de
actualizaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Instalación de las actualizaciones del contenido de WF-500 desde un servidor habilitado para SCP
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Habilitación de firmas y generación de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Actualización de un dispositivo WF-500. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Envío de archivos para el análisis de WildFire. . . . . . . . . . . . . . . . . . . . . . . . 43

Reenvío de archivos para el análisis de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Verificación de los envíos de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Comprobación de un archivo de malware de muestra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Verificación del envío de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Carga manual de archivos en el portal de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Envío de malware o informes desde el dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Capacidad de reenvío de archivos del cortafuegos según la plataforma . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Palo Alto Networks Guía del administrador deWildFire 7.0 • 3

Tabla de contenido
Supervisión de la actividad de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Uso del cortafuegos para supervisar la actividad de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Configuración de los ajustes del log de envío de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Supervisión de reenvíos e informes de análisis de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Configuración de alertas para los logs de malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Uso del portal de WildFire para supervisar la actividad de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Configuración de los ajustes del portal de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Cómo añadir usuarios del portal de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Visualización de informes en el portal de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Informes de análisis de WildFire: Detallados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Uso de la API de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Acerca de las suscripciones a WildFire y claves de API. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Métodos de envío de archivos de la API de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Envío de un archivo a la nube de WildFire usando el método de envío de archivo. . . . . . . . . . . . . . . 79
Envío de un archivo a WildFire mediante el método de envío de URL . . . . . . . . . . . . . . . . . . . . . . . . 79
Consulta de un informe PDF o XML de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Uso de la API para recuperar un archivo de prueba de malware de muestra . . . . . . . . . . . . . . . . . . . . . . . . 82
Uso de la API para recuperar una muestra o PCAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Uso de la API de WildFire en un dispositivo WF-500. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Generación de claves de API en el dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Gestión de claves de API en el dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Uso de la API de WildFire en un dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Uso de la CLI del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Conceptos de la CLI del software del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Estructura de la CLI del software del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Convenciones de comandos de la CLI del software del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . 90
Mensajes de comandos de la CLI del dispositivo WF-500. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Símbolos de opciones de comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Niveles de privilegio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Modos de comando de la CLI de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Modo de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Modo de operación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Acceso a la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Establecimiento de una conexión directa con la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Establecimiento de una conexión de SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Uso de la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Acceso a los modos de operación y configuración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Visualización de las opciones de comandos de la CLI del software del dispositivo WF-500. . . . . . . 100
Restricción de resultados de comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Establecimiento del formato de salida para comandos de configuración . . . . . . . . . . . . . . . . . . . . . . 102
Referencia de comandos del modo de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
set deviceconfig setting wildfire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
set deviceconfig system update-schedule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
set deviceconfig system vm-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
4 • Guía del administrador deWildFire 7.0 Palo Alto Networks

Tabla de contenido
Referencia de comandos del modo de operación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

create wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
delete wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
delete wildfire-metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
edit wildfire api-key. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
load wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
request system raid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
request system wildfire-vm-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
request wf-content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
save wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
set wildfire portal-admin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
show system raid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
show wildfire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
test wildfire registration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Ejemplo de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Tabla de contenido

Descripción general de WildFire
WildFire™ ofrece detección y prevención de malware de día cero mediante una combinación de detección de
malware basada en firmas, espacios aislados y bloqueo del malware. WildFire amplía las capacidades de los
cortafuegos de próxima generación de Palo Alto Networks para identificar y bloquear el malware de destino y
desconocido.
 Acerca de WildFire
 Implementaciones de WildFire
 Conceptos de WildFire
 Requisitos para la suscripción a WildFire

Acerca de WildFire Descripción general de WildFire
Acerca de WildFire
El malware moderno es el eje de la mayoría de los ataques a la red más sofisticados de la actualidad, y cada vez
se personaliza más para burlar las soluciones de seguridad tradicionales. Palo Alto Networks ha desarrollado un
enfoque integrado que permite controlar todo el ciclo de vida del malware, lo que incluye la prevención de
infecciones, la identificación de malware de día cero (malware no detectado) o malware específico (dirigido a un
sector o una corporación concretos), así como la localización y eliminación de infecciones activas.
El motor de WildFire de Palo Alto Networks expone el malware específico y de día cero mediante la
observación directa en un entorno virtual en el sistema WildFire. La funcionalidad WildFire hace, además, un
uso extensivo de la tecnología App-ID de Palo Alto Networks identificando las transferencias de archivos en
todas las aplicaciones, no solo en los archivos adjuntos del correo electrónico o en las descargas de archivos del
explorador.
Para obtener información sobre la política de privacidad del sistema WildFire de Palo Alto Networks, consulte
https://live.paloaltonetworks.com/docs/DOC-2880.
Flujo de trabajo de decisiones de WildFire de alto nivel ilustra el flujo de trabajo básico de WildFire y Flujo de
decisiones de WildFire detallado describe el ciclo de vida completo de WildFire desde el momento en el que un
usuario descarga un archivo malintencionado hasta el momento en el que WildFire genera una firma que
utilizarán los cortafuegos de Palo Alto Networks como medida de protección frente a la futura exposición al
malware.
En el flujo de trabajo de decisiones de WildFire de alto nivel se describe el flujo de trabajo para
la descarga de un archivo. El análisis de un enlace HTTP/HTTPS incluido en un mensaje de
correo electrónico es muy similar, pero hay algunas leves diferencias. Para obtener más
información, consulte Análisis de enlaces de correo electrónico.

Descripción general de WildFire Acerca de WildFire
Flujo de trabajo de decisiones de WildFire de alto nivel

Acerca de WildFire Descripción general de WildFire
Flujo de decisiones de WildFire detallado

Descripción general de WildFire Implementaciones de WildFire
Implementaciones de WildFire
Puede configurar un cortafuegos de Palo Alto Networks para que reenvíe automáticamente los archivos
desconocidos para el análisis usando los siguientes tipos de implementaciones de WildFire:
 Nube pública de WildFire
 Nube privada de WildFire
 Nube híbrida de WildFire
Nube pública de WildFire
En una implementación de nube pública de WildFire, un cortafuegos de Palo Alto Networks reenvía los
archivos al entorno de WildFire alojado, que pertenece y es mantenido por Palo Alto Networks. Cuando
WildFire detecta nuevo malware, genera nuevas firmas en 15-30 minutos. Los cortafuegos equipados con una
suscripción a WildFire pueden recibir las nuevas firmas en 15 minutos. Los cortafuegos con solamente una
suscripción a Threat Prevention pueden recibir las nuevas firmas en la siguiente actualización de firmas de
antivirus en 24-48 horas.
Los servidores de nube de WildFire disponibles son wildfire.paloaltonetworks.com para la nube de WildFire
alojada en EE. UU. y wildfire.paloaltonetworks.jp para la nube de WildFire alojada en Japón. Es posible que
desee que el cortafuegos utilice el servidor de Japón si no desea que se reenvíen archivos benignos a los
servidores de nube de EE. UU. Sin embargo, la nube de Japón no reenvía archivos malintencionados a los
servidores de nube de EE. UU., por lo que se puede generar una firma y distribuirse a los usuarios de WildFire,
a fin de identificar y bloquear la amenaza. Si los cortafuegos se encuentran en Japón, observará una respuesta
más rápida en el caso del envío de muestras y la generación de informes.
Las máquinas virtuales múltiples se ejecutan en la nube de WildFire para representar los diversos sistemas
operativos y aplicaciones que luego se utilizan para analizar el comportamiento de los archivos de muestra
reenviados por los cortafuegos de Palo Alto Networks. La nube pública de WildFire también admite el análisis
de múltiples versiones; los archivos específicos de cada aplicación, tal como los documentos de Microsoft
Office, PDF y los archivos multimedia se analizan a través de la nube pública de WildFire en las distintas
versiones de la aplicación, a fin de identificar el malware dirigido exclusivamente a versiones específicas de
aplicaciones cliente.
Nube privada de WildFire
En una implementación de nube privada de Palo Alto Networks, los cortafuegos de Palo Alto Networks
reenvían archivos a un dispositivo WF-500 de su red corporativa que se utiliza para alojar una ubicación de
análisis de nube privada. La nube privada de WildFire alojada en un dispositivo WF-500 local puede recibir y
analizar archivos de hasta 100 cortafuegos de Palo Alto Networks.
Con el espacio aislado local proporcionado por la nube privada de WildFire, los archivos benignos o greyware
nunca salen de la red. De manera predeterminada, la nube privada tampoco envía el malware fuera de la red; sin
embargo, puede optar por reenviar automáticamente el malware a la nube pública de WildFire. La nube pública
de WildFire vuelve a analizar la muestra, genera una firma si es malware y distribuye la firma a los cortafuegos

Implementaciones de WildFire Descripción general de WildFire
globales de Palo Alto Networks con suscripciones WildFire o de prevención de amenazas. O bien, Carga manual
de archivos en el portal de WildFire o Uso de la API de WildFire para enviar archivos descubiertos en la nube
privada para el análisis adicional y la distribución de firma global.
Si no desea que la nube privada de WildFire reenvíe ni siquiera muestras de malware fuera de la red, se
recomienda que habilite el dispositivo para que reenvíe el informe de malware (y no la muestra en sí) a la nube
pública de WildFire. Los informes de WildFire proporcionan información estadística que ayuda a Palo Alto
Networks a evaluar la penetración y propagación del malware. Para obtener más información, consulte Envío
de malware o informes desde el dispositivo WF-500.
Habilitación de firmas y generación de URL en el dispositivo WF-500 para generar firmas localmente para el
malware identificado en la nube privada. Las firmas generadas por el dispositivo WF-500 se distribuyen a los
cortafuegos conectados de manera que los cortafuegos puedan bloquear eficazmente el malware la próxima vez
que sea detectado.
Nube híbrida de WildFire
En una implementación de nube híbrida de WildFire, un único cortafuegos puede enviar ciertas muestras a la
nube pública de WildFire y otras a una nube privada de WildFire alojada en un dispositivo WF-500. Configure
los ajustes en el cortafuegos para que reenvíe archivos a una ubicación de análisis de WildFire (ya sea de nube
pública o privada) según el tipo de archivo, la aplicación y la dirección de transmisión del archivo (carga o
descarga). Una implementación de nube híbrida de WildFire ofrece la flexibilidad para analizar documentos
privados localmente y dentro de la red, mientras que la nube pública de WildFire analiza los archivos obtenidos
de Internet. Por ejemplo, reenvíe datos de la Industria de Tarjeta de Pago (PCI) e Información de Salud
Protegida (PHI) exclusivamente a la nube privada de WildFire para el análisis, y envíe portables ejecutables (PE)
a la nube pública de WildFire para su análisis. En una implementación de nube híbrida de WildFire, la descarga
de archivos en la nube pública para el análisis le brinda la ventaja de un veredicto rápido para los archivos que
se procesaron anteriormente en la nube pública de WildFire, y también libera la capacidad del dispositivo
WF-500 para procesar contenido confidencial. Además, puede reenviar ciertos tipos de archivos a la nube
pública de WildFire que actualmente no son compatibles con el análisis del dispositivo WF-500, tal como los
archivos del Paquete de Aplicaciones de Android (APK).
Para establecer el reenvío de nube híbrida, consulte Reenvío de archivos para el análisis de WildFire.

Descripción general de WildFire Conceptos de WildFire
Conceptos de WildFire
 Espacio aislado virtual
 Veredictos
 Análisis de tipo de archivos
 Análisis de enlaces de correo electrónico
 Firmas
 Alertas
 Logs e informes
Espacio aislado virtual
WildFire ejecuta los archivos sospechosos que recibe en un entorno virtual y observa su comportamiento para
determinar si muestran signos de actividades malintencionadas, como cambios en la configuración de seguridad
del explorador, introducción de código en otros procesos, modificación de archivos de las carpetas del sistema
Windows o dominios a los que la muestra ha intentado acceder. La nube pública de WildFire también analiza
archivos de distintas versiones de la aplicación, a fin de identificar el malware dirigido exclusivamente a versiones
específicas de aplicaciones cliente (la nube privada de WildFire no admite análisis de múltiples versiones y no
analiza archivos específicos de aplicaciones). Cuando el motor de WildFire completa el análisis, genera un
informe experto detallado que resume los comportamientos observados y asigna un veredicto de malware,
benigno o grayware. De forma similar, WildFire extrae los enlaces de los mensajes de correo electrónico y visita
los enlaces para determinar si las páginas web correspondientes contienen vulnerabilidades de seguridad. Si
WildFire detecta un comportamiento malintencionado, genera un informe, envía la dirección URL a PAN-DB
y clasifica la dirección URL como malware.
WildFire ofrece compatibilidad con espacios aislados para los siguientes sistemas operativos:
 Microsoft Windows XP de 32 bits

 Microsoft Windows 7 de 32 bits (compatible como opción para el dispositivo WF-500 únicamente)
 Microsoft Windows 7 de 64 bits
Veredictos
WildFire proporciona veredictos para identificar las muestras que analiza como seguras, malintencionadas o no
deseadas (el grayware se considera intrusivo pero no malintencionado):
 Benign (benigno): la muestra es segura y no muestra comportamiento malintencionado.
 Grayware: la muestra no supone una amenaza directa para la seguridad, pero puede exhibir un
comportamiento intrusivo. El grayware generalmente incluye adware, spyware y objetos de ayuda al
explorador (BHO).

Conceptos de WildFire Descripción general de WildFire
 Malware: la muestra es de naturaleza malintencionada y supone una amenaza para la seguridad. El malware
puede incluir virus, gusanos, troyanos, herramientas de acceso remoto (RAT), rootkits y botnets. Si WildFire
identifica el archivo como malware, genera y distribuye una firma para prevenir la futura exposición a la
amenaza.
Análisis de tipo de archivos
Un cortafuegos de Palo Alto Networks puede configurarse con un perfil de análisis de WildFire a fin de reenviar
muestras para el análisis de WildFire según el tipo de archivo. Si un usuario descarga una muestra de archivo en
una sesión que coincide con la regla de seguridad a la cual se adjunta el perfil de análisis de WildFire, el
cortafuegos realiza una comprobación del hash de archivo con WildFire para determinar si WildFire ha
analizado previamente el archivo. Si el archivo es desconocido, el cortafuegos lo reenvía a WildFire.
El cortafuegos puede reenviar archivos para el análisis de WildFire según los siguientes tipos de archivo:
 apk: archivos de paquete de aplicaciones de Android (APK). Los archivos APK no son compatibles con el
análisis de nube privada de WildFire usando un dispositivo WF-500.
 email-link(Enlace de correo electrónico): enlaces de correo electrónico HTTP/HTTPS incluidos en

mensajes de correo electrónico SMTP y POP3.
 Flash: applets de Adobe Flash y contenido de Flash insertado en páginas web.
 Jar : applets de Java (tipos de archivos JAR/de clase).
 MS-Office: archivos de Microsoft Office, incluidos documentos (DOC, DOCX, RTF), libros (XLS, XLSX) y
presentaciones de PowerPoint (PPT, PPTX), y documentos Office Open XML (OOXML) 2007+.
 pe: archivos portables ejecutables (PE). Los PE incluyen archivos ejecutables, código de objeto, DLL y FON
(fuentes). No se requiere una suscripción para el reenvío de los tipos de archivos PE a WildFire para su
análisis, pero sí se requiere para todos los demás tipos de archivos admitidos.
 pdf: archivos con formato de documento portátil (PDF).
Para obtener más información sobre cómo habilitar el cortafuegos para reenviar muestras a WildFire según el
tipo de archivo, consulte Reenvío de archivos para el análisis de WildFire.
Análisis de enlaces de correo electrónico
Un cortafuegos de Palo Alto Networks puede extraer enlaces HTTP/HTTPS incluidos en mensajes de correo
electrónico SMTP y POP3, y reenviar los enlaces a la nube pública o privada de WildFire para su análisis.
Habilite el reenvío de enlaces desconocidos incluidos en mensajes de correo electrónico al configurar un perfil
de análisis de WildFire con el tipo de archivo email-link. El cortafuegos solo extrae enlaces e información de
sesión asociada (remitente, destinatario y asunto) de los mensajes de correo electrónico que atraviesan el
cortafuegos; no recibe, almacena, reenvía ni ve el mensaje de correo electrónico.

Después de recibir un enlace de un cortafuegos, WildFire visita el enlace para determinar si la página web
correspondiente contiene vulnerabilidades de seguridad. Si WildFire determina que la página es benigna o
grayware, no genera un log. Sin embargo, si detecta comportamiento malintencionado en la página, el
cortafuegos devuelve un veredicto malintencionado y:
 Genera un informe de análisis detallado y registra el informe en el log de WildFire Submissions (Envíos de
WildFire) en el cortafuegos. El log incluye la información del encabezado de correo electrónico (remitente,
destinatario y asunto de correo electrónico) de manera que pueda identificar el mensaje y eliminarlo del
servidor de correo, o mitigar la amenaza si el correo electrónico ya se envió o abrió.
 Añade la dirección URL a PAN-DB y la clasifica como malware.

El cortafuegos reenvía los enlaces de correo electrónico a WildFire en lotes de 100 enlaces de correo electrónico
o cada dos minutos (según qué límite se alcance primero). Cada lote cargado en WildFire se corresponde con
una carga según la capacidad de carga por minuto de la plataforma del cortafuegos (Capacidad de reenvío de
archivos del cortafuegos según la plataforma).
Si un enlace incluido en un correo electrónico corresponde a una descarga de archivo en lugar de una URL, el
cortafuegos reenvía el archivo a WildFire para el análisis únicamente si el tipo de archivo correspondiente está
habilitado para el análisis de WildFire.
Para obtener más información sobre cómo habilitar el cortafuegos para reenviar enlaces incluidos en mensajes
de correo electrónico a la nube de WildFire, consulte Reenvío de archivos para el análisis de WildFire.
Firmas
Las ventajas clave de la función WildFire de Palo Alto Networks son que permite detectar malware de día cero
en el tráfico web (HTTP/HTTPS), los protocolos de correo electrónico (SMTP, IMAP y POP) y el tráfico FTP,
y permite generar firmas rápidamente como método de protección frente a futuras infecciones por el malware
detectado. WildFire genera automáticamente una firma basada en la carga útil de malware de la muestra y
comprueba su precisión y seguridad. Dado que el malware evoluciona rápidamente, las firmas que genera
WildFire cubrirán diversas variantes de dicho malware. Cuando WildFire detecta nuevo malware, genera nuevas
firmas en 15-30 minutos. Los cortafuegos equipados con una suscripción a WildFire pueden recibir las nuevas
firmas en 15 minutos. Si no tiene una suscripción a WildFire, las firmas estarán disponibles en un plazo de 24-48
horas como parte de la actualización de antivirus de los cortafuegos con una suscripción a Threat Prevention.
En cuanto el cortafuegos descarga e instala la nueva firma, todos los archivos que contienen el malware (o una
variante de este) son eliminados automáticamente por el cortafuegos. La información recopilada por WildFire
durante el análisis del malware también se utiliza para reforzar otras funciones de Threat Prevention, como la
adición de direcciones URL de malware a PAN-DB y la generación de firmas DNS y de antivirus y antispyware.
Palo Alto Networks también desarrolla firmas para el tráfico de comandos y control, lo que permite la
interrupción inmediata de la comunicación de cualquier tipo de malware en la red. Si desea obtener más
información sobre las ventajas de tener una suscripción de WildFire, consulte Requisitos para la suscripción a
WildFire.

Alertas
Habilite el cortafuegos para que proporcione notificaciones al instante cuando detecte malware en la red.
Configuración de alertas para los logs de malware para enviar como alertas por correo electrónico, mensajes
syslog o traps SNMP. Las notificaciones de alerta le permiten identificar rápidamente qué usuario ha descargado
el malware y eliminarlo antes de que provoque daños graves o se propague a otros usuarios. Además, cada firma
generada por WildFire se propaga automáticamente a todos los cortafuegos de Palo Alto Networks protegidos
con suscripciones a Threat Prevention o WildFire, lo que ofrece una protección automática frente al malware
detectado en redes de todo el mundo.
Logs e informes
Puede Supervisión de la actividad de WildFire usando un cortafuegos que envía muestras para análisis, el portal
de WildFire o la API de WildFire.
Para cada muestra que WildFire analiza, WildFire genera un informe de análisis de WildFire que clasifica la
muestra como malware, grayware o benigno, y detalla la información y el comportamiento de la muestra.
Se puede acceder a los informes de análisis de WildFire en el cortafuegos que envió la muestra y la nube de
WildFire (pública o privada) que analizó la muestra:
Visualización de informes para muestras enviadas a la nube pública de WildFire
 Uso del cortafuegos: todas las muestras enviadas por un cortafuegos para el análisis de WildFire se registran
como entradas de WildFire Submissions (Envíos de WildFire) (Monitor > WildFire Submissions [Supervisión
> Envíos de WildFire]). Para cada entrada de envío de WildFire, puede abrir una vista de log detallado para
visualizar el informe de análisis de WildFire para la muestra o para descargar el informe como PDF.
 Uso del portal de WildFire: supervise la actividad de WildFire, incluido el informe de análisis de WildFire
para cada muestra, que también puede descargarse como PDF. En una implementación de nube pública de
WildFire, los detalles están disponibles en el portal de WildFire para las muestras enviadas a la nube pública
por los cortafuegos conectados y las muestras que se cargan manualmente en el portal.
Visualización de informes para muestras enviadas a la nube privada de WildFire
 Uso del cortafuegos: todas las muestras enviadas por un cortafuegos para el análisis de WildFire se registran
como entradas de WildFire Submissions (Envíos de WildFire) (Monitor > WildFire Submissions
[Supervisión > Envíos de WildFire]). Para cada entrada de envío de WildFire, puede abrir una vista de log
detallado para visualizar el informe de análisis de WildFire para la muestra o para descargar el informe como
PDF.
 Uso del portal de WildFire: (solo cuando la inteligencia de nube está habilitada en el dispositivo WF-500)
supervise la actividad de WildFire, incluido el informe de análisis de WildFire para cada muestra, que también
puede descargarse como PDF. En una implementación de nube privada de WildFire, el portal de WildFire
proporciona detalles de las muestras que se cargan manualmente en el portal y las muestras enviadas por un
dispositivo WF-500 con la inteligencia de nube habilitada.
 Uso de la API de WildFire: recupere informes de análisis de WildFire desde un dispositivo WF-500.

Los informes de análisis de WildFire muestran información detallada de comportamiento sobre la muestra, la
información sobre el usuario de destino, la aplicación que entregó el archivo y todas las URL involucradas en la
entrega o en la actividad teléfono-casa del archivo. Para obtener detalles de los campos del informe, consulte
Informes de análisis de WildFire: Detallados.
La siguiente captura de pantalla muestra parte de un informe de análisis de WildFire para un archivo enviado a
la nube de WildFire, seguida de una segunda captura de pantalla que muestra un informe de análisis de WildFire
para un enlace de correo electrónico.


Descripción general de WildFire Requisitos para la suscripción a WildFire
Requisitos para la suscripción a WildFire

WildFire ofrece detección y prevención de malware de día cero mediante una combinación de detección de
malware basada en firmas y espacios aislados. No se requiere ninguna suscripción para usar WildFire para el
aislamiento de archivos enviados desde cortafuegos de Palo Alto Networks a la nube de WildFire.
Para que el cortafuegos detecte y bloquee el malware conocido detectado por WildFire, se requiere una
suscripción a Threat Prevention o WildFire. La suscripción a Threat Prevention permite que el cortafuegos
reciba diariamente actualizaciones de firmas de antivirus, lo que proporciona protección para todas las muestras
de malware que WildFire detecta globalmente. Asimismo, la suscripción de Threat Prevention proporciona
acceso a actualizaciones semanales de contenido que incluyen protección frente a vulnerabilidades y firmas
antispyware.
Para habilitar un dispositivo WF-500 para el análisis local, solamente necesita instalar una licencia de asistencia
técnica. Esto permite que el dispositivo se comunique con el servidor de actualizaciones de Palo Alto Networks
para descargar imágenes de los sistemas operativos y actualizaciones diarias del contenido. Las actualizaciones
de contenido permiten generar firmas en el dispositivo WF-500 local y equipar el dispositivo con la información
sobre amenazas más actualizada para garantizar la detección de malware precisa y mejorar la capacidad del
dispositivo para diferenciar el contenido malintencionado del contenido benigno.
Para aprovechar todas la ventajas del servicio de WildFire, cada cortafuegos conectado a la nube pública o
privada de WildFire debe tener una suscripción a WildFire, lo que incluye lo siguiente:
 WildFire Dynamic Updates (Actualizaciones dinámicas de WildFire): ofrece nuevas firmas de malware
con frecuencias inferiores a una hora. Se puede configurar en Device > Dynamic Updates (Dispositivo >
Actualizaciones dinámicas). Entre 15 y 30 minutos después de que WildFire identifique una muestra
malintencionada, WildFire genera una nueva firma de malware y la distribuye mediante las actualizaciones
dinámicas de WildFire, que el cortafuegos puede sondear cada 15, 30 o 60 minutos. Puede configurar el
cortafuegos para que realice acciones específicas en las firmas de malware separadas de las acciones de firma
de antivirus periódicas del perfil de antivirus. Las firmas de WildFire entregadas en la actualización dinámica
incluyen las generadas para el malware detectado en archivos enviados a WildFire por todos los clientes de
Palo Alto Networks WildFire, no solo las muestras de archivos que el cortafuegos envía a WildFire.
 WildFire Advanced File Type Support (Compatibilidad avanzada de WildFire con el tipo de archivo):
permite que el cortafuegos reenvíe muestras para el análisis de WildFire según el tipo de archivo (consulte
Análisis de tipo de archivos) y permite configurar el cortafuegos para extraer y reenviar enlaces incluidos en
mensajes de correo electrónico para el Análisis de enlaces de correo electrónico de WildFire.
 WildFire API (API de WildFire): brinda acceso a la API de WildFire, lo que permite el acceso directo
mediante programación al servicio de WildFire en la nube de WildFire de Palo Alto Networks o en un
dispositivo WF-500. Use la API de WildFire para enviar archivos para el análisis y para recuperar los
posteriores informes de análisis de WildFire. La API de WildFire admite hasta 1000 envíos de archivos y
hasta 10.000 consultas al día.
Solo los cortafuegos con una suscripción a WildFire válida pueden reenviar archivos a un dispositivo WF-500
para el análisis de nube privada.

Prácticas recomendadas para mantener las firmas actualizadas Descripción general de WildFire
Prácticas recomendadas para mantener las firmas

actualizadas
En esta sección se describen las prácticas recomendadas para mantener un cortafuegos con suscripciones a
Threat Prevention y WildFire actualizado con los últimos sistemas de protección. Para un flujo de trabajo más
dinámico, utilice Panorama para introducir programaciones de actualización dinámicas en los cortafuegos
gestionados usando plantillas de Panorama. Así se garantiza la consistencia entre todos los cortafuegos y se
simplifica la gestión de la programación de actualizaciones.
Estas orientaciones proporcionan dos opciones de programación: la programación mínima recomendada y una
más agresiva. Si elige la programación más agresiva, el dispositivo realizará descargas o instalaciones de
actualizaciones con mayor frecuencia, algunas de las cuales pueden ser de gran volumen (más de 100 MB para
las actualizaciones de antivirus).
Puede escalonar las actualizaciones automáticas mediante el campo Threshold (Hours)

(Umbral [Horas]) para especificar cuánto tiempo esperar después del lanzamiento de una
versión antes de realizar una actualización de contenido.
 Antivirus: Palo Alto Networks publica nuevas actualizaciones de contenido de antivirus a diario. Para
obtener el contenido más reciente, programe estas actualizaciones diariamente como mínimo. Se puede
realizar una programación más agresiva cada hora.
 Applications and Threats (Aplicaciones y amenazas): App-ID nuevo, protección frente a
vulnerabilidades y firmas antispyware publicados como actualizaciones de contenido semanales por Palo
Alto Networks (normalmente los martes). Para recibir el contenido más reciente, programe estas
actualizaciones semanalmente como mínimo. En el caso de un enfoque más agresivo para garantizar que el
cortafuegos reciba el contenido más actual en cuanto se publica (incluidas las publicaciones ocasionales de
contenido urgente fuera de programación), programe el cortafuegos para la descarga o instalación diarias.
 WildFire: se publican nuevas firmas de antivirus de WildFire cada 15 minutos. En función del momento
en que WildFire detecte nuevo malware durante el ciclo de publicación, se proporciona protección como
una firma de WildFire 15-30 minutos después de la detección. Para conseguir las firmas de WildFire más
recientes, programe estas actualizaciones cada hora o cada media hora. Para que la programación sea más
agresiva, configure el cortafuegos para realizar comprobaciones cada 15 minutos.
 WF-Private: si el dispositivo WF-500 está configurado para generar firmas y categorías URL (firmas de
antivirus, firmas DNS y entradas de URL para PAN-DB), configure el cortafuegos para que
descargue/instale las actualizaciones usando la actualización dinámica WF-Private. Una vez que el
dispositivo recibe una muestra malintencionada, genera una firma en cinco minutos en la mayoría de los
casos. Al configurar el cortafuegos para recuperar estas actualizaciones, configure la programación para la
descarga e instalación cada hora o cada media hora. Para que la programación sea más agresiva
(recomendado), configure el cortafuegos para que descargue e instale actualizaciones cada 5 minutos. Si
configura los cortafuegos para recuperar actualizaciones de WF-Private, se recomienda que los
cortafuegos descarguen también actualizaciones de contenido de Palo Alto Networks (antivirus,
aplicaciones/amenazas y WildFire) para garantizar que los cortafuegos tengan la protección más
actualizada. Esto es importante debido al hecho de que cuando el almacenamiento local para las
actualizaciones de WF-Private del dispositivo está lleno, las nuevas categorizaciones de firmas/direcciones
URL sobrescriben las existentes empezando por las más antiguas. Para obtener detalles sobre la generación
de firmas locales, consulte Habilitación de firmas y generación de URL.

Configuración del dispositivo WF-500
Este tema describe cómo configurar un dispositivo WF-500 a fin de albergar una nube privada de WildFire para
analizar archivos en la red. Los siguientes temas describen cómo preparar el dispositivo WF-500 para recibir
archivos para análisis, cómo gestionar el dispositivo y cómo habilitar el dispositivo para generar localmente
firmas de amenazas y categorías de URL.
 Acerca del dispositivo WF-500
 Configuración del dispositivo WF-500
 Configuración de la interfaz de VM
 Configuración de las actualizaciones del contenido de WF-500
 Habilitación de firmas y generación de URL
 Actualización de un dispositivo WF-500

Acerca del dispositivo WF-500 Configuración del dispositivo WF-500
Acerca del dispositivo WF-500

El dispositivo WF-500 ofrece una nube privada local WildFire™, lo que permite analizar archivos sospechosos
en un entorno de espacio aislado sin necesidad de que el cortafuegos quite los archivos de la red. Para usar el
dispositivo WF-500 para albergar una nube privada de WildFire, configure el cortafuegos para que envíe
muestras al dispositivo WF-500 para análisis. El dispositivo WF-500 aísla todos los archivos localmente y los
analiza para detectar actividad sospechosa usando el mismo motor utilizado por la nube pública de WildFire. En
pocos minutos, la nube privada devuelve los resultados del análisis a los logs de WildFire Submissions (envíos de
WildFire) del cortafuegos.
El dispositivo WF-500 posee una característica de inteligencia de nube que puede habilitar (está deshabilitada
de forma predeterminada) para enviar el malware confirmado a la nube pública para la generación de firmas.
También puede configurar la característica de inteligencia de nube para enviar solo informes sobre malware, lo
que permite que Palo Alto Networks recopile estadísticas sobre malware. Se recomienda configurar el
dispositivo para que envíe muestras de malware a la nube pública de WildFire, a fin de que se generen y
distribuyan firmas para proteger a los usuarios globales. Si no desea enviar automáticamente el malware
detectado a la nube pública de WildFire para la generación de firmas, puede cargarlo manualmente en el portal
de WildFire.
También puede configurar el dispositivo WF-500 para generar firmas localmente y los cortafuegos conectados
puedan recuperar las actualizaciones directamente desde el dispositivo. Para obtener información sobre la
configuración de la generación de firmas locales y sobre los tipos de actualizaciones de contenido que el
dispositivo pueda proporcionar, consulte Habilitación de firmas y generación de URL.
Configure hasta 100 cortafuegos de Palo Alto Networks con suscripciones válidas de WildFire para enviar a un
mismo dispositivo WF-500.
El dispositivo WF-500 tiene dos interfaces:
 MGT (Gestión): recibe todos los archivos enviados desde los cortafuegos y devuelve logs que detallan los
resultados a los cortafuegos. Consulte Configuración del dispositivo WF-500.
 Virtual Machine Interface (VM interface) Interfaz de máquina virtual (interfaz VM): ofrece acceso a la
red para los sistemas de espacio aislado de WildFire para permitir que los archivos de muestra se comuniquen
con Internet, lo que permite que WildFire analice mejor el comportamiento de la muestra. Cuando se
configura la interfaz de VM, WildFire puede observar comportamientos malintencionados que el malware
habitualmente no realizaría sin acceso a la red, tal como la actividad teléfono-casa. Sin embargo, para prevenir
que el malware ingrese en la red desde el espacio aislado, configure la interfaz de VM en una red aislada con
conexión a Internet. También puede habilitar la opción Tor para ocultar la dirección IP pública utilizada por
la empresa de sitios malintencionados a los que accede la muestra. Para obtener más información sobre la
interfaz VM, consulte Configuración de la interfaz de VM.

Configuración del dispositivo WF-500 Configuración del dispositivo WF-500

Esta sección describe los pasos necesarios para integrar un dispositivo WF-500 en una red y realizar la
configuración básica.
Antes de comenzar:
 Monte el dispositivo WF-500 en el rack y conecte los cables. Consulte la Guía de referencia de hardware del
dispositivo WildFire.
 Obtenga la información necesaria para configurar la conectividad de red en el puerto MGT (gestión) y la interfaz VM
desde su administrador de red (dirección IP, máscara de subred, puerta de enlace, nombre de host, servidor DNS).
Toda la comunicación entre los cortafuegos y el dispositivo se produce en el puerto MGT, incluidos los envíos de
archivos, la distribución de logs de WildFire y la administración de dispositivos. Por lo tanto, asegúrese de que los
cortafuegos tengan conectividad con el puerto MGT en el dispositivo. Además, el dispositivo debe ser capaz de
conectarse al sitio updates.paloaltonetworks.com para recuperar sus actualizaciones de software del sistema
operativo.
 Debe tener preparado un ordenador con un cable de consola o cable Ethernet para conectarse al dispositivo para
realizar la configuración inicial.
Step 1 Conecte el ordenador de gestión al 1. Conéctese al puerto de la consola o al puerto MGT. Ambos se
dispositivo usando el puerto MGT o el encuentran en la parte posterior del dispositivo.
puerto de consola, y encienda el • Console Port (Puerto de la consola): conector serie macho
dispositivo. de 9 clavijas. Utilice la siguiente configuración en la
aplicación de la consola: 9600-8-N-1. Conecte el cable
proporcionado al puerto de serie en el dispositivo de gestión
o al conversor USB-serie.
• MGT Port (Puerto MGT): puerto RJ-45 Ethernet. De forma
predeterminada, la dirección IP del puerto MGT es
192.168.1.1. La interfaz del ordenador de gestión debe estar
en la misma subred que el puerto MGT. Por ejemplo,
establezca la dirección IP del ordenador de gestión en
192.168.1.5.
2. Encienda el dispositivo.
El dispositivo se encenderá en cuanto establezca la
conexión con la primera fuente de alimentación y sonará
un pitido de advertencia hasta que conecte la segunda
fuente de alimentación. Si el dispositivo ya está
conectado, pero está apagado, utilice el botón de
encendido de la parte frontal del dispositivo para
encenderlo.

Configuración del dispositivo WF-500 (Continuado)
Step 2 Registre el dispositivo WF-500. 1. Obtenga el número de serie de la etiqueta de número de serie del
dispositivo o ejecute el siguiente comando y consulte el campo
serial:
admin@WF-500> show system info
2. En un navegador, vaya al sitio de Asistencia técnica de Palo Alto
Networks.
3. Registre el dispositivo de la siguiente forma:
• Si es el primer dispositivo de Palo Alto Networks que registra
y aún no dispone de inicio de sesión, haga clic en Register
(Registrar) en el lado derecho de la página. Para el registro
debe proporcionar una dirección de correo electrónico y el
número de serie del dispositivo. Cuando se le solicite,
establezca un nombre de usuario y una contraseña para
acceder a la comunidad de asistencia técnica de Palo Alto
Networks.
• Con las cuentas existentes solo tiene que iniciar sesión y hacer
clic en My Devices (Mis dispositivos). Desplácese hasta la
sección Register Device (Registrar dispositivo) de la parte
inferior de la pantalla e introduzca el número de serie del
dispositivo, su ciudad y código postal, y haga clic en Register
Device (Registrar dispositivo).
4. Para confirmar el registro de WildFire en el dispositivo WF-500,
inicie sesión en el dispositivo con un cliente SSH o mediante el
puerto de la consola. Introduzca el nombre de
usuario/contraseña admin/admin e introduzca el siguiente
comando en el dispositivo:
admin@WF-500> test wildfire registration
El siguiente resultado indica que el dispositivo está registrado en
uno de los servidores de nube de WildFire de Palo Alto
Networks.
Test wildfire
wildfire registration: successful
download server list: successful
select the best server:
cs-s1.wildfire.paloaltonetworks.com
Step 3 Restablezca la contraseña del 1. Establezca una nueva contraseña ejecutando el comando:
administrador. admin@WF-500# set password
2. Introduzca la contraseña anterior, pulse Intro y, a continuación,
introduzca y confirme la nueva contraseña. No es necesario
compilar la configuración porque se trata de un comando de
operación.
3. Escriba exit para cerrar la sesión y, a continuación, vuelva a
iniciarla para confirmar que se ha establecido la nueva
contraseña.

Step 4 Configure los ajustes de interfaz de 1. Inicie sesión en el dispositivo con un cliente de SSH o usando el
gestión. puerto de la consola y acceda al modo de configuración.
admin@WF-500> configure
Este ejemplo utiliza los siguientes valores:
2. Establezca la información de IP:
• Dirección IPv4: 10.10.0.5/22
admin@WF-500# set deviceconfig system ip-address
• Máscara de subred: 255.255.252.0 10.10.0.5 netmask 255.255.252.0 default-gateway
• Puerta de enlace predeterminada: 10.10.0.1 dns-setting servers primary 10.0.0.246
10.10.0.1 Configure un segundo servidor DNS al reemplazar
• Nombre de host: wildfire-corp1 “primary” (primario) por “secondary”(secundario) en el
• Servidor DNS: 10.0.0.246 comando anterior, sin incluir los demás parámetros IP.
Por ejemplo:
admin@WF-500# set deviceconfig system
dns-setting servers secondary 10.0.0.247
3. Establezca el nombre de host (wildfire-corp1 en este ejemplo):
admin@WF-500# set deviceconfig system hostname
wildfire-corp1
4. Confirme la configuración para activar la nueva configuración
del puerto de gestión (MGT):
admin@WF-500# commit
5. Conecte el puerto de la interfaz de gestión a un conmutador de
red.
6. Vuelva a ubicar el PC de gestión en la red corporativa o en
cualquier red necesaria para acceder al dispositivo en la red de
gestión.
7. En el ordenador de gestión, utilice un cliente SSH para
establecer la conexión con la dirección IP o el nombre de host
nuevos asignados al puerto MGT en el dispositivo. En este
ejemplo, la dirección IP es 10.10.0.5.
Step 5 Active el dispositivo con el código de 1. Cambie al modo de operación:

autorización de WildFire que ha recibido admin@WF-500# exit
de Palo Alto Networks. 2. Obtenga e instale la licencia de WildFire:
Si bien funcionará sin un código admin@WF-500> request license fetch auth-code
de autorización, el dispositivo <auth-code>
WF-500 no puede recuperar las 3. Verifique la licencia:
actualizaciones de software sin un admin@WF-500> request support check
código de autorización válido. Se muestra información sobre el sitio de asistencia técnica y la
fecha del contrato de asistencia. Confirme que la fecha mostrada
es válida.

Step 6 Establezca manualmente la fecha, hora y Establezca manualmente la fecha, hora y zona horaria del
zona horaria actuales, o sincronice el reloj dispositivo WF-500.
local del dispositivo WF-500 con un 1. Establezca la fecha y la hora:
servidor de protocolo de tiempo de redes admin@WF-500> set clock date <YY/MM/DD> time
(NTP). <hh:mm:ss>
2. Introduzca el modo de configuración:
3. Establezca la zona horaria local:
admin@WF-500# set deviceconfig system timezone
<timezone>
La marca de hora que aparecerá en el informe detallado
de WildFire utilizará la zona horaria establecida en el
dispositivo. Si los administradores de varias regiones van
a ver los informes, considere la posibilidad de establecer
la zona horaria en UTC.
Sincronice el reloj local del dispositivo WF-500 con un servidor de
protocolo de tiempo de redes (NTP):
1. Introduzca el modo de configuración:
2. Introduzca la dirección IP del servidor NTP que desea usar para
sincronizar el reloj local del WF-500:
admin@WF-500# set deviceconfig system ntp-servers
primary-ntp-server ntp-server-address <server IP
address>
3. (Opcional) Introduzca la dirección IP de un servidor NTP
secundario:
secondary-ntp-server ntp-server-address <server IP
address>
El dispositivo WF-500 no prioriza el servidor NTP
primario o secundario, se sincroniza con cualquiera de
los servidores.
4.Establezca la autenticación de NTP:
• Deshabilite la autenticación de NTP:
primary-ntp-server authentication-type none
• Habilite el intercambio de clave simétrica (secretos
compartidos) para autenticar las actualizaciones de hora del
servidor NTP:
primary-ntp-server authentication-type
symmetric-key
Ahora introduzca la key-ID (identificación de clave, 1 -
65534), elija el algorithm (algoritmo) para utilizar en la
autenticación de NTP (MD5 o SHA1) y luego introduzca y
confirme la authentication-key (clave de autenticación)
del algoritmo de autenticación.
• Utilice la clave automática (criptografía de clave pública) para
autenticar las actualizaciones de hora del servidor NTP:
primary-ntp-server authentication-type autokey

Step 7 Seleccione la imagen de máquina virtual • Para ver una lista de las máquinas virtuales disponibles y
que el dispositivo debe utilizar para el determinar cuál representa mejor su entorno:
análisis de archivos. admin@WF-500> show wildfire vm-images
La imagen se debe basar en los atributos • Para ver la imagen de máquina virtual actual, ejecute el siguiente
que mejor representen el software comando y consulte el campo Selected VM:
instalado en los ordenadores del usuario
admin@WF-500> show wildfire status
final. Cada imagen virtual contiene
distintas versiones de los sistemas • Seleccione la imagen que el dispositivo va a utilizar para el análisis:
operativos y el software, como Windows admin@WF-500# set deviceconfig setting wildfire
XP o Windows 7 (32 bits o 64 bits) y active-vm <vm-image-number>
versiones específicas de Adobe Reader y
Por ejemplo, para utilizar vm-1:
Flash. Aunque configure el dispositivo
admin@WF-500# set deviceconfig setting wildfire
para utilizar una sola configuración de la
active-vm vm-1
imagen de máquina virtual, el dispositivo
utiliza varias instancias de la imagen para
mejorar el rendimiento.
Ahora configure los siguientes ajustes opcionales para el dispositivo WF-500:
• Habilite la característica de inteligencia de nube del Envío de malware a la nube pública de WildFire.
dispositivo WF-500 para enviar automáticamente
muestras de malware descubiertas en la nube
privada de WildFire a la nube pública de WildFire.
La nube pública de WildFire volverá a analizar la
muestra y generará una firma si determina que la
muestra es maliciosa. La firma se añade a las
actualizaciones de firma de WildFire para
distribuirse a usuarios globales.
• Si no desea enviar muestras de malware fuera de Envío de informes de análisis a la nube pública de WildFire.
la nube privada de WildFire, envíe informes de
análisis de WildFire para malware a la nube
pública de WildFire.
Si el dispositivo WF5-500 no está
habilitado para enviar malware a la nube
pública de WildFire, la práctica
recomendada es habilitar los envíos de
informes de análisis de malware para
contribuir con la inteligencia de amenazas
de WildFire y mejorarla.
• Configure cuentas de usuario adicionales para En este ejemplo, se crea una cuenta de superlector para el usuario
gestionar el dispositivo WF-500. bsimpson:
Puede asignar dos tipos de roles: superusuario y 1. Introduzca el modo de configuración:
superlector. El superusuario es equivalente a la admin@WF-500> configure
cuenta de administrador, mientras que el 2. Cree la cuenta de usuario:
superlector solamente tiene acceso de lectura. admin@WF-500# set mgt-config users bsimpson
<password>
3. Introduzca y confirme la nueva contraseña.
4. Asigne la función de superlector:
admin@WF-500# set mgt-config users bsimpson
permissions role-based superreader yes

• Configure la autenticación RADIUS para el 1. Cree un perfil de RADIUS mediante las opciones siguientes:
acceso de administrador. admin@WF-500# set shared server-profile radius
<profile-name>
(Configure el servidor de RADIUS y otros atributos).
2. Cree un perfil de autenticación:
admin@WF-500# set shared authentication-profile
<profile-name> method radius server-profile
<server-profile-name>
3. Asigne el perfil a una cuenta de administrador local.
admin@WF-500# set mgt-config users username
authentication-profile authentication-profile-name>
• Establezca una contraseña para la cuenta de Solo se puede cambiar la contraseña de la cuenta de administrador
administrador del portal de WildFire. del portal de WildFire y no se pueden crear cuentas de administrador
adicionales. El nombre de usuario y la contraseña predeterminados
El administrador del portal de WildFire
son admin/admin.
puede usar el portal para enviar muestras
manualmente para el análisis de nube 1. Para cambiar la contraseña de la cuenta del administrador del
pública de WildFire y para visualizar portal de WildFire:
informes de análisis para estas muestras admin@WF-500> set wildfire portal-admin password
(consulte Carga manual de archivos en el 2. Pulse Intro y escriba y confirme la nueva contraseña.
portal de WildFire). Si el dispositivo
WF-500 está habilitado para Envío de
malware a la nube pública de WildFire
automáticamente, los informes de análisis
para estas muestras también estarán
disponibles a través del portal de WildFire.
Siguientes pasos... • Configuración de la interfaz de VM para habilitar el dispositivo
WF-500 para observar comportamientos malintencionados
donde el archivo que se está analizando busca acceso a la red.
• Uso de la API de WildFire para recuperar los informes de análisis
de WildFire para las muestras analizadas en una nube privada de
WildFire.
• Si habilita la inteligencia de nube para Envío de malware a la nube
pública de WildFire para un análisis adicional, utilice el portal de
WildFire para visualizar informes del malware enviado.

Configuración del dispositivo WF-500 Configuración de la interfaz de VM
Configuración de la interfaz de VM
La interfaz de máquina virtual (interfaz VM) facilita la conectividad de red externa desde las máquinas virtuales
de espacio aislado en el dispositivo WF-500 para permitir la observación de comportamientos malintencionados
en que el archivo analizado intenta acceder a la red. En las siguientes secciones se describen la interfaz VM y los
pasos necesarios para configurarla. Además, puede habilitar la función Tor con la interfaz VM, lo cual
enmascarará el tráfico malintencionado enviado desde el dispositivo WF-500 mediante la interfaz VM, de modo
que los sitios de malware a los que se puede enviar el tráfico no puedan detectar su dirección IP de acceso
público.
En esta sección también se describen los pasos necesarios para conectar la interfaz VM a un puerto
especializado en un cortafuegos de Palo Alto Networks para habilitar la conectividad a Internet.
 Descripción general de la interfaz de máquina virtual
 Configuración de la interfaz VM en el dispositivo WF-500
 Conexión del cortafuegos a la interfaz de VM del dispositivo WF-500
Descripción general de la interfaz de máquina virtual
WildFire utiliza la interfaz VM (con la etiqueta 1 en la parte posterior del dispositivo) para mejorar la capacidad
de detección de malware. Esta interfaz permite que un archivo de muestra ejecutado en las máquinas virtuales
de WildFire se comunique con Internet y permite que WildFire analice mejor el comportamiento del archivo de
muestra para determinar si presenta características de malware.
Si bien se recomienda que habilite la interfaz VM, es muy importante que no la conecte a una red
que permita el acceso a cualquiera de sus servidores o hosts, ya que el malware ejecutado en
las máquinas virtuales de WildFire puede utilizar esta interfaz para propagarse.
Esta conexión puede ser una línea DSL especializada o un conexión de red que solamente
permita el acceso directo desde la interfaz VM a Internet y restrinja cualquier acceso a los
servidores o hosts de cliente internos.
En la siguiente ilustración se muestran dos opciones para conectar la interfaz VM a la red.

Configuración de la interfaz de VM Configuración del dispositivo WF-500
Ejemplo de la interfaz de máquina virtual
 Opción-1 (recomendada): conecte la interfaz VM a una interfaz en una zona especializada de un cortafuegos
con una política que solamente permita el acceso a Internet. Es importante porque el malware que se ejecuta
en las máquinas virtuales de WildFire puede utilizar potencialmente esta interfaz para propagarse. Esta es la
opción recomendada porque los logs del cortafuegos proporcionarán visibilidad en cualquier tráfico
generado por la interfaz VM.
 Opción-2: utilice una conexión especializada del proveedor de Internet, como una conexión DSL, para
conectar la interfaz VM a Internet. Asegúrese de que no hay acceso desde esta conexión a servidores/hosts
internos. Aunque esta es una solución sencilla, el tráfico generado por el malware fuera de la interfaz de VM
no se registrará a menos que incluya un cortafuegos o una herramienta de supervisión de tráfico entre el
dispositivo WF-500 y la conexión DSL.
Configuración de la interfaz VM en el dispositivo WF-500
En esta sección se describen los pasos necesarios para configurar la interfaz VM en el dispositivo WF-500
mediante la configuración de la opción 1 detallada en el Ejemplo de la interfaz de máquina virtual. Después de
configurar la interfaz VM mediante esta opción, también debe configurar una interfaz en un cortafuegos de Palo
Alto Networks por el que se enrutará el tráfico desde la interfaz VM según se describe en Conexión del
cortafuegos a la interfaz de VM del dispositivo WF-500.
De forma predeterminada, la interfaz VM está configurada del modo siguiente:
 Dirección IP: 192.168.2.1

 Máscara de red: 255.255.255.0
 Puerta de enlace predeterminada: 192.168.2.254

 DNS: 192.168.2.254
Si tiene pensado habilitar esta interfaz, configúrela con los ajustes adecuados para la red. Si no tiene pensando
utilizar esta interfaz, mantenga los ajustes predeterminados. Tenga en cuenta que la interfaz debe tener valores
de red configurados, ya que en caso contrario se producirá un error de compilación.
Configuración de la interfaz de VM
Step 1 Establezca la información de IP para la 1. Introduzca el modo de configuración:

interfaz de VM en el dispositivo WF-500. admin@WF-500> configure
En este ejemplo se utiliza la siguiente 2. Establezca la información de IP para la interfaz de VM:
configuración:
admin@WF-500# set deviceconfig system vm-interface
• Dirección IPv4: 10.16.0.20/22 ip-address 10.16.0.20 netmask 255.255.252.0
• Máscara de subred: 255.255.252.0 default-gateway 10.16.0.1 dns-server 10.0.0.246
• Puerta de enlace predeterminada: Solamente puede configurar un servidor DNS en la
10.16.0.1 interfaz VM. La práctica recomendada es utilizar el
• Servidor DNS: 10.0.0.246 servidor DNS del ISP o un servicio DNS abierto.
La interfaz VM no puede estar en
la misma red que la interfaz de
gestión (MGT).
Step 2 Habilite la interfaz de VM. 1. Habilite la interfaz de VM:

vm-network-enable yes
2. Confirme la configuración:
Step 3 Pruebe la conectividad de la interfaz VM. Haga ping a un sistema y especifique la interfaz de VM como el
origen. Por ejemplo, si la dirección IP de la interfaz de VM es
10.16.0.20, ejecute el siguiente comando, donde ip-or-hostname es la
dirección IP o el nombre de host de un servidor o una red con la
opción de ping habilitada:
admin@WF-500> ping source 10.16.0.20 host ip-or-hostname
Por ejemplo:
admin@WF-500> ping source 10.16.0.20 host 10.16.0.1
Step 4 (Opcional) Enable the Tor network Habilite la red Tor:

(Habilitar la red Tor). Cuando esta opción 1. admin@WF-500# set deviceconfig setting wildfire
está habilitada, cualquier tráfico vm-network-use-tor
malintencionado que genere el malware 2. Confirme la configuración:
en Internet se envía a la red Tor. La red admin@WF-500# commit
Tor enmascarará su dirección IP de
acceso público, a fin de que los
propietarios del sitio malintencionado no
puedan determinar la fuente del tráfico.
Siguientes pasos... Conexión del cortafuegos a la interfaz de VM del dispositivo
WF-500.

Configuración de la interfaz de VM Configuración del dispositivo WF-500
Conexión del cortafuegos a la interfaz de VM del dispositivo WF-500
En el siguiente flujo de trabajo de ejemplo, se describe cómo conectar la interfaz VM a un puerto en un

cortafuegos de Palo Alto Networks. Antes de conectar la interfaz VM al cortafuegos, este debe tener una zona
no fiable conectada a Internet. En este ejemplo, se configura una nueva zona denominada “zona wf-vm” que
contiene la interfaz utilizada para conectar la interfaz VM del dispositivo al cortafuegos. La política asociada a
la zona wf-vm solamente permite la comunicación de la interfaz VM con la zona que no es de confianza.
Configuración del cortafuegos para controlar el tráfico de la interfaz VM del dispositivo WF-500
Step 1 Configure la interfaz en el cortafuegos al 1. En la interfaz web del cortafuegos, seleccione Network >
que se conectará la interfaz VM y Interfaces (Red > Interfaces) y, a continuación, seleccione una
establezca el enrutador virtual. interfaz, por ejemplo Ethernet1/3.
La zona wf-vm solamente debe 2. En la lista desplegable Interface Type (Tipo de interfaz),
contener la interfaz (Ethernet1/3 seleccione Layer3 (Capa3).
en este ejemplo) utilizada para 3. En la pestaña Config (Configurar), en el cuadro desplegable
conectar la interfaz VM del Security Zone (Zona de seguridad), seleccione New Zone
dispositivo al cortafuegos. Esto (Nueva zona).
permite evitar que el tráfico 4. En el campo Name (Nombre) del cuadro de diálogo Zone
generado por el malware llegue a (Zona), introduzca wf-vm-zone y haga clic en OK (Aceptar).
otras redes.
5. En el cuadro desplegable Virtual Router (Enrutador virtual),
seleccione default (predeterminado).
6. Para asignar una dirección IP a la interfaz, seleccione la pestaña
IPv4, haga clic en Add (Añadir) en la sección IP e introduzca la
dirección IP y la máscara de red para asignarlas a la interfaz, por
ejemplo, 10.16.0.0/22.
7. Para guardar la configuración de la interfaz, haga clic en OK (Aceptar).

Configuración del cortafuegos para controlar el tráfico de la interfaz VM del dispositivo WF-500 (Continuado)
Step 2 Cree una política de seguridad en el 1. Seleccione Policies > Security (Políticas > Seguridad) y haga
cortafuegos para permitir el acceso de la clic en Add (Añadir).
interfaz VM a Internet y bloquear todo el 2. En la pestaña General (General), introduzca un Name
tráfico entrante. En este ejemplo, el (Nombre).
nombre de la política es Interfaz VM de
3. En la pestaña Source (Origen), establezca la Source Zone (Zona
WildFire. Dado que no creará una política
de origen) en wf-vm-zone.
de seguridad desde la zona que no es de
confianza a la zona de la interfaz wf-vm, 4. En la pestaña Destination (Destino), establezca la Destination
todo el tráfico entrante se bloqueará de Zone (Zona de destino) como Untrust (No fiable).
forma predeterminada. 5. En las pestañas Application (Aplicación) y Service/URL
Category (Categoría de URL/servicio), deje de forma
predeterminada Any (Cualquiera).
6. En la pestaña Actions (Acciones), establezca Action Setting
(Configuración de acción) como Allow (Permitir).
7. En Log Setting (Ajuste de log), seleccione la casilla de
verificación Log at Session End (Log al finalizar sesión).
Si le preocupa que alguien pueda añadir de forma
accidental otras interfaces a la zona wf-vm, clone la
política de la seguridad de la interfaz VM de WildFire y,
a continuación, en la pestaña Action (Acción) de la regla
clonada, seleccione Deny (Denegar). Asegúrese de que
esta nueva política de seguridad aparezca debajo de la
política de seguridad de la interfaz VM de WildFire. Esta
acción cancela la regla de permiso de la intrazona
implícita que permite la comunicación entre las
interfaces de la misma zona y deniega o bloquea toda la
comunicación en la intrazona.
Step 3 Conecte los cables. Conecte físicamente la interfaz VM del dispositivo WF-500 al puerto
que ha configurado en el cortafuegos (Ethernet 1/3 en este ejemplo)
con un cable RJ-45 directo. La interfaz VM se indica con la etiqueta
1 en la parte posterior del dispositivo.
Step 4 Compruebe si la interfaz VM está 1. Consulte la configuración de la interfaz VM:

transmitiendo y recibiendo tráfico. admin@WF-500> show interface vm-interface
2. Compruebe si aumenta el valor de los contadores de
recepción/transmisión. Puede ejecutar el siguiente comando
para generar tráfico de ping desde la interfaz VM hasta un
dispositivo externo:
admin@WF-500> ping source vm-interface-ip host
<gateway-ip>
Por ejemplo:
admin@WF-500> ping source 10.16.0.20 host 10.16.0.1

Configuración de las actualizaciones del contenido de WF-500 Configuración del dispositivo WF-500
Configuración de las actualizaciones del contenido de WF-500

Configure actualizaciones diarias del contenido para el dispositivo WF-500. Las actualizaciones de contenido de
WF-500 proporcionan al dispositivo inteligencia de amenazas para facilitar la detección precisa de malware,
mejorar la capacidad del dispositivo para diferenciar muestras maliciosas de muestras benignas, y garantizar que
el dispositivo tenga la información más reciente necesaria para generar firmas.
 Instalación de las actualizaciones del contenido de WF-500 directamente desde el servidor de
actualizaciones
 Instalación de las actualizaciones del contenido de WF-500 desde un servidor habilitado para SCP
Instalación de las actualizaciones del contenido de WF-500 directamente

desde el servidor de actualizaciones
Instalación directa de las actualizaciones del contenido de inteligencia de amenazas desde el servidor de
actualizaciones
Step 1 Compruebe la conectividad del 1. Inicie sesión en el dispositivo WF-500 y ejecute el siguiente
dispositivo con el servidor de comando para mostrar la versión de contenido actual:
actualizaciones e identifique las admin@wf-500> show system info | match
actualizaciones de contenido que se wf-content-version
deben instalar.
2. Confirme si el dispositivo se puede comunicar con el servidor
de actualizaciones de Palo Alto Networks y vea las
actualizaciones disponibles:
admin@wf-500> request wf-content upgrade check
El comando envía una consulta al servidor de actualizaciones de
Palo Alto Networks, proporciona información sobre las
actualizaciones disponibles e identifica la versión instalada
actualmente en el dispositivo.
Version Size Released on Downloaded Installed
---------------------------------------------------------
2-253 57MB 2014/09/20 20:00:08 PDT no no
2-39 44MB 2014/02/12 14:04:27 PST yes current
Si el dispositivo no puede conectarse con el servidor de
actualizaciones, debe permitir la conectividad del dispositivo
con el servidor de actualizaciones de Palo Alto Networks o
descargar e instalar las actualizaciones mediante SCP según se
describe en Instalación de las actualizaciones del contenido de
WF-500 desde un servidor habilitado para SCP.
Step 2 Descargue e instale la última actualización 1. Descargue la última actualización de contenido:

de contenido. admin@wf-500> request wf-content upgrade download
latest
2. Vea el estado de la descarga:
admin@wf-500> show jobs all
Puede ejecutar show jobs pending para ver los trabajos
pendientes. En el siguiente resultado se muestra que la descarga
(ID de trabajo 5) ha finalizado (estado FIN):
Enqueued ID Type Status Result Completed
---------------------------------------------------------
2014/04/22 03:42:20 5 Downld FIN OK 03:42:23
3. Una vez finalizada la descarga, instale la actualización:
admin@wf-500> request wf-content upgrade install
version latest
Vuelva a ejecutar el comando show jobs all para supervisar el
estado de la instalación.

Configuración del dispositivo WF-500 Configuración de las actualizaciones del contenido de WF-500
Instalación directa de las actualizaciones del contenido de inteligencia de amenazas desde el servidor de
actualizaciones (Continuado)
Step 3 Compruebe la actualización de contenido. Ejecute el siguiente comando y consulte el campo

wf-content-version:
admin@wf-500> show system info
A continuación se muestra un resultado de ejemplo con la versión de

actualización de contenido 2-253 instalada:
admin@wf-500> show system info
hostname: wf-500
ip-address: 10.5.164.245
netmask: 255.255.255.0
default-gateway: 10.5.164.1
mac-address: 00:25:90:c3:ed:56
vm-interface-ip-address: 192.168.2.2
vm-interface-netmask: 255.255.255.0
vm-interface-default-gateway: 192.168.2.1
vm-interface-dns-server: 192.168.2.1
time: Mon Apr 21 9:59:07 2014
uptime: 17 days, 23:19:16
family: m
model: WF-500
serial: abcd3333
sw-version: 6.1.0
wf-content-version: 2-253
wfm-release-date: 2014/08/20 20:00:08
logdb-version: 6.1.2
platform-family: m
Step 4 (Opcional) Programe las actualizaciones 1. Programe el dispositivo para descargar e instalar las
de contenido para que se instalen de actualizaciones de contenido:
forma diaria o semanal. admin@WF-500# set deviceconfig system
update-schedule wf-content recurring [daily |
weekly] action [download-and-install |
download-only]
Por ejemplo, para descargar e instalar las actualizaciones
diariamente a las 8:00 a.m.:
admin@WF-500# set deviceconfig system
update-schedule wf-content recurring daily action
download-and-install at 08:00
2. Confirme la configuración
Instalación de las actualizaciones del contenido de WF-500 desde un

servidor habilitado para SCP
En el siguiente procedimiento se describe cómo instalar las actualizaciones de contenido de inteligencia de
amenazas en un dispositivo WF-500 sin conectividad directa con el servidor de actualizaciones de Palo Alto
Networks. Necesitará un servidor habilitado para Secure Copy (SCP) que almacene temporalmente la
actualización de contenido.

Configuración de las actualizaciones del contenido de WF-500 Configuración del dispositivo WF-500
Instalación de actualizaciones de contenido de inteligencia de amenazas desde un servidor habilitado para

SCP
Step 1 Recupere el archivo de actualización de 1. Inicie sesión en el sitio de Asistencia técnica de Palo Alto Networks y
contenido del servidor de actualizaciones. haga clic en Dynamic Updates (Actualizaciones dinámicas).
2. En la sección del dispositivo WF-500, busque la última actualización
de contenido del dispositivo WF-500 y descárguela.
3. Copie el archivo de actualización de contenido en un servidor
habilitado para SCP y anote el nombre del archivo y la ruta de
acceso al directorio.
Step 2 Instale la actualización de contenido en el 1. Inicie sesión en el dispositivo WF-500 y descargue el archivo de
dispositivo WF-500. actualización de contenido del servidor SCP:
admin@WF-500> scp import wf-content from
username@host:path
Por ejemplo:
admin@WF-500> scp import wf-content from
bart@10.10.10.5:c:/updates/panup-all-wfmeta-2-253.
tgz
Si el servidor SCP se ejecuta en un puerto no estándar o
si necesita especificar la dirección IP de origen, también
puede definir estas opciones en el comando scp import.
2. Instale la actualización:
admin@WF-500> request wf-content upgrade install
file panup-all-wfmeta-2-253.tgz
Vea el estado de la instalación:
admin@WF-500> show jobs all
Step 3 Compruebe la actualización de contenido. Compruebe la versión de contenido:

admin@wf-500> show system info | match
wf-content-version
En el siguiente resultado se muestra ahora la versión 2-253:
wf-content-version: 2-253

Configuración del dispositivo WF-500 Habilitación de firmas y generación de URL
Habilitación de firmas y generación de URL

El dispositivo WF-500 puede generar firmas localmente en función de las muestras recibidas de los cortafuegos
conectados y la API de WildFire, como alternativa al envío de malware a la nube pública para la generación de
firmas. El dispositivo puede generar los siguientes tipos de firmas para que los cortafuegos utilicen para
bloquear el malware y todo comando asociado, y controlar el tráfico:
 Antivirus signatures (Firmas de antivirus): detectan y bloquean archivos malintencionados. WildFire añade
estas firmas a las actualizaciones de contenido de WildFire y antivirus.
 DNS signatures (Firmas DNS): detectan y bloquean los dominios de devolución de llamada para el tráfico
de comandos y control asociado al malware. WildFire añade estas firmas a las actualizaciones de contenido
de WildFire y antivirus.
 URL categories (Categorización de URL): categoriza los dominios de devolución de llamadas como
malware y actualiza la categoría de URL en PAN-DB.
Configure los cortafuegos para que reciban las firmas generadas por el dispositivo WF-500 con una frecuencia de
cada cinco minutos. También puede enviar la muestra de malware a la nube pública de WildFire a fin de habilitar
la firma que se distribuirá a nivel global a través de las publicaciones de contenido de Palo Alto Networks.
Si está planeando nuevamente configurar el dispositivo WF-500 como parte de una

implementación de Nube híbrida de WildFire, también debe habilitar el cortafuegos para recibir
las últimas firmas distribuidas por la nube pública de WildFire.
Los siguientes pasos describen cómo habilitar el dispositivo WF-500 para generar firmas y categorías de URL,
y cómo distribuir las firmas y categorías a los cortafuegos de la red.
Habilitación del dispositivo WF-500 para generar y distribuir las firmas y categorías de URL
Antes de comenzar, asegúrese de que dispone de Configuración de las actualizaciones del contenido de WF-500 para que
el dispositivo WF-500 reciba la inteligencia de amenazas más reciente de Palo Alto Networks.
Step 1 Habilite las firmas y la generación de 1. Inicie sesión en el dispositivo y escriba configure para acceder
categorías URL al modo de configuración.
2. Habilite todas las opciones de prevención de amenazas:
signature-generation av yes dns yes url yes
3. Confirme la configuración:

Habilitación de firmas y generación de URL Configuración del dispositivo WF-500
Habilitación del dispositivo WF-500 para generar y distribuir las firmas y categorías de URL
Step 2 Elabore una programación para que los Para varios cortafuegos gestionados por Panorama:
cortafuegos conectados al dispositivo Inicie Panorama y seleccione Panorama > Device Deployment >
reciban las firmas y categorías de URL Dynamic Updates (Panorama > Implementación de dispositivo >
generadas por el dispositivo. Actualizaciones dinámicas), haga clic en Schedules
La práctica recomendada es (Programaciones) y en Add (Añadir) para añadir actualizaciones de
configurar sus cortafuegos para contenido programadas para los dispositivos gestionados.
recuperar las actualizaciones de Para obtener detalles sobre el uso de Panorama para establecer que
contenido de la nube pública de los cortafuegos gestionados reciban firmas y categorías de URL
WildFire y el dispositivo WF-500. desde un dispositivo WF-500, consulte Actualizaciones de contenido
Esto garantiza que los cortafuegos programadas para los dispositivos usando Panorama.
reciban firmas según las amenazas
detectadas en todo el mundo y no Para un único cortafuegos:
solo las firmas generadas por el 1. Inicie sesión en la interfaz web del cortafuegos y seleccione
dispositivo local. Device > Dynamic Updates (Dispositivo > Actualizaciones
dinámicas).
Para los cortafuegos configurados para enviar archivos a un
dispositivo WF-500 (en una nube privada de WildFire o una
implementación de nube híbrida), se muestra la sección
WF-Private.
2. Establezca Schedule (Programación) para que el cortafuegos
descargue e instale actualizaciones de contenido desde el
dispositivo WF-500.
Para obtener detalles sobre la configuración y gestión de

actualizaciones de contenido de cortafuegos, consulte Gestión de
actualizaciones de contenido.

Configuración del dispositivo WF-500 Actualización de un dispositivo WF-500
Actualización de un dispositivo WF-500

Esta sección describe cómo actualizar el sistema operativo del dispositivo WF-500. Primero descargue e instale
la imagen de VM invitada del dispositivo WF-500 para la versión correspondiente. Dado que las imágenes de
VM pueden tener un tamaño de hasta 4 GB, debe descargarlas de los servidores de actualizaciones de Palo Alto
Networks y, a continuación, alojarlas en un servidor habilitado para SCP correspondiente. Utilice el cliente SCP
del dispositivo para descargar las imágenes de VM y software del servidor habilitado para SCP antes de actualizar
el dispositivo.
Dado que el dispositivo solamente puede utilizar un entorno cada vez para analizar las muestras, después de
actualizar el dispositivo, revise la lista de imágenes de VM disponibles y seleccione la imagen que mejor se adapte
a su entorno. En el caso de Windows 7, si en su entorno se combinan los sistemas Windows 7 de 32 bits y Windows
7 de 64 bits, se recomienda seleccionar la imagen de Windows 7 de 64 bits para que WildFire analice los archivos
PE de 32 y 64 bits. Aunque configure el dispositivo para utilizar una sola configuración de la imagen de máquina
virtual, el dispositivo utiliza con fines de mejora varias instancias de la imagen para los análisis de archivos.
Dado que los archivos de VM pueden tener un tamaño de 4 GB, asegúrese de que el software
del servidor habilitado para Secure Copy (SCP) sea compatible con transferencias de archivos
de más de 4 GB y compruebe si hay suficiente espacio libre para almacenar los archivos
temporalmente.
Actualización de un dispositivo WF-500
Step 1 Descargue la versión de software 7.0 en Inicie sesión en el dispositivo WF-500 y descargue la versión de
el dispositivo WF-500. software 7.0.0:
admin@WF-500> request system software download version
No puede omitir ninguna versión
7.0.0
importante al actualizar el
dispositivo WF-500. Por ejemplo, Para comprobar el estado de la descarga, utilice el siguiente
si desea actualizar la versión 6.0 a comando:
la 7.0, primero debe instalar la admin@WF-500> show jobs all
versión 6.1.
Step 2 Descargue la imagen de VM 7.0 en un 1. En el sitio de Asistencia técnica de Palo Alto Networks, haga clic
servidor habilitado para SCP. en Software Updates (Actualizaciones de software).
2. En la sección de imágenes de VM invitadas de WF-500,
descargue la imagen de VM invitada 7.0
(WFWinXpGf_m-1.0.0-c6.xpgf) en el sistema local:
3. Mueva el archivo al servidor habilitado para SCP y anote el

nombre y la ruta de acceso al directorio del archivo.

Actualización de un dispositivo WF-500 Configuración del dispositivo WF-500
Actualización de un dispositivo WF-500 (Continuado)
Step 3 Descargue la imagen de VM en el Descargue el archivo de imagen de VM en el dispositivo WF-500

dispositivo WF-500. desde el servidor habilitado para SCP al ejecutar el siguiente
comando de operación en el dispositivo:
admin@WF-500> scp import wildfire-vm-image from
<server>:/<path>/WFWinXpGf_m-1.0.0-c6.xpgf
Por ejemplo:
admin@WF-500> scp import wildfire-vm-image from
bart@10.43.15.41:c:/root/WF-Elink-Image/WFWinXpGf_m-1.
0.0-c6xpgf
La ruta de SCP después de la dirección IP o el nombre del

host varía según el software SCP utilizado. Para Windows, la
ruta es c:/folder/filename o //folder/filename; para
los sistemas Unix/Mac, la ruta es /folder/filename o
//folder/filename.
Step 4 Instale la imagen de VM en el dispositivo Ejecute el siguiente comando para instalar la imagen de VM en el
WF-500. dispositivo WF-500:
admin@WF-500> request system wildfire-vm-image upgrade
install file WFWinXpGf__m-1.0.0_c6.xpgf
Step 5 Instale la versión de software 7.0 en el Instale la imagen del sistema operativo del dispositivo WF-500
dispositivo WF-500. (descargado en Step 1) al ejecutar el siguiente comando:
admin@WF-500> request system software install version
7.0.0
Step 6 Reinicie el dispositivo WF-500 y confirme 1. Confirme que la actualización se haya completado. Ejecute el
si la instalación se ha realizado siguiente comando y busque el tipo de trabajo Install y el
correctamente. estado FIN:
admin@WF-500> show jobs all
Enqueued ID Type Status

Result Completed
----------------------------------------------------------
2015/05/15 10:38:48 2 Downld FIN
OK 10:39:08
2. Reinicie el dispositivo:
admin@WF-500> request restart system
3. Compruebe si en el campo sw-version se muestra 7.0:
admin@WF-500> show system info | match sw-version

Configuración del dispositivo WF-500 Actualización de un dispositivo WF-500
Step 7 (Opcional) Habilite el entorno de espacio 1. Para ver la imagen de la máquina virtual activa, ejecute el
aislado de Windows 7 de 64 bits. siguiente comando y consulte el campo Selected VM:
2. Vea una lista de las imágenes de máquinas virtuales disponibles:
admin@WF-500> show wildfire vm-images
En el siguiente resultado se muestra que vm-5 es la imagen de
Windows 7 de 64 bits:
vm-5
Windows 7 de 64 bits, Adobe Reader 11, Flash 11,
Office 2010. Support PE, PDF, Office 2010 and
earlier
3. Seleccione la imagen que se va a utilizar para el análisis:
active-vm <vm-image-number>
Por ejemplo, para utilizar vm-5, ejecute el siguiente comando:
active-vm vm-5
4. Commit (confirme) la configuración:
Step 8 Actualice los cortafuegos conectados al Actualice los cortafuegos a PAN-OS 7.0.
dispositivo.

Actualización de un dispositivo WF-500 Configuración del dispositivo WF-500
Step 9 Habilite los cortafuegos para que 1. Defina el tráfico que debe enviarse para el análisis de WildFire:
continúen enviando los archivos al a. Seleccione Objects > Security Profiles > WildFire Analysis
dispositivo WF-500 para el análisis. (Objetos > Perfiles de seguridad > Análisis de WildFire) y
Este paso es necesario para para cada regla de perfil, actualice el ajuste de análisis en
garantizar que los ajustes de private-cloud (nube privada).
WildFire que migraron durante la b. (Opcional) Para usar la nube pública de WildFire para
actualización se configuren analizar ciertos archivos (por ejemplo, archivos APK que no
correctamente. Durante la son compatibles con el análisis de dispositivo WF-500),
actualización a PAN-OS 7.0, los añada o modifique una regla de perfil de análisis de WildFire
ajustes del envío de archivos para usar la ubicación de Analysis (Análisis) de public cloud
migran desde el perfil de bloqueo (nube pública). El tráfico que coincida con la ubicación del
de archivos hacia el perfil de análisis public-cloud (nube pública) configurada se enviará a
análisis de WildFire. El nuevo la nube pública de WildFire para el análisis.
perfil de análisis de WildFire
habilita el firewall para admitir una 2. Seleccione Device > Setup > WildFire (Dispositivo >
implementación de nube híbrida Configuración > WildFire) y configure las ubicaciones de
de WildFire, donde los archivos WildFire a las que el cortafuegos enviará los archivos para el
pueden enviarse a la nube pública análisis:
y a la nube privada para análisis. a. En el campo WildFire Private Cloud (Nube privada de
WildFire), introduzca la dirección IP o el FQDN del
dispositivo WF-500.
b. Si el cortafuegos estuviera conectado a un dispositivo
WF-500 antes de la actualización, el campo WildFire Public
Cloud (Nube pública de WildFire) se completará
automáticamente con la dirección IP o FQDN del
dispositivo WF-500. Complete este campo según si desea
analizar archivos usando solo el dispositivo WF-500 o tanto
el dispositivo WF-500 como la nube pública de WildFire:
– Para continuar enviando archivos solo al dispositivo
WF-500, elimine la entrada de nube pública de WildFire y
deje el campo en blanco.
– Para habilitar el cortafuegos para que envíe los archivos al
dispositivo WF-500 y a la nube pública de WildFire alojada
en EE. UU., introduzca wildfire.paloaltonetworks.com.
Para usar la nube de Japón, introduzca
wildfire.paloaltonetworks.jp.
Siguientes pasos... Reenvío de archivos para el análisis de WildFire.

Envío de archivos para el análisis de
WildFire
Los siguientes temas describen cómo enviar archivos para el análisis de WildFire™. Puede configurar los
cortafuegos de Palo Alto Networks para que envíen automáticamente los archivos desconocidos a la nube
pública de WildFire o a una nube privada de WildFire, y también puede enviar manualmente los archivos para
el análisis usando el portal de WildFire. Las muestras enviadas para el análisis de WildFire reciben un veredicto
de benigna, grayware o malware, y se genera un informe detallado para cada muestra.
 Reenvío de archivos para el análisis de WildFire
 Verificación de los envíos de WildFire
 Carga manual de archivos en el portal de WildFire
 Envío de malware o informes desde el dispositivo WF-500
 Capacidad de reenvío de archivos del cortafuegos según la plataforma

Reenvío de archivos para el análisis de WildFire Envío de archivos para el análisis de WildFire
Reenvío de archivos para el análisis de WildFire

Configure los cortafuegos de Palo Alto Networks para enviar archivos desconocidos o enlaces de correo
electrónico para el análisis. Use el perfil WildFire Analysis (Análisis de WildFire) para definir archivos para enviar
a la nube de WildFire (use la nube pública o una nube privada) y luego adjunte el perfil a una regla de seguridad
para activar la inspección de malware de día cero.
Especifique el tráfico que debe enviarse para el análisis en función de la aplicación en uso, el tipo de archivo
detectado, los enlaces incluidos en los mensajes de correo electrónico o la dirección de la transmisión de la
muestra (carga, descarga o ambas). Por ejemplo, puede configurar el cortafuegos para que envíe archivos
portables ejecutables (PE) o cualquier archivo que los usuarios intenten descargar durante una sesión de
exploración web.
Si está utilizando un dispositivo WF-500 para albergar una nube privada de WildFire, puede extender los
recursos de análisis de WildFire a una Nube híbrida de WildFire al configurar el cortafuegos para que continúe
enviando archivos confidenciales a su nube privada de WildFire para el análisis local, y enviar los tipos de archivo
menos confidenciales o no compatibles a la nube pública de WildFire.
Configuración de un cortafuegos para que envíe archivos y enlaces de correo electrónico a WildFire
Antes de comenzar:
 Si hay otro cortafuegos entre el cortafuegos que está configurando para que envíe los archivos y la nube de WildFire
o el dispositivo WF-500, asegúrese de que el cortafuegos del medio permita los siguientes puertos:
• La nube pública de WildFire utiliza el puerto 443 para el registro y los envíos de archivos.
• El dispositivo WF-500 utiliza el puerto 443 para el registro y el puerto 10443 para los envíos de archivos.
 Verifique que el cortafuegos tenga suscripciones válidas de WildFire y Threat Prevention (Device > Licenses
[Dispositivo > Licencias]).
 Verifique que las actualizaciones de contenido estén programadas y vigentes. Seleccione Device > Dynamic Updates
(Dispositivo > Actualizaciones dinámicas) y haga clic en Check Now (Comprobar ahora) para asegurarse de que el
cortafuegos tenga las actualizaciones más recientes del antivirus, aplicaciones y amenazas y WildFire.
 (Solo para cortafuegos de la serie PA-7000) Para habilitar un cortafuegos de la serie PA-7000 para que envíe archivos
y enlaces de correo electrónico para el análisis de WildFire, primero debe configurar el puerto de datos en una NPC
como una interfaz de tarjeta de logs.

Envío de archivos para el análisis de WildFire Reenvío de archivos para el análisis de WildFire
Step 1 Configure los ajustes de WildFire. 1. Seleccione Device > Setup > WildFire (Dispositivo >
Configuración > WildFire) y modifique el icono de edición de
Los ajustes de WildFire incluyen la
General Settings (Configuración general).
definición de las ubicaciones de análisis de
nube pública y privada de WildFire, y la 2. Introduzca la nube pública de WildFire y la nube privada de
opción de habilitar los informes para WildFire que desea utilizar para el análisis de WildFire:
grayware o archivos benignos. • Para enviar archivos a la WildFire Public Cloud (Nube
pública de WildFire) alojada en EE. UU., introduzca
Únicamente en Panorama:
wildfire.paloaltonetworks.com.
Si Panorama detecta una entrada
Para enviar archivos a la nube de WildFire alojada en
de log WildFire Submissions
Japón, introduzca wildfire.paloaltonetworks.jp.
(Envíos de WildFire) con campos
Si se encuentra en la región de Japón, puede que
incompletos, Panorama puede
también experimente una respuesta más rápida en los
conectarse a WildFire para
envíos de muestras y la generación de informes al
recopilar información sobre la
utilizar la nube de Japón. También puede usar la nube
muestra y completar los datos de la de Japón si no desea que el grayware o los archivos
entrada del log. Seleccione
benignos se envíen a los servidores de nube de
Panorama > Setup > WildFire
EE. UU.; sin embargo, si se determina que un archivo
(Panorama > Configuración > enviado a la nube de Japón es malintencionado, se
WildFire) e introduzca un enviará a los servidores de EE. UU. para el análisis y
WildFire Server (Servidor
la generación de firmas.
WildFire) con el que se
comunicará Panorama para • Para enviar archivos a una WildFire Private Cloud (Nube
recopilar detalles de muestra (de privada de WildFire), introduzca la dirección IP o el FQDN
manera predeterminada, del dispositivo WF-500.
Panorama utilizará la nube pública • Deje uno de los campos vacíos si no planea usar dicha nube
de WildFire). para el análisis de archivos.
3. (Opcional) Modifique los File Size Limits (Límites de tamaño
de archivo) para los archivos enviados desde el cortafuegos. Por
ejemplo, si establece PDF en 5 MB, los archivos PDF con un
tamaño superior a 5 MB no se reenviarán.
4. (Opcional) Habilite los informes para archivos benignos y
grayware:
• Seleccione Report Benign Files (Informar archivos
benignos) para permitir el registro de archivos que reciben un
veredicto benigno de WildFire.
• Seleccione Report Grayware Files (Informar archivos de
grayware) para permitir el registro de archivos que reciben un
veredicto de grayware de WildFire.
Para ver los logs de archivos que reciben los veredictos
de grayware y benignos, seleccione Monitor > WildFire
Submissions (Supervisar > Envíos de WildFire).
5. (Opcional) Defina qué información de sesión se debe registrar
en los informes de análisis de WildFire.
a. Modifique los ajustes de información de la sesión.
b. De manera predeterminada, toda la información de sesión se
muestra en los informes de análisis de WildFire. Desmarque
las casillas de verificación para quitar los campos
correspondientes de los informes de análisis de WildFire y
haga clic en OK (Aceptar) para guardar los ajustes.

Step 2 Defina el tráfico que debe enviarse para el 1. Seleccione Objects > Security Profiles > WildFire Analysis
análisis de WildFire. (Objetos > Perfiles de seguridad > Análisis de WildFire), haga
clic en Add (Añadir) para añadir un nuevo perfil de análisis y
Si tiene un dispositivo WF-500 asigne al perfil un Name (Nombre) descriptivo.
configurado, puede usar las nubes
privada y pública en una 2. Add (Añada) una regla de perfil para definir el tráfico que debe
implementación de nube híbrida. enviarse para el análisis y asigne a la regla un Name (Nombre)
Analice los archivos confidenciales descriptivo, tal como local-PDF-análisis.
localmente en la red, a la vez que 3. Defina la regla de perfil para que coincida con el tráfico
envía todos los demás archivos desconocido y para que reenvíe muestras para el análisis en
desconocidos a la nube pública de función de lo siguiente:
WildFire para el análisis integral y • Applications (Aplicaciones): envíe archivos para el análisis
devoluciones de avisos de según la aplicación en uso.
veredicto. • File Types (Tipos de archivos): envíe archivos para el análisis
según el tipo de archivo, incluidos los enlaces de mensajes de
correo electrónico. Por ejemplo, seleccione PDF para enviar
PDF desconocidos detectados por el cortafuegos para el análisis.
• Direction (Dirección): envíe archivos para el análisis según la
dirección de transmisión del archivo (carga, descarga o
ambas). Por ejemplo, seleccione both (ambas) para enviar
todos los PDF desconocidos para el análisis,
independientemente de la dirección de transmisión.
4. Establezca la ubicación del Analysis (Análisis) a la cual se
enviarán los archivos que coincidan con la regla.
• Seleccione public-cloud (nube pública) para enviar archivos que
coincidan con la regla a la nube pública de WildFire para el análisis.
• Seleccione private-cloud (nube privada) para reenviar
archivos que coincidan con la regla a la nube privada de
WildFire para el análisis.
Por ejemplo, para analizar PDF que podrían contener
información confidencial o exclusiva sin enviar estos
documentos fuera de la red, establezca la ubicación del
Analysis (Análisis) para el análisis de PDF local de la regla en
la private-cloud (nube privada).
En una implementación de nube híbrida, los

archivos que coinciden con las reglas de
private-cloud (nube privada) y public-cloud (nube
pública) se envían únicamente a la nube privada
como medida de precaución.
5. (Opcional) Continúe añadiendo reglas al perfil de análisis de
WildFire según fuera necesario. Por ejemplo, puede añadir una
segunda regla al perfil para reenviar archivos de paquete de
aplicaciones de Android (APK), portables ejecutables (PE) y
Flash a la nube pública de WildFire para el análisis.
6. Haga clic en OK (Aceptar) para guardar el perfil de análisis de WildFire.

Envío de archivos para el análisis de WildFire Reenvío de archivos para el análisis de WildFire
Step 3 Adjunte el perfil de análisis de WildFire a 1. Seleccione Policies > Security (Políticas > Seguridad) y Add
una regla de política de seguridad. (Añadir), o modifique una regla de política.
El tráfico permitido por la regla de 2. Haga clic en la pestaña Actions (Acciones) dentro de la regla de política.
política de seguridad se evalúa en función 3. En la sección de Profile Settings (Configuración de perfil),
del perfil de análisis de WildFire adjunto; seleccione Profiles (Perfiles) como el Profile Type (Tipo de
los cortafuegos envían el tráfico que perfil) y seleccione un perfil de WildFire Analysis (Análisis de
coincide con el perfil para el análisis de WildFire) para adjuntar la regla de política
WildFire. .
Step 4 (Opcional) Habilite el cortafuegos para Para enviar tráfico descifrado para el análisis de WildFire, el
que envíe tráfico descifrado para el cortafuegos primero debe estar habilitado para realizar el
análisis de WildFire. descifrado.
El tráfico descifrado por el cortafuegos se En un único cortafuegos:
evalúa en función de la política de 4. Seleccione Device > Setup > Content-ID (Dispositivo >
seguridad y, si coincide con el perfil de Configuración > ID de contenido).
análisis de WildFire adjuntado a una regla
de política, puede enviarse a WildFire y 5. Edite las opciones de filtro de la URL y habilite Allow
analizarse antes de volver a cifrarse. Forwarding of Decrypted Content (Permitir reenvío de
contenido descifrado).
Solo un superusuario puede 6. Haga clic en OK (Aceptar) para guardar los cambios.
habilitar esta opción.
En un cortafuegos con sistemas virtuales configurados:
Seleccione Device > Virtual Systems (Dispositivo > Sistemas
virtuales), haga clic en el sistema virtual que desea modificar y
seleccione la casilla de verificación Allow Forwarding of Decrypted
Content (Permitir reenvío de contenido descifrado).
Step 5 Confirme la configuración. Haga clic en Commit (Confirmar) para aplicar los ajustes.

Siguientes pasos... • Verificación de los envíos de WildFire para confirmar que el

cortafuegos esté enviando archivos correctamente para el análisis de
WildFire.
• (Para dispositivos WF-500 únicamente) Envío de malware o informes
desde el dispositivo WF-500. Habilite esta característica para enviar
automáticamente el malware identificado en su nube privada de
WildFire a la nube pública de WildFire. La nube pública de WildFire
volverá a analizar la muestra y generará una firma si determina que la
muestra es malintencionada. La firma se distribuye a los usuarios
globales a través de las actualizaciones de firma de WildFire.
• Supervisión de la actividad de WildFire para evaluar las alertas y los
detalles informados para el malware.

Envío de archivos para el análisis de WildFire Verificación de los envíos de WildFire
Verificación de los envíos de WildFire

Compruebe su configuración de WildFire usando muestras de prueba de malware y también verifique que el
cortafuegos esté enviando correctamente los archivos para el análisis de WildFire.
 Comprobación de un archivo de malware de muestra
 Verificación del envío de archivos
Comprobación de un archivo de malware de muestra
Palo Alto Networks proporciona un archivo de malware de muestra que puede utilizar para probar la configuración
de WildFire. Siga los pasos a continuación para descargar la muestra de prueba de malware, verificar que el archivo
se esté enviando correctamente para el análisis de WildFire y visualizar los resultados del análisis.
Uso de un archivo de muestra de malware para comprobar la configuración de WildFire
Step 1 Descargue el archivo de prueba de malware: https://wildfire.paloaltonetworks.com/publicapi/test/pe.

El archivo de prueba se denomina wildfire-test-pe-file.exe y cada archivo de prueba posee un valor de hash
SHA-256 único.
También puede Uso de la API para recuperar un archivo de prueba de malware de muestra.
Step 2 En la interfaz web del cortafuegos, seleccione Monitor > WildFire Submissions (Supervisar > Envíos de
WildFire) para confirmar que el archivo se haya enviado para el análisis.
Pueden transcurrir alrededor de cinco minutos hasta que los resultados del análisis del archivo se muestren en la
página WildFire Submissions (Envíos de WildFire).
El veredicto del archivo de prueba siempre se mostrará como malware.
Verificación del envío de archivos
Después de configurar el cortafuegos para Reenvío de archivos para el análisis de WildFire, use las siguientes
opciones para verificar la conexión entre el cortafuegos y la nube pública o privada de WildFire, y para
supervisar el reenvío de archivos.
Varias de las opciones para verificar que un cortafuegos esté enviando muestras para el análisis
de WildFire son comandos de CLI. Para obtener detalles sobre cómo comenzar y usar la CLI,
consulte la Guía de inicio rápido de la CLI de PAN-OS.

Verificación de los envíos de WildFire Envío de archivos para el análisis de WildFire
Verificación del reenvío de archivos
 Verifique que el cortafuegos tenga Use el comando test wildfire registration para verificar que
comunicación con un servidor de WildFire. el cortafuegos esté conectado a una nube privada de WildFire, la
nube pública de WildFire o ambas.
El siguiente resultado de ejemplo corresponde a un cortafuegos en
una implementación de Nube privada de WildFire:
El resultado de ejemplo confirma que el cortafuegos está conectado

a la nube privada de WildFire y no está conectado a la nube pública
de WildFire (no se pudo realizar el registro en la nube pública).
Si el cortafuegos está configurado en una implementación de Nube
híbrida de WildFire, compruebe que el cortafuegos esté registrado y
conectado correctamente con la nube pública de WildFire y con una
nube privada de WildFire.

 Verifique el estado de la conexión del Use el comando show wildfire status para lo siguiente:
cortafuegos a la nube pública o privada de • Comprobar el estado de la nube pública o privada de WildFire a la
WildFire, incluida la cantidad total de archivos cual el cortafuegos está conectado. El estado Idle indica que la
reenviados por el cortafuegos para el análisis. nube de WildFire (pública o privada) está lista para recibir los
archivos para el análisis.
• Confirme los límites de tamaño configurados para los archivos
reenviados por el cortafuegos (Device > Setup > WildFire
[Dispositivo > Configuración > WildFire]).
• Supervise el reenvío de archivos, incluido el recuento total de
archivos reenviados por el cortafuegos para el análisis de WildFire.
Si el cortafuegos está en una implementación de nube híbrida de
WildFire, la cantidad de archivos reenviados a la nube pública de
WildFire y la nube privada de WildFire también se muestran.
El siguiente ejemplo muestra el resultado de show wildfire status
para un cortafuegos en una implementación de nube privada de
WildFire:
Para ver la información de envío únicamente para la nube pública o

privada de WildFire, use los siguientes comandos:
• show wildfire status channel public
• show wildfire status channel private

 Visualice las muestras enviadas por el Use el comando show wildfire statistics para confirmar los tipos
cortafuegos de acuerdo con el tipo de archivo de archivos que se reenvían a la nube pública o privada de WildFire.
(incluidos los enlaces de correo electrónico). • El comando muestra el resultado de un cortafuegos en
Use esta opción para confirmar que los funcionamiento y muestra los contadores para cada tipo de
enlaces de correo electrónico se archivo que el cortafuegos reenvía para el análisis de WildFire. Si
reenvían para el análisis de WildFire, ya el campo de un contador muestra 0, el cortafuegos no está
que solo los enlaces de correo reenviando ese tipo de archivo.
electrónico que reciben un veredicto de • Confirme que los enlaces de correo electrónico se estén
malware se registran como entradas de reenviando para el análisis al comprobar que los siguientes
WildFire Submissions (Envíos de contadores no muestren cero:
WildFire), incluso si está habilitado el
registro de muestras benignas y de – FWD_CNT_APPENDED_BATCH: indica el número de enlaces de
grayware. Esto se debe a la mera correo electrónico añadidos a un lote en espera para
cantidad de entradas de envíos de cargarse en WildFire.
WildFire que se registrarían para los enlaces de – FWD_CNT_LOCAL_FILE: indica el número total de enlaces de
correo electrónicos benignos. correo electrónico cargados en WildFire.

 Verifique que una muestra específica haya sido Ejecute los siguientes comandos de CLI en el cortafuegos para ver
reenviada por el cortafuegos y compruebe el muestras que el cortafuegos ha enviado para el análisis de WildFire:
estado de esa muestra. • Vea todas las muestras reenviadas por el cortafuegos mediante el
Esta opción puede ser útil al resolver comando de CLI debug wildfire upload-log.
problemas para: • Vea solo las muestras reenviadas a la nube pública de WildFire
• Confirmar que las muestras que aún mediante el comando de CLI debug wildfire upload-log
no recibieron un veredicto de WildFire channel public.
hayan sido reenviadas correctamente
• Vea solo las muestras reenviadas a la nube privada de WildFire
por el cortafuegos. Debido a que los
mediante el comando de CLI debug wildfire upload-log
WildFire Submissions (Envíos de
channel private.
WildFire) se registran en el cortafuegos
únicamente cuando el análisis de El siguiente ejemplo muestra el resultado para los tres comandos
WildFire está completo y la muestra enumerados anteriormente cuando se emiten en un cortafuegos de
recibió un veredicto de WildFire, use una implementación de nube pública de WildFire:
esta opción para verificar que el
cortafuegos haya enviado una muestra
que actualmente está siendo analizada
por WildFire.
• Realice el seguimiento del estado para
un único archivo o para el enlace de
correo electrónico permitido de
acuerdo con su política de seguridad,
cotejado con un perfil de análisis de
WildFire y luego reenviado para el
análisis de WildFire.
• Compruebe que un cortafuegos en
una implementación de Nube híbrida de
WildFire esté reenviando los tipos de
archivos correctos y los enlaces de
correo electrónico a la nube pública de
WildFire o a una nube privada de
WildFire.

 Supervise las muestras reenviadas Usando la interfaz web del cortafuegos, seleccione Monitor > Logs >
correctamente para el análisis de WildFire. WildFire Submissions (Supervisar > Logs > Envíos de WildFire).
Todos los archivos reenviados por un cortafuegos a la nube pública
o privada de WildFire para el análisis se registran en la página de
envíos de WildFire.
• Compruebe el veredicto de WildFire para una muestra:
De manera predeterminada, solo las muestras que reciben
veredictos de malware se muestran como entradas de WildFire
Submissions (Envíos de WildFire). Para habilitar el registro de
muestras benignas o grayware, seleccione Device > Setup >
WildFire > Report Benign Files/ Report Grayware Files
(Dispositivo > Configuración > WildFire > Informar archivos
benignos/Informar archivos de grayware).
Habilite el registro de archivos benignos como un paso
rápido de solución de problemas para verificar que el
cortafuegos esté reenviando archivos. Compruebe los logs
de WildFire Submissions (Envíos de WildFire) para
verificar que los archivos se estén reenviando para el
análisis y que estén recibiendo veredictos de WildFire (en
este caso, un veredicto benigno).
• Confirme la ubicación del análisis para una muestra:
La columna WildFire Cloud (Nube de WildFire) muestra la
ubicación a la cual se envió el archivo y en la que se analizó (nube
pública o nube privada). Esto es útil al implementar una Nube
híbrida de WildFire.

Envío de archivos para el análisis de WildFire Carga manual de archivos en el portal de WildFire
Carga manual de archivos en el portal de WildFire

Todos los clientes de Palo Alto Networks con una cuenta de asistencia técnica pueden usar el portal de WildFire
de Palo Alto Networks para enviar manualmente archivos para el análisis de WildFire.
Carga de muestras en el portal de WildFire
Step 1 Cargue manualmente archivos o URL de 1. Inicie sesión en el portal de WildFire.

la red en el portal de WildFire para su Si su cortafuegos está reenviando al portal de WildFire en Japón,
análisis. use https://wildfire.paloaltonetworks.jp.
2. Haga clic en el botón Upload Sample (Cargar muestra) y, a
continuación, haga clic en Add files (Añadir archivos).
3. Abra el archivo para el cual desea recibir un veredicto e informe
de análisis de WildFire. El nombre del archivo aparecerá debajo
del icono Add files (Añadir archivos).
4. Haga clic en el icono Start (Inicio) a la derecha del archivo o
haga clic en el botón Start upload (Iniciar carga) si hay varios
archivos en espera para cargarse. Si los archivos se cargan
correctamente, aparecerá “Success” (Correcto) junto a cada
archivo.
5. Cierre el cuadro de diálogo emergente Uploaded File

Information (Información sobre archivo cargado).
Step 2 Visualice los resultados del análisis del 1. Actualice la página del portal en el navegador.
archivo. 2. Haga clic en Manual debajo de la columna de origen para ver los
WildFire tardará unos cinco minutos en resultados de la carga de muestras manual.
completar el análisis del archivo. 3. La página del informe mostrará una lista de todos los archivos
que se han cargado en su cuenta. Encuentre el archivo que ha
Como la carga manual no se asocia
cargado y haga clic en el icono de detalles a la izquierda del
con un cortafuegos específico, las
campo de fecha.
cargas manuales aparecerán de
forma separada de los cortafuegos El portal muestra un informe completo del análisis del archivo,
registrados y no mostrarán en el que se detalla el comportamiento del archivo observado. Si
información de sesión en los WildFire identifica el archivo como malware, genera una firma
informes. que posteriormente se distribuirá a todos los cortafuegos de
Palo Alto Networks configurados con una suscripción a
WildFire o Threat Prevention.

Envío de malware o informes desde el dispositivo WF-500 Envío de archivos para el análisis de WildFire
Envío de malware o informes desde el dispositivo WF-500

Habilite la característica de inteligencia de nube del dispositivo WF-500 para enviar automáticamente muestras
de malware descubiertas en la nube privada de WildFire a la nube pública de WildFire. La nube pública de
WildFire volverá a analizar el malware y generará una firma para identificar la muestra. La firma luego se añade
a las actualizaciones de firma de WildFire y se distribuye a usuarios globales para prevenir la futura exposición
a la amenaza. Si no desea enviar muestras de malware fuera de la red, puede optar por enviar solo los informes
de WildFire para el malware descubierto en la red, para contribuir con las estadísticas de WildFire y la
inteligencia contra amenazas.
Habilitación del dispositivo WF-500 para enviar malware o informes a la nube pública de WildFire
Envío de malware a la nube pública de WildFire
Step 1 Ejecute el siguiente comando de CLI del dispositivo WF-500 para habilitar el dispositivo para que envíe
automáticamente muestras de malware a la nube pública de WildFire:
admin@WF-500# set deviceconfig setting wildfire cloud-intelligence submit-sample yes
Si el cortafuegos que envió originalmente la muestra para el análisis a la nube privada de WildFire tiene
capturas de paquetes (PCAP) habilitadas, las PCAP para el malware también se reenviarán a la nube
Step 2 Ingrese en el portal de WildFire para ver informes de análisis de malware enviados automáticamente a la nube
Envío de informes de análisis a la nube pública de WildFire
Si el dispositivo WF5-500 está habilitado para Envío de malware a la nube pública de WildFire, no es necesario que habilite
también el dispositivo para que envíe informes a la nube pública. Cuando el malware se envía a la nube pública de WildFire,
la nube pública genera un nuevo informe de análisis para la muestra.
Si desea que el dispositivo WF-500 envíe automáticamente informes de malware a la nube pública de WildFire (y no la
muestra de malware), ejecute el siguiente comando de CLI en el dispositivo WF-500:
admin@WF-500# set deviceconfig setting wildfire cloud-intelligence submit-report yes
Verificación de los ajustes de inteligencia de nube

Marque para confirmar que la inteligencia de nube está habilitada para enviar malware o enviar informes a la nube pública
de WildFire al ejecutar el siguiente comando:
Consulte los campos Submit sample (Enviar muestra) y Submit report (Enviar informe).

Envío de archivos para el análisis de WildFireCapacidad de reenvío de archivos del cortafuegos según la plataforma
Capacidad de reenvío de archivos del cortafuegos según la

plataforma
La capacidad de reenvío de archivos es la velocidad máxima por minuto a la que cada plataforma de cortafuegos
de Palo Alto Networks puede enviar archivos a la nube de WildFire o a un dispositivo WF-500 para el análisis.
Si el cortafuegos alcanza el límite por minuto, coloca en cola las muestras restantes.
En la columna Reserved Drive Space (Espacio de unidad reservado) de la siguiente tabla se indica la cantidad
de espacio de la unidad del cortafuegos reservada para poner en cola los archivos. Si el cortafuegos alcanza el
límite de espacio en la unidad, cancela el reenvío de nuevos archivos a WildFire hasta que haya más espacio
disponible en la cola.
La velocidad a la que el cortafuegos puede reenviar archivos a WildFire también depende del
ancho de banda del enlace de carga para los sistema WildFire.
Plataforma Número máximo de archivos Espacio de unidad reservado

por minuto
VM-100 5 100 MB
VM-200 10 200 MB
VM-300 20 200 MB
PA-200 5 100 MB
PA-500 10 200 MB
Serie PA-2000 20 200 MB
PA-3020 50 200 MB
PA-3050/3060 50 500 MB
PA-4020 20 200 MB
PA-4050/4060 50 500 MB
PA-5000 Series 50 500 MB
PA-7000 Series 100 1 GB

Capacidad de reenvío de archivos del cortafuegos según la plataforma Envío de archivos para el análisis de WildFire

Supervisión de la actividad de WildFire
Según su implementación de WildFire™ -nube pública, privada o híbrida- puede ver muestras enviadas a
WildFire y resultados de análisis para cada muestra usando el portal de WildFire, al acceder al cortafuegos que
envió la muestra (o Panorama, si gestiona centralmente varios cortafuegos) o mediante el uso de la API de
WildFire. Si el dispositivo WF-500 está habilitado para Envío de malware a la nube pública de WildFire, los
resultados del análisis para el malware enviado a la nube pública también pueden visualizarse en el portal de
WildFire.
Una vez que WildFire ha analizado una muestra y enviado un veredicto de malware, grayware o benigno, se
genera un informe detallado para la muestra. Los informes de análisis de WildFire visualizados en el cortafuegos
que envió la muestra también incluyen datos de la sesión durante la cual se detectó la muestra. En el caso de las
muestras identificadas como malware, el informe de análisis de WildFire incluye detalles sobre las firmas de
WildFire existentes que pueden estar relacionadas con el malware identificado recientemente e información
sobre atributos del archivo, comportamiento y actividad que indicaban que la muestra era malintencionada.
Consulte los siguientes temas para usar el portal de WildFire o un cortafuegos conectado para supervisar los
envíos de WildFire, visualizar informes de muestras analizadas y establecer alertas y notificaciones según los
envíos y resultados de análisis:
 Uso del cortafuegos para supervisar la actividad de WildFire
 Uso del portal de WildFire para supervisar la actividad de WildFire
 Informes de análisis de WildFire: Detallados

Uso del cortafuegos para supervisar la actividad de WildFire Supervisión de la actividad de WildFire
Uso del cortafuegos para supervisar la actividad de WildFire

Las muestras reenviadas por el cortafuegos se añaden como entradas a los logs de WildFire Submissions (Envíos
de WildFire). Se muestra un informe de análisis de WildFire en la vista ampliada para cada entrada de envíos de
WildFire.
 Configuración de los ajustes del log de envío de WildFire
 Supervisión de reenvíos e informes de análisis de WildFire
 Configuración de alertas para los logs de malware
Configuración de los ajustes del log de envío de WildFire
Habilite las siguientes opciones para los logs de WildFire Submissions (Envíos de WildFire):
 Habilitación del registro de muestras benignas y grayware
 Inclusión de información de encabezados de correo electrónico en logs e informes de WildFire
 Inclusión de información de ID de usuario en logs e informes de WildFire
Habilitación del registro de muestras benignas y grayware
El registro de muestras benignas y grayware está deshabilitado de manera predeterminada. Los enlaces de correo
electrónico que reciben veredictos benignos o de grayware no se registran.
Habilitación del registro de muestras benignas y grayware
Step 1 Seleccione Device > Setup > WildFire (Dispositivo > Configuración > WildFire) y modifique General Settings
(Configuración general).
Step 2 Seleccione Report Benign Files (Informar archivos benignos) o Report Grayware Files (Informar archivos de
grayware), y haga clic en OK (Aceptar) para guardar la configuración.

Supervisión de la actividad de WildFire Uso del cortafuegos para supervisar la actividad de WildFire
Inclusión de información de encabezados de correo electrónico en logs e informes de

WildFire
Siga los pasos a continuación para incluir información de encabezados de correo electrónico (remitente,
destinatario y asunto de correo electrónico) en logs e informes de WildFire.
La información de la sesión se reenvía a la nube de WildFire junto con la muestra y se utiliza para generar el
informe de análisis de WildFire. Ni el cortafuegos ni la nube de WildFire reciben, almacenan o visualizan el
contenido real del correo electrónico.
La información de sesión puede ayudar a rastrear y solucionar rápidamente las amenazas

detectadas en documentos adjuntos o enlaces de correo electrónico, incluso a identificar los
destinatarios que han descargado o han accedido al contenido malintencionado.
Inclusión de información de encabezados de correo electrónico en logs e informes de WildFire
Step 1 Seleccione Device > Setup > WildFire (Dispositivo > Configuración > WildFire).
Step 2 Modifique la sección Ajustes de información de sesión y habilite una o más de las opciones (Email sender
[Remitente del correo electrónico], Email recipient [Destinatario del correo electrónico] y Email subject
[Asunto del correo electrónico]).
Step 3 Haga clic en OK (Aceptar) para guardar.
Inclusión de información de ID de usuario en logs e informes de WildFire
Habilite el cortafuegos para que coteje información de ID de usuario con la información de encabezado de correo
electrónico, a fin de que la ID de usuario del destinatario de un documento adjunto o enlace de correo electrónico
malintencionado sea identificada para una entrada de WildFire.
Step 1 Seleccione Device > User Identification > Group Mapping Settings (Dispositivo > Identificación de usuarios >
Configuración de asignación de grupos).
Step 2 Seleccione el perfil de asignación de grupos deseado para modificarlo.
Step 3 En la pestaña Server Profile (Perfil de servidor) de la sección Mail Domains (Dominios de correo), rellene el
campo Domain List (Lista de dominios):
• Mail Attributes (Atributos de correo electrónico): este campo se rellena automáticamente después de
completar el campo Domain List (Lista de dominios) y hacer clic en OK (Aceptar). Los atributos se basan en
su tipo de servidor de LDAP (Sun/RFC, Active Directory y Novell).
• Domain List (Lista de dominios): introduzca la lista de dominios de correo electrónico de su organización
usando una lista separada por comas de hasta 256 caracteres.

Cuando la información del encabezado de correo electrónico coincide con una ID de usuario, el campo Recipient User-ID
(ID de usuario de destinatario) en la sección Email Headers (Encabezados de correo electrónico) de la vista de log
detallado se vinculará a un ACC filtrado para ese usuario o grupo de usuarios.
Supervisión de reenvíos e informes de análisis de WildFire
Las muestras que los cortafuegos envían para el análisis de WildFire se muestran como entradas en el log de
WildFire Submissions (Envíos de WildFire) en la interfaz web del cortafuegos. Para cada entrada de WildFire
puede abrir una vista del log ampliada que muestra los detalles del log y el informe de análisis de WildFire de la
muestra.
Supervisión de envíos e informes de WildFire
Step 1 Reenvío de archivos para el análisis de WildFire.
Step 2 Configuración de los ajustes del log de envío de WildFire.

Supervisión de envíos e informes de WildFire (Continuado)
Step 3 Para visualizar las muestras enviadas por un cortafuegos a una nube pública, privada o híbrida de WildFire,
seleccione Monitor > WildFire Submissions (Supervisión > Envíos de WildFire). Cuando WildFire completa
el análisis de una muestra, los resultados se devuelven al cortafuegos que envió la muestra y se ponen a
disposición en los logs de envíos de WildFire. La columna Verdict (veredicto) indica si la muestra es benigna,
malintencionada o grayware.

Supervisión de envíos e informes de WildFire (Continuado)
Step 4 En cualquiera de las entradas, seleccione el icono de detalles del log para abrir una vista detallada del log para cada entrada:
La vista detallada del log muestra la información del log y el informe de análisis de WildFire de la entrada. Si el
cortafuegos tiene capturas de paquetes (PCAP) habilitadas, las PCAP de la muestra también se mostrarán.
Para todas las muestras, el informe del análisis de WildFire muestra información del archivo y la sesión. Para las
muestras de malware, el informe de análisis de WildFire se amplía para incluir detalles sobre los atributos del
archivo y el comportamiento que indicaron que el archivo era malintencionado.
Step 5 (Opcional) Download PDF (Descargar PDF) del informe de análisis de WildFire.
Configuración de alertas para los logs de malware
Puede configurar un cortafuegos de Palo Alto Networks para enviar una alerta cada vez que WildFire identifica
un archivo o enlace de correo electrónico malintencionado. Puede configurar alertas para archivos benignos
también, pero no para enlaces de correos electrónicos benignos y grayware. Este ejemplo describe cómo
configurar una alerta de correo electrónico; sin embargo, también puede configurar el reenvío de logs para
establecer el envío de alertas a través de syslog, traps SNMP o Panorama.

Configuración de alertas para malware
Step 1 Configure un perfil de servidor de correo 1. Seleccione Device > Server Profiles > Email (Dispositivo >
electrónico. Perfiles de servidor > Correo electrónico).
2. Haga clic en Add (Añadir) y, a continuación, introduzca un
Name (Nombre) para el perfil. Por ejemplo,
WildFire-Email-Profile.
3. (Opcional) Seleccione el sistema virtual al que se aplica este
perfil en el menú desplegable Location (Ubicación).
4. Haga clic en Add (Añadir) para añadir un nuevo servidor de
correo electrónico e introduzca la información necesaria para
conectarse al servidor de protocolo simple de transferencia de
correo (SMTP) y enviar mensajes de correo electrónico (puede
añadir hasta cuatro servidores de correo electrónico al perfil):
• Server (Servidor): nombre para identificar el servidor de
correo (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor
SMTP existente.
• Display Name (Nombre para mostrar): el nombre que
aparecerá en el campo From (De) del correo electrónico.
• From (De): la dirección de correo electrónico desde la que se
envían las notificaciones de correo electrónico.
• To (Para): la dirección de correo electrónico a la que se envían
las notificaciones de correo electrónico.
• Additional Recipient(s) (Destinatarios adicionales):
introduzca una dirección de correo electrónico para enviar
notificaciones a un segundo destinatario.
• Gateway (Puerta de enlace): la dirección IP o el nombre de
host de la puerta de enlace SMTP que se usará para enviar los
mensajes de correo electrónico.
5. Haga clic en OK (Aceptar) para guardar el perfil del servidor.
6. Haga clic en Commit (Confirmar) para guardar los cambios en
la configuración en curso.
Step 2 Configure un perfil de servidor de correo 1. Seleccione Monitor > PDF Reports > Email Scheduler
electrónico. (Supervisar > Informes en PDF > Programador de correo
electrónico).
2. Haga clic en Add (Añadir) y seleccione el nuevo perfil de correo
electrónico en el menú desplegable Email Profile (Perfil de
correo electrónico).
3. Haga clic en el botón Send test (Enviar prueba) del correo
electrónico y se enviará un correo electrónico de prueba a los
destinatarios definidos en el perfil de correo electrónico.

Configuración de alertas para malware (Continuado)
Step 3 Configure un perfil de reenvío de logs 1. Seleccione Objects > Log Forwarding (Objetos > Reenvío de
para reenviar logs de WildFire a logs).
Panorama, una cuenta de correo 2. Haga clic en Add (Añadir) e indique un nombre para el perfil.
electrónico, SNMP o un servidor syslog. Por ejemplo, WildFire-Log-Forwarding.
En este ejemplo, configurará logs de 3. En la sección WildFire Settings (Configuración de WildFire),
correo electrónico para cuando se seleccione el perfil de correo electrónico de la columna Email
determine que la muestra es (Correo electrónico) para Malicious (Malintencionado) como se
malintencionada. También puede habilitar muestra en la captura de pantalla.
el reenvío de logs Benign (Benignos) y
Grayware, lo cual genera más actividad si
está realizando pruebas.
Para reenviar logs a Panorama, seleccione las casillas de

verificación Bening (Benigno), Grayware o Malicious
(Malintencionado) debajo de la columna de Panorama.
Para SNMP y Syslog, seleccione el menú desplegable y
seleccione el perfil adecuado o haga clic en New (Nuevo)
para configurar un nuevo perfil.
4. Haga clic en OK (Aceptar) para guardar los cambios.
Step 4 Añada el perfil de reenvío de logs a una 1. Seleccione Policies > Security (Políticas > Seguridad) y haga
política de seguridad utilizada para el clic en la política que se utiliza para el reenvío de WildFire.
reenvío de WildFire (con un perfil de 2. En la pestaña Actions (Acciones), dentro de la sección Log
análisis de WildFire adjunto). Setting (Configuración de logs), seleccione el perfil de Log
El perfil de análisis de WildFire define el Forwarding (Envío de logs) que configuró.
tráfico que el cortafuegos reenvía para el 3. Haga clic en OK (Aceptar) para guardar los cambios y, a
análisis de WildFire. Para establecer un continuación, haga clic en Commit (Confirmar) para guardar la
perfil de análisis de WildFire y adjuntarlo configuración.
a una regla de política de seguridad,
consulte Reenvío de archivos para el
análisis de WildFire.

Supervisión de la actividad de WildFire Uso del portal de WildFire para supervisar la actividad de WildFire
Uso del portal de WildFire para supervisar la actividad de

WildFire
Inicie sesión en el portal de WildFire usando sus credenciales de asistencia técnica de Palo Alto Networks o su
cuenta de WildFire. El portal se abrirá para mostrar el panel, que enumera información de informes de resumen
de todos los cortafuegos asociados a la suscripción a WildFire o cuenta de asistencia técnica específica. Para cada
dispositivo incluido, el portal mostrará estadísticas del número de archivos de malware detectados, muestras
benignas analizadas y la cantidad de archivos pendientes en espera de análisis. Su cuenta del portal de WildFire
muestra los datos de todas las muestras reenviadas por los cortafuegos en la red que están conectados a la nube
pública de WildFire, además de los datos para las muestras reenviadas manualmente al portal. Además, si tiene
habilitado un dispositivo WF-500 para reenviar malware a la nube pública de WildFire para la generación y
distribución de firmas, los informes de esas muestras de malware también están disponibles a través del portal.
Consulte las secciones siguientes para obtener detalles sobre el uso del portal de WildFire para supervisar la
actividad de WildFire:
 Configuración de los ajustes del portal de WildFire
 Cómo añadir usuarios del portal de WildFire
 Visualización de informes en el portal de WildFire
Configuración de los ajustes del portal de WildFire
Esta sección describe los ajustes que pueden personalizarse para una cuenta de nube de WildFire, como la zona
horaria y las notificaciones de correo electrónico de cada cortafuegos conectado a la cuenta. También puede
eliminar logs de cortafuegos almacenados en la nube.
Personalización de la configuración del portal de WildFire
Inicie sesión en la nube de WildFire y seleccione Settings (Configuración) en la barra del menú para modificar los
siguientes ajustes de zona horaria, log y notificación.
• Configure la zona horaria para la cuenta de la Seleccione una zona horaria en la lista desplegable Set Time Zone
nube de WildFire. (Establecer zona horaria) y haga clic en Update Time Zone
(Actualizar zona horaria) para guardar los cambios.
La marca de hora que aparece en los informes de análisis de
WildFire se basa en la zona horaria configurada en la cuenta
de la nube de WildFire.
• Elimine los logs de WildFire alojados en la nube 1. En la lista desplegable Delete WildFire Reports (Eliminar
para cortafuegos específicos. informes de WildFire) seleccione un cortafuegos (por número
de serie) y haga clic en Delete Reports (Eliminar informes) para
eliminar los logs de ese cortafuegos del portal de WildFire. Esta
acción no elimina los logs almacenados en el cortafuegos.
2. Haga clic en OK (Aceptar) para continuar con la eliminación.

Uso del portal de WildFire para supervisar la actividad de WildFire Supervisión de la actividad de WildFire
Personalización de la configuración del portal de WildFire
• Configure las notificaciones de correo 1. En la sección Configure Alerts (Configurar alertas), seleccione
electrónico en función de los veredictos del las casillas de verificación Malware, Grayware o Benign
análisis de WildFire. (Benigno) para recibir notificaciones de correo electrónico
basadas en esos veredictos:
• Seleccione las casillas de verificación de veredicto en la fila All
(Todos) para recibir notificaciones de veredicto para todas las
muestras cargadas en la nube de WildFire.
• Seleccione las casillas de verificación de veredicto en la fila
Manual para recibir notificaciones de veredicto para todas las
muestras cargadas manualmente en la nube pública de
WildFire usando el portal de WildFire.
• Seleccione las casillas de verificación de veredicto para uno o
varios números de serie de cortafuegos para recibir
notificaciones de veredicto para las muestras enviadas por
esos cortafuegos.
2. Seleccione Update Notification (Actualizar notificación) para
habilitar el envío por correo electrónico de las notificaciones de
veredicto a la dirección de correo electrónico asociada a su
cuenta de asistencia técnica.
Cómo añadir usuarios del portal de WildFire
Las cuentas del portal de WildFire son creadas por un superusuario (el propietario registrado de un dispositivo
de Palo Alto Networks) para permitir que otros usuarios inicien sesión en la nube de WildFire y vean datos de
WildFire de dispositivos a los que obtuvieron acceso a través del superusuario. Un usuario de WildFire puede
ser un usuario asociado con una cuenta existente de Palo Alto Networks o un usuario no asociado con una
cuenta de asistencia técnica de Palo Alto Networks, al cual puede tener acceso para las nubes públicas de
WildFire y un conjunto específico de datos de cortafuegos.
Adición de cuentas de usuario de WildFire
Step 1 Seleccione la cuenta para la cual desea 1. Inicie sesión en el sitio de Asistencia técnica de Palo Alto
añadir usuarios que puedan acceder al Networks.
portal de WildFire. 2. En Manage Account (Gestionar cuenta), haga clic en Users and
Los usuarios del portal de WildFire Accounts (Usuarios y cuentas).
pueden visualizar datos para todos los 3. Seleccione una cuenta o una cuenta secundaria existente.
cortafuegos asociados con la cuenta de
asistencia técnica.

Supervisión de la actividad de WildFire Uso del portal de WildFire para supervisar la actividad de WildFire
Adición de cuentas de usuario de WildFire (Continuado)
Step 2 Añada un usuario de WildFire. 1. Haga clic en el botón Add WildFire User (Añadir usuario de
WildFire).
2. Introduzca la dirección de correo electrónico para el usuario que
desea añadir.
La única restricción al agregar un usuario es que la
dirección de correo electrónico no puede ser de una
cuenta de correo electrónico web gratuito (como Gmail,
Hotmail y Yahoo). Si se introduce una cuenta de correo
electrónico de un dominio no compatible, se mostrará
un mensaje de advertencia.
Step 3 Asigne cortafuegos a la nueva cuenta de Seleccione los cortafuegos por número de serie a los que desea
usuario y acceda a la nube de WildFire. conceder acceso y cumplimente los detalles de cuenta opcionales.
Los usuarios con una cuenta de asistencia técnica existente recibirán
un mensaje de correo electrónico con una lista de los cortafuegos de
los cuales ahora pueden ver los informes de WildFire. Si el usuario
no tiene una cuenta de asistencia técnica, el portal enviará un mensaje
de correo electrónico con instrucciones sobre cómo acceder al portal
y configurar una nueva contraseña.
El nuevo usuario podrá entonces iniciar sesión en el portal de
WildFire y ver informes de WildFire de los cortafuegos a los que se
le ha concedido acceso. Además, podrá configurar alertas de correo
electrónico automáticas para estos dispositivos con el fin de recibir
alertas sobre los archivos analizados. También es posible elegir la
opción de recibir informes sobre archivos con malware o benignos.
Visualización de informes en el portal de WildFire
El portal de WildFire muestra informes para las muestras enviadas desde los cortafuegos, cargadas manualmente
o cargadas usando la API de WildFire. Seleccione Reports (Informes) para mostrar los informes más recientes
para las muestras analizadas por la nube de WildFire. Para cada muestra enumerada, la entrada del informe
muestra la fecha y hora en que la nube recibió la muestra, el número de serie del cortafuegos que envió el archivo,
el nombre de archivo o URL, y el veredicto asignado por WildFire (benigno, grayware o malware).
Use la opción de búsqueda para buscar informes basados en el nombre de archivo o el valor hash de la muestra.
También puede acotar los resultados visualizados al mostrar únicamente los informes de las muestras enviadas
por una Source (Fuente) específica (visualizar solo los resultados enviados manualmente o por un cortafuegos
específico) o para las muestras que recibieron un Verdict (Veredicto) específico de WildFire (benigno, malware,
grayware o pendiente).
Para ver un informe individual desde el portal, haga clic en el icono Reports (Informes), situado a la izquierda
del nombre del informe. Para guardar el informe detallado, haga clic en el botón Download as PDF (Descargar
como PDF) en la esquina superior derecha de la página del informe. Para obtener detalles sobre los informes
del análisis de WildFire, consulte Informes de análisis de WildFire: Detallados.
A continuación se muestra una lista de archivos de muestra enviados por un cortafuegos específico:

Uso del portal de WildFire para supervisar la actividad de WildFire Supervisión de la actividad de WildFire

Supervisión de la actividad de WildFire Informes de análisis de WildFire: Detallados
Informes de análisis de WildFire: Detallados

Acceda a los informes de análisis de WildFire en el cortafuegos, el portal de WildFire y la API de WildFire.
Los informes de análisis de WildFire muestran información detallada de la muestra, además de información sobre
el usuario de destino, información del encabezado de correo electrónico (si está habilitado), la aplicación que
entregó el archivo y todas las URL involucradas en la entrega o en la actividad teléfono-casa del archivo. El informe
contendrá parte o la totalidad de la información descrita en la siguiente tabla según la información de sesión
configurada en el cortafuegos que reenvió el archivo, y también en función del comportamiento observado.
Al visualizar un informe de WildFire para un archivo que se ha cargado manualmente en el portal

de WildFire o mediante la API de WildFire, el informe no mostrará información de sesión, ya que
el tráfico no ha atravesado el cortafuegos. Por ejemplo, el informe no mostraría atacante/origen
ni víctima/destino.
Encabezado del informe Descripción
Información del archivo • File Type (Tipo de archivo): Flash, PE, PDF, APK, JAR/de clase o MS Office.
Este campo se llama URL en el caso de informes de enlaces de correo electrónico
HTTP/HTTPS y mostrará la URL analizada.
• File Signer (Firmante del archivo): entidad que firmó el archivo con el fin de
autenticarlo.
• Hash Value (Valor hash): un archivo hash es muy similar a una huella digital, que
identifica exclusivamente un archivo para garantizar que este no se ha modificado
de ninguna forma. A continuación, se enumeran las versiones hash que genera
WildFire para cada archivo analizado:
• SHA-1: muestra el valor SHA-1 para el archivo.
• SHA-256: muestra el valor SHA-256 para el archivo.
• MD5: muestra el valor MD5 para el archivo.
• File Size (Tamaño del archivo): tamaño (en bytes) del archivo que analizó
WildFire.
• First Seen Timestamp (Marca de tiempo de primera visualización): si el sistema
WildFire ha analizado el archivo anteriormente, esta es la fecha/hora en la que se
visualizó por primera vez.
• Verdict (Veredicto): muestra en veredicto del análisis:
• Benign (Benigno): el archivo es seguro y no muestra comportamiento
malintencionado.
• Grayware: el archivo se comporta de manera similar a malware, pero no
supone una amenaza directa para la seguridad. El grayware incluye
ejecutables que muestran comportamiento intrusivo, pero que no son de
naturaleza malintencionada. Algunos ejemplos de grayware incluyen adware,
spyware y objetos de ayuda al explorador (BHO).
• Malware: WildFire ha identificado el archivo como malware y generará una
firma que proteja contra futuras exposiciones.
• Sample File (Archivo de muestra): haga clic en el enlace Download File (Descargar
archivo) para descargar el archivo de muestra en su sistema local. Tenga en cuenta
que solo puede descargar archivos con el veredicto de malware, no los benignos.

Informes de análisis de WildFire: Detallados Supervisión de la actividad de WildFire
Estado de cobertura Haga clic en el enlace Virus Total para ver información de cobertura antivirus en
el extremo y muestras que ya han sido identificadas por otros proveedores. Si
ninguno de los proveedores enumerados ha detectado nunca antes el archivo, se
indicará que no se ha encontrado el archivo (file not found).
Asimismo, si el informe se presenta en el cortafuegos, la información actualizada
acerca de la firma y la cobertura de filtrado de URL que Palo Alto Networks
proporciona actualmente para proteger contra amenazas también se muestra en
esta sección. Dado que esta información se recupera dinámicamente, no aparecerá
en el informe en PDF.
La siguiente captura de pantalla muestra el estado de cobertura que aparece tras
presentar el informe en el cortafuegos.
La siguiente información de cobertura es proporcionada por firmas activas:

• Coverage Type (Tipo de cobertura): el tipo de protección proporcionada por
Palo Alto Networks (virus, DNS, WildFire o URL de malware).
• Signature ID (ID de firma): se asigna un número de ID único a cada firma que
proporciona Palo Alto Networks.
• Detail (Detalle): el nombre conocido del virus.
• Date Released (Fecha de publicación): la fecha en que Palo Alto Networks
publicó la cobertura para protegerse contra el malware.
• Content Version (Versión del contenido): el número de versión para la
publicación de contenido que ofrece protección contra el malware.
Información de la sesión Contiene información de sesión basada en el tráfico que atraviesa el cortafuegos que
reenvió la muestra. Para definir la información de sesión que WildFire incluirá en los
informes, seleccione Device > Setup > WildFire> Session Information Settings
(Dispositivo > Configuración > WildFire > Ajustes de información de sesión).
Las siguientes opciones están disponibles:
• IP de origen
• Puerto de origen
• IP de destino
• Puerto de destino
• Sistema virtual (si VSYS múltiple está configurado en el cortafuegos)
• Aplicación
• Usuario (si ID de usuario está configurado en el cortafuegos)
• URL
• Nombre de archivo
• Remitente de correo electrónico
• Destinatario de correo electrónico
• Asunto del mensaje de correo electrónico

Análisis dinámico Si un archivo tiene un riesgo bajo y WildFire puede determinar fácilmente que es
seguro, solamente se realiza un análisis estático, en lugar de un análisis dinámico.
Cuando se realiza un análisis dinámico, esta sección contiene pestañas para cada
entorno virtual en el que se ejecutó la muestra cuando se analizó en la nube de
WildFire. Por ejemplo, puede que la pestaña Máquina virtual 1 tenga Windows XP,
Adobe Reader 9.3.3 y Office 2003 y que Máquina virtual 2 tenga atributos similares,
pero con Office 2007. Cuando un archivo se somete a un análisis dinámico
completo, se ejecuta en cada máquina virtual y los resultados de cada entorno
pueden verse haciendo clic en cualquiera de las pestañas de máquinas virtuales.
En el dispositivo WF-500, solo se usa una máquina virtual para el análisis,
que debe seleccionar en función de los atributos de entorno virtual que más
se adapten a su entorno local. Por ejemplo, si la mayoría de los usuarios tiene
Windows 7 de 32 bits, se seleccionaría dicha máquina virtual.

Resumen de comportamientos Cada pestaña de máquina virtual resume el comportamiento del archivo de muestra
en el entorno específico. Algunos ejemplos son si la muestra ha creado o
modificado archivos, iniciado un proceso, generado procesos nuevos, modificado
el registro o instalado objetos de ayuda del explorador.
La columna Severity (Gravedad) indica la gravedad de cada comportamiento. El
indicador de gravedad mostrará una barra para gravedad baja y varias barras para
niveles de gravedad más altos. Esta información también se añade a las secciones
de análisis dinámico y estático.
A continuación, se describen los distintos comportamientos que se analizan:

• Network Activity (Actividad de red): muestra la actividad de la red realizada por
la muestra, como el acceso a otros hosts de la red, consultas DNS y la actividad
teléfono-casa. Se proporciona un enlace para descargar la captura de paquete.
• Host Activity (by process) (Actividad del host [por proceso]): enumera las
actividades realizadas en el host, tales como claves de registro que se han
establecido, modificado o eliminado.
• Process Activity (Actividad de proceso): muestra archivos que han empezado
un proceso principal, el nombre del proceso y la acción que ha realizado el
proceso.
• File (Archivo): muestra archivos que han empezado un proceso principal, el
nombre del proceso y la acción que ha realizado el proceso.
• Mutex (Exclusión mutua): si el archivo de muestra genera otros hilos de
ejecución de programa, el nombre de exclusión mutua y el proceso principal se
registran en este campo.
• Activity Timeline (Línea temporal de actividad): proporciona una lista por
reproducción de toda la actividad registrada de la muestra. Esto ayudará a
comprender la secuencia de eventos que se produjeron durante el análisis.
La información de línea temporal de actividad solamente está disponible en
la exportación a PDF de los informes de WildFire.
Envío de malware Use esta opción para enviar manualmente la muestra a Palo Alto Networks. La
nube de WildFire volverá a analizar la muestra y generará firmas si determina que
la muestra es malintencionada. Esto es útil en un dispositivo WF-500 que no tiene
generación de firmas o inteligencia de nube habilitadas, que se usa para reenviar
malware desde el dispositivo a la nube de WildFire.

Informe de veredicto Haga clic en este enlace para enviar la muestra al equipo de amenazas de Palo Alto
incorrecto Networks si cree que el veredicto es un falso positivo o un falso negativo. El equipo
de amenazas realizará más análisis en la muestra para determinar si debería volver
a clasificarse. Si se determina que una muestra de malware es segura, la firma del
archivo se deshabilita en una actualización de firma de antivirus futura o, si se
determina que un archivo benigno es malintencionado, se genera una nueva firma.
Una vez completada la investigación, recibirá un mensaje de correo electrónico
donde se describe la acción que se ha realizado.


Uso de la API de WildFire
La API de WildFire™ permite enviar trabajos de análisis de archivos a WildFire y consultar los datos de informe
mediante una interfaz API XML sencilla, además de ser compatible con la nube pública de WildFire y el
dispositivo WF-500. Consulte las secciones siguientes para obtener detalles sobre el uso de la API de WildFire:
 Acerca de las suscripciones a WildFire y claves de API
 Métodos de envío de archivos de la API de WildFire
 Consulta de un informe PDF o XML de WildFire
 Uso de la API para recuperar un archivo de prueba de malware de muestra
 Uso de la API para recuperar una muestra o PCAP
 Uso de la API de WildFire en un dispositivo WF-500

Acerca de las suscripciones a WildFire y claves de API Uso de la API de WildFire
Acerca de las suscripciones a WildFire y claves de API

Se proporciona acceso a la clave de API si al menos un cortafuegos de Palo Alto Networks cuenta con una
suscripción a Wildfire activa y registrada a nombre de un titular de cuenta de su organización. Puede compartir
la misma clave de API en la organización. La clave de API aparece en la sección My Account (Mi cuenta) del portal
web de WildFire, junto con estadísticas como cuántas cargas y consultas se han realizado usando la clave. La
clave se debe considerar secreta y no debe compartirse fuera de los canales autorizados.
La API de WildFire utiliza solicitudes HTTP estándar para enviar y recibir datos. Las llamadas a la API se
pueden realizar directamente mediante las utilidades de línea de comandos, como cURL, o mediante cualquier
marco de secuencias de comandos o aplicaciones compatible con los servicios REST.
Los métodos de la API se alojan en la nube de WildFire y el protocolo HTTPS (no HTTP) es necesario para
proteger la clave de API y cualquier otro dato intercambiado con el servicio.
Una clave de API de WildFire le permite realizar hasta 1000 cargas de muestra por día y hasta 10.000 consultas
de informe por día.
Para utilizar la API WildFire en un dispositivo WF-500, genere una clave de API en el dispositivo y utilice la
dirección IP o el FQDN de la dirección URL utilizada para buscar el dispositivo. Las demás funciones coinciden
en caso de utilizar la API en la nube pública de WildFire. Por ejemplo, la dirección URL para recuperar un
informe de la nube pública de WildFire es https://wildfire.paloaltonetworks.com/publicapi/get/report. La
dirección URL para recuperar un informe de un dispositivo WF-500 con la dirección IP 10.3.4.50 sería
https://10.3.4.50/publicapi/get/report. Para ver un ejemplo, consulte Uso de la API de WildFire en un
dispositivo WF-500.

Uso de la API de WildFire Métodos de envío de archivos de la API de WildFire
Métodos de envío de archivos de la API de WildFire

Utilice los siguiente métodos para enviar archivos a WildFire:
 Envío de un archivo a la nube de WildFire usando el método de envío de archivo
 Envío de un archivo a WildFire mediante el método de envío de URL
Envío de un archivo a la nube de WildFire usando el método de envío de archivo
La API de WildFire puede usarse para enviar todos los tipos de archivos compatibles (para obtener una lista de
tipos de archivos compatibles, consulte Análisis de tipo de archivos). Proporcione el archivo y la clave de API
al enviar WildFire para su análisis. El código de retorno del método de envío de archivos indica un estado
satisfactorio o erróneo. Si el resultado es un código 200 OK, significa que el envío se ha realizado correctamente
y normalmente el resultado está disponible para su consulta en cinco minutos.
En la tabla siguiente se describen los atributos de la API necesarios para enviar archivos a la nube de WildFire
mediante el método de envío de archivos:
URL https://wildfire.paloaltonetworks.com/publicapi/submit/file
Método POST
Parámetros apikey Su clave de API de WildFire
file Archivo de muestra que se debe analizar

Resultado 200 OK Indica que la acción se ha realizado correctamente y que
se devuelve un informe.
401 Unauthorized Clave de API no válida
405 Method Not Allowed Se ha utilizado un método distinto a POST.
413 Request Entity Too Large Tamaño de archivo de muestra superior al límite máximo
418 Unsupported File Type No se admite el tipo de archivo de muestra
419 Max Request Reached Se ha superado el número máximo de cargas por día.
500 Error interno
513 Error al cargar el archivo
Envío de un archivo a WildFire mediante el método de envío de URL
Utilice el método de envío de URL para enviar un archivo para su análisis mediante una URL. Este método es
idéntico, en cuanto a interfaz y funcionalidad, al método de envío de archivo, aunque un parámetro de URL
sustituye al parámetro de archivo. El parámetro de URL debe indicar un tipo de archivo admitido accesible. Si
el resultado es un código 200 OK, significa que el envío ha tenido éxito; el resultado suele estar disponible para
su consulta en 5 minutos.

Métodos de envío de archivos de la API de WildFire Uso de la API de WildFire
La tabla siguiente describe los atributos de la API necesarios para enviar archivos a la nube de WildFire
utilizando una URL:
URL https://wildfire.paloaltonetworks.com/publicapi/submit/url
Método POST
Parámetros apikey Su clave de API de WildFire
url URL del archivo que se va a analizar. La dirección URL

debe contener el nombre del archivo (por ejemplo,
http://paloaltonetworks.com/folder1/my-file.pdf).
se devuelve un informe.
413 Request Entity Too Large Tamaño de archivo de muestra superior al límite máximo
418 Unsupported File Type No se admite el tipo de archivo de muestra.
419 Max Request Reached Se ha superado el número máximo de cargas por día.
422 Error de descarga de URL
500 Error interno
Ejemplos de código para el envío de archivos

El siguiente comando cURL muestra cómo enviar un archivo a WildFire utilizando el método de envío de
archivos:
curl –k -F apikey=yourAPIkey -F file=@local-file-path
https://wildfire.paloaltonetworks.com/publicapi/submit/file
El siguiente ejemplo de código Shell muestra un comando simple para enviar un archivo a la API de WildFire
para su análisis. La clave de API se proporciona como el primer parámetro y la ruta del archivo es el segundo
parámetro:
#manual upload sample to WildFire with APIKEY
#Parameter 1: APIKEY
#Parameter 2: location of the file
key=$1
file=$2
/usr/bin/curl -i -k -F apikey=$key -F file=@$file

https://wildfire.paloaltonetworks.com/submit/file
El siguiente comando cURL muestra cómo enviar un archivo a WildFire utilizando el método de envío de URL:
curl –k -F apikey=yourAPIkey -F url=URL
https://wildfire.paloaltonetworks.com/publicapi/submit/url

Uso de la API de WildFire Consulta de un informe PDF o XML de WildFire
Consulta de un informe PDF o XML de WildFire

Utilice el método de obtención de informe para buscar un informe XML o PDF de los resultados del análisis
de una muestra concreta. Utilice el hash MD5 o SHA-256 del archivo de muestra como consulta de búsqueda.
La tabla siguiente describe los atributos de la API necesarios para consultar informes:
URL https://wildfire.paloaltonetworks.com/publicapi/get/report
Método POST
Parámetros hash El valor de hash MD5 o SHA-256 de la muestra
apikey Su clave de API de WildFire
format Formato del informe: PDF o XML

Resultado 200 OK Indica que la acción se ha realizado correctamente y que se
devuelve un informe.
404 Not Found No se ha encontrado el informe.
419 Se ha excedido la cuota de solicitud de informes.
420 Argumentos insuficientes
421 Argumentos no válidos
500 Error interno
Ejemplo de consulta de la API para informe PDF o XML
El siguiente comando cURL muestra una consulta de un informe PDF que usa el hash MD5 de un archivo de
muestra:
curl –k -F hash=1234556 -F format=pdf -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/report
Para recuperar la versión XML del informe, sustituya format=pdf por format=xml. Por
ejemplo:
curl -k -F hash=1234556 -F format=xml -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/report

Uso de la API para recuperar un archivo de prueba de malware de muestra Uso de la API de WildFire
Uso de la API para recuperar un archivo de prueba de

malware de muestra
A continuación, se describe la sintaxis de la API para recuperar un archivo de malware de muestra, que se puede
utilizar para probar el procesamiento de muestra de WildFire de extremo a extremo.
Para obtener detalles del archivo de muestra, consulte Comprobación de un archivo de malware de muestra.
Para recuperar el archivo utilizando la API:
API: GET https://wildfire.paloaltonetworks.com/publicapi/test/pe
Esto devolverá un archivo de prueba y cada llamada a la API devolverá un archivo similar, pero con un valor
SHA256 diferente.
Si hay algún problema al recuperar el archivo, se devuelve el error de servidor interno 500.
Para recuperar el archivo de prueba utilizando cURL:
curl –k https://wildfire.paloaltonetworks.com/publicapi/test/pe

Uso de la API de WildFire Uso de la API para recuperar una muestra o PCAP
Uso de la API para recuperar una muestra o PCAP

 Uso de la API para recuperar una muestra
 Uso de la API para recuperar una captura de paquetes (PCAP)
Uso de la API para recuperar una muestra
Utilice el método de obtención de muestras para recuperar una muestra concreta. Puede utilizar el hash MD5 o
SHA-256 del archivo de muestra como consulta de búsqueda.
URL https://wildfire.paloaltonetworks.com/publicapi/get/sample
Método POST

se devuelve una muestra.
403 Forbidden Permiso denegado
404 Not Found Muestra no encontrada
419 Se ha superado la cuota de solicitud

de muestras.
500 Error interno
Ejemplo de consulta de la API para la obtención de muestras

El siguiente comando cURL muestra una consulta de una muestra mediante el hash MD5 de la muestra:
curl -k -F hash=md5hash -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/sample
Uso de la API para recuperar una captura de paquetes (PCAP)
Utilice el método de obtención de PCAP para la consulta de una PCAP registrada durante el análisis de una
muestra concreta. Utilice el hash MD5 o SHA-256 del archivo de muestra como consulta de búsqueda. De
forma opcional, puede definir la plataforma de la PCAP correspondiente para especificar qué PCAP se debe
devolver. Si no se especifica ninguna plataforma, el método devuelve una PCAP de una sesión con un resultado
de Malware (malware).

Uso de la API para recuperar una muestra o PCAP Uso de la API de WildFire
En el caso de las muestras cargadas antes de agosto de 2014, no se garantiza la devolución de

una PCAP si no se especifica ninguna plataforma.
En la siguiente tabla se describen los parámetros de plataforma disponibles:
ID de plataforma Descripción
1 Windows XP, Adobe Reader 9.3.3, Office 2003
2 Windows XP, Adobe Reader 9.4.0, Flash 10, Office 2007
3 Windows XP, Adobe Reader 11, Flash 11, Office 2010
4 Windows 7 de 32 bits, Adobe Reader 11, Flash 11, Office 2010
5 Windows 7 de 64 bits, Adobe Reader 11, Flash 11, Office 2010.
201 Android 2.3, API 10, avd2.3.1
En la siguiente tabla se describen los atributos de la API necesarios para las PCAP:
URL https://wildfire.paloaltonetworks.com/publicapi/get/pcap
Método POST
platform* Entorno de análisis de destino

se devuelve una PCAP.
403 Forbidden Permiso denegado
404 Not Found PCAP no encontrada
419 Se ha superado la cuota de solicitud

de muestras.
500 Error interno
* Parámetro opcional
Ejemplo de consulta de la API para la obtención de PCAP
El siguiente comando cURL muestra una consulta de una PCAP mediante el hash MD5 de la muestra:
curl -k -F hash=md5hash -F apikey=yourAPIkey -F platform=targetPlatform
https://wildfire.paloaltonetworks.com/publicapi/get/pcap

Uso de la API de WildFire Uso de la API de WildFire en un dispositivo WF-500
Uso de la API de WildFire en un dispositivo WF-500

Para utilizar la API XML de WildFire en un dispositivo WF-500, primero debe generar una clave de API en el
dispositivo y, a continuación, utilizar la clave de API del equipo host que realiza las funciones de la API. La
dirección URL utilizada para buscar el dispositivo se basa en la dirección IP o el FQDN del dispositivo. Después
de generar las claves y utilizar la dirección URL para buscar el dispositivo, puede ejecutar las funciones de la API
compatibles con la nube de WildFire.
En los siguientes temas se describe cómo gestionar las claves de API en el dispositivo y se incluye un ejemplo
de uso de la API de WildFire para enviar muestras de archivos al dispositivo.
 Generación de claves de API en el dispositivo WF-500
 Gestión de claves de API en el dispositivo WF-500
 Uso de la API de WildFire en un dispositivo WF-500
Generación de claves de API en el dispositivo WF-500
Generación de una clave de API
Step 1 Genere una clave de API nueva en el 1. Inicie sesión en la CLI del dispositivo WF-500.
dispositivo WF-500. El dispositivo 2. Genere la clave de API mediante uno de los siguientes métodos:
admite hasta 100 claves de API.
• Genere una clave automáticamente:
El procedimiento recomendado
admin@WF-500> create wildfire api-key name
es omitir la opción de valor de
key-name
clave en este paso para que el
cortafuegos genere una clave Por ejemplo, para crear una clave con el nombre my-api-key:
automáticamente. Si introduce admin@WF-500> create wildfire api-key name
una clave manualmente, el valor my-api-key
de clave se debe corresponder con • Para generar una clave manualmente (donde key-value es una
64 caracteres alfabéticos (a-z) o clave de 64 bits):
números (0-9) elegidos
aleatoriamente.
my-api-key key key-value
Por ejemplo:
my-api-key key
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F45
5F142494BC43D4A1
Step 2 Vea las claves de API que ha generado. Vea todas las claves de API:
admin@WF-500> show wildfire api-key all
Este comando muestra además la fecha de generación de la clave y la

última vez que se utilizó la clave.
En este ejemplo, el dispositivo ha generado la siguiente clave con el
nombre my-api-key:
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F1424
94BC43D4A1

Uso de la API de WildFire en un dispositivo WF-500 Uso de la API de WildFire
Gestión de claves de API en el dispositivo WF-500
En esta sección se describen algunos comandos útiles que puede utilizar para gestionar las claves de API de
WildFire en el dispositivo y se describe cómo exportar e importar las claves. Por ejemplo, es posible que desee
exportar todas las claves con fines de copia de seguridad o para facilitar el acceso a las claves desde los sistemas
que utilizarán la API para ejecutar varias funciones en el dispositivo.
Gestión de claves de API
Deshabilite o habilite una clave de API:

admin@WF-500> edit wildfire api-key status [disable | enable] key api-key
Por ejemplo, para deshabilitar la clave de API utilizada en este ejemplo:
admin@WF-500> edit wildfire api-key status disable key
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F142494BC43D4A1
En el comando anterior, puede escribir los primeros dígitos únicos de la clave y, a continuación, hacer clic en la
pestaña para incluir los dígitos restantes.
Elimine una clave de API:

admin@WF-500> delete wildfire api-key key api-key
Por ejemplo:
admin@WF-500> delete wildfire api-key key
377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F142494BC43D4A1
Utilice los siguientes comandos para importar o exportar las claves de API del dispositivo mediante Secure Copy
(SCP):
• Guarde todas las claves de API en un archivo para preparar las claves para su exportación:
admin@WF-500# save wildfire api-key to filename
Por ejemplo:
admin@WF-500> save wildfire api-key to my-api-keys
Para aplicar SCP al archivo de claves de API en un servidor habilitado para SCP:
admin@WF-500> scp export wildfire-api-keys to username@host:path
Por ejemplo:
admin@WF-500> scp export wildfire-api-keys to bart@10.10.10.5:c:/scp/
Además, puede importar las claves de un servidor habilitado para SCP:
admin@WF-500> scp import wildfire-api-keys from bart@10.10.10.5:c:/scp/my-api-keys
• Después de importar las claves de API, debe cargarlas:
admin@WF-500# load wildfire api-key mode [merge | replace] from my-api-keys
Si omite la opción mode, el comportamiento predeterminado combina las claves nuevas. Para sustituir todas las claves
de API del dispositivo, utilice la opción replace. Por ejemplo, para sustituir todas las claves de API, introduzca el
comando:
admin@WF-500# load wildfire api-key mode replace from my-api-keys
• Confirme si se han cargado las claves:
admin@WF-500> show wildfire api-keys all

Uso de la API de WildFire Uso de la API de WildFire en un dispositivo WF-500
Uso de la API de WildFire en un dispositivo WF-500
En el siguiente flujo de trabajo se describe cómo utilizar la API de WildFire para enviar un archivo de muestra
a un dispositivo WF-500 para su análisis. Una vez que comprenda los conceptos básicos de este flujo de trabajo,
puede utilizar cualquier función de la API disponible en la nube de WildFire. Las funciones son las mismas, pero
en el caso del dispositivo WF-500, debe utilizar la clave de API generada en el dispositivo y la dirección URL
del dispositivo.
Este flujo de trabajo requiere un equipo host con la herramienta de línea de comandos cURL
instalada. A continuación, debe enviar los archivos del equipo host al dispositivo WF-500 con la
sintaxis de dirección URL.
Uso de la API de WildFire para enviar una muestra de archivo
Step 1 Genere una clave API de WildFire para que el equipo host que ejecutará las funciones de API funcione en el
dispositivo WF-500. Para obtener más información, consulte Generación de claves de API en el
dispositivo WF-500.
1. Acceda a la CLI en el dispositivo WF-500 y genere una clave de API:
admin@WF-500> create wildfire api-key name my-api-key
2. Vea las claves de API:
admin@WF-500> show wildfire api-key all
3. Asegúrese de que la clave esté habilitada y, a continuación, seleccione y copie la clave. En la siguiente captura
de pantalla se muestra un clave de API de ejemplo con el nombre my-api-key.

Uso de la API de WildFire en un dispositivo WF-500 Uso de la API de WildFire
Uso de la API de WildFire para enviar una muestra de archivo (Continuado)
Step 2 Con la nueva clave de API que ha generado, envíe un archivo de muestra al dispositivo WF-500.
1. Incluya el archivo de muestra en una carpeta a la que se pueda acceder desde el equipo host con la herramienta
de línea de comandos cURL instalada y anote la ruta del archivo de muestra.
2. Envíe el archivo mediante cURL:
curl -k -F apikey=your-API-key -F file=@local-file-path --remote-name
https://WF-appliance-IP/publicapi/submit/file
La sintaxis varía según el host utilizado. En los siguientes ejemplos se muestra la sintaxis en caso de utilizar
un host de Linux y un host de Windows.
Host de Linux:
curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F
file=@test-wf-api.docx --remote-name https://10.3.4.99/publicapi/submit/file
Host de Windows (la única diferencia es la ruta de acceso al archivo después del símbolo @):
curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F
file=@c://scp/test-wf-api.docx --remote-name https://10.3.4.99/publicapi/submit/file
3. Compruebe si la API ha enviado el archivo correctamente al dispositivo WF-500. Para ver una lista de las
muestras recientes enviadas al dispositivo:
admin@WF-500> show wildfire latest samples
En la siguiente captura de pantalla se puede ver que el archivo de muestra test-wf-api.docx se ha enviado
correctamente al dispositivo:
Si no se encuentra el archivo de muestra en el dispositivo, compruebe la conectividad entre el equipo host y el dispositivo,
y confirme si la ruta de acceso a la carpeta o el archivo es correcta. Además, puede ejecutar show wildfire status (el
estado debe ser Idle) y show wildfire statistics para comprobar si el dispositivo está listo para el análisis de
archivos. Para obtener más información sobre la solución de problemas, consulte la guía del administrador de Palo Alto
Networks WildFire’s.

Uso de la CLI del dispositivo WF-500
Esta sección describe los comandos de la CLI específicos para el software del dispositivo WildFire™. El resto
de comandos, tales como las interfaces de configuración, confirmación de la configuración y el ajuste de la
información del sistema son idénticos a PAN-OS y también se muestran en la jerarquía. Para obtener
información sobre los comandos PAN-OS, consulte Inicio rápido de la CLI de PAN-OS 7.0.
 Conceptos de la CLI del software del dispositivo WF-500
 Modos de comando de la CLI de WildFire
 Acceso a la CLI
 Uso de la CLI
 Referencia de comandos del modo de configuración
 Referencia de comandos del modo de operación

Conceptos de la CLI del software del dispositivo WF-500 Uso de la CLI del dispositivo WF-500
Conceptos de la CLI del software del dispositivo WF-500

En esta sección se presenta y describe el uso de la interfaz de línea de comandos (CLI) del software del
dispositivo WF-500:
 Estructura de la CLI del software del dispositivo WF-500
 Convenciones de comandos de la CLI del software del dispositivo WF-500
 Mensajes de comandos de la CLI del dispositivo WF-500
 Símbolos de opciones de comandos
 Niveles de privilegio
Estructura de la CLI del software del dispositivo WF-500
La CLI del software del dispositivo WF-500 se usa para gestionar dicho dispositivo. La CLI es la única interfaz
del dispositivo. Sirve para ver información de estado y configuración, y modificar la configuración del
dispositivo. Acceda a la CLI del software del dispositivo WF-500 a través de SSH o de un acceso directo a la
consola usando el puerto de la consola.
La CLI del software del dispositivo WF-500 tiene dos modos de funcionamiento:
 Operational mode (Modo de operación): permite ver el estado del sistema, navegar por la CLI del software
del dispositivo WF-500 y acceder al modo de configuración.
 Configuration mode (Modo de configuración): Permite ver y modificar la jerarquía de configuración.
Convenciones de comandos de la CLI del software del dispositivo WF-500
El mensaje de comandos básico incluye el nombre de usuario y de host del dispositivo:

username@hostname>
Ejemplo:
admin@WF-500>
Al entrar en el modo de configuración, el mensaje cambia de > a #:
username@hostname>(Operational mode)
username@hostname> configure
Entering configuration mode
[editar]
username@hostname# (Configuration mode)
En el modo de configuración, el contexto de jerarquía actual se muestra en el titular [edit...] que aparece
entre corchetes cuando se emite un comando.

Uso de la CLI del dispositivo WF-500 Conceptos de la CLI del software del dispositivo WF-500
Mensajes de comandos de la CLI del dispositivo WF-500
Se pueden mostrar mensajes al emitir un comando. Los mensajes ofrecen información de contexto y pueden
ayudar a corregir comandos no válidos. En los siguientes ejemplos, el mensaje se muestra en negrita.
Ejemplo: Comando desconocido
username@hostname# application-group
Unknown command: application-group
[edit network]
username@hostname#
Ejemplo: Modos de cambio
username@hostname# exit
Exiting configuration mode
username@hostname>
Ejemplo: Sintaxis no válida
username@hostname> debug 17
Unrecognized command
Invalid syntax.
username@hostname>
La CLI comprueba la sintaxis de cada comando. Si la sintaxis es correcta, se ejecuta el comando y se registran
los cambios de la jerarquía del candidato. Si la sintaxis no es correcta, aparece un mensaje de sintaxis no válida,
como en el siguiente ejemplo:
username@hostname# set deviceconfig setting wildfire cloud-intelligence
submit-sample yes
Unrecognized command
Invalid syntax.
[edit]
username@hostname#
Símbolos de opciones de comandos
El símbolo que precede a una opción puede proporcionar información adicional acerca de la sintaxis de
comandos.
Símbolo Descripción
* Esta opción es obligatoria.

> Hay opciones adicionales anidadas para este comando.
+ Hay opciones de comando adicionales para este comando en este nivel.
| Hay una opción para especificar un “valor de excepción” o un “valor de

coincidencia” para restringir el comando.

Conceptos de la CLI del software del dispositivo WF-500 Uso de la CLI del dispositivo WF-500
Símbolo Descripción
““ Aunque las comillas dobles no son un símbolo de opción de comando,

deben usarse al introducir frases de varias palabras en comandos de CLI.
Por ejemplo, para crear un grupo de direcciones llamado Grupo de prueba
y añadir el usuario llamado usuario1 a este grupo, debe escribir el nombre
del grupo entre comillas dobles del siguiente modo:
set address-group “Test Group” user1.
Si no coloca comillas dobles alrededor del nombre del grupo, la CLI

podría interpretar la palabra Prueba como el nombre del grupo y Grupo
como el nombre de usuario y se mostraría el siguiente mensaje de error:
“test is not a valid name”.
Las comillas simples tampoco serían válidas en este ejemplo.
Los siguientes ejemplos muestran cómo se usan estos símbolos.

Ejemplo: En el siguiente comando, es obligatoria la palabra clave from:
username@hostname> scp import configuration ?
+ remote-port SSH port number on remote host
* from Source (username@host:path)
username@hostname> scp import configuration
Ejemplo: Este resultado de comando muestra opciones designadas con + y >.
username@hostname# set rulebase security rules rule1 ?
+ action action
+ application application
+ destination destination
+ disabled disabled
+ from from
+ log-end log-end
+ log-setting log-setting
+ log-start log-start
+ negate-destination negate-destination
+ negate-source negate-source
+ schedule schedule
+ service service
+ source source
+ to to
> profiles profiles
<Enter> Finish input
[edit]
username@hostname# set rulebase security rules rule1
Cada opción de la lista marcada con + se puede añadir al comando.
La palabra clave perfiles (con >) tiene opciones adicionales:
username@hostname# set rulebase security rules rule1 profiles ?

Uso de la CLI del dispositivo WF-500 Conceptos de la CLI del software del dispositivo WF-500
+ virus Help string for virus

+ spyware Help string for spyware
+ vulnerability Help string for vulnerability
+ group Help string for group
<Enter> Finish input
[edit]
username@hostname# set rulebase security rules rule1 profiles
Niveles de privilegio
Los niveles de privilegio determinan los comandos que el usuario tiene permitido ejecutar y la información que
el usuario tiene permitido ver.
Nivel Descripción
superlector Tiene solo acceso de lectura completo al dispositivo.
superusuario Tiene acceso de lectura-escritura completo al dispositivo.

Modos de comando de la CLI de WildFire Uso de la CLI del dispositivo WF-500
Modos de comando de la CLI de WildFire

Esta sección describe los modos usados para interactuar con la CLI del software del dispositivo WF-500:
 Modo de configuración
 Modo de operación
Modo de configuración
Al introducir comandos en el modo de configuración se modifica la configuración del candidato. La

configuración del candidato modificada se almacena en la memoria del dispositivo y se conserva mientras el
dispositivo esté en funcionamiento.
Cada comando de configuración implica una acción, y también puede incluir palabras clave, opciones y valores.
En esta sección, se describen el modo de configuración y la jerarquía de configuración:
 Uso de comandos del modo de configuración
 Jerarquía de configuración
 Navegación por la jerarquía
Uso de comandos del modo de configuración
Use los siguientes comandos para almacenar y aplicar cambios de configuración:
 save (guardar): guarda la configuración del candidato en el sistema de almacenamiento no volátil del
dispositivo. La configuración guardada se conserva hasta ser sobrescrita por comandos save (guardar)
posteriores. Tenga en cuenta que este comando no activa la configuración.
 commit (confirmar): confirma la configuración del candidato al dispositivo. Una configuración confirmada
vuelve activa la configuración del dispositivo.
 set (establecer): cambia un valor en la configuración del candidato.
 load (cargar): asigna la última configuración guardada o una configuración especificada para ser la
configuración del candidato.
Si sale del modo de configuración sin emitir los comandos save (guardar) o commit (confirmar),
los cambios en la configuración se pueden perder en caso de pérdida de alimentación.

Uso de la CLI del dispositivo WF-500 Modos de comando de la CLI de WildFire
Mantener la configuración de un candidato y separar los pasos de guardado y compilación conlleva importantes
ventajas en comparación con las arquitecturas CLI tradicionales:
 Distinguir entre los conceptos de save (guardar) y commit (confirmar) permite hacer múltiples cambios
simultáneos y reduce la vulnerabilidad del sistema.
 Los comandos se pueden adaptar fácilmente para funciones similares. Por ejemplo, al configurar dos
interfaces Ethernet, cada una con una dirección IP, puede editar la configuración de la primera interfaz,
copiar el comando, modificar solo la interfaz y la dirección IP y, a continuación, aplicar el cambio a la segunda
interfaz.
 La estructura de comandos siempre es constante.

Dado que la configuración del candidato siempre es exclusiva, todos los cambios autorizados de la configuración
del candidato son coherentes entre sí.
Jerarquía de configuración
La configuración del dispositivo se organiza con una estructura jerárquica. Para mostrar un segmento del nivel
actual de la jerarquía, use el comando show. Al introducir mostrar, aparece la jerarquía completa, mientras que
al introducir show con palabras clave, aparece un segmento de la jerarquía. Por ejemplo, si se ejecuta el
comando show en el nivel superior del modo de configuración, se muestra toda la configuración. Si se ejecuta
el comando edit mgt-config y se introduce show, o se ejecuta el comando show mgt-config, solo
aparece la parte de la jerarquía relativa a la configuración de gestión.

Rutas de jerarquía
Al introducir comandos, la ruta se traza a través de la jerarquía del siguiente modo:
Por ejemplo, el siguiente comando asigna el servidor de DNS principal 10.0.0.246 para el dispositivo:
[edit]
username@hostname# set deviceconfig system dns-setting servers primary
10.0.0.246
Este comando genera un nuevo elemento en la jerarquía y en los resultados del siguiente comando show:
[edit]
username@hostname# show deviceconfig system dns-settings
dns-setting {
servers {
primary 10.0.0.246
}
}
[edit]
username@hostname#

Uso de la CLI del dispositivo WF-500 Modos de comando de la CLI de WildFire
Navegación por la jerarquía
El titular [edit...] debajo de la línea del símbolo de sistema del modo de configuración muestra el contexto de la
jerarquía actual.
[editar]
indica que el contexto relativo es el máximo nivel de la jerarquía, mientras que
[editar deviceconfig]
indica que el contexto relativo está al nivel de deviceconfig.
Use los comandos de la lista para navegar por la jerarquía de configuración.
Nivel Descripción
edit Establece el contexto para la configuración dentro de la jerarquía de

comandos.
up Cambia el contexto al nivel superior de la jerarquía.
top Cambia el contexto al nivel más alto de la jerarquía.
Si se emite el comando set después de usar los comandos up y top, se inicia desde un nuevo
contexto.

Modo de operación
La primera vez que se inicia sesión en el dispositivo, la CLI del software del dispositivo WF-500 se abre en el
modo de operación. Los comandos del modo de operación tienen que ver con acciones que se ejecutan
inmediatamente. No suponen cambios en la configuración y no es necesario guardarlos o compilarlos.
Los comandos del modo de operación son de varios tipos:
 Network access (Acceso a la red): se abre una ventana para otro host. Es compatible con SSH.
 Monitoring and troubleshooting (Supervisión y solución de problemas): para realizar diagnósticos y

análisis. Incluye los comandos debug y ping.
 Display commands (Mostrar comandos): muestra o borra la información actual. Incluye los comandos
clear y show.
 WF-500 appliance software CLI navigation commands (Comandos de navegación de la CLI del
software del dispositivo WildFire): permite ingresar en el modo de configuración o salir de la CLI del
software del dispositivo WF-500. Incluye los comandos configure, exit y quit.
 System commands (Comandos del sistema): permite realizar solicitudes en el nivel del sistema o reiniciar.
Incluye los comandos set y request.

Uso de la CLI del dispositivo WF-500 Acceso a la CLI
Acceso a la CLI
En esta sección se describe cómo acceder y comenzar a usar la CLI del software del dispositivo WF-500:
 Establecimiento de una conexión directa con la consola
 Establecimiento de una conexión de SSH
Establecimiento de una conexión directa con la consola
Utilice la siguiente configuración en la conexión directa de la consola:
 Tasa de datos: 9600
 Bits de datos: 8
 Paridad: no
 Bits de terminación: 1
 Control de flujo: Ninguno
Establecimiento de una conexión de SSH
Para acceder a la CLI del software del dispositivo WF-500:
Inicio de la CLI de WildFire
1. Utilice software de emulación de terminal para establecer una conexión de la consola

SSH con el dispositivo WF-500.
2. Introduzca el nombre del usuario administrativo. El valor predeterminado es admin.
3. Introduzca la contraseña administrativa. El valor predeterminado es admin.

La CLI del software del dispositivo WF-500 se abre en el modo de operación y se
muestra el siguiente mensaje de la CLI:
username@hostname>

Uso de la CLI Uso de la CLI del dispositivo WF-500
Uso de la CLI
 Acceso a los modos de operación y configuración
 Visualización de las opciones de comandos de la CLI del software del dispositivo WF-500
 Restricción de resultados de comandos
 Establecimiento del formato de salida para comandos de configuración
Acceso a los modos de operación y configuración
Al iniciar sesión, la CLI del software del dispositivo WF-500 se abre en el modo de operación. Puede alternar
entre los modos de operación y navegación en cualquier momento.
 Para introducir el modo de configuración desde el modo operativo, use el comando configure:
username@hostname> configure
Entering configuration mode
[editar]
username@hostname#
 Para salir del modo de configuración y regresar al modo de operación, use el comando abandonar o el
comando exit:
username@hostname# quit
Exiting configuration mode
username@hostname>
Para introducir un comando del modo de operación mientras está en el modo de configuración, use el comando
run. Por ejemplo, para mostrar recursos del sistema desde el modo de configuración, use run show
system resources.
Visualización de las opciones de comandos de la CLI del software del

dispositivo WF-500
Use ? (o Meta-H) para mostrar una lista de opciones de comandos, basada en el contexto:
 Para mostrar una lista de comandos de operación, introduzca ? en el mensaje del comando.
username@hostname> ?
clear Clear runtime parameters
configure Manipulate software configuration information
debug Debug and diagnose
exit Exit this session
grep Searches file for lines containing a pattern match
less Examine debug file content
ping Ping hosts and networks
quit Exit this session
request Make system-level requests
scp Use ssh to copy file to another host

Uso de la CLI del dispositivo WF-500 Uso de la CLI
set Set operational parameters

show Show operational parameters
ssh Start a secure shell to another host
tail Print the last 10 lines of debug file content
username@hostname>
 Para mostrar las opciones disponibles de un comando especificado, introduzca el comando seguido de ?.
Ejemplo:
username@hostname> ping ?
+ bypass-routing Bypass routing table, use specified interface
+ count Number of requests to send (1..2000000000 packets)
+ do-not-fragment Don't fragment echo request packets (IPv4)
+ inet Force to IPv4 destination
+ interface Source interface (multicast, all-ones, unrouted packets)
+ interval Delay between requests (seconds)
+ no-resolve Don't attempt to print addresses symbolically
+ pattern Hexadecimal fill pattern
+ record-route Record and report packet's path (IPv4)
+ size Size of request packets (0..65468 bytes)
+ source Source address of echo request
+ tos IP type-of-service value (0..255)
+ ttl IP time-to-live value (IPv6 hop-limit value) (0..255 hops)
+ verbose Display detailed output
+ wait Delay after sending last packet (seconds)
<host> Hostname or IP address of remote host
Restricción de resultados de comandos
Algunos comandos de operación incluyen una opción para restringir el resultado que aparece. Para restringir el
resultado, introduzca un símbolo de barra vertical seguido de except o match y el valor que se debe excluir
o incluir:
Ejemplo:
El siguiente resultado de muestra pertenece al comando show system info:
username@hostname> show system info
hostname: WF-500
ip-address: 192.168.2.20
netmask: 255.255.255.0
default-gateway: 192.168.2.1
mac-address: 00:25:90:95:84:76
vm-interface-ip-address: 10.16.0.20
vm-interface-netmask: 255.255.252.0
vm-interface-default-gateway: 10.16.0.1
vm-interface-dns-server: 10.0.0.247
time: Mon Apr 15 13:31:39 2013
uptime: 0 days, 0:02:35
family: m
model: WF-500
serial: 009707000118

Uso de la CLI Uso de la CLI del dispositivo WF-500
sw-version: 5.1.0
logdb-version: 5.0.2
platform-family: m
username@hostname>
El siguiente ejemplo muestra solo información del modelo del sistema:
username@hostname> show system info | match model

model: WF-500
username@hostname>
Establecimiento del formato de salida para comandos de configuración
Cambie el formato de salida para los comandos de configuración utilizando el comando set cli
config-output-format en el modo de operación. Las opciones incluyen el formato predeterminado, JSON
(JavaScript Object Notation), formato establecido y formato XML. El formato predefinido es un formato
jerárquico donde las secciones de configuración tienen sangría y están entre llaves.

Uso de la CLI del dispositivo WF-500 Referencia de comandos del modo de configuración
Referencia de comandos del modo de configuración

En esta sección se incluye información de referencia para los siguientes comandos del modo de configuración,
los cuales son específicos del software del dispositivo WF-500. El resto de los comandos que forman parte del
software del dispositivo WF-500 son idénticos a los de PAN-OS según se describe en el inicio rápido de la CLI
de PAN-OS 7.0.
 set deviceconfig setting wildfire
 set deviceconfig system update-schedule
 set deviceconfig system vm-interface
set deviceconfig setting wildfire
Descripción
Establezca la configuración de Wildfire en el dispositivo WF-500. Puede configurar el reenvío de archivos

malintencionados, definir el servidor de nube que recibe los archivos infectados con malware y habilitar o
deshabilitar la interfaz VM.
Ubicación de jerarquía
set deviceconfig settings
Sintaxis
wildfire {
active-vm;
cloud-server <value>;
vm-network-enable {no | yes};
vm-network-use-tor {enable | disable};
cloud-intelligence {
submit-report {no | yes};
submit-sample {no | yes};
signature-generation {
av {no | yes};
dns {no | yes};
url {no | yes};
{
{
{

Referencia de comandos del modo de configuración Uso de la CLI del dispositivo WF-500
Opciones
+ active-vm: seleccione el entorno de máquina virtual que WildFire va a utilizar para el

análisis de muestras. Cada VM tiene una configuración diferente, como Windows XP,
versiones específicas de Flash, Adobe Reader, etc. Para ver qué VM se ha seleccionado,
ejecute el comando admin@WF-500> show wildfire status y consulte el campo Selected
VM. Para ver la información del entorno de VM, ejecute el siguiente comando:
admin@WF-500> show wildfire vm-images.
+ cloud-server: nombre de host del servidor de nube al que el dispositivo reenvía las
muestras malintencionadas o los informes para repetir el análisis. El servidor de nube
predeterminado es wildfire-public-cloud. Para configurar el reenvío, utilice el
siguiente comando: set deviceconfig setting wildfire cloud-intelligence.
+ vm-network-enable: habilita o deshabilita la red de VM. Si se habilita, los archivos
de muestra ejecutados en el espacio aislado de la máquina pueden acceder a Internet.
Esto permite que WildFire analice mejor el comportamiento del malware para buscar
elementos como la actividad de teléfono-casa.
+ vm-network-use-tor: habilita o deshabilita la red Tor para la interfaz VM. Si se
habilita esta opción, el tráfico malintencionado procedente de los sistemas de espacio
aislado del dispositivo WF-500 durante el análisis de muestras se envía a través de la
red Tor. La red Tor enmascarará su dirección IP de acceso público a fin de que los
propietarios del sitio malintencionado no puedan determinar la fuente del tráfico.
+ cloud-intelligence: configure el dispositivo para enviar informes de WildFire o
muestras a la nube de WildFire de Palo Alto Networks. La opción de envío de informes
permite enviar informes de las muestras malintencionadas a la nube con fines de
recopilación de información estadística. La opción de envío de muestras permite enviar
muestras malintencionadas a la nube. Si la opción de envío de muestras está habilitada,
no es necesario habilitar la opción de envío de informes, ya que la muestra se vuelve a
analizar en la nube y se generan un nuevo informe y una firma si la muestra es
malintencionada.
+ signature-generation: permite que el dispositivo genere firmas localmente, lo que
elimina la necesidad de enviar datos a la nube pública para bloquear el contenido
malintencionado. El dispositivo WF-500 analiza los archivos reenviados desde los
cortafuegos de Palo Alto Networks o desde la API de WildFire y genera firmas de antivirus
y DNS que bloquean tanto los archivos malintencionados como el tráfico de comandos y
control asociado. Si el dispositivo detecta una dirección URL malintencionada, envía la
dirección URL a PAN-DB y PAN-DB le asigna la categoría de malware.
Resultado de muestra
A continuación se muestra un resultado de ejemplo de la configuración de WildFire:

admin@WF-500# show deviceconfig setting wildfire
wildfire {
active-vm vm-5;
cloud-intelligence {
submit-sample yes;
submit-report no;
}
cloud-server wildfire-public-cloud;
signature-generation {
av yes;
dns yes;
url yes;
}
}

Nivel de privilegio requerido
 superuser, deviceadmin
set deviceconfig system update-schedule
Descripción
Programe las actualizaciones de contenido en un dispositivo WF-500. Estas actualizaciones de contenido

equipan el dispositivo con la información sobre amenazas más actualizada para garantizar la detección de
malware precisa y mejorar la capacidad del dispositivo para diferenciar el contenido malintencionado del
contenido benigno.
set deviceconfig system update-schedule
Sintaxis
wf-content recurring {
daily at <value> action {download-and-install | download-only};
weekly {
action {download-and-install | download-only};
at <value>;
day-of-week {friday | monday | saturday | sunday | thursday | tuesday | wednesday};
}
}
Opciones
> wf-content: actualizaciones de contenido de WF-500

> daily: programe la actualización diaria.
+ action: especifique la acción que se va a realizar. Puede programar el dispositivo
para descargar e instalar la actualización o descargar solamente y, a continuación,
instalar manualmente.
+ at: especificación de hora en hh:mm (por ejemplo, 20:10).
> hourly: programe la actualización cada hora.
+ at: minutos transcurridos después de una hora.
> weekly: programe la actualización una vez por semana.

Referencia de comandos del modo de configuración Uso de la CLI del dispositivo WF-500

+ at: especificación de hora en hh:mm (por ejemplo, 20:10).
+ day-of-week: día de la semana (viernes, lunes, sábado, domingo, jueves, martes o
miércoles).
admin@WF-500# show
update-schedule {
wf-content {
recurring {
weekly {
at 19:00;
action download-and-install;
day-of-week friday;
}
}
}
}
superuser, deviceadmin
set deviceconfig system vm-interface
Descripción
La interfaz VM es utilizada por el malware que se ejecuta en el espacio aislado de la máquina virtual del
dispositivo WF-500 para acceder a Internet. Se recomienda la activación de este puerto, que a su vez ayudará a
WildFire a identificar mejor la actividad maliciosa si el software malintencionado accede a Internet para la
actividad teléfono-casa u otra actividad. Es importante que esta interfaz tenga una conexión a Internet aislada.
Para obtener más información, consulte Configuración de la interfaz de VM.
Tras configurar la interfaz vm, habilítela ejecutando el siguiente comando:
set deviceconfig setting wildfire vm-network-enable yes
set deviceconfig system

Sintaxis
set vm-interface {
default-gateway <ip_address>;
dns-server <ip_address>;
ip-address <ip_address>;
link-state;
mtu;
netmask <ip_address>;
speed-duplex;
{
Opciones
admin@WF-500# set vm-interface

+ default-gateway: puerta de enlace predeterminada para la interfaz VM.
+ dns-server: servidor DNS para la interfaz VM.
+ ip-address: dirección IP para la interfaz VM.
+ link-state: establezca el estado del enlace en activo o inactivo.
+ mtu: unidad de transmisión máxima para la interfaz VM.
+ netmask: máscara de red IP para la interfaz VM.
+ speed-duplex: velocidad y dúplex para la interfaz VM.
A continuación se muestra una interfaz vm configurada.

vm-interface {
ip-address 10.16.0.20;
netmask 255.255.252.0;
default-gateway 10.16.0.1;
dns-server 10.0.0.246;
}

Referencia de comandos del modo de operación Uso de la CLI del dispositivo WF-500
Referencia de comandos del modo de operación

En esta sección se incluye información de referencia para los siguientes comandos del modo de operación, los
cuales son específicos del software del dispositivo WF-500. El resto de los comandos que forman parte del
software del dispositivo WF-500 son idénticos a los de PAN-OS. Consulte el inicio rápido de la CLI de PAN-OS
7.0 para obtener información sobre estos comandos.
 create wildfire api-key
 delete wildfire api-key
 delete wildfire-metadata
 edit wildfire api-key
 load wildfire api-key
 request system raid
 request system wildfire-vm-image
 request wf-content
 save wildfire api-key
 set wildfire portal-admin
 show system raid
 show wildfire
 test wildfire registration
create wildfire api-key
Descripción
Genere claves de API en el dispositivo WF-500 que va utilizar en un sistema externo para enviar muestras al
dispositivo, realizar consultas en los informes o recuperar muestras y capturas de paquetes (PCAP) del
dispositivo.
Sintaxis
create {
wildfire {
api-key {
key <value>;
name <value>;
{
{
{

Uso de la CLI del dispositivo WF-500 Referencia de comandos del modo de operación
Opciones
+ key: Para crear una clave de API, introduzca un valor de clave manualmente. El valor
debe constar de 64 caracteres alfabéticos (a-z) o números (0-9). Si no especifica la
opción de clave, el dispositivo genera una clave automáticamente.
+ name: de forma opcional, puede introducir un nombre para la clave de API. El nombre de
clave de API se utiliza simplemente para etiquetar las claves y facilitar la
identificación de las claves asignadas para usos específicos y no tiene ningún efecto en
la funcionalidad de las claves.
El siguiente resultado indica que el dispositivo tiene tres claves de API y una clave se llama my-api-key.
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
| Apikey | Name
| Status | Create Time | Last Used Time |
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
| C625DE87CBFB6EF0B1A8183A74AB5B61287F7F63B6E14E2FFC704AABF5640D62 | my-api-key
| Enabled | 24/06/2014 16:38:50 | |
| D414CC910E93E9E05942A5E6F94DA36777B444543E71761CF5E9ACFA547F7D6F |
| Enabled | 2014-06-25 09:05:30 | 2014-06-26 14:49:35 |
| 73585ACAFEC0109CB65EB944B8DFC0B341B9B73A6FA7F43AA9862CAD47D0884C |
| Enabled | 04/08/2014 17:00:42 | |
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
delete wildfire api-key
Descripción
Elimine una clave de API del dispositivo WF-500. Los sistemas configurados para el uso de la API para realizar
funciones de la API en el dispositivo no pueden acceder al dispositivo una vez eliminada la clave.
Sintaxis
delete {
wildfire {
api-key {
key <value>;
{
{
{

Opciones
+ key <value>: el valor de la clave que desea eliminar. Para ver una lista de las claves
de API, ejecute el siguiente comando: admin@WF-500> show wildfire api-keys all
admin@WF-500> delete wildfire api-key key

A0418F8EADABA4C78CD3106D71147321462C5AA085B2979136447B1EC334655A
APIKey A0418F8EADABA4C78CD3106D71147321462C5AA085B2979136447B1EC334655A
deleted
delete wildfire-metadata
Descripción
Elimine actualizaciones de contenido del dispositivo WF-500. Para obtener más información sobre las
actualizaciones de contenido y cómo instalarlas, consulte request wf-content.
Sintaxis
delete {
wildfire-metadata update <value>;
{
Opciones
+ update <value> — Defina la actualización de contenido que desea eliminar.
En el siguiente resultado se muestra la eliminación de una actualización con el nombre

panup-all-wfmeta-2-181.candidate.tgz.
admin@WF-500> delete wildfire-metadata update panup-all-wfmeta-2-181.candidate.tgz
successfully removed panup-all-wfmeta-2-181.candidate.tgz

edit wildfire api-key
Descripción
Modifique un nombre de clave de API o el estado de la clave (habilitada/deshabilitada) en un dispositivo

WF-500.
Sintaxis
edit {
wildfire {
api-key [name | status] key <value>;
{
{
Opciones
+ name: cambie el nombre de una clave de API.

+ status: habilite o deshabilite una clave de API.
* key: especifique la clave que desea modificar.
El valor de la clave de este comando es obligatorio. Por ejemplo, para cambiar el nombre de una clave llamada
stu a stu-key1, introduzca el siguiente comando:
En el caso del siguiente comando, no es necesario introducir el nombre de la clave anterior. Solo
se debe introducir el nuevo nombre de la clave.
admin@WF-500> edit wildfire api-key name stu-key1 key

B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288
Para cambiar el estado de stu-key1 a deshabilitada, introduzca el siguiente comando:
admin@WF-500> edit wildfire api-key status disable key
B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288
Resultado de ejemplo en el que se muestra que stu-key1 está deshabilitada:

+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
| Apikey | Name | Status | Create Time |
Last Used Time |
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
|
| B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288 | stu-key1 | Disabled | 2014-08-21 07:23:34 |
|
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
load wildfire api-key
Descripción
Después de importar las claves de API en el dispositivo WF-500, debe utilizar el comando load para que las
claves estén disponibles para su uso. Utilice este comando para sustituir todas las claves de API existentes.
Además, puede combinar las claves del archivo de importación con la base de datos de claves existentes.
Sintaxis
load {
wildfire {
from <value> mode [merge | replace];
{
{
Opciones
* from: especifique el nombre de archivo de la clave de API que desea importar. Los
archivos de claves utilizan la extensión de archivo .keys. Por ejemplo,
my-api-keys.keys. Para ver una lista de las claves disponibles para su importación,
introduzca el siguiente comando:
admin@WF-500> load wildfire api-key from ?
+ mode: de forma opcional, puede introducir el modo para la importación
(combinación/sustitución). Por ejemplo, para sustituir la base de datos de claves del
dispositivo por el contenido del nuevo archivo de claves, introduzca el siguiente
comando:
admin@WF-500> load wildfire api-key mode replace from my-api-keys.keys
Si no especifica la opción mode, la acción predeterminada combinará las claves.

request system raid
Descripción
Use esta opción para manejar los pares de RAID instalados en el dispositivo WildFire. El dispositivo WF-500
se entrega con cuatro unidades en los cuatro primeros conectores de unidades (A1, A2, B1, B2). Las unidades
A1 y A2 son el par RAID 1 y las unidades B1 y B2 son el segundo par RAID 1.
request system
Sintaxis
raid {
remove <value>;
OR...
copy {
from <value>;
to <value>;
}
OR...
add {
Opciones
> add Añade una unidad al par de discos RAID correspondiente.

> copy Copia y migra de una unidad a otra en la plataforma.
> remove Unidad que se eliminará del par de discos RAID.
El siguiente resultado muestra un dispositivo WF-500 con una RAID configurada correctamente.
admin@WF-500> show system raid
Disk Pair A Available

Disk id A1 Present
Disk id A2 Present

Disk Pair B Available

Disk id B1 Present
Disk id B2 Present
request system wildfire-vm-image
Realice actualizaciones de las imágenes del espacio aislado de la máquina virtual (VM) del dispositivo WF-500
utilizadas para analizar archivos. Para recuperar imágenes de VM del servidor de actualizaciones de Palo Alto
Networks, primero debe descargar la imagen manualmente, alojarla en un servidor habilitado para SCP y, a
continuación, recuperar la imagen del dispositivo mediante el cliente SCP. Una vez descargada la imagen en el
dispositivo, puede instalarla mediante este comando.
request system
Sintaxis
request {
system {
wildfire-vm-image {
upgrade install file <value>;
}
}
}
Opciones
> wildfire-vm-image: instale las imágenes de la máquina virtual (VM).

+ upgrade install file: actualice la imagen de VM. Después de la opción de archivo,
escriba ? para ver una lista de las imágenes de VM disponibles. Por ejemplo, ejecute el
siguiente comando para mostrar las imágenes disponibles: admin@WF-500> request
system wildfire-vm-image upgrade install file ?
Para enumerar las imágenes de VM disponibles, ejecute el siguiente comando:

admin@WF-500> request system wildfire-vm-image upgrade install file ?

Para instalar una imagen de VM (Windows 7 de 64 bits en este ejemplo), ejecute el siguiente comando:
admin@WF-500> request system wildfire-vm-image upgrade install file
WFWin7_64Base_m-1.0.0_64base
request wf-content
Realice las actualizaciones de contenido en un dispositivo WF-500. Estas actualizaciones de contenido equipan
el dispositivo con la información sobre amenazas más actualizada para garantizar la detección de malware
precisa y mejorar la capacidad del dispositivo para diferenciar el contenido malintencionado del contenido
benigno. Para programar las actualizaciones de contenido de modo que se instalen automáticamente, consulte
set deviceconfig system update-schedule y, para eliminar las actualizaciones de contenido de WF-500, consulte
delete wildfire-metadata.
request
Sintaxis
request wf-content
{
downgrade install {previous | <value>};
upgrade
{
check
download latest
info
install {
file <filename>
version latest;
}
}
}
Opciones
> downgrade: instala una versión de contenido anterior. Utilice la opción anterior para
instalar el paquete de contenido instalado previamente o introduzca un valor para
cambiar a una versión inferior específica del paquete de contenido.

> upgrade: realiza funciones de actualización del contenido.

> check: obtenga información sobre los paquetes de contenido disponibles del servidor
de actualizaciones de Palo Alto Networks.
> download: descargue un paquete de contenido.
> info: muestre la información sobre los paquetes de contenido disponibles.
> install: instale un paquete de contenido.
> file: especifique el nombre del archivo que contiene el paquete de contenido.
> version: descargue o actualice en función del número de versión del paquete de
contenido.
Para enumerar las actualizaciones de contenido disponibles, ejecute el siguiente comando:

admin@WF-500> request wf-content upgrade check
Version Size Released on Downloaded Installed

-------------------------------------------------------------------------
2-217 58MB 2014/07/29 13:04:55 PDT yes current
2-188 58MB 2014/07/01 13:04:48 PDT yes previous
2-221 59MB 2014/08/02 13:04:55 PDT no no
save wildfire api-key
Descripción
Utilice el comando save para guardar todas las claves de API del dispositivo WF-500 en un archivo. Puede
exportar el archivo de claves para hacer copias de seguridad o modificar las claves en bloque. Para obtener
información detallada sobre el uso de la API de WildFire en un dispositivo WF-500, consulte Acerca de las
suscripciones a WildFire y claves de API.
save
Sintaxis
save {
wildfire {

api-key to <value>;
{
{
Opciones
* to: introduzca el nombre de archivo para la exportación de claves. Por ejemplo, para
exportar todas las claves de API de WF-500 a un archivo con el nombre my-wf-keys,
introduzca el siguiente comando:
admin@WF-500> save wildfire api-key to my-wf-keys
set wildfire portal-admin
Descripción
Establece la contraseña de la cuenta de administrador del portal que el administrador utilizará para ver los
informes de análisis de WildFire generados por un dispositivo WF-500. El nombre de la cuenta (admin) y la
contraseña son obligatorios para ver el informe en el cortafuegos o en Panorama en Monitor > WildFire
Submissions > View WildFire Report (Supervisar > Envíos de WildFire > Ver informe de WildFire). El nombre
de usuario y la contraseña predeterminados son admin/admin.
La cuenta del administrador del portal es la única cuenta que puede configurar en el dispositivo
para ver los informes del cortafuegos o Panorama. No puede crear cuentas ni cambiar el nombre
de la cuenta. No es la misma cuenta de administrador utilizada para gestionar el dispositivo.
set wildfire
Sintaxis
set {
wildfire {
portal-admin {
password <value>;
}
}

A continuación se muestra el resultado de este comando.

admin@WF-500> set wildfire portal-admin password
Enter password:
Confirm password:
show system raid
Descripción
Muestra la configuración RAID del dispositivo. El dispositivo WF-500 se entrega con cuatro unidades en los
cuatro primeros conectores de unidades (A1, A2, B1, B2). Las unidades A1 y A2 son el par RAID 1 y las
unidades B1 y B2 son el segundo par RAID 1.
show system
Sintaxis
raid {
detail;
{
Opciones
No additional options.
A continuación se muestra la configuración de RAID en un dispositivo WF-500 en funcionamiento.

admin@WF-500> show system raid detail
Disk Pair A Available

Status clean

Disk id A1 Present
model : ST91000640NS
size : 953869 MB
partition_1 : active sync
Disk id A2 Present
size : 953869 MB
Disk Pair B Available
Status clean
Disk id B1 Present
size : 953869 MB
Disk id B2 Present
size : 953869 MB
superuser, superreader
show wildfire
Descripción
Muestra varios tipos de información del dispositivo WF-500, como las claves de API disponibles, la información
de registro, la actividad, las muestras recientes que ha analizado el dispositivo y la máquina virtual seleccionada
para realizar el análisis.
show wildfire
Sintaxis
api-keys
all {
details;

}
key <value>;
}
last-device-registration all |
latest {
analysis {
filter malicious|benign;
sort-by SHA256|Submit Time|Start Time|Finish Time|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
samples {
sort-by SHA256|Create Time|File Name|File Type|File Size|Malicious|Status;
limit 1-20000;
days 1-7;
}
OR...
sessions {
sort-by SHA256|Create Time|Src IP|Src Port|Dst Ip|Dst Port|File|Device
ID|App|Malicious|Status;
limit 1-20000;
days 1-7;
}
OR...
uploads {
sort-by SHA256|Create Time|Finish Time|Status;
limit 1-20000;
days 1-7;
}
sample-status {
sha256 {
equal <value>;
}
}
statistics days <1-31>;
status |
vm-images |
}
Opciones
admin@WF-500> show wildfire

> api-keys: muestra los detalles de las claves de API generadas en el dispositivo
WF-500. Puede ver la última vez que se ha utilizado la clave, el nombre de la clave, el
estado (habilitada o deshabilitada) y la fecha y la hora de generación de la clave.
> last-device-registration: se muestra una lista de las últimas actividades de
registro.
> latest: se muestran las últimas 30 actividades, lo que incluye las últimas 30
actividades de análisis, los últimos 30 archivos analizados, la información de sesión
de red para los archivos analizados y los archivos cargados en el servidor de la nube
pública.
> sample-status: se muestra el estado de la muestra de WildFire. Introduzca el valor de
SHA o MD5 del archivo para ver el estado del análisis actual.
> statistics: se muestran estadísticas de WildFire básicas.
> status: se muestran el estado del dispositivo y la información de configuración, como
la máquina virtual (VM) utilizada para el análisis de muestras, si se van a enviar las
muestras o los informes a la nube, la red de VM y la información de registro.
> vm-images: se muestran los atributos de las imágenes de la máquina virtual disponibles
utilizadas para el análisis de muestras. Para ver la imagen activa actual, ejecute el
siguiente comando: admin@WF-500> show wildfire status and view the Select VM field.
A continuación se muestra el resultado de este comando.

+------------------------------------------------------------------+----------------+-
--------+---------------------+---------------------+
| Apikey | Name |
Status | Create Time | Last Used Time |
+------------------------------------------------------------------+----------------+-
--------+---------------------+---------------------+
| C625DE87CBFB6EF0B1A8183A74AB5B61287F7F63B6E14E2FFC704AABF5640D62 | my-api-key-stu |
Enabled | 2014-06-24 16:38:50 | |
| D414CC910E93E9E05942A5E6F94DA36777B444543E71761CF5E9ACFA547F7D6F | |
Enabled | 2014-06-25 09:05:30 | 2014-06-26 14:49:35 |
+------------------------------------------------------------------+----------------+-
--------+---------------------+---------------------+
admin@WF-500> show wildfire last-device-registration all

+--------------+---------------------+-------------+------------+----------+--------+
| Device ID | Last Registered | Device IP | SW Version | HW Model | Status |
+--------------+---------------------+-------------+------------+----------+--------+
| 001606000114 | 2014-07-31 12:35:53 | 10.43.14.24 | 6.1.0-b14 | PA-200 | OK |
+--------------+---------------------+-------------+------------+----------+--------+
admin@WF-500> show wildfire latest

> analysis Muestra los últimos 30 análisis.
> samples Muestra las últimas 30 muestras.
> sessions Muestra las últimas 30 sesiones.
> uploads Muestra las últimas 30 cargas.
admin@WF-500> show wildfire sample-status sha256 equal

809bad2d3fbdf1c18ef47ba9c5a0feca691103f094bc8d7e0cbed480870fd78c

Sample information:
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
| Create Time | File Name |
File Type | File Size | Malicious | Status |
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
| 2014-08-04 11:49:41 | 25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf |
Adobe Flash File | 64502 | No | analysis complete |
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
Session information:
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
| Create Time | Src IP | Src Port | Dst IP | Dst Port | File
| Device ID | App |
Malicious | Status |
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
| 2014-08-04 11:49:41 | 10.10.10.50 | 80 | 192.168.2.10 | 64108 |
25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf | 001606000114 | flash |
No | completed |
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
Analysis information:
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
| Submit Time | Start Time | Finish Time | Malicious | VM Image
| Status |
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
| 2014-08-04 11:49:41 | 2014-08-04 11:49:41 | 2014-08-04 11:56:52 | No | Windows
7 x64 SP1, Adobe Reader 11, Flash 11, Office 2010 | completed |
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
admin@WF-500> show wildfire statistics
Last one hour statistics :

Total sessions submitted : 0
Samples submitted : 0
analyzed : 0
pending : 0
malicious : 0
benign : 0
error : 0
uploaded : 0

Last 24 hours statistics :

Total sessions submitted : 13
Samples submitted : 13
analyzed : 13
pending : 0
malicious : 0
benign : 13
error : 0
uploaded : 0
Connection info:
Wildfire cloud: s1.wildfire.paloaltonetworks.com
Status: Idle
Submit sample: disabled
Submit report: disabled
Selected VM: vm-5
VM internet connection: disabled
VM network using Tor: disabled
Best server: s1.wildfire.paloaltonetworks.com
Device registered: yes
Service route IP address: 10.3.4.99
Signature verification: enable
Server selection: enable
Through a proxy: no
test wildfire registration
Descripción
Realiza una prueba para comprobar el estado de registro de un dispositivo WF-500 o un cortafuegos de Palo
Alto Networks en un servidor de WildFire. Si el resultado de la prueba es correcto, se muestran la dirección IP
o el nombre del servidor de WildFire. Se requiere el registro correcto para que el dispositivo WF-500 o el
cortafuegos puedan reenviar archivos al servidor de WildFire.
Sintaxis
test {
wildfire {
registration;
}

Opciones
No hay opciones adicionales.
A continuación se muestra el resultado correcto de un cortafuegos que puede comunicarse con un dispositivo
WF-500. Si es un dispositivo WF-500 que apunta a la nube de WildFire de Palo Alto Networks, el nombre de
uno de los servidores de la nube se muestra en el campo select the best server:.
Test wildfire
wildfire registration: successful
download server list: successful
select the best server: ca-s1.wildfire.paloaltonetworks.com

Ejemplo de WildFire
El siguiente caso de ejemplo resume todo el ciclo de vida de WildFire™. En este ejemplo, un representante de
ventas de Palo Alto Networks descarga una nueva herramienta de ventas de software que un socio de ventas ha
cargado en Dropbox. El socio de ventas cargó sin querer una versión infectada del archivo de instalación de la
herramienta de ventas y el representante de ventas descargó después el archivo infectado.
Este ejemplo mostrará cómo un cortafuegos de Palo Alto Networks junto con WildFire puede detectar malware
de día cero descargado por un usuario final incluso cuando el tráfico tiene cifrado SSL. Una vez que WildFire
identifica el malware, se envía un log al cortafuegos y este alerta al administrador, que a continuación se pone
en contacto con el usuario para eliminar el malware. WildFire genera a continuación una nueva firma para el
malware y los cortafuegos con una suscripción a Threat Prevention o WildFire descargan la firma para
protegerse en caso de futuras exposiciones. Aunque algunos sitios web de uso compartido de archivos tienen
una función antivirus que comprueba los archivos cuando se cargan, solo pueden proteger contra malware
“conocido”.
Este ejemplo utiliza un sitio web que emplea el cifrado SSL En este caso, el cortafuegos cuenta
con descifrado habilitado, incluida la opción de reenviar contenido descifrado para el análisis.
Para habilitar el reenvío de contenido descifrado a la nube de WildFire, consulte Reenvío de
archivos para el análisis de WildFire.
\
Flujo de trabajo de WildFire
Step 1 El representante de ventas de la empresa asociada carga el archivo de una herramienta de ventas denominado
sales-tool.exe en su cuenta de Dropbox y, a continuación, envía un mensaje de correo electrónico a la
representante de ventas de Palo Alto Networks con un enlace al archivo.
Step 2 La representante de ventas de Palo Alto recibe el correo electrónico del socio de ventas y hace clic en el enlace
de descarga, que la lleva al sitio de Dropbox. A continuación, hace clic en Download (Descargar) para guardar
el archivo en su escritorio.

Ejemplo de WildFire
Flujo de trabajo de WildFire (Continuado)
Step 3 El cortafuegos que protege a la representante de ventas de Palo Alto tiene una regla de perfil de análisis de
WildFire adjunta a una regla de política de seguridad que busca archivos en cualquier aplicación utilizada para
descargar o cargar cualquier tipo de archivo compatible. El cortafuegos también puede estar configurado para
el reenvío del tipo de archivo de enlace de correo electrónico, que permite al cortafuegos extraer enlaces
HTTP/HTTPS contenidos en mensajes de correo electrónico SMTP y POP3. En cuanto la representante de
ventas hace clic en Descargar, la política del cortafuegos reenvía el archivo sales-tool.exe a WildFire, donde el
archivo se analiza para comprobar si hay malware de día cero. Aún cuando la representante de ventas use
Dropbox, que tiene cifrado SSL, el cortafuegos está configurado para descifrar tráfico, por lo que todo el tráfico
se puede inspeccionar. Las siguientes capturas de pantalla muestran la regla del perfil de análisis de WildFire, la
regla de política de seguridad configurada con el perfil de análisis de WildFire y la opción para permitir el reenvío
de contenido descifrado.
Step 4 En este momento, WildFire ha recibido el archivo y está analizándolo en busca de más de 200 comportamientos
malintencionados distintos. Verificación del envío de archivos para comprobar que el cortafuegos haya
reenviado correctamente un archivo o enlaces de correo electrónico para el análisis de WildFire.

Ejemplo de WildFire
Step 5 En aproximadamente cinco minutos, WildFire ha terminado el análisis del archivo y envía un log de WildFire al
cortafuegos con los resultados del análisis. En este ejemplo, el log de WildFire muestra que el archivo es
malintencionado.
Step 6 El cortafuegos se configura con un perfil de reenvío de logs que enviará alertas de WildFire al administrador de
seguridad cuando se detecte malware.

Ejemplo de WildFire
Step 7 El administrador de seguridad identificará al usuario por el nombre (si está configurada la ID de usuario) o, en
caso contrario, por dirección IP. En este punto, el administrador puede apagar la red o la conexión de VPN que
está usando la representante de ventas y, a continuación, ponerse en contacto con el grupo de asistencia técnica
para que ayude al usuario a comprobar y limpiar el sistema.
Al usar el informe de análisis detallado de WildFire, el técnico del grupo de asistencia técnica puede determinar
si el sistema del usuario está infectado con malware examinando los archivos, los procesos y la información de
registro detallados en el informe del análisis de WildFire. Si el usuario ejecuta el malware, el técnico puede
intentar limpiar el sistema manualmente o volver a crear una imagen de este.
Para obtener detalles sobre los campos del informe de WildFire, consulte Informes de análisis de WildFire:
Detallados.
Ilustración: Vista parcial del informe de análisis de WildFire en PDF
Step 8 Una vez que el administrador ha identificado el malware y está comprobando el sistema del usuario, ¿cómo puede
protegerse frente a futuras exposiciones? La respuesta: En este ejemplo, el administrador ha definido una
programación en el cortafuegos para descargar e instalar firmas de WildFire cada 15 minutos y para descargar e instalar
actualizaciones del antivirus a diario. En menos de una hora y media, la representante de ventas ha descargado el
archivo infectado, WildFire ha identificado el malware de día cero, ha generado una firma, la ha añadido a la base de
datos de firmas de actualización de WildFire proporcionada por Palo Alto Networks y el cortafuegos ha descargado
e instalado la nueva firma. Este cortafuegos y cualquier otro cortafuegos de Palo Alto Networks configurado para
descargar firmas de WildFire y de antivirus ahora están protegidos frente a este malware detectado recientemente. La
siguiente captura de pantalla muestra la programación de actualizaciones de WildFire:

Ejemplo de WildFire
Todo esto tiene lugar mucho antes de que la mayoría de los proveedores de antivirus perciban incluso la
existencia de software malintencionado de día cero. En este ejemplo, en un plazo muy breve, el malware ya no
se considera de día cero porque Palo Alto Networks ya lo ha detectado y ha proporcionado protección a los
clientes para evitar exposiciones futuras.

Ejemplo de WildFire

WildFire Administrator Guide-7.0-Spanish

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

WildFire Administrator Guide-7.0-Spanish

Cargado por

Copyright:

Formatos disponibles

Palo Alto Networks

Guía del administrador de WildFire™

Palo Alto Networks

Acerca de esta guía

 Para acceder a la base de conocimientos, foros de debate y vídeos, consulte https://live.paloaltonetworks.com.

Palo Alto Networks, Inc.

Fecha de revisión: mayo 17, 2016

2 • WildFire 7.0 Administrator s Guide Palo Alto Networks

Descripción general de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

Configuración del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Envío de archivos para el análisis de WildFire. . . . . . . . . . . . . . . . . . . . . . . . 43

Palo Alto Networks Guía del administrador deWildFire 7.0 • 3

Supervisión de la actividad de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Uso de la API de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Uso de la CLI del dispositivo WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

4 • Guía del administrador deWildFire 7.0 Palo Alto Networks

Referencia de comandos del modo de operación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Ejemplo de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Palo Alto Networks Guía del administrador deWildFire 7.0 • 5

6 • Guía del administrador deWildFire 7.0 Palo Alto Networks

Palo Alto Networks Guía del administrador deWildFire 7.0 • 7

8 • Guía del administrador deWildFire 7.0 Palo Alto Networks

Flujo de trabajo de decisiones de WildFire de alto nivel

Palo Alto Networks Guía del administrador deWildFire 7.0 • 9

Flujo de decisiones de WildFire detallado

10 • Guía del administrador deWildFire 7.0 Palo Alto Networks

Nube pública de WildFire

Nube privada de WildFire

Palo Alto Networks Guía del administrador deWildFire 7.0 • 11

Nube híbrida de WildFire

12 • Guía del administrador deWildFire 7.0 Palo Alto Networks

Espacio aislado virtual

 Microsoft Windows XP de 32 bits

 Microsoft Windows 7 de 64 bits

 Benign (benigno): la muestra es segura y no muestra comportamiento malintencionado.

Palo Alto Networks Guía del administrador deWildFire 7.0 • 13

Análisis de tipo de archivos

 email-link(Enlace de correo electrónico): enlaces de correo electrónico HTTP/HTTPS incluidos en

 Flash: applets de Adobe Flash y contenido de Flash insertado en páginas web.

 Jar : applets de Java (tipos de archivos JAR/de clase).

Análisis de enlaces de correo electrónico

14 • Guía del administrador deWildFire 7.0 Palo Alto Networks

 Añade la dirección URL a PAN-DB y la clasifica como malware.

Palo Alto Networks Guía del administrador deWildFire 7.0 • 15

16 • Guía del administrador deWildFire 7.0 Palo Alto Networks

Palo Alto Networks Guía del administrador deWildFire 7.0 • 17

18 • Guía del administrador deWildFire 7.0 Palo Alto Networks

Requisitos para la suscripción a WildFire

Palo Alto Networks Guía del administrador deWildFire 7.0 • 19

Prácticas recomendadas para mantener las firmas

Puede escalonar las actualizaciones automáticas mediante el campo Threshold (Hours)

20 • Guía del administrador deWildFire 7.0 Palo Alto Networks

Palo Alto Networks Guía del administrador deWildFire 7.0 • 21

Acerca del dispositivo WF-500

22 • Guía del administrador deWildFire 7.0 Palo Alto Networks

Configuración del dispositivo WF-500

Configuración del dispositivo WF-500

Palo Alto Networks Guía del administrador deWildFire 7.0 • 23

Configuración del dispositivo WF-500 (Continuado)

24 • Guía del administrador deWildFire 7.0 Palo Alto Networks

Configuración del dispositivo WF-500 (Continuado)

Step 5 Active el dispositivo con el código de 1. Cambie al modo de operación:

Palo Alto Networks Guía del administrador deWildFire 7.0 • 25