WildFire Administrator`s Guide 5.1 Spanish
Contents
1. download certificate certificate name lt valor gt include key yes no format pem pkcs12 passphrase lt valor gt BIEN CEV O BIEN techsupport O BIEN statsdump O BIEN generic file lt valor gt se 98 p import configuration from lt valor gt remote port 1 65535 source ip lt ip m scara de red gt O BIEN license from lt valor gt remote port 1 65535 source ip lt ip m scara_de red gt Referencia de la CLI del software del dispositivo WildFire Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de operaci n O BIEN software from lt valor gt remote port 1 65535 source ip lt ip m scara_de red gt O BIEN export mgmt pcap from lt valor gt to lt valor gt remote port 1 65535 source ip lt ip m scara_de red gt O BIEN configuration from lt valor gt to lt valor gt remote port 1 65535 source ip lt ip m scara de red gt O BIEN tech support to lt valor gt remote port 1 65535 source ip lt ip m scara de red gt tftp import configuration from lt valor gt file lt valor gt remote port 1 65535 source ip lt ip m scara de red gt O BIEN certificate from lt valor gt file lt valor gt remote port 1 65535 source ip lt ip m scara de red gt certificate2. Security Policy Rule Action Setting Log Setting Action Deny Allow E Log at Session Start Log at Session End Profile Setting Log Forwarding WildFire Log Forwarding Pe Profile Type Profiles y Antivirus default DY Other Settings Vulnerability Protection default h Schedule None h Anti Spyware default pue QoS Marking None y IRL Filtering None C Disable Server Response Inspection Blocking WildFire File Block Profile A Content ID LL T ES Config Audit Q Password Profiles 8 Administrators URL Continue Timeout min 15 BUser Identification URL Admin Override Timeout min 15 iHigh Availability URL Admin Lockout Timeout min 30 Certificate Management SPEAR El Certificates El Certificate Profile A IO ait E OCSP Responder Allow Forwarding of Decrypted Content LA Response Pages 58 Gu a del administrador de WildFire Supervisi n control y prevenci n del malware en la red WildFire en acci n CASO DE EJEMPLO DE WILDFIRE CONTINUACI N Paso 4 En este momento WildFire ha recibido el archivo y est analiz ndolo en busca de m s de 100 comportamientos malintencionados distintos Para ver que el archivo se ha reenviado correctamente consulte Supervisar gt Logs gt Filtrado de datos en el cortafuegos paloalto NETWORKS Monitor Policies Network Device Dashboard Objects togs B Traffic EY Threat ES URL Filtering E WildFire
3. Gu a del administrador de WildFire Comandos del modo de operaci n 89 Comandos del modo de operaci n filter pretty lt valor gt O BIEN browser O BIEN environmentals fans O BIEN thermal O BIEN power O BIEN setting multi vsys O BIEN high availability all O BIEN state O BIEN control link statistics O BIEN transitions O BIEN path monitoring O BIEN local state O BIEN log config direction equal forward backward csv output equal yes no query equal lt valor gt receive time in Referencia de la CLI del software del dispositivo WildFire last 60 seconds last 15 minutes last hour last 6 hrs last 12 hrs last 24 hrs last cale ndar day last 7 days last 30 days last calendar month 90 start time equal lt valor gt Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de operaci n end time equal lt valor gt serial equal lt valor gt O BIEN not egual lt valor gt client equal web cli O BIEN not equal web cli cmd equal add clone commit create delete edit get load from disk move rename save to disk set O BIEN not equal add clone commit create delete edit get load from disk move rename save to disk set result equal succeeded failed unauthorized O
4. e WildFire se publican nuevas firmas de antivirus de WildFire cada 30 minutos Dependiendo de cu ndo se descubre el malware en el ciclo de publicaci n la cobertura se proporcionar en forma de firma de WildFire 30 60 minutos despu s de que WildFire lo descubra Para conseguir las firmas de WildFire m s recientes programe estas actualizaciones cada hora o cada media hora Para que la programaci n sea m s agresiva puede programar la b squeda de actualizaciones del cortafuegos con una frecuencia de 15 minutos Aunque las actualizaciones de WildFire pueden entrar en conflicto con la actualizaci n de un antivirus o firma de amenazas la actualizaci n debe ser finalizar con xito ya que es mucho m s peque a que la t pica actualizaci n de aplicaci n antivirus y firma de amenazas Cada actualizaci n de WildFire suele contener firmas generadas en los ltimos 7 d as en ese momento entran a formar parte de la actualizaci n de la firma antivirus cada 24 48 horas 28 Gu a del administrador de WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Reenv o de archivos a un dispositivo WF 500 WildFire Comprobaci n de la configuraci n de WildFire en el cortafuegos En esta secci n se describen los pasos necesarios para comprobar la configuraci n de WildFire en el cortafuegos COMPROBACI N DE LA CONFIGURACI N DE WILDFIRE EN EL CORTAFUEGOS Paso 1 Compruebe las suscripciones de WildFire 1 Acceda a Disp
5. O BIEN status O BIEN statistics O BIEN latest analysis filter malicious benign sort by SHA256 Submit Time Start Time Finish Time Malicious Status sort direction asc desc limit 1 20000 days 1 7 O BIEN sessions filter malicious benign sort by SHA256 Create Time Src IP Src Port Dst Ip Dst Port File Device ID App Malicious Status sort direction asc desc limit 1 20000 days 1 7 O BIEN samples filter malicious benign sort by SHA256 Create Time File Name File Type File Size Malicious Status sort direction asc desc limit 1 20000 days 1 7 O BIEN uploads sort by SHA256 Create Time Finish Time Status sort direction asc desc limit 1 20000 days 1 7 O BIEN last device registration all O BIEN 88 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire cli info O BIEN idle timeout O BIEN hide ip O BIEN hide user O BIEN permissions O BIEN jobs all O BIEN pending O BIEN processed O BIEN id 1 4294967296 O BIEN location ip lt ip m scara de red gt O BIEN system software status O BIEN masterkey propertles O BIEN info O BIEN resources follow O BIEN raid detail O BIEN disk space O BIEN disk partition O BIEN files O BIEN state filter lt valor gt O BIEN
6. adminewF 500 gt show interface vm interface N Aparecer n todos los contadores de la interfaz Compruebe que los contadores recibidos transmitidos han aumentado Ejecute el siguiente comando para generar tr fico ping admin WF 500 gt ping source vm interface ip host gateway ip Por ejemplo admin WF 500 gt ping source 10 16 0 20 host 10 16 01 Gu a del administrador de WildFire 21 Configuraci n del dispositivo WF 500 WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Actualizaci n del software del dispositivo WF 500 WildFire En esta secci n se proporcionan las instrucciones necesarias para actualizar el software del dispositivo WildFire en un dispositivo WF 500 WildFire Las actualizaciones de software contienen las ltimas caracter sticas y soluciones de problemas para el software El dispositivo se puede actualizar usando el servidor de actualizaci n de Palo Alto Networks o descargando e instalando las actualizaciones manualmente consulte Actualizaci n manual del software en la p gina 23 Para obtener detalles sobre una versi n espec fica del software consulte las notas de la versi n correspondiente ACTUALIZACI N DEL SOFTWARE DEL DISPOSITIVO WF 500 WILDFIRE Paso 1 Consulte la versi n actual del software del dispositivo WildFire en el dispositivo y compruebe si hay una nueva versi n disponible 1 Introduzca el siguiente comando y compruebe el campo sw versio
7. 63856 dropbox forward 192 168 2 10 04 11 15 06 43 sales tool exe Windows Executable EXE I3 untrust l3 vlan trust p 04 11 15 06 43 sales tool exe Microsoft PE File I3untrust l3 4lan e 192 168 2 10 63356 dropbox forward trust A gt a se Ee 04 11 15 06 39 sales tool exe A Microsoft PE File l3 untrust 3 vlan 192 168 2 10 63356 dropbox wildfire upload success trust HIP Match B Configuration Ed cuesta Paso 5 En aproximadamente cinco minutos WildFire ha terminado el an lisis del archivo y env a un log de WildFire al cortafuegos con los resultados del an lisis En este ejemplo el log de WildFire muestra que el archivo es malintencionado paloalto Monitor Policies 18 Logs BE Traffic Ex Threat URL Filterin i E EB 04 11 15 13 44 sales tool exe A l3untrust l3 vlan trust 63856 dropbox Paso 6 Tambi n hay configurado un perfil de reenv o de logs para alertas de amenaza media de correo electr nico de modo que el administrador de seguridad recibe inmediatamente un correo electr nico en relaci n al malware que ha descargado la representante de ventas paloalto NETWORKS Objects YI pyware g Vulnerability 8 Y Security Profiles g Antivirus Anti Spyware 8 Vulnerability Protection Bur Filtering high 8 File Blocking 14 Ctical WildFire Email Profile 8 Data Filtering Traffic any Enos Protection 4 security Profile Groups Z
8. e2 Nerrvntinn Profile Gu a del administrador de WildFire 59 WildFire en acci n Supervisi n control y prevenci n del malware en la red CASO DE EJEMPLO DE WILDFIRE CONTINUACI N Paso 7 El administrador de seguridad identificar el usuario por el nombre si el ID de usuarios est configurado o en caso contrario por direcci n IP En este punto el administrador puede apagar la red o la conexi n VPN que est usando la representante de ventas y a continuaci n se pondr en contacto con el grupo de asistencia t cnica para que ayude al usuario a comprobar y limpiar el sistema Al usar el informe de an lisis detallado de WildFire el t cnico del grupo de asistencia t cnica puede comprobar si el malware se ha ejecutado en el sistema examinando los archivos los procesos y la informaci n de registro detallados en el informe del an lisis Si se ha ejecutado el malware el t cnico puede intentar limpiar el sistema manualmente o volver a crear una imagen de este Para obtener detalles de los campos del informe de WildFire consulte Qu contienen los informes de WildFire en la p gina 53 Vista parcial del informe de an lisis de WildFire Fie Session Behaviors Network Activity File Information a542a8d4508e078608edaa6d11eeactes232a7776a8869375d29845a7e88b80e0 Antivirus Coverage Virus Coverage Information Malware Session Information 192 168 2 10 63855 msimpson
9. ul paloalto NETWORKS the network security company Palo Alto Networks Gu a del administrador de WildFire Software del dispositivo WildFire 5 1 Informaci n de contacto Sede de la empresa Gu a del administrador 3300 Olcott Street Santa Clara CA 95054 http www paloaltonetworks com contact contact Acerca de esta gu a Esta gu a describe las tareas administrativas necesarias para utilizar y mantener la funci n Palo Alto Networks WildFire Los temas tratados incluyen informaci n de licencias la configuraci n de cortafuegos para reenviar archivos para su inspecci n la visualizaci n de informes y c mo configurar y gestionar el Dispositivo WF 500 WildFire Consulte las siguientes fuentes para obtener m s informaci n A Gu a del administrador de Palo Alto Networks Ofrece informaci n sobre capacidades adicionales e instrucciones sobre la configuraci n de las funciones del cortafuegos A https live paloaltonetworks com Permite acceder a la base de conocimientos la documentaci n al completo foros de debate y v deos A https support paloaltonetworks com Aqu podr contactar con el servicio de asistencia t cnica informarse sobre los programas de asistencia y gestionar su cuenta o sus dispositivos Para enviar sus comentarios sobre la documentaci n dir jase a documentation Mpaloaltonetoworks com Palo Alto Networks Inc www paloaltonetworks com O
10. Nombre y una Descripci n Haga clic en A adir en la ventana Perfil de bloqueo de archivo y a continuaci n haga clic en A adir de nuevo Haga clic en el campo Nombres e introduzca un nombre para la regla Seleccione las aplicaciones que coincidir n con este perfil Por ejemplo si selecciona navegaci n web como la aplicaci n el perfil coincidir con cualquier tr fico de la aplicaci n identificado como navegaci n web En el campo Tipo de archivo seleccione los tipos de archivos que activar n la acci n de reenv o Seleccione Cualquiera para reenviar todos los tipos de archivo admitidos por WildFire o seleccione PE para que solo reenv e archivos Portable Executable En el campo Direcci n seleccione cargar descargar o ambos Si selecciona ambos se activar el reenv o siempre que un usuario trate de cargar o descargar un archivo Defina una acci n de la siguiente forma seleccione Reenviar para este ejemplo e Reenviar el cortafuegos reenviar autom ticamente cualquier archivo que coincida con este perfil a WildFire para su an lisis adem s de distribuir el archivo al usuario e Continuar y reenviar se le indica al usuario que debe hacer clic en Continuar antes de que se produzca la descarga y que se reenv e el archivo a WildFire Como aqu se necesita de la acci n del usuario en un navegador web solo es compatible con aplicaciones de navegaci n web Cuando utilice Continuar y reenviar aseg res
11. n control y prevenci n del malware en la red ADICI N DE CUENTAS DE USUARIO DE WILDFIRE CONTINUACI N Paso 3 Asigne cortafuegos a la nueva cuenta de 1 Seleccione el o los cortafuegos por n mero de serie a los que usuario y acceda al portal de WildFire desea conceder acceso y cumplimente los detalles de cuenta opcionales 2 Se enviar un correo electr nico al usuario Los usuarios con una cuenta de asistencia t cnica existente recibir n un correo electr nico con una lista de los cortafuegos de los cuales ahora pueden ver los informes de WildFire Si el usuario no tiene una cuenta de asistencia t cnica se le enviar un correo electr nico con instrucciones sobre c mo acceder al portal y c mo configurar una nueva contrase a 3 El usuario podr entonces iniciar sesi n en https wildfire paloaltonetworks com y ver informes de WildFire de los cortafuegos a los que se le ha concedido acceso Adem s podr configurar alertas de correo electr nico autom ticas para estos dispositivos con el fin de recibir alertas sobre los archivos analizados Tambi n es posible elegir la opci n de recibir informes sobre archivos con malware o buenos Visualizaci n de informes de WildFire El m todo principal para ver informes de WildFire enviados a la nube de WildFire o a un dispositivo WildFire es acceder al cortafuegos que ha reenviado el archivo a WildFire y despu s ver los logs de WildFire desde la pesta a Supervisa
12. n ala pass de datos de malintencionado adicional 3 1 investigaci n de firmas de amenazas PIOA Oo Nube de WildFire Observaci n y detecci n de m s de 100 comportamientos malintencionados para identificar software malintencionado INFORME Y APLICACI N DE POL TICA Gu a del administrador de WildFire 3 Acerca de WildFire Descripci n general de WildFire Qu contienen los informes de WildFire Por cada archivo que analiza WildFire produce un informe detallado de comportamiento unos minutos despu s del env o del archivo En funci n de c mo se haya enviado el archivo a WildFire y qu suscripciones est n activas en el cortafuegos estos informes estar n disponibles en los logs de WildFire del cortafuegos en el portal de WildFire https wildfire paloaltonetworks com o a trav s de consultas a la API de WildFire Los informes muestran informaci n detallada de comportamiento sobre el archivo informaci n sobre el usuario de destino la aplicaci n que entreg el archivo y todas las direcciones URL involucradas en la entrega o en la actividad phonehome del archivo Si desea m s informaci n sobre c mo acceder a los informes y a las descripciones de los campos de los informes consulte Visualizaci n de informes de WildFire en la p gina 52 Qu acciones debo tomar despu s de que se detecte malware Cuando se detecta malware en su red es importante reaccionar r pido para evitar que se propague a
13. n de malware de d a cero y generar r pidamente firmas para ofrecer protecci n frente a futuras infecciones de todo el malware que detecte El cortafuegos proporciona alertas instant neas en cualquier momento en que se detecte malware en su red mediante el env o de alertas de correo electr nico alertas de Syslog o traps SNMP Esto le permite identificar r pidamente qu usuario descarg el malware y eliminarlo antes de que cause mayores da os o se propague a otros usuarios Adem s cada firma generada por WildFire se propaga autom ticamente a todos los cortafuegos de Palo Alto Networks protegidos con las suscripciones a Threat Prevention o WildFire que ofrecen protecci n automatizada frente a malware incluso si no se ha detectado dentro de la red Actualmente Palo Alto Networks est descubriendo y generando nuevas firmas para miles de aplicaciones de malwares de d a cero cada semana y esta cifra sigue creciendo C mo funciona WildFire Para usar WildFire en el cortafuegos debe configurar un perfil de bloqueo de archivos para enviar archivos a WildFire definiendo la acci n de reenv o en el tipo de archivo Win32 Portable Executable PE De forma alternativa puede seleccionar la acci n Continuar y reenviar para preguntar al usuario antes de descargar el archivo mediante HTTP Dado que los ajustes de WildFire se configuran mediante un perfil de bloqueo de archivos que despu s se adjunta a una pol tica de cortafuegos tiene un cont
14. pero quiere volver al ajuste default cloud borre el campo Servidor WildFire y haga clic en ACEPTAR As restaurar el campo a su valor predeterminado Si el campo no permite la edici n compruebe el siguiente ajusta y aseg rese de que est establecido en no admin PA 200 set deviceconfig setting wildfire disable server select 38 Gu a del administrador de WildFire An lisis de archivos mediante la nube de WildFire Env o de archivos a la nube de WildFire COMPROBACI N DE LA CONFIGURACI N DE WILDFIRE EN EL CORTAFUEGOS CONTINUACI N Paso 3 Compruebe los logs 1 Vaya a Supervisar gt Logs gt Filtrado de datos 2 Confirme que los archivos se est n reenviando a WildFire consultando la columna Acci n e Reenviar Aparece si el perfil de bloqueo del archivo y la pol tica de seguridad reenv an el archivo de forma correcta e Wildfire upload success Aparecer si el archivo se ha enviado a WildFire Esto significa que el archivo no est firmado por un firmante de archivo fiable y que WildFire no lo ha analizado anteriormente e Wildfire upload skip Aparecer en todos los archivos que se identifiquen como aptos para enviarse a WildFire por un perfil de bloqueo de archivos o una pol tica de seguridad pero que no fue necesario que WildFire analizase porque ya se hab an analizado previamente En este caso la acci n de reenviar aparecer en el registro de Filtrado de datos porque era una acci
15. q a pa a a e E A ae Parana ela paso E Submit Time Start Time Finish Time Malicious Status Pr psst annann nma mi po esene e Ps Aa Parana ela pam ie 2013 03 07 10 22 01 2013 03 07 10 22 01 2013 03 07 10 27 02 No completed PASADAS AA PASS A PRES ASS e PS adminewf corp1 gt show wildfire statistics days 7 Last one hour statistics Total sessions submitted Samples submitted Samples analyzed Samples pending Samples malicious Samples benign ODO DO G O G 110 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Samples error Malware sent to cloud Last 7 days statistics Total sessions submitted Samples submitted Samples analyzed Samples pending Samples malicious Samples benign Samples error Malware sent to cloud adminowf corp1 gt show wildfire status Connection info Wildfire cloud Status Auto Submit VM internet connection Best server Device registered Service route IP address Signature verification Server selection Through a proxy Nivel de privilegios requerido superusuario superlector Gu a del administrador de WildFire 23 O O wU OOO wildfire public cloud Idle disabled disabled no 192 168 2 20 enable enable no Comandos del modo de operaci n 111 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire show system raid Descripci n
16. seguridad Panorama solo puede indicar un sistema WildFire dispositivo o nube Si hay un cortafuegos entre el cortafuegos que est reenviando los archivos a WildFire y la nube de WildFire o el dispositivo WildFire aseg rese de que el cortafuegos intermedio permite los puertos necesarios e Nube de WildFire Utiliza el puerto 443 para registro y env o de archivos e Dispositivo WildFire Utiliza el puerto 443 para registro y el 10443 para env o de archivos Siga estas instrucciones en todos los cortafuegos que reenviar n archivos al dispositivo WildFire CONFIGURACI N DEL REENV O AL DISPOSITIVO WF 500 WILDFIRE Paso 1 Compruebe que el cortafuegos tiene una 1 Acceda a Dispositivo gt Licencias y confirme que el cortafuegos suscripci n a WildFire y que las tiene instaladas suscripciones WildFire y de prevenci n de actualizaciones din micas est n amenazas v lidas programadas y actualizadas 2 Acceda a Dispositivo gt Actualizaciones din micas y haga clic en Comprobar ahora para asegurarse de que el cortafuegos tiene las actualizaciones m s recientes del antivirus aplicaciones y amenazas y WildFire 3 Si las actualizaciones no est n programadas h galo ahora Aseg rese de escalonar la programaci n de las actualizaciones porque solo se puede realizar una cada vez Consulte Recomendaciones pata actualizaciones din micas en la p gina 28 para conocer la configuraci n recomendada 24 Gu a
17. 2013 04 11 15 06 45 001606000114 Stu PA 200 dropbox dweb dropbox com get Sales Tool sales tool exe w AACKRYOCJIQp 60 Gu a del administrador de WildFire Supervisi n control y prevenci n del malware en la red WildFire en acci n CASO DE EJEMPLO DE WILDFIRE CONTINUACI N Paso 8 Una vez identificado el malware y comprobado el sistema del usuario c mo protegerse frente a futuras exposiciones La respuesta En este ejemplo el administrador ha definido una programaci n en el cortafuegos para descargar e instalar firmas de WildFire cada 15 minutos y para descargar e instalar actualizaciones del antivirus a diario En menos de una hora y media la representante de ventas ha descargado el archivo infectado WildFire ha identificado el malware de d a cero ha generado una firma la ha a adido a la base de datos de firmas de actualizaci n de WildFire proporcionada por Palo Alto Networks y el cortafuegos ha descargado la nueva firma Este cortafuegos y cualquier otro cortafuegos de Palo Alto Networks configurado para descargar firmas de WildFire protege ahora a los usuarios frente a este malware detectado recientemente paloalto NETWORKS De nm policies objects Network WITS tg Nettiow e Ab RADIUS q _ _ _A gt _ _ _ __ __ __ _ _ Gh LDAP A Kerberos A EBLocal User Database 9 Users A GlobalProtect Data File Schedule None SL user Groups ita E wiarired tast checked
18. 2013 Palo Alto Networks Todos los derechos reservados Palo Alto Networks PAN OS y Panorama son marcas comerciales de Palo Alto Networks Inc Todas las dem s marcas comerciales son propiedad de sus respectivos propietarios N mero de pieza 810 000172 00A Contenido Descripci n general de WildFire coooorirsrrridnrrrr rare 1 Acerca de Wild Pltes 6 0eromorriis rad tir ed repr do 2 C mo funciona Wild Pier cita ds a e a a i E 2 Qu contienen los informes de WildFire sisese ccrcsssrorencsses ui tnea Suus E REESI EE REESS 4 Qu acciones debo tomar despu s de que se detecte malware ooooooooccccccoronocccco ooo 4 Qu implementaciones est n disponibles sss cse csnsrssei dsns sit eu daet riusi Srp o nEs nsrs 4 Cu les son las ventajas de la suscripci n de WildFire oooocooccocoococcccccro ooo 5 An lisis de archivos mediante el dispositivo WF 500 WildFire 7 Acerca del dispositivo WE 500 Wild FltE 0 coi er a dia e a a o 8 Configuraci n del dispositivo WF 500 WildFire ooocccoccccnocccccccn oo 9 AMES de COMENZAR A AA Es 9 Realizaci n de la configuraci n inicial ooooooooooorccccnorrnorrcr iint EKRE n ELi 10 Verificaci n de la configuraci n del dispositivo WF 500 WildFire oooooooooooooccccccooo o 15 Configuraci n de interfaz de la m quina virtual ooooooocooooooooorrccnaco rr 17 Actualizaci n del software del dispositivo WF 500 WildEire oooooococcccocorocorccco ooo
19. Alto Networks Si el env o autom tico est habilitado los archivos infectados con malware se enviar n a este servidor Test wildfire wildfire registration successful download server list successful select the best server cs s1 wildfire paloaltonetworks com Nota El dispositivo s lo enviar archivos a la nube de WildFire si el env o autom tico est habilitado Para obtener informaci n sobre c mo habilitar el env o autom tico consulte las instrucciones de Realizaci n de la configuraci n inicial en la p gina 10 Gu a del administrador de WildFire 15 Configuraci n del dispositivo WF 500 WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire VERIFICACI N DE LA CONFIGURACI N DEL DISPOSITIVO WILDFIRE CONTINUACI N Paso 2 Compruebe el estado del servidor 1 El siguiente comando muestra el estado de WildFire WildFire en el dispositivo adminewF 500 gt show wildfire status A continuaci n aparece un resultado de ejemplo Connection info Wildfire cloud wildfire public cloud Status Idle Auto Submit enabled VM internet connection disabled Best server Device registered yes Service route IP address 192 168 2 20 Signature verification enable Server selection enable Through a proxy no En este ejemplo el env o autom tico est habilitado lo que significa que los archivos identificados como malware se reenviar n a la nube WildFire de Palo Alto Networks
20. Env o de un archivo a la nube de WildFire usando el m todo de env o de archivo La API de WildFire admite archivos ejecutables Win32 Al enviar es necesario el archivo y la clave API para que WildFire abra el archivo en un entorno aislado y lo analice en busca de comportamientos potencialmente malintencionados El m todo de env o de archivo devuelve c digo que un indica un estado satisfactorio o err neo Si el resultado es un c digo 200 OK significa que el env o ha tenido xito y que el resultado estar disponible para su consulta en 5 minutos https wildfire paloaltonetworks com submit file POST file Archivo de muestra que se debe analizar apikey Su clave API de WildFire 200 OK Correcto WildFire procesar el env o 401 Unauthorized Clave API no v lida 402 Payment Required Clave API caducada 403 Forbidden Clave API revocada 405 Method Not Allowed Se ha utilizado un m todo distinto a POST 406 Not Acceptable Error de clave API 413 Request Entity Too Large Tama o de archivo de muestra sobre el l mite m ximo de 10 MB 418 Unsupported File Type No se admite el tipo de archivo de muestra 419 Max Request Reached Se ha superado el n mero m ximo de cargas por d a Env o de un archivo a WildFire usando el m todo de env o de URL Utilice el m todo de env o de URL para enviar un archivo para su an lisis mediante una URL Este m todo es id ntico en cuanto a
21. Las firmas se pueden generar para proteger frente a futuras exposiciones a malware El estado Idle indica que el dispositivo est listo para recibir archivos Device registered muestra yes lo que significa que el dispositivo est registrado en el sistema de nube de WildFire 2 Para comprobar que el dispositivo est recibiendo archivos desde los cortafuegos y que est enviando archivos a la nube de WildFire para la generaci n de firmas si el env o autom tico est habilitado introduzca el siguiente comando admineWwF 500 gt show wildfire statistics days 7 Last one hour statistics Total sessions submitted 0 Samples submitted 0 Samples analyzed 0 Samples pending 0 Samples malicious 0 Samples benign 0 Samples error 0 Malware sent to cloud 0 Last 7 days statistics Total sessions submitted 66 Samples submitted 34 Samples analyzed 34 Samples pending a 0 Samples malicious 2 Samples benign 32 Samples error 0 Malware sent to cloud 0 3 Para ver estad sticas m s detalladas introduzca el siguiente comando adminewF 500 gt show wildfire latest analysis samples sessions uploads Por ejemplo para mostrar detalles sobre los ltimos 30 resultados del an lisis introduzca el siguiente comando adminewF 500 gt show wildfire latest analysis 16 Gu a del administrador de WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Configuraci n del dispositivo WF
22. Muestra la configuraci n RAID del dispositivo El dispositivo WF 500 WildFire se entrega con cuatro unidades en las cuatro primeras bah as de unidades A1 A2 B1 B2 Las unidades A1 y A2 son el par RAID 1 y las unidades B1 y B2 son el segundo par RAID 1 Ubicaci n de jerarqu a show system Sintaxis raid detail Opciones No hay opciones adicionales Resultado de muestra A continuaci n se muestra la configuraci n RAID en un dispositivo WildFire WF 500 admin wf corpl gt show system raid detail Disk Pair A Available Status clean Disk id A1 Present model ST91000640NS size 953869 MB partition 1 active sync partition 2 active sync Disk id A2 Present model ST91000640NS size 953869 MB partition 1 active sync partition 2 active sync Disk Pair B Available Status clean Disk id B1 Present model ST91000640NS size 953869 MB partition 1 active sync 112 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de operaci n partition 2 active sync Disk id B2 Present model ST91000640NS size 953869 MB partition 1 active sync partition 2 active sync Nivel de privilegios requerido superusuario superlector Gu a del administrador de WildFire 113 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire 114 Gu a del administrador de WildFire
23. Networks A Acerca del software del dispositivo WildFire A Comandos del modo de configuraci n A Comandos del modo de operaci n Gu a del administrador de WildFire 63 Acerca del software del dispositivo WildFire Referencia de la CLI del software del dispositivo WildFire Acerca del software del dispositivo WildFire En esta secci n se presenta la interfaz de l nea de comandos CLI del software del dispositivo WildFire y se describe su uso A Acerca de la estructura de la CLI del software del dispositivo WildFire A Acceso a la CLI A Uso de los comandos de la CLI del software del dispositivo WildFire Acerca de la estructura de la CLI del software del dispositivo WildFire La CLI del software del dispositivo WildFire se usa manejar dicho dispositivo La CLI es la nica interfaz del dispositivo Sirve para ver informaci n de estado y configuraci n y modificar la configuraci n del dispositivo Acceda a la CLI del software del dispositivo WildFire a trav s de SSH o de un acceso directo a la consola usando el puerto de la consola La CLI del software del dispositivo WildFire tiene dos modos de funcionamiento Modo de operaci n Permite ver el estado del sistema navegar por la CLI del software del dispositivo WildFire y acceder al modo de configuraci n Modo de configuraci n Permite ver y modificar la jerarqu a de configuraci n Si desea m s informaci n sobre estos modos consulte Modos de comando de la CLT
24. al generador de firmas de WildFire que autom ticamente genera una firma en funci n de la carga de malware de la muestra y prueba su precisi n y seguridad Dado que el malware evoluciona r pidamente las firmas que genera WildFire cubrir n diversas variantes de este La nueva firma se distribuye entonces en 30 60 minutos a todos los cortafuegos de Palo Alto Networks con una suscripci n de WildFire o el d a siguiente como parte de la actualizaci n del antivirus para los cortafuegos que solo tienen una suscripci n de Threat Prevention En cuanto el cortafuegos se actualiza con la nueva firma los archivos que contienen ese malware o una variante de este se eliminar n autom ticamente La informaci n recopilada por WildFire durante el an lisis del malware tambi n se usa para fortalecer otras funciones de Threat Prevention como las categor as de URL de malware PAN DB las firmas DNS y las firmas antispyware y antivirus Palo Alto Networks tambi n desarrolla firmas para el tr fico de comandos y control lo que permite la interrupci n inmediata de la comunicaci n de cualquier tipo de malware en la red Si desea m s informaci n sobre las ventajas de tener una suscripci n de WildFire consulte Cu les son las ventajas de la suscripci n de WildFire en la p gina 5 El siguiente diagrama ilustra el flujo de trabajo de WildFire Filtraci n de datos confidenciales Comando y E control S lt A OS E Descarga de software Adici
25. aparece la jerarqu a completa mientras que al introducir mostrar con palabras clave aparece un segmento de la jerarqu a Por ejemplo cuando se ejecuta el comando mostrar desde el nivel m s alto del modo de configuraci n se muestra toda la configuraci n Si se ejecuta el comando editar configuraci n de gesti n y se introduce mostrar o se ejecuta el comando mostrar configuraci n de gesti n solo aparece la parte de la jerarqu a relativa a la configuraci n de gesti n Rutas de jerarqu a Al introducir comandos la ruta se traza a trav s de la jerarqu a del siguiente modo deviceconfig setting system management wildfire auto submit cloud server vm network enable no yes Por ejemplo el siguiente comando asigna el servidor de DNS principal 10 0 0 246 para el dispositivo editar nombreusuarioenombrehostH establecer servidores principales para configuraci n de DNS 10 0 0 246 para el sistema deviceconfig Gu a del administrador de WildFire 73 Modos de comando de la CLI Referencia de la CLI del software del dispositivo WildFire Este comando genera un nuevo elemento en la jerarqu a y en los resultados del siguiente comando mostrar editar nombreusuarioenombrehostk show deviceconfig system dns settings dns setting servers primary 10 0 0 246 editar nombreusuarioenombrehost deviceconfig setting system default gateway dns setting servers primary seconda
26. configuraci n b sica INTEGRACI N DEL DISPOSITIVO WILDFIRE EN UNA RED Paso 1 Realice las tareas de la secci n Antes de comenzar en la p gina 9 El dispositivo se ha montado en rack La informaci n de IP est preparada interfaz MGT y direcci n IP de la interfaz vm m scara de subred puerta de enlace nombre de host servidor DNS El ordenador de gesti n est conectado al puerto MGT en el dispositivo o el puerto de la consola Paso 2 Registre el dispositivo WildFire I Obtenga el n mero de serie de la etiqueta de n mero de serie en el dispositivo o ejecute el siguiente comando de la CLI admin WF 500 gt show system info Con un navegador acceda a https support paloaltonetworks com Registre el dispositivo de la siguiente forma Si es el primer dispositivo de Palo Alto Networks que registra y a n no tiene un inicio de sesi n haga clic en Registrar en el lado derecho de la p gina Para el registro debe proporcionar una direcci n de correo electr nico y el n mero de serie del dispositivo Cuando se le solicite establezca un nombre de usuario y una contrase a para acceder a la comunidad de asistencia t cnica de Palo Alto Networks Con las cuentas existentes solo tiene que iniciar sesi n y hacer clic en Mis dispositivos Despl cese hasta la secci n Registrar dispositivo en la parte inferior de la pantalla e introduzca el n mero de serie del dispositivo su ciudad y su c digo
27. de cambio nombreusuarioenombrehostH salir Saliendo del modo de configuraci n nombreusuarioenombrehost gt Ejemplo Sintaxis no v lida nombreusuarioenombrehost gt depurar 17 Comando no reconocido Sintaxis no v lida nombreusuarioenombrehost gt 66 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Acceso a la CLI La CLI comprueba la sintaxis de cada comando Si la sintaxis es correcta se ejecuta el comando y se registran los cambios de la jerarqu a del candidato Si la sintaxis no es correcta aparece un mensaje de sintaxis no v lida como en el siguiente ejemplo nombreusuarioenombrehosti establecer aplicaci n de zona 1 1 2 2 Comando no reconocido Sintaxis no v lida editar nombreusuarioenombrehost Acceso a los modos de operaci n y configuraci n Al iniciar sesi n la CLI del software del dispositivo WildFire se abre en el modo de operaci n Puede alternar entre los modos de operaci n y navegaci n en cualquier momento Para entrar en el modo de configuraci n desde el modo de operaci n use el comando configurar nombreusuarioenombrehost gt configurar Entrando en el modo de configuraci n editar nombreusuarioenombrehost e Para salir del modo de configuraci n y regresar al modo de operaci n use el comando abandonar o el comando salir nombreusuarioenombrehostk abandonar Saliendo del modo de configuraci n nombreusuarioenombrehost gt Pa
28. de env o autom tico a menos que el mismo malware haya sido detectado por otro cliente y se haya enviado la misma muestra a la nube p blica de WildFire Si el env o autom tico est habilitado el dispositivo reenviar todo el malware detectado a la nube de Palo Alto Networks WildFire donde se usar para generar una firma de antivirus para detectar y bloquear futuras instancias de malware Logs de WildFire integrados cuando WildFire termina de analizar un archivo env a un log de WildFire al cortafuegos que envi el archivo Estos logs se pueden ver desde Supervisar gt Logs gt WildFire y se puede obtener acceso directo al informe completo de an lisis desde el sistema de WildFire haciendo clic en el bot n Ver informe de WildFire Tener los datos del log de WildFire sobre el cortafuegos hace que los logs de amenazas sean tan tiles como los dem s y permite configurar SN MP Syslog alertas de correo electr nico y el reenv o a Panorama Sin la suscripci n de WildFire solo se puede acceder a los logs de WildFire con el portal web de WildFire en wildfire paloaltonetworks com API de WildFire la suscripci n de WildFire proporciona acceso a la API de WildFire lo que permite tener un acceso directo program tico al servicio WildFire en la nube de Palo Alto Networks WildFire Puede usar la API de WildFire para enviar archivos a la nube de WildFire y recuperar informes de los archivos enviados La API de WildFire admite hasta 100 en
29. dispositivo WildFire A Mensajes de comandos de la CLI A Acceso alos modos de operaci n y configuraci n A Mostrar opciones de comandos de la CLI del software del dispositivo WildFire Gu a del administrador de WildFire 65 Acceso a la CLI Referencia de la CLI del software del dispositivo WildFire A S mbolos de opciones de comandos A Niveles de privilegio A Modos de comando de la CLI Convenciones de comandos de la CLI del software del dispositivo WildFire El mensaje de comandos b sico incluye el nombre de usuario y de host del dispositivo nombreusuarioenombrehost gt Ejemplo msimpsonewf corpl gt Al entrar en el modo de configuraci n el mensaje cambia de gt a nombreusuarioenombrehost gt modo de operaci n nombreusuarioenombrehost gt configurar Entrando en el modo de configuraci n editar nombreusuarioenombrehost modo de configuraci n En el modo de configuraci n el contexto de jerarqu a actual se muestra en el titular editar que aparece entre corchetes cuando se emite un comando Mensajes de comandos de la CLI Pueden aparecer mensajes al emitir un comando Los mensajes ofrecen informaci n de contexto y pueden ayudar a corregir comandos no v lidos En los siguientes ejemplos el mensaje se muestra en negrita Ejemplo Comando desconocido nombreusuariocenombrehostk grupo de aplicaciones Comando desconocido grupo de aplicaciones editar red nombreusuarioenombrehost Ejemplo Modos
30. el cortafuegos se puede comunicar con un sistema WildFire de forma que los archivos se puedan reenviar para su an lisis ejecute el siguiente comando de la CLI adminePA 200 gt test wildfire registration En la siguiente salida el cortafuegos indica la nube de WildFire Si el cortafuegos est indicando un dispositivo WildFire mostrar el nombre de host o la direcci n IP del dispositivo Test wildfire wildfire registration successful download server list successful select the best server ca s1 wildfire Si los problemas con las licencias contin an p ngase en contacto con su distribuidor o con un ingeniero de sistemas de Palo Alto Networks para confirmar todas las licencias y conseguir un nuevo c digo de autorizaci n si es necesario Paso 2 Confirme que el cortafuegos est 1 enviando archivos al sistema WildFire correcto Para determinar si el cortafuegos est reenviando archivos a la nube WildFire de Palo Alto Networks o a un dispositivo WildFire vaya a Dispositivo gt Configuraci n gt WildFire Haga clic en el bot n de edici n Configuraci n general Si el cortafuegos est reenviando archivos a la nube de WildFire este campo deber a aparecer como default cloud Si est reenviando archivos a un dispositivo WildFire aparecer n la direcci n IP o FQDN del dispositivo WildFire En Panorama el nombre predeterminado de la nube es wildfire public cloud Nota Si ha modificado el valor de este campo
31. infectado Si el archivo no se ha detectado nunca antes por ninguno de los proveedores mostrados aparecer file not found archivo no encontrado e Verdict veredicto muestra el veredicto del an lisis e Benign bueno el archivo es seguro y no muestra comportamiento malintencionado e Malware malware WildFire ha identificado el archivo como malware y generar una firma que proteja contra futuras exposiciones Si un dispositivo WildFire ha analizado el archivo y el env o autom tico est deshabilitado el archivo no se reenviar a la nube de WildFire por lo que no se generar ninguna firma Informaci n de sesi n Muestra la informaci n de sesi n que aparecer en los informes de WildFire La configuraci n de estas opciones se define en el cortafuegos que env a el archivo de muestra a WildFire y se realiza en la pesta a Dispositivo gt Configuraci n gt WildFire en la secci n Ajustes de informaci n de sesi n A continuaci n se enumeran las opciones disponibles IP de origen Puerto de origen e IP de destino e Puerto de destino Sistema virtual si VSYS m ltiple est configurado en el cortafuegos e Aplicaci n Usuario si el ID de usuarios est configurado en el cortafuegos e URL Nombre de archivo Behavioral Summary Resumen de Muestra los distintos comportamientos que ha tenido el archivo Por ejemplo si ha creado o modificado archivos iniciado un proceso generado procesos
32. n podr an perderse si se interrumpe la alimentaci n del dispositivo Activo Candidato Guardado Configuraci n Configuraci n Configuraci n Compilar Guardar Cargar Establecer Mantener la configuraci n de un candidato y separar los pasos de guardado y compilaci n conlleva importantes ventajas en comparaci n con las arquitecturas CLI tradicionales Distinguir entre los conceptos de guardado y compilaci n permite hacer m ltiples cambios simult neos y reduce la vulnerabilidad del sistema e Los comandos se pueden adaptar f cilmente para funciones similares Por ejemplo al configurar dos interfaces Ethernet cada una con una direcci n IP puede editar la configuraci n de la primera interfaz copiar el comando modificar solo la interfaz y la direcci n IP y a continuaci n aplicar el cambio a la segunda interfaz e La estructura de comandos siempre es constante Dado que la configuraci n del candidato siempre es exclusiva todos los cambios autorizados de la configuraci n del candidato ser n coherentes entre s 72 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Modos de comando de la CLI Acerca de la jerarqu a de configuraci n La configuraci n del dispositivo se organiza con una estructura jer rquica Para mostrar un segmento del nivel actual de la jerarqu a use el comando mostrar Al introducir mostrar
33. ninguna otra En el campo Name Nombre del cuadro de di logo Zona interfaz a la zona wf vm porque el tr fico 5 D i Ton introduzca vf vm zone y a continuaci n haga clic en en el interior de la zona se habilitar de ACEPTAR forma predeterminada lo que permitir a l alu itico de la interaz vm acceder unia En el cuadro desplegable Enrutador virtual seleccione red distinta a Internet predeterminado 6 Para asignar una direcci n IP a la interfaz seleccione la pesta a IPv4 haga clic en A adir en la secci n IP e introduzca la direcci n IP y la m scara de red para asignarlas a la interfaz por ejemplo 10 16 0 0 22 7 Para guardar la configuraci n de la interfaz haga clic en Aceptar Paso 2 Cree una pol tica de seguridad en el 1 Seleccione Pol ticas gt Seguridad y haga clic en A adir cortafuegos para permitir el acceso desde 7 En la pesta a General campo Name Nombre introduzca la interfaz vm a Internet y bloquear todo Interfaz VM de WildFire el tr fico entrante En este ejemplo el 3 3 nombresdela politica s Interfaz VM de 3 Enla pesta a Origen establezca la zona de origen como WildFire Como no se crear una pol tica Wwivm intertace de seguridad desde la zona no fiable a la 4 En la pesta a Destino establezca la zona de destino como zona de interfaz wf vm todo el tr fico No fiable entrante se bloquear de forma 5 En las pesta as Aplicaci n y Categor a de URL servicio deje predeterminada de forma
34. otros sistemas Para asegurarse de recibir alertas inmediatas de detecci n de malware en su red configure sus cortafuegos para que env en notificaciones de correo electr nico traps SNMP o Syslog siempre que WildFire devuelva un veredicto de malware sobre un archivo reenviado desde un cortafuegos Esto le permite ver r pidamente el informe del an lisis de WildFire e identificar qu usuario descarg el malware determinar si el usuario ejecut el archivo infectado y evaluar si el malware ha intentado propagarse a otros hosts de la red Si determina que el usuario ejecut el archivo puede desconectar r pidamente el equipo de la red para impedir que el malware se propague y seguir los procesos de respuesta a incidentes y reparaci n seg n sea necesario Para obtener m s informaci n sobre los informes de WildFire y ver un ejemplo de WildFire en acci n consulte Supervisi n control y prevenci n del malware en la red en la p gina 47 Qu implementaciones est n disponibles El cortafuegos de pr xima generaci n de Palo Alto Networks admite las siguientes implementaciones de WildFire Nube de Palo Alto Networks WildFire En esta implementaci n el cortafuegos reenv a los archivos al entorno de WildFire alojado que pertenece a Palo Alto Networks y est mantenido por este Cuando WildFire detecta un nuevo malware genera nuevas firmas en la hora pr xima a la detecci n Los cortafuegos equipados con una suscripci n de Wild
35. permitir al cortafuegos reenviar muestras a Wild Fire para su an lisis No se requiere ninguna suscripci n para usar Wild Fire para el aislamiento de archivos enviados desde cortafuegos de Palo Alto Networks a la nube de WildFire Para realizar la detecci n y el bloqueo de malware conocido una vez detectado por WildFire se requiere una suscripci n de Threat Prevention o WildFire La suscripci n de Threat Prevention permite al cortafuegos recibir actualizaciones diarias de firma de antivirus lo que proporciona protecci n para todas las muestras de malware detectadas por WildFire de forma general para todos los clientes con esta suscripci n Asimismo la suscripci n de Threat Prevention proporciona acceso a actualizaciones semanales de contenido que incluyen protecci n frente a vulnerabilidades y firmas antispyware Para beneficiarse al completo del servicio WildFire cada cortafuegos debe tener una suscripci n de WildFire que ofrece las siguientes ventajas e Actualizaciones din micas de WildFire nuevas firmas de malware con frecuencias inferiores a una hora Se pueden configurar en Dispositivo gt Actualizaciones din micas En la hora siguiente a la detecci n del nuevo malware WildFire crea una nueva firma de malware y la distribuye mediante las actualizaciones din micas de WildFire que el cortafuegos puede sondear cada 15 30 o 60 minutos El cortafuegos se puede configurar para que realice acciones espec ficas con respecto a las f
36. postal y haga clic en Registrar dispositivo 10 Gu a del administrador de WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Configuraci n del dispositivo WF 500 WildFire INTEGRACI N DEL DISPOSITIVO WILDFIRE EN UNA RED CONTINUACI N Paso 3 Conecte el ordenador de gesti n al dispositivo usando el puerto MGT o el puerto de consola y encienda el dispositivo ll 2 Con ctese al puerto de la consola o al puerto MGT Ambos se encuentran en la parte posterior del dispositivo Puerto de la consola conector serie macho de 9 clavijas Utilice la siguiente configuraci n en la aplicaci n de la consola 9600 8 N 1 Conecte el cable proporcionado al puerto de serie en el dispositivo de gesti n o al conversor USB serie e Puerto MGT puerto RJ 45 Ethernet De forma predeterminada la direcci n IP del puerto MGT es 192 168 1 1 La interfaz del ordenador de gesti n debe estar en la misma subred que el puerto MGT Por ejemplo establezca la direcci n IP del ordenador de gesti n 192 168 1 5 Conecte el dispositivo Nota El dispositivo se activar tan pronto como se encienda la primera fuente de alimentaci n Sonar un pitido de advertencia hasta que terminen de conectarse todas las fuentes de alimentaci n Si el dispositivo ya est conectado pero est apagado utilice el bot n de encendido de la parte frontal del dispositivo para encenderlo Paso 4 Restablezca la contrase a d
37. predeterminada Cualquiera 6 En la pesta a Acciones establezca Configuraci n de acci n como Permitir 7 En Ajuste de log seleccione la casilla de verificaci n Log al finalizar sesi n Nota Si le preocupa que alguien pueda a adir de forma accidental otras interfaces a la zona wf vm clone la pol tica de la seguridad de la interfaz VM de WildFire y a continuaci n en la pesta a Acci n de la regla clonada seleccione Denegar Aseg rese de que esta nueva pol tica de seguridad aparece bajo la pol tica de seguridad de la interfaz VM de WildFire Esto har que la intrazona impl cita active la regla que permite sobrescribir las comunicaciones entre interfaces de la misma zona y denegar bloquear cualquier comunicaci n intrazona 20 Gu a del administrador de WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Configuraci n del dispositivo WF 500 WildFire CONFIGURACI N DE LA INTERFAZ DEL CORTAFUEGOS PARA LA RED DE LA M QUINA VIRTUAL CONTINUACI N Paso 3 Conecte los cables Conecte f sicamente la interfaz vm del dispositivo WildFire al puerto que ha configurado en el cortafuegos Ethernet 1 3 en este ejemplo usando un cable RJ 45 directo La interfaz vm aparece con la etiqueta 1 en la parte posterior del dispositivo Paso 4 Compruebe que la interfaz vm est 1 Desde el modo de operaci n de la CLI del dispositivo WildFire transmitiendo y recibiendo tr fico ejecute el siguiente comando
38. sitio de Dropbox A continuaci n hace clic en Descargar y el archivo se guarda en su escritorio ar uaa PE OPIN A A SA From Stu sales tool exe 5 mins ago 255 32 KB Test file Click here to view Download Stu shared these files using Dropbox Enjoy Gu a del administrador de WildFire 57 WildFire en acci n Supervisi n control y prevenci n del malware en la red CASO DE EJEMPLO DE WILDFIRE CONTINUACI N Paso 3 El cortafuegos que protege a la representante de ventas de Palo Alto tiene un perfil de bloqueo de archivos adjunto a una pol tica de seguridad que busca archivos en cualquier aplicaci n utilizada para descargar o cargar cualquier tipo de archivo Portable Executable PE En cuanto la representante de ventas hace clic en Descargar la pol tica del cortafuegos tambi n reenv a el archivo sales tool exe a WildFire para su an lisis Aun cuando la representante de ventas use Dropbox que tiene cifrado SSL el cortafuegos est configurado para el descifrado por lo que todo el tr fico se puede revisar y los archivos se pueden reenviar a WildFire Las siguientes capturas de pantalla muestran el perfil de bloqueo de archivos la pol tica de seguridad configurada con el perfil de bloqueo de archivos y la opci n para permitir el reenv o de contenido descifrado File Blocking Profile Name WildFire File Block Profiel Description File block profile to forward files to WildFire
39. 2013 04 11 17 00 37 Schedule Every 15 Minutes download and inst n 9 Authentication Sequence IS as a voy RR baazi a AC OS Ds Scheduled Log Export 12223 panup inc Incremen 3 MB 2013 04 05 vw Revert Release 17612 wildfire 11 31 37 previously Notes Cb Software 12223 GlobalProtect Client 17612 QQ 12510 panup all Full 3 MB 2013 04 11 v Y Release unl OO 17908 wildfire 15 38 03 Notes Q Licenses 12510 N tinnar t 17908 Todo esto tiene lugar mucho antes de que la mayor a de los proveedores de antivirus perciban incluso la existencia de malware de d a cero En este ejemplo el malware ya no se considera de d a cero ya que Palo Alto Networks sabe de su existencia y ya ha proporcionado la protecci n correspondiente a sus clientes Gu a del administrador de WildFire 61 WildFire en acci n Supervisi n control y prevenci n del malware en la red 62 Gu a del administrador de WildFire 5 Referencia de la CLI del software del dispositivo WildFire En este cap tulo se describen los comandos de la CLI espec ficos para el software del dispositivo WF 500 WildFire El resto de comandos tales como las interfaces de configuraci n confirmaci n de la configuraci n y el ajuste de la informaci n del sistema son id nticos a PAN OS y tambi n se muestran en la jerarqu a Para obtener m s informaci n sobre los comandos de PAN OS consulte la Gu a de referencia de la interfaz de l nea de comandos de PAN OS de Palo Alto
40. 22 Reenv o de archivos a un dispositivo WF 500 WildFire ooooccocccconccccccao ro 24 Recomendaciones para actualizaciones din micas ooooocccccooocorcccc ro 28 Comprobaci n de la configuraci n de WildFire en el cortafuegos oooo oocoooooooccccccoroo 29 An lisis de archivos mediante la nube de WildFire 33 Env o de archivos a la nube de WildPite cocos corras ra a n SEn nER EIENEN RENS 34 Recomendaciones para actualizaciones din micas ooooooocccccccon cor 37 Comprobaci n de la configuraci n de WildFire en el cortafuegos ooooococococooocccccooooo 38 Carga de archivos en el portal de la nube de WildFire ooooo ooccoooccccccconoo rr 42 Carga de archivosusando la API d Wild Bites oi ii a ia ica aqii 43 Supervisi n control y prevenci n del malware en la red4 7 Acerca delos logside WildEltE xiii ca e a ae aa 48 Supervisi n de env os con la nube de WildFire oooooocccccccooroncrccn o 49 Personalizaci n de la configuraci n del portal de WildFire oooooooooooooccccooronoo o oo 50 Cuentas de usuario del portal de WildFire oooooccccccccnococccncoo rr 51 Adici n de cuentas de usuario de WildPlte ooooccconss nori rr an EEEn iaa uE ea 51 Visualizaci n de ntormes de Wild BIE 0 iii sae saan E A E EA E S 52 Qu contienen los informes de WildFire oooooocooooccroccconco rr 53 Configuraci n de alertas para el malware detectado ooooooocccccccnococcccco or 55 WildFire en AC
41. 27 37 0004A100237 21 97 0 08 22 2011 11 06 37 0006C 103719 17 0 0 08 28 2011 01 30 11 Q006C104028 0 o 09 06 2011 06 18 27 0006C 105153 0 3 o 09 08 2011 07 50 55 7 Days 0091A100029 9 21 0 09 07 2011 01 41 42 0003C103099 340 1074 0004A100237 111 240 09 01 2011 08 27 37 08 22 2011 11 06 37 09 11 2011 12 18 56 09 08 2011 10 51 23 0903 2011 08 53 15 09 07 2011 09 37 36 09 06 2011 06 18 27 o 0 o 0 0 0 08 28 2011 01 30 11 0 0 o 09 08 2011 07 50 55 0 6 6 1 o 3 o 3 1 09 08 2011 03 54 46 Gu a del administrador de WildFire 49 Supervisi n de env os con la nube de WildFire Supervisi n control y prevenci n del malware en la red Personalizaci n de la configuraci n del portal de WildFire Esta secci n describe los ajustes que pueden personalizarse para una cuenta de portal como la zona horaria y las notificaciones de correo electr nico de cada cortafuegos Tambi n puede eliminar logs de cada cortafuegos que reenv a archivos a la nube de WildFire CONFIGURACI N DEL PORTAL DE WILDFIRE Paso 1 Configure la zona horaria para la cuenta del portal hb Vaya al portal en https wildfire paloaltonetworks com e inicie sesi n usando sus credenciales de inicio de sesi n de asistencia t cnica de Palo Alto Networks o su cuenta de usuario de WildFire Haga clic en el v nculo Settings Configuraci n situado en la parte superior derecha de la ventana del portal
42. 500 WildFire VERIFICACI N DE LA CONFIGURACI N DEL DISPOSITIVO WILDFIRE CONTINUACI N Paso 3 Compruebe que los cortafuegos 1 Introduzca el siguiente comando para que muestre una lista de configurados para enviar archivos cortafuegos registrados en el dispositivo se han registrado correctamente en el adminewF 500 gt show wildfire dispositivo WildFire last device registration all El resultado mostrar la siguiente informaci n sobre cada cortafuegos registrado para enviar archivos al dispositivo n mero de serie del cortafuegos fecha de registro direcci n IP versi n de software modelo de hardware y estado Si no aparece ning n cortafuegos puede que haya alg n problema de conectividad entre los cortafuegos y el dispositivo Compruebe la red para confirmar que los cortafuegos y el dispositivo WildFire se pueden comunicar Utilice las pruebas de ping desde el dispositivo hasta la direcci n de la puerta de enlace o a uno de los cortafuegos configurados para enviar al dispositivo Por ejemplo si uno de los cortafuegos est en la direcci n IP 10 0 5 254 las respuestas se mostrar n cuando se ejecute el siguiente comando de la CLI desde el dispositivo adminewF 500 gt ping host 10 0 5 254 Configuraci n de interfaz de la m quina virtual La interfaz de la m quina virtual proporciona conectividad de red externa a las m quinas virtuales de los elementos de aislamiento en el dispositivo WF 500 En las siguientes sec
43. BIEN not equal succeeded failed unauthorized O BIEN system direction equal forward backward csv output equal yes no query equal lt valor gt receive time in last 60 seconds last 15 minutes last hour last 6 hrs last 12 hrs last 24 hrs last cale ndar day last 7 days last 30 days last calendar month start time equal lt valor gt end time equal lt valor gt serial equal lt valor gt O BIEN not equal lt valor gt Gu a del administrador de WildFire 91 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire de 92 opaque contains lt valor gt severity equal critical high medium low informational O BIEN not equal critical high medium low informational O BIEN greater than or equal critical high medium low informational O BIEN less than or equal critical high medium low informational subtype equal lt valor gt O BIEN not equal lt valor gt object equal lt valor gt O BIEN not equal lt valor gt eventid equal lt valor gt O BIEN not equal lt valor gt id equal lt valor gt O BIEN not equal lt valor gt bug web server reset cache O BIEN log level info O BIEN warn O BIEN Grit O BIEN debug Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos
44. Configuraci n de interfaz de la m quina virtual Actualizaci n del software del dispositivo WF 500 WildFire Antes de comenzar Gu a del administrador de WildFire Monte en un rack el dispositivo WF 500 WildFire y con ctelo Consulte la WF 500 WildFire Appliance Hardware Reference Guide Gu a de referencia de hardware de WF 500 WildFire Obtenga la informaci n necesaria para configurar la conectividad de la red en el puerto MGT y la interfaz de la m quina virtual desde su administrador de red direcci n IP m scara de subred puerta de enlace nombre de host servidor DNS Toda la comunicaci n entre los cortafuegos y el dispositivo se produce en el puerto MGT incluidos los env os de archivo la distribuci n de logs de WildFire y la administraci n de dispositivos Por lo tanto debe asegurarse de que los cortafuegos tienen conectividad con el puerto MGT del dispositivo Adem s el dispositivo se debe poder conectar al sitio updates paloaltonetworks com para recuperar las actualizaciones de software del sistema operativo Debe tener preparado un ordenador con un cable de consola o cable Ethernet para conectarse al dispositivo para la configuraci n inicial Configuraci n del dispositivo WF 500 WildFire Realizaci n de la configuraci n inicial An lisis de archivos mediante el dispositivo WF 500 WildFire En esta secci n se describen los pasos necesarios para instalar un dispositivo WF 500 WildFire en una red y realizar una
45. Fire lo que indica que el dispositivo firewall podr n enviar archivos al servidor de WildFire para su an lisis Ubicaci n de jerarqu a Nivel m ximo del modo de operaciones Sintaxis test wildfire registration Opciones No hay opciones adicionales Resultado de muestra A continuaci n se muestra un resultado satisfactorio de un firewall que puede comunicarse con un dispositivo WildFire Si es un dispositivo WildFire apuntando a la Nube de WildFire de Palo Alto Networks el nombre del servidor de uno de los servidores de la Nube se muestra en el campo seleccione el mejor servidor Test wildfire registro de wildfire successful download server list successful select the best server ca s1 wildfire paloaltonetworks com Nivel de privilegios requerido superusuario superlector 104 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de operaci n set wildfire portal admin Descripci n Establece la contrase a de la cuenta de administrador del portal que servir para ver los informes de WildFire desde un firewall El nombre de usuario y la contrase a predeterminados son admin admin Tras introducir el comando pulse Intro y aparecer un mensaje para cambiar la contrase a Esta cuenta se usa cuando se ven los detalles del log de WildFire en el firewall o Panorama y se hace clic en Ver informe WildFire Despu s de la autenticaci n se rec
46. Fire pueden recibir las nuevas firmas en los siguientes 30 60 minutos los cortafuegos con solo una suscripci n de Threat Prevention pueden recibir las nuevas firmas en la siguiente actualizaci n de firma del antivirus en las pr ximas 24 48 horas Para obtener m s informaci n consulte Cu les son las ventajas de la suscripci n de WildFire en la p gina 5 e Dispositivo WildFire En esta implementaci n instalar un dispositivo WF 500 WildFire en su red empresarial y configurar sus cortafuegos para que reenv en los archivos a este dispositivo en lugar de a la nube WildFire de Palo Alto Networks opci n predeterminada Esta implementaci n impide que el cortafuegos tenga que enviar archivos fuera de la red para su an lisis De forma predeterminada el dispositivo no enviar archivos fuera de su red a menos que habilite de forma expl cita la funci n de env o autom tico que reenviar autom ticamente cualquier malware que detecte a la nube WildFire de Palo Alto Networks donde los archivos se analizan para generar firmas de antivirus Las firmas de antivirus se distribuir n entonces a todos los cortafuegos de Palo Alto Networks con una suscripci n de Threat Prevention o WildFire Un nico dispositivo WildFire puede recibir y analizar archivos de hasta 100 cortafuegos de Palo Alto Networks 4 Gu a del administrador de WildFire Descripci n general de WildFire Acerca de WildFire Las principales diferencias entre la nube Wi
47. N logging on off import start import end O BIEN password O BIEN ssh authentication public key lt valor gt O BIEN cli config output format default xml set json O BIEN pager on off O BIEN confirmation prompt on off O BIEN scripting mode onlof O BIEN timeout idle 1 1440 Todos los comandos espec ficos de WildFire est n en color azul en el resultado de la siguiente jerarqu a y tienen un hiperenlace a la descripci n Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire O BIEN hide ip O BIEN hide user O BIEN clock date lt valor gt time lt valor gt request system software info O BIEN check O BIEN download version lt valor gt O BIEN file lt valor gt O BIEN install version lt valor gt O BIEN file lt valor gt load config lt valor gt O BIEN raid remove lt valor gt O BIEN copy from lt valor gt to lt valor gt O BIEN ada REPETIR lt nombre gt force no format Gu a del administrador de WildFire Comandos del modo de operaci n 83 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire O BIEN password hash password lt valor gt username lt valor gt O BIEN commit lock add comment lt valor gt O BIEN re
48. ON sser is l E E ERE N E E G E E RR 57 Gu a del administrador de WildFire iii Contenido Referencia de la CLI del software del dispositivo WildFire 63 Acerca del software del dispositivo WildFire oooooooooooocoooorncrrccco 64 Acerca de la estructura de la CLI del software del dispositivo WildFite oooooooocooooooo 64 Acceso a la Cll iii A doi di 65 Establecimiento de una conexi n directa con la CONSOlA oooooooooomoomomoomomoooo 65 Establecimiento de una conexi n de SSH 0 o oo ooooooomooronrrrrrrrr 65 Uso de los comandos de la CLI del software del dispositivo WildFite ooooooommmm o o o 65 Modos de comando dela Cll a a iia 71 Acerca del modo de ConHgurACi nN aiii de td dd i a dd 71 Acerca del modo de Op taci n me socoo rondar ERA dai A 75 Establecimiento del formato de salida para comandos de configuraci n o oo ooooooooooom m m o 75 Comandos del modo de configuraci n oo oooooooccccccno rr 76 Comandos del modo de OPEtaci or srera giar piadade ra A A AR 82 Gu a del administrador de WildFire 1 Descripci n general de WildFire Este cap tulo proporciona una descripci n general de la funcionalidad WildFire incluidas las implementaciones compatibles los requisitos de suscripci n y descripci n de los pasos que deben tomarse si se detecta malware en su entorno Incluye las siguientes secciones A A A Acerca de WildFire C mo funciona WildFire
49. Qu contienen los informes de WildFire Qu acciones debo tomar despu s de que se detecte malware Qu implementaciones est n disponibles Cu les son las ventajas de la suscripci n de WildFire Gu a del administrador de WildFire 1 Acerca de WildFire Descripci n general de WildFire Acerca de WildFire El malware moderno es el eje de la mayor a de los ataques a la red m s sofisticados de la actualidad y cada vez se personaliza m s para burlar las soluciones de seguridad tradicionales Palo Alto Networks ha desarrollado un enfoque integrado que se encarga de todo el ciclo de vida del malware lo que incluye la prevenci n de infecciones la identificaci n de malware de d a cero es decir malware que no han identificado anteriormente otros proveedores de antivirus o malware espec fico dirigido a un sector o corporaci n concretos as como la localizaci n y eliminaci n de infecciones activas El motor de WildFire de Palo Alto Networks expone el malware espec fico y de d a cero mediante la observaci n directa en un entorno virtual en el sistema WildFire La funcionalidad WildFire hace adem s un uso extensivo de la tecnolog a App ID de Palo Alto Networks identificando las transferencias de archivos en todas las aplicaciones no solo en los archivos adjuntos del correo electr nico o en las descargas de archivos del explorador Las principales ventajas de la funcionalidad WildFire de Palo Alto Networks son la detecci
50. RTAFUEGOS CONTINUACI N Paso 7 Compruebe el estado y las programaciones de las actualizaciones din micas para asegurarse de que el cortafuegos est recibiendo autom ticamente las firmas generadas por WildFire 1 Acceda a Dispositivo gt Actualizaciones din micas 2 Aseg rese de que el antivirus las aplicaciones y amenazas y WildFire tienen las actualizaciones m s recientes y que se ha establecido la programaci n para cada elemento Escalone la programaci n de las actualizaciones porque solo se puede realizar una cada vez 3 Haga clic en Comprobar ahora en la parte inferior de las ventanas para ver si hay alguna actualizaci n disponible lo que tambi n confirma que el cortafuegos se puede comunicar con updates paloaltonetworks com Si el cortafuegos no tiene conectividad con el servidor de actualizaci n descargue las actualizaciones directamente desde Palo Alto Networks Inicie sesi n en https support paloaltonetworks com y en la secci n Dispositivos gestionados haga clic en Actualizaciones din micas para ver las actualizaciones disponibles Para obtener m s informaci n sobre las actualizaciones din micas consulte la secci n Gesti n de la actualizaci n de contenidos de la Palo Alto Networks Getting Started Guide Gu a de inicio de Palo Alto Networks 32 Gu a del administrador de WildFire 3 An lisis de archivos mediante la nube de WildFire En este cap tulo se describen los pa
51. Seleccione la zona horaria del men desplegable y a continuaci n haga clic en Update Time Zone Actualizar zona horaria para guardar el cambio Nota La marca de hora que aparecer en el informe detallado de WildFire utilizar la zona horaria establecida en su cuenta del portal 4 Haga clic de nuevo en el v nculo Settings Configuraci n para volver a la p gina de configuraci n Paso 2 Elimine los logs de WildFire de 1 En el men desplegable Delete WildFire Logs Eliminar logs cortafuegos espec ficos Con esto de WildFire seleccione el cortafuegos por n mero de serie eliminar todos los logs y las 2 Haga clic en el bot n Delete Logs Eliminar logs ificaci l fi npu PA del gortatuegos Haga clic en ACEPTAR para continuar con la eliminaci n seleccionado Paso 3 Configure las notificaciones de correo 1 En la p gina de configuraci n del portal localice la secci n electr nico que se generar n en funci n Email Notifications Notificaciones de correo electr nico de los resultados de los archivos enviados Aparecer una tabla con los encabezados de columna Device a WildFire Dispositivo Malware Malware y Benign Bueno 2 El primer elemento de la fila mostrar Manual Seleccione Malware Malware o Benign Bueno para obtener una notificaci n de los archivos que se han cargado manualmente a la nube de WildFire o que se han enviado mediante la API de WildFire Para recibir notificaciones de cortafue
52. Visualizaci n de informes de WildFire A Configuraci n de alertas para el malware detectado A WildFire en acci n Gu a del administrador de WildFire 47 Acerca de los logs de WildFire Supervisi n control y prevenci n del malware en la red Acerca de los logs de WildFire Cada cortafuegos configurado para reenviar archivos a WildFire registrar la acci n de reenv o en logs de filtrado de datos y despu s de que WildFire analice el archivo los resultados se volver n a enviar al cortafuegos y aparecer n en los logs de WildFire se requiere suscripci n a WildFire Puede encontrar el informe de an lisis detallado de cada archivo en el log correspondiente de WildFire para ello haga clic en el bot n Ver informe de WildFire El informe se obtendr entonces del dispositivo WildFire o de la nube de WildFire Si no hay una suscripci n a WildFire instalada y el cortafuegos reenv a archivos a la nube de WildFire el informe de an lisis puede verse en el portal de WildFire en https wildfire paloaltonetworks com 48 Si sus cortafuegos reenv an archivos a un dispositivo WildFire para su an lisis los resultados del log solo pueden verse desde el cortafuegos no hay un acceso directo de portal web al dispositivo Logs de acci n de reenv o los logs de filtrado de datos ubicados en Supervisar gt Logs gt Filtrado de datos mostrar n los archivos que se han bloqueado reenviado en funci n del perfil de bloqueo del archivo Pa
53. Ze Vaya a Objetos gt Reenv o de logs Haga clic en A adir e indique un nombre para el perfil Por ejemplo WildFire Reenvio Log En la secci n Configuraci n de amenaza elija el perfil de corteo electr nico de la columna Correo electr nico para el tipo de gravedad de nivel Medio El motivo por el que se usa la gravedad media aqu es porque los logs de malware de WildFire tienen una gravedad de tipo Medio Para enviar alertas sobre logs bueno de WildFire seleccione el tipo de gravedad Informativo Haga clic en ACEPTAR para guardar los cambios Log Forwarding Profile Name WildFire Log Forwarding Traffic Settings Severity Panorama SNMP Trap Email Syslog Any None None None Threat Settings Severity Panorama SNMP Trap Email Informational O None None jho O None bone None Mildcice Email Profile High O None Critical None WildFire Email Profile Nota Si el cortafuegos est gestionado por Panorama active la casilla de verificaci n Panorama situada a la derecha de la gravedad de tipo Medio para permitir el reenv o de logs a Panorama Si hay un servidor SNMP configurado seleccione el servidor en el men desplegable Trap SNMP a la derecha del tipo de gravedad Medio para reenviar traps al servidor SNMP Paso 4 Aplique el perfil de reenv o de logs al perfil de seguridad que contiene el perfil de bloqueo de archivos hn Vaya a Pol ticas gt Seguridad y haga clic en la pol tica usada p
54. a cuando se accede a los informes de WildFire desde un cortafuegos El nombre de usuario y la contrase a predeterminados son admin admin Nota La cuenta del administrador del portal es la nica cuenta utilizada para ver informes desde los logs Solo se puede cambiar la contrase a de esta cuenta no se pueden crear cuentas adicionales No es la misma cuenta de administrador utilizada para gestionar el dispositivo Para cambiar la contrase a de la cuenta del administrador del portal de WildFire 1 admineWF 5004 set wildfire portal admin password 2 Pulse Intro y escriba y confirme la nueva contrase a Cu l es el siguiente paso e Para verificar la configuraci n del dispositivo WF 500 consulte Verificaci n de la configuraci n del dispositivo WF 500 WildFire en la p gina 15 Para empezar a enviar archivos desde un cortafuegos consulte Reenv o de archivos a un dispositivo WF 500 WildFire en la p gina 24 Para actualizar el software del dispositivo WildFire consulte Actualizaci n del software del dispositivo WF 500 WildFire en la p gina 22 Para configurar la interfaz vm que utiliza el dispositivo como parte de su an lisis de malware consulte Configuraci n de interfaz de la m quina virtual en la p gina 17 14 Gu a del administrador de WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Configuraci n del dispositivo WF 500 WildFire Ver
55. aci n interfaz vm Descripci n La interfaz vm sirve para permitir que el software malintencionado que se ejecuta en las m quinas virtuales de WildFire acceda a Internet para habilitar an lisis de archivos m s exhaustivos Se recomienda la activaci n de este puerto que a su vez ayudar a WildFire a identificar mejor la actividad maliciosa si el software malintencionado accede a Internet para phone home u otra actividad Es importante que esta interfaz est en una red aislada para Internet Para obtener m s informaci n acerca de la interfaz vm consulte Configuraci n de interfaz de la m quina virtual en la p gina 17 Tras configurar la interfaz vm habil tela ejecutando el siguiente comando set deviceconfig setting wildfire vm network enable yes Ubicaci n de jerarqu a establecer sistema de deviceconfig Sintaxis set vm interface ip address lt direcci n ip gt netmask lt direcci n ip gt default gateway lt direcci n ip gt dns server lt direcci n ip gt Opciones adminoewf corpl1k establecer interfaz vm default gateway Puerta de enlace predefinida dns server Servidor dns lp address Direcci n IP para interfaz de descarga vm wildfire link state Estado del enlace activo o inactivo mtu Unidad de transmisi n m xima para la interfaz de gesti n netmask M scara de red de IP para la interfaz de descarga vm wildfire speed duplex Velocidad y duplex para la interfaz de descarga
56. aci n del dispositivo WF 500 WildFire ACTUALIZACI N DEL SOFTWARE DEL DISPOSITIVO WF 500 WILDFIRE CONTINUACI N Paso 3 Despu s de que se instale la nueva versi n reinicie el dispositivo 1 Supervise el estado de la actualizaci n usando el siguiente comando admin WF 500 gt show jobs pending Despu s de se actualice el archivo reinicie el dispositivo usando el siguiente comando admin WF 500 gt request restart system Despu s de reiniciar verifique que la nueva versi n est instalada ejecutando el siguiente comando de la CLI y compruebe el campo sw version admin WF 500 gt show system info Actualizaci n manual del software Si el dispositivo WildFire no cuenta con conectividad de red a los servidores de actualizaci n de Palo Alto Networks puede actualizar manualmente el software Acceda a https support paloaltonetworks com y en la secci n Manage Devices Gestionar dispositivos haga clic en Software Updates Actualizaciones de software Descargue el archivo de imagen del software de WildFire que desea instalar en un ordenador que ejecuta el software del servidor SCP Importe el archivo de imagen del software desde el servidor SCP scp import software from nombredeusuario direccion ip archivo de imagen del nombre de carpeta Por ejemplo admin WF 500 gt scp import software from userl010 0 3 4 tmp WildFire m 5 1 0 Instale el archivo de imagen adminewF 500 gt request system so
57. analysis Muestra los ltimos 30 an lisis gt samples Muestra los ltimos 30 ejemplos gt sessions Muestra las ltimas 30 sesiones gt uploads Muestra las ltimas 30 cargas Gu a del administrador de WildFire 109 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire show wildfire sample status sha256 equal c08ec3f 922e26b92dac9591f672ed7df2734ad7840cd40dd72db72d9c9827b6e8 Sample information PER A PARRA PASA RR PERSA Pp a HA a di Create Time File Name File Type File Size Malicious Status PA a RD A A AA ii hmmm ihc PA Dr ss A 2013 03 07 10 22 00 5138elfal3a66 exe PE 261420 No analysis complete 2013 03 07 10 22 00 5138elfal3a66 exe PE 261420 No analysis complete PA AAA A HA 7 ARES PAS je Haas as e PA ASA A A Pp AAA A PARAS ES Hasta A A e a Create Time Src IP Src Port Dst IP Dst Port File Device ID App Malicious Status PS ASA nnennn PSA A AA PARAS ARA a Sn A PA A A SS A A 2013 03 07 10 22 42 46 165 211 184 80 192 168 2 10 53620 5138e223a1069 exe 001606000114 web browsing No completed 2013 03 07 10 22 02 46 165 211 184 80 192 168 2 10 53618 5138e1fb3e5fb exe 001606000114 web browsing No completed 2013 03 07 10 22 00 46 165 211 184 80 192 168 2 10 53617 5138elfal3a66 exe 001606000114 web browsing No completed Ea nianna annn Pan o a a Passion Pos i aos o a a A io
58. ara el reenv o de WildFire En la secci n Ajuste de log de la pesta a Acciones haga clic en el men desplegable Reenv o de logs y seleccione el nuevo perfil de reenv o de logs En este ejemplo el perfil se denomina WildFire Reenvio Log Haga clic en ACEPTAR para guardar los cambios y a continuaci n haga clic en Compilar para confirmar la configuraci n Las alertas de correo electr nico deber an recibirse ahora para los logs de amenaza y WildFire con una gravedad media 56 Gu a del administrador de WildFire Supervisi n control y prevenci n del malware en la red WildFire en acci n WildFire en acci n El siguiente caso de ejemplo resume todo el ciclo de vida de WildFire En este ejemplo un representante de ventas de Palo Alto Networks descarga una nueva herramienta de ventas de software que un socio de ventas ha cargado en Dropbox El socio de ventas carg sin querer una versi n infectada del archivo de instalaci n de la herramienta de ventas y el representante de ventas descarg despu s el archivo infectado Este ejemplo mostrar c mo el cortafuegos de Palo Alto Networks junto con WildFire puede detectar malware de d a cero descargado por sus usuarios incluso cuando el tr fico tiene cifrado SSL Una vez identificado el malware se le notifica al administrador se avisa al usuario que descarg el archivo y el cortafuegos descarga autom ticamente una nueva firma que proteja frente a futuras exposiciones del
59. archivo 3 Acceda al archivo res ltelo y a continuaci n haga clic en Abrir El nombre del archivo aparecer junto a Choose File Seleccionar archivo 4 Haga clic en el bot n Upload Cargar para cargar el archivo en WildFire Si el archivo se carga correctamente aparecer un cuadro de di logo emergente Uploaded File Information Informaci n sobre archivo cargado parecido al siguiente Uploaded File Information xi Filename Set up exe Jpload IP 192 168 2 53 File Type PE32 executable GUI Intel 80386 for MS Windows File Size 2214088 SHA256 9805b75ae31e1c6abc0477f4d9f7c5bf4d3a600f74061b3ea5fa8d48ca3813da MD5 3c5479e0ddea81e170281b8ebe3b1fce 5 Cierre el cuadro de di logo emergente Uploaded File Information Informaci n sobre archivo cargado Paso 2 Vea los resultados del an lisis WildFire 1 Actualice la p gina del portal en el navegador tardar unos 5 minutos en completar el Aparecer un elemento de l nea Manual en la lista Dispositivo an lisis del archivo de la p gina del portal tambi n aparecer el resultado del an lisis Nota Como no se asocia la carga manual con como malware o no peligroso Haga clic en la un cortafuegos espec fico las cargas palabra Manual manuales aparecer n de forma separada 3 La p gina del informe mostrar una lista de todos los archivos de los cortafuegos registrados que se han cargado en su cuenta Encuentre el archivo cargado y haga clic en el icono de
60. bilitar esta interfaz config rela con los ajustes adecuados para la red Si no tiene pensando utilizar esta interfaz respete los ajustes predeterminados Si se elimina la configuraci n se producir n fallos de compilaci n CONFIGURACI N DE LA INTERFAZ DE LA M QUINA VIRTUAL a Paso 1 Establezca la informaci n de la IP para la Introduzca el modo de configuraci n introduciendo el comando interfaz vm en el dispositivo WildFire de la CLI Se utilizar lo siguiente para este ejemplo adminewF 500 gt configure Direcci n TPv4 10 16 0 20 22 2 Establezca la informaci n de IP para la interfaz vm M scara de subred 255 255 252 0 adminewF 5004 set deviceconfig system Puerta de enlace predeterminada vm interface ip address 10 16 0 20 10 16 0 1 netmask 255 255 252 0 default gateway e Servidor DNS 10 0 0 246 10 16 0 1 dns server 10 0 0 246 Nota La interfaz vm no puede estar en la misma Nota Solo se puede asignar un servidor DNS a la interfaz vm red que la interfaz de gesti n MGT Se recomienda utilizar el servidor NS del ISP o un servicio DNS abierto Paso 2 Habilite la interfaz vm 1 Para habilitar la interfaz vm adminQowF 5004 set deviceconfig setting wildfire vm network enable yes 2 Confirme la configuraci n adminewF 5004 commit Paso 3 Contin e en la siguiente secci n para Consulte Configuraci n del cortafuegos para controlar el tr fico de configurar la interfaz del cortafuegos a la la inte
61. ca la fecha hora actual y la zona 1 Establezca la fecha y la hora horaria admin WF 500 gt set clock date YY MM DD time hh mm ss 2 Acceda al modo de configuraci n admin WF 500 gt configure 3 Establezca la zona horaria local adminewF 5004 set deviceconfig system timezone timezone Nota La marca de hora que aparecer en el informe detallado de WildFire utilizar la zona horaria establecida en el dispositivo Si hay varias personas viendo estos informes puede que desee establecer la zona horaria en UTC Paso 9 Opcional Configure el env o autom tico 1 Para habilitar el env o autom tico ejecute el comando para que el dispositivo WildFire env e adminewF 5004 set deviceconfig setting archivos que contengan malware a la nube wildfire auto submit yes WildFire de Palo Alto Networks 2 Para confirmar el ajuste ejecute el siguiente comando desde el El sistema de nube de WildFire generar modo de operaci n firmas que se distribuyen mediante las admineWF 500 gt show wildfire status actualizaciones de firma de WildFire y del antivirus Nota Esta opci n est deshabilitada de manera predeterminada Gu a del administrador de WildFire 13 Configuraci n del dispositivo WF 500 WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire INTEGRACI N DEL DISPOSITIVO WILDFIRE EN UNA RED CONTINUACI N Paso 10 Establezca una contrase a para la cuenta de administrador del portal Esta cuenta se utiliz
62. ciones se describe la interfaz de la m quina virtual interfaz vm y se proporcionan las instrucciones necesarias para configurarla Tambi n se proporcionan las instrucciones necesarias para conectar la interfaz a un puerto especializado en un cortafuegos de Palo Alto Networks para habilitar la conectividad a Internet A Qu es la interfaz de la m quina virtual A Configuraci n de la interfaz de la m quina virtual A Configuraci n del cortafuegos para controlar el tr fico de la interfaz de la m quina virtual Gu a del administrador de WildFire 17 Configuraci n del dispositivo WF 500 WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Qu es la interfaz de la m quina virtual Cuando est configurada y habilitada la interfaz vm con la etiqueta 1 en la parte posterior del dispositivo contar con capacidades de detecci n de malware mejoradas Esta interfaz permite que un archivo de muestra que se ejecuta en las m quinas virtuales de WildFire se comunique con Internet y permite a WildFire analizar mejor el comportamiento del archivo de muestra para determinar si muestra las caracter sticas del malware Aunque se recomienda que la interfaz vm est habilitada es muy importante que no est 0 conectada a una red que permita el acceso a cualquiera de los servidores hosts ya que el malware que se ejecuta en las m quinas virtuales de WildFire podr a utilizar esta interfaz para propagarse Cuidado Esta conexi
63. cuencia inferior a la hora Para obtener m s informaci n sobre las suscripciones consulte Cu les son las ventajas de la suscripci n de WildFire en la p gina 5 34 Gu a del administrador de WildFire An lisis de archivos mediante la nube de WildFire Env o de archivos a la nube de WildFire CONFIGURACI N DE UN PERFIL DE BLOQUEO DE ARCHIVOS Y POSTERIOR ADICI N DEL MISMO A UN PERFIL DE SEGURIDAD CONTINUACION Paso 2 Nota Configure el perfil de bloqueo del archivo para definir qu aplicaciones y tipos de archivos activar n el reenv o a WildFire Al seleccionar PE en la columna Tipos de archivos del perfil de objetos para seleccionar una categor a o tipos de archivos no a ada un tipo de archivo individual que forme parte de esa categor a porque esto producir a entradas redundantes en los logs Filtrado de datos Por ejemplo si selecciona PE no seleccione exe porque es parte de la categor a de PE Esto tambi n es aplicable al tipo de archivo zip ya que los tipos de archivos admitidos que se compriman se env an autom ticamente a WildFire Al seleccionar una categor a en lugar de un tipo de archivo individual tambi n se garantiza que como la compatibilidad con un nuevo tipo de archivo se a ade a una categor a espec fica autom ticamente pasar a format parte del perfil de bloqueo del archivo Si selecciona Cualquiera todos los tipos de archivos admitidos se reenviar n a Wil
64. dFire 6 Nota 8 Despl cese hasta Objetos gt Perfiles de seguridad gt Bloqueo de archivos Haga clic en A adir para a adir un nuevo perfil e introduzca un Nombre y una Descripci n Haga clic en A adir en la ventana Perfil de bloqueo de archivo y a continuaci n haga clic en A adir de nuevo Haga clic en el campo Nombres e introduzca un nombre para la regla Seleccione las aplicaciones que coincidir n con este perfil Por ejemplo si selecciona navegaci n web como la aplicaci n el perfil coincidir con cualquier tr fico de la aplicaci n identificado como navegaci n web En el campo Tipo de archivo seleccione los tipos de archivos que activar n la acci n de reenv o Seleccione Cualquiera para reenviar todos los tipos de archivo admitidos por WildFire o seleccione PE para que solo reenv e archivos Portable Executable En el campo Direcci n seleccione cargar descargar o ambos La opci n ambos activar el reenv o siempre que un usuario trate de cargar o descargar un archivo Defina una acci n de la siguiente forma e Reenviar el cortafuegos reenviar autom ticamente cualquier archivo que coincida con este perfil a WildFire para su an lisis adem s de distribuir el archivo al usuario e Continuar y reenviar se le indica al usuario que debe hacer clic en Continuar antes de que se produzca la descarga y que se reenv e el archivo a WildFire Como aqu se necesita de la acci n del us
65. de la consola y acceda al modo de configuraci n adminewF 500 gt configure Establezca la informaci n de IP admin WF 500 set deviceconfig system ip address 10 10 0 5 netmask 255 255 252 0 default gateway 10 10 0 1 dns setting servers primary 10 0 0 246 Puede configurar un servidor DNS secundario sustituyendo primary por secondary en el comando anterior excluyendo el resto de par metros IP Por ejemplo adminewF 5004 set deviceconfig system dns setting servers secondary 10 0 0 247 Establezca el nombre del host wild fire corp1 en este ejemplo adminQowF 5004 set deviceconfig system hostname wildfire corpl Compile la configuraci n para activar la nueva configuraci n del puerto de gesti n externo MGT adminewF 5004 commit Conecte el puerto de la interfaz de gesti n a un conmutador de ted Vuelva a ubicar el PC de gesti n en la red corporativa o en cualquier red necesaria para acceder al dispositivo en la red de gesti n Desde el ordenador de gesti n con ctese a la nueva direcci n IP o nombre de host del puerto de gesti n del dispositivo usando un cliente SSH En este ejemplo la nueva direcci n IP es 10 10 0 5 Paso 6 12 opcional Configure cuentas de usuario adicionales para gestionar el dispositivo WildFire Se pueden asignar dos funciones superusuario y superlector El superusuario es equivalente al administrador pero el superlector solo tiene acceso de lectura En este ejem
66. de la nube p blica de WildFire configure la nube de WildFire en el cortafuegos para que indique el dispositivo WF 500 en lugar del ajuste default cloud El dispositivo WF 500 a sla todos los archivos localmente y los analiza en busca de comportamientos malintencionados usando el mismo motor que el utilizado por el sistema de nube p blica de WildFire En minutos el dispositivo devuelve los resultados del an lisis al cortafuegos del log de WildFire De forma predeterminada el dispositivo WF 500 no env a ning n archivo a la nube WildFire de Palo Alto Networks Sin embargo se debe enviar el malware a la nube p blica de WildFire para poder recibir las firmas del antivirus relacionadas con este software descubierto por el dispositivo El dispositivo WF 500 tiene una funci n de env o autom tico que solamente le permitir enviar el malware confirmado a la nube p blica para la generaci n de las firmas Las firmas se distribuyen entonces a todos los clientes que reciben actualizaciones de las firmas de WildFire y del antivirus de Palo Alto Networks Puede configurar el reenv o a un nico dispositivo WildFire de hasta 100 cortafuegos de Palo Alto Networks para que el reenv o de archivos a un dispositivo WildFire sea posible cada cortafuegos debe tener una suscripci n a WildFire v lida El dispositivo de WildFire tiene dos interfaces e MGT recibe todos los archivos reenviados desde los cortafuegos y devuelve a los cortafuegos los logs que de
67. del administrador de WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Reenv o de archivos a un dispositivo WF 500 WildFire CONFIGURACI N DEL REENV O AL DISPOSITIVO WF 500 WILDFIRE CONTINUACI N Paso 2 Defina el servidor WildFire al que reenviar archivos el cortafuegos para su an lisis N e Acceda a Dispositivo gt Configuraci n gt WildFire Haga clic en el icono de edici n Configuraci n general En el campo Servidor WildFire introduzca la direcci n IP o FQDN del dispositivo WF 500 WildFire Nota La mejor forma de devolver el campo Servidor WildFire a sus valores predeterminados es borrar el campo y hacer clic en ACEPTAR As se garantiza que se a ade el valor correcto Del mismo modo cuando utilice un dispositivo WildFire aseg rese de que no est habilitada la opci n Deshabilitar selecci n de servidor o de lo contrario el cortafuegos no podr enviar archivos desde el dispositivo Ejecute el siguiente comando y confirme que Deshabilitar selecci n de servidor no est establecido en s adminePA 2004 show deviceconfig setting wildfire Esta opci n est desactivada de forma predefinida de modo que no mostrar la configuraci n a no ser que lo establezca en no o en sf Tambi n puede comprobar su configuraci n actual ejecutando el comando admin PA 200 show config running match wildfire Con este comando se mostrar n todos los par metros de W
68. del modo de operaci n O BIEN delete sample sha256 equal lt valor gt O BIEN swm list O BIEN log O BIEN history O BIEN status O BIEN unlock O BIEN revert O BIEN tac login permanently disable O BIEN challenge O BIEN response O BIEN software restart management server O BIEN web server O BIEN ntp O BIEN core management server O BIEN web server O BIEN trace management server O BIEN web server Gu a del administrador de WildFire 93 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire O BIEN cli onljoff detail show O BIEN system maintenance mode O BIEN disk sync O BIEN ssh key reset management O BIEN all O BIEN device set queuelall O BIEN unset queuelall O BIEN on error warning info debug dump O BIEN off O BIEN show O BIEN clear O BIEN dump queues O BIEN queue stats O BIEN queue lt valor gt O BIEN flush queue lt valor gt O BIEN set watermark queue lt valor gt type high low value 0 4000 O BIEN vardata receiver set third party libcurllall O BIEN all 94 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire O BIEN unset third part
69. detalles a la izquierda del campo de fecha El portal muestra un informe completo del an lisis de archivo que detalla el comportamiento observado del archivo incluido el usuario al que estaba destinado la aplicaci n que distribuy el malware y todas las URL relacionadas en la distribuci n o la actividad tel fono hogar de la muestra Si WildFire identifica el archivo como malware genera una firma que se distribuir a todos los cortafuegos de Palo Alto Networks configurados para la prevenci n de amenazas Los cortafuegos con una suscripci n a WildFire pueden descargar estas firmas con una frecuencia inferior a la hora 42 Gu a del administrador de WildFire An lisis de archivos mediante la nube de WildFire Carga de archivos usando la API de WildFire Carga de archivos usando la API de WildFire Usando la API de WildFire puede enviar tareas de an lisis de archivos de forma programada a la nube de WildFire y pedir al sistema datos de informes mediante una interfaz de API REST sencilla Esta secci n contiene los siguientes temas A Acerca de las suscripciones a WildFire y claves API A C mo usar la API de WildFire A M todos de env o de la API de WildFire A Consulta de un informe XML de WildFire A Ejemplos de c digo para env o y consulta Acerca de las suscripciones a WildFire y claves API Se proporciona acceso a la clave API si al menos un cortafuegos de Palo Alto Networks cuenta con una suscripci n a Wildfi
70. e de que la interfaz de entrada la que recibe en primer lugar el tr fico para sus usuarios tiene un perfil de gesti n adjunto que permite p ginas de respuesta Para configurar un perfil de gesti n seleccione Red gt Perfiles de red gt Gesti n de interfaz y seleccione la casilla de verificaci n P ginas de respuesta Instale el perfil de gesti n en la pesta a Avanzado en la configuraci n de la interfaz de entrada Haga clic en ACEPTAR para guardar los cambios 26 Gu a del administrador de WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Reenv o de archivos a un dispositivo WF 500 WildFire CONFIGURACI N DEL REENV O AL DISPOSITIVO WF 500 WILDFIRE CONTINUACI N Paso 4 Para reenviar archivos a WildFire desde 1 Vaya a Dispositivo gt Configuraci n gt ID de contenido sitios web usando el cifrado SSL habilite 2 Haga clic en elicono de edici n de las opciones Filtrado de URL el reenv o de contenido descifrado Para y habilite Permitir reenv o de contenido descifrado obtener informaci n sobre la x otlipebaci n del descifada condeh Haga clic en ACEPTAR para guardar los cambios Palo Alto Networks Getting Started Nota Si el cortafuegos tiene m ltiples sistemas virtuales debe Guide Gu a de inicio de Palo Alto habilitar esta opci n por VSYS En esta situaci n acceda a Networks Dispositivo gt Sistemas virtuales haga clic en el sistema Nota Solo puede habilitar es
71. e usuario de WildFire Esta secci n describe los pasos necesarios para a adir cuentas adicionales de WildFire a la nube de WildFire ADICI N DE CUENTAS DE USUARIO DE WILDFIRE Paso 1 Acceda a la secci n para gestionar 1 Inicie sesi n en https support paloaltonetworks com usuarios y cuentas en el sitio de asistencia 2 En Manage Account Gestionar cuenta haga clic en Users t cnica y seleccione una cuenta and Accounts Usuarios y cuentas 3 Seleccione una cuenta o una cuenta secundaria existente Paso 2 A ada un usuario de WildFire 1 Haga clic en el bot n Add WildFire User A adir usuario de WildFire 2 Introduzca la direcci n de correo electr nico del usuario destinatario que desea a adir Nota Fl usuario puede ser un usuario de sitio de asistencia t cnica existente que pertenezca a cualquier cuenta incluidas la cuenta secundaria la cuenta principal Palo Alto Networks o cualquier otra cuenta del sistema as como cualquier direcci n de correo electr nico que no disponga de una cuenta de asistencia t cnica La nica restricci n es que la direcci n de correo electr nico no puede proceder de una cuenta de correo electr nico gratuita basada en web Gmail Hotmail Yahoo etc Si se introduce una cuenta de corteo electr nico de un dominio no compatible se mostrar un mensaje de advertencia Gu a del administrador de WildFire 51 Visualizaci n de informes de WildFire Supervisi
72. el administrador Inicie sesi n en el dispositivo con un cliente de SSH o usando el puerto de la consola Introduzca un nombre de usuario contrase a de administrador administrador Establezca una nueva contrase a ejecutando el comando adminQowF 5004 set password Introduzca la contrase a anterior pulse Intro y a continuaci n introduzca y confirme la nueva contrase a No hay necesidad de compilar la configuraci n porque se trata de un comando de operaci n Escriba exit para cerrar la sesi n y a continuaci n vuelva a iniciarla para confirmar que se ha establecido la nueva contrase a Gu a del administrador de WildFire 11 Configuraci n del dispositivo WF 500 WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire INTEGRACI N DEL DISPOSITIVO WILDFIRE EN UNA RED CONTINUACI N Paso 5 Establezca la informaci n de IP para la interfaz de gesti n y el nombre de host para el dispositivo Todos los cortafuegos que enviar n archivos al dispositivo WF 500 utilizar n el puerto MGT por lo que debe asegurase de que esta interfaz es accesible desde estos cortafuegos En este ejemplo se utilizan los siguientes valores e Direcci n IPv4 10 10 0 5 22 e M scara de subred 255 255 252 0 Puerta de enlace predeterminada 10 10 0 1 Nombre de host wildfire corpl1 Servidor DNS 10 0 0 246 h Nota Inicie sesi n en el dispositivo con un cliente de SSH o usando el puerto
73. emplo nombreusuarioenombrehost gt ping bypass routing count do not fragment inet interface interval no resolve pattern record route size source tos ttl EH verbose wait lt host gt Derivar tabla de enrutamiento usar interfaz especificada N mero de solicitudes para enviar 1 2000000000 paquetes No fragmentar paquetes de solicitud de eco IPv4 Forzar a destino IPv4 Interfaz de origen multicast all ones paquetes sin enrutar Retraso entre solicitudes segundos No intentar imprimir las direcciones simb licamente Patr n de relleno hexadecimal Registrar y elaborar informe de la ruta de un paquete IPv4 Tama o de los paquetes de solicitud 0 65468 bytes Fuente de direcci n para la solicitud de eco Valor de tipo de servicio IP 0 255 Valor de contador interno de tiempo de vida valor de l mite de salto de IPv6 saltos 0 255 Muestra informaci n de salida detallada Retraso despu s de mandar el ltimo paquete del ultimo proyecto segundos Nombre de host o direcci n IP de host remoto Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Acceso a la CLI S mbolos de opciones de comandos El s mbolo que precede a una opci n puede proporcionar informaci n adicional acerca de la sintaxis de comandos Esta opci n es obligatoria gt Hay opciones adicionales anidadas para este comando Hay opc
74. en la p gina 71 64 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Acceso a la CLI Acceso a la CLI En esta secci n se describe c mo acceder y comenzar a usar la CLI del software del dispositivo WildFire A Establecimiento de una conexi n directa con la consola A Establecimiento de una conexi n de SSH Establecimiento de una conexi n directa con la consola Consulte la WF 500 WildFire Appliance Hardware Reference Guide Gu a de referencia de hardware de WF 500 WildFire para obtener informaci n acerca de la instalaci n del hardware e Inicio r pido para informaci n sobre configuraci n inicial del dispositivo Utilice la siguiente configuraci n en la conexi n directa de la consola e Tasa de datos 9600 e Bits de datos 8 Paridad no e Bits de terminaci n 1 Control de flujo Ninguna Establecimiento de una conexi n de SSH Para acceder a la CLI del software del dispositivo WildFire 1 Abra la conexi n de la consola 2 Introduzca el nombre del usuario administrativo El valor predeterminado es admin 3 Introduzca la contrase a administrativa El valor predeterminado es admin 4 La CLI del software del dispositivo WildFire se abre en el modo de operaci n y se muestra el siguiente mensaje de la CLI nombreusuarioCnombrehost gt Uso de los comandos de la CLI del software del dispositivo WildFire A Convenciones de comandos de la CLI del software del
75. ervisar gt Logs gt WildFire Si los logs se reenv an desde el cortafuegos a Panorama se escriben en el servidor de Panorama en Supervisar gt Logs gt WildFire Submissions Presentaciones de WildFire La columna Category Categor a de los logs de WildFire mostrar benign Bueno lo que significa que el archivo es seguro o malicious Malintencionado lo que indica que WildFire ha determinado que el archivo contiene c digo malintencionado Si se determina que el archivo es malintencionado el generador de firmas de WildFire generar una firma Si usa un dispositivo de WildFire el env o autom tico debe estar habilitado en el dispositivo para que los archivos infectados con malware se env en a la nube de WildFire para la generaci n de la firma Gu a del administrador de WildFire Supervisi n control y prevenci n del malware en la red Supervisi n de env os con la nube de WildFire Para ver el informe detallado de un archivo analizado por WildFire localice la entrada del log en el log de WildFire haga clic en el icono que aparece a la izquierda de la entrada del log para mostrar los detalles y a continuaci n haga clic en el bot n Ver informe de WildFire Aparecer un mensaje de inicio de sesi n para acceder al informe y tras introducir las credenciales correspondientes el informe se recuperar del sistema WildFire y se mostrar en su explorador Para obtener informaci n sobre cuentas de portal para acceder a la nube de Wi
76. ficarlo 2 Confirme que la acci n est establecida en Reenviar o en Continuar y reenviar Si est establecida en Continuar y reenviar solo se reenviar el tr fico http https porque es el nico tipo de tr fico que permite solicitar al usuario que haga clic para continuar Paso 5 Compruebe la pol tica de seguridad 1 Acceda a Pol ticas gt Seguridad y haga clic en la regla de pol tica de seguridad que activa el reenv o de archivos a WildFire 2 Haga clic en la pesta a Acciones y aseg rese que la pol tica de bloqueo de archivos est seleccionada en el men desplegable Bloqueo de archivo 30 Gu a del administrador de WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Reenv o de archivos a un dispositivo WF 500 WildFire COMPROBACI N DE LA CONFIGURACI N DE WILDFIRE EN EL CORTAFUEGOS CONTINUACI N Paso 6 Compruebe el estado de WildFire Ejecute los siguientes comandos de la CLI para comprobar el estado de WildFire y verificar que las estad sticas est n aumentando Compruebe el estado de WildFire adminePA 200 gt show wildfire status Cuando reenv e los archivos a la nube de WildFire el resultado deber a ser el siguiente Connection info Wildfire cloud Status Best server default cloud Idle ca s1 wildfire paloaltonetworks com Device registered yes Valid wildfire license yes Service route IP address 192 168 2 1 Signature verification enable Server selec
77. ftware install file nombredelarchivodeimagen Despu s de que finalice la actualizaci n reinicie el dispositivo adminewF 500 gt request restart system Despu s de reiniciar verifique que la nueva versi n est instalada introduciendo el siguiente comando de la CLI y compruebe el campo sw version adminowF 500 gt show system info Gu a del administrador de WildFire 23 Reenv o de archivos a un dispositivo WF 500 WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Reenv o de archivos a un dispositivo WF 500 WildFire En esta secci n se describen los pasos necesarios para la configuraci n de un cortafuegos de Palo Alto Networks para que empiece a reenviar archivos a un dispositivo WF 500 WildFire y se describe c mo verificar la configuraci n del dispositivo Aunque el cortafuegos puede reenviar a cualquier dispositivo WildFire es necesaria la suscripci n a WildFire o a la nube de WildFire para obtener una mayor visibilidad aseg rese de que todos los cortafuegos indican el mismo sistema WildFire En los cortafuegos gestionados por Panorama simplifique la administraci n de WildFire usando plantillas de Panorama para introducir la informaci n del servidor WildFire el tama o de archivo permitido y los ajustes de informaci n de la sesi n en los cortafuegos Utilice los grupos de dispositivos de Panorama para configurar e introducir los perfiles de bloqueo de los archivos y las reglas de las pol ticas de
78. gos que reenv an archivos a la nube de WildFire active las casillas de verificaci n Malware Malware o Benign Bueno junto a cada cortafuegos Nota Active las casillas de verificaci n directamente debajo de los encabezados de columna Malware Malware y Benign Bueno para activar todas las casillas de verificaci n de los dispositivos mostrados 50 Gu a del administrador de WildFire Supervisi n control y prevenci n del malware en la red Cuentas de usuario del portal de WildFire Cuentas de usuario del portal de WildFire Las cuentas del portal de WildFire las crea un superusuario o el propietario registrado de un dispositivo de Palo Alto Networks para permitir que otros usuarios inicien sesi n en el portal web de WildFire y vean datos de WildFire de dispositivos concedidos de forma espec fica por el superusuario o el propietario registrado Un superusuartio es la persona que ha registrado un cortafuegos de Palo Alto Networks y tiene la principal cuenta de asistencia t cnica del dispositivo o los dispositivos El usuario de WildFire puede ser un usuario del sitio de asistencia t cnica existente que pertenezca a cualquier cuenta incluidas la cuenta secundaria la principal o cualquier otra cuenta del sistema o puede ser un usuario que no tenga una cuenta de asistencia t cnica de Palo Alto Networks pero se le ha otorgado acceso solo para el portal de WildFire y un conjunto concreto de cortafuegos Adici n de cuentas d
79. i n de la programaci n de actualizaciones Estas orientaciones proporcionan dos opciones de programaci n la programaci n m nima recomendada y una m s agresiva Si elige un enfoque m s agresivo el dispositivo realizar actualizaciones m s frecuentemente algunas de las cuales pueden ser de gran volumen m s de 100 MB para las actualizaciones de antivirus De igual forma raramente se podr an producir errores Por lo tanto considere retrasar la instalaci n de nuevas actualizaciones hasta que se no hayan publicado un determinado n mero de horas Utilice el campo Umbral horas para especificar cu nto tiempo se debe esperar tras una publicaci n antes de realizar una actualizaci n de contenido e Antivirus se publican nuevas actualizaciones de contenido antivirus diariamente Para obtener el contenido m s reciente programe estas actualizaciones diariamente como m nimo Se puede realizar una programaci n m s agresiva cada hora e Aplicaciones y amenazas App ID nuevo protecci n de vulnerabilidad y firmas antispyware se publican como actualizaciones de contenido semanales normalmente los martes Para obtener el contenido m s reciente programe estas actualizaciones semanalmente como m nimo Si desea un enfoque m s agresivo realice una programaci n diaria que garantice que el cortafuegos recibe el contenido m s reciente tan pronto como es publicado incluidas publicaciones ocasionales de contenido urgente fuera de programaci n
80. ibe el contenido m s reciente tan pronto como es publicado incluidas publicaciones ocasionales de contenido urgente fuera de programaci n e WildFire se publican nuevas firmas de antivirus de WildFire cada 30 minutos Dependiendo de cu ndo se descubre el malware en el ciclo de publicaci n la cobertura se proporcionar en forma de firma de WildFire 30 60 minutos despu s de que WildFire lo descubra Para conseguir las firmas de WildFire m s recientes programe estas actualizaciones cada hora o cada media hora Para que la programaci n sea m s agresiva puede programar la b squeda de actualizaciones del cortafuegos con una frecuencia de 15 minutos Gu a del administrador de WildFire 37 Env o de archivos a la nube de WildFire An lisis de archivos mediante la nube de WildFire Comprobaci n de la configuraci n de WildFire en el cortafuegos En esta secci n se describen los pasos necesarios para comprobar la configuraci n de WildFire en el cortafuegos COMPROBACI N DE LA CONFIGURACI N DE WILDFIRE EN EL CORTAFUEGOS Paso 1 Compruebe las suscripciones a WildFire y prevenci n de amenazas y el registro de WildFire Rh Acceda a Dispositivo gt Licencias y confirme que se ha instalado una suscripci n v lida a WildFire y prevenci n de amenazas Si no hay instaladas licencias v lidas vaya a la secci n Gesti n de licencias y haga clic en Recuperar claves de licencia del servidor de licencias Para comprobar que
81. icaci n que correspondan a campos que desee eliminar de los informes de an lisis de WildFire 3 Haga clic en ACEPTAR para guardar los cambios Paso 8 Compile la configuraci n Haga clic en Compilar para aplicar los cambios Durante la evaluaci n de la pol tica de seguridad todos los archivos que cumplan los criterios definidos en la pol tica de bloqueo de archivos se reenviar n a WildFire para su an lisis Para obtener informaci n sobre c mo consultar los informes de los archivos que se han analizado consulte Supervisi n control y prevenci n del malware en la red en la p gina 47 Para obtener instrucciones sobre c mo comprobar la configuraci n consulte Comprobaci n de la configuraci n de WildFire en el E a cortafuegos en la p gina 29 Gu a del administrador de WildFire 27 Reenv o de archivos a un dispositivo WF 500 WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Recomendaciones para actualizaciones din micas En la siguiente lista se detallan recomendaciones para conseguir actualizaciones din micas en un cortafuegos t pico que utilice WildFire y que tenga suscripciones a WildFire y prevenci n de amenazas Para un flujo de trabajo m s din mico utilice Panorama para introducir programaciones de actualizaci n din micas en los cortafuegos gestionados usando plantillas de Panorama As se garantiza la consistencia entre todos los cortafuegos y se simplifica la gest
82. ico desde la que se enviar n las notificaciones de correo electr nico e Para la direcci n de correo electr nico a la que se enviar n las notificaciones de correo electr nico Destinatarios adicionales introduzca una direcci n de correo electr nico para enviar notificaciones a un segundo destinatario Puerta de enlace la direcci n IP o el nombre de host de la puerta de enlace SMTP que se usar para enviar los mensajes de correo electr nico Haga clic en ACEPTAR para guardar el perfil de servidor Haga clic en Compilar para guardar los cambios en la configuraci n actual hb Paso 2 Pruebe el perfil del servidor de correo Vaya a Supervisar gt Informes en PDF gt Programador de electr nico correo electr nico 2 Haga clic en A adir y seleccione el nuevo perfil de correo electr nico en el men desplegable Perfil de correo electr nico 3 Haga clic en el bot n Enviar correo electr nico de prueba y un correo electr nico de prueba se enviar a los destinatarios definidos en el perfil de correo electr nico Gu a del administrador de WildFire 55 Configuraci n de alertas para el malware detectado Supervisi n control y prevenci n del malware en la red CONFIGURACI N DE ALERTAS PARA MALWARE CONTINUACI N Paso 3 Configure un perfil de reenv o de logs El perfil de reenv o de logs determina qu tr fico se supervisa y qu gravedad activar una notificaci n de alerta il
83. iente ejemplo de c digo Shell muestra un comando simple para enviar un archivo a la API de WildFire para su an lisis La clave API se proporciona como el primer par metro y la ruta del archivo es el segundo par metro fmanual upload sample to WildFire with APIKEY HParameter 1 APIKEY HParameter 2 location of the file key 1 file 2 usr bin curl i k F apikey key F file 0 file https wildfire paloaltonetworks com submit file El siguiente comando cURL muestra una consulta de un informe XML que usa el hash MD5 de la muestra de inter s curl i k F md5 MD5 HASH F apikey API KEY F https wildfire paloaltonetworks com get report xml El siguiente comando cURL muestra una consulta de un informe XML que usa device_ID y report_ID de la muestra de inter s curl i k F device_id SERIAL NUMBER F report_id TID FROM LOG F format xml https wildfire paloaltonetworks com publicapi report 46 Gu a del administrador de WildFire 4 Supervisi n control y prevenci n del malware en la red Este cap tulo describe el sistema de elaboraci n de informes y logs de WildFire y en l se mostrar a los administradores c mo usar esta informaci n para localizar amenazas e identificar a los usuarios atacados por malware A Acerca de los logs de WildFire A Supervisi n de env os con la nube de WildFire A Personalizaci n de la configuraci n del portal de WildFire A Cuentas de usuario del portal de WildFire A
84. ificaci n de la configuraci n del dispositivo WF 500 WildFire En esta secci n se describen los pasos necesarios para verificar la configuraci n del dispositivo WildFire para garantizar que est listo para recibir archivos desde un cortafuegos de Palo Alto Networks Para obtener informaci n m s detallada sobre los comandos de la CLI a los que se hace referencia en este flujo de trabajo consulte Referencia de la CLI del software del dispositivo WildFire en la p gina 63 VERIFICACI N DE LA CONFIGURACI N DEL DISPOSITIVO WILDFIRE Paso 1 Compruebe que el dispositivo est 1 registrado y que la suscripci n se ha 2 activado de Inicie una sesi n SSH en la interfaz de gesti n del dispositivo Desde la CLI introduzca el siguiente comando adminewF 500 gt request license info Compruebe que la licencia es v lida y que el valor del campo Expired aparece como no Por ejemplo Feature Premium Description 24x7 phone support advanced replacement hardware service Serial 009707000000 Issued February 11 2013 Expires February 11 2016 Expired no En aquellos dispositivos habilitados para el env o autom tico compruebe que el dispositivo WildFire se puede comunicar con la nube WildFire de Palo Alto Networks introduciendo el siguiente comando adminewF 500 gt test wildfire registration El siguiente resultado indica que el dispositivo est registrado en uno de los servidores de nube WildFire de Palo
85. ildFire Gu a del administrador de WildFire 25 Reenv o de archivos a un dispositivo WF 500 WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire CONFIGURACI N DEL REENV O AL DISPOSITIVO WF 500 WILDFIRE CONTINUACI N Paso 3 Nota Configure el perfil de bloqueo del archivo para definir qu aplicaciones y tipos de archivos activar n el reenv o a WildFire Al seleccionar PE en la columna Tipos de archivos del perfil de objetos para seleccionar una categor a o tipos de archivos no a ada un tipo de archivo individual que forme parte de esa categor a porque esto producir a entradas redundantes en los logs Filtrado de datos Por ejemplo si selecciona PE no seleccione tambi n exe porque es parte de la categor a de PE Esto tambi n es aplicable al tipo de archivo zip ya que los tipos de archivos admitidos que se compriman se env an autom ticamente a WildFire Al seleccionar una categor a en lugar de un tipo de archivo individual tambi n se garantiza que como la compatibilidad con un nuevo tipo de archivo se a ade a una categor a espec fica autom ticamente pasar a formar parte del perfil de bloqueo del archivo Si selecciona Cualquiera todos los tipos de archivos admitidos se reenviar n a WildFire ls 6 Nota 8 Despl cese hasta Objetos gt Perfiles de seguridad gt Bloqueo de archivos Haga clic en A adir para a adir un nuevo perfil e introduzca un
86. interfaz y funcionalidad al m todo de env o de archivo aunque un par metro de URL sustituye al par metro de archivo El par metro de URL debe indicar a un tipo de archivo admitido accesible archivos ejecutables Win32 Si el resultado es un c digo 200 OK significa que el env o ha tenido xito el resultado suele estar disponible para su consulta en 5 minutos https wildfire paloaltonetworks com submit url POST url URL del archivo que se debe analizar apikey Su clave API de WildFire 44 Gu a del administrador de WildFire An lisis de archivos mediante la nube de WildFire Carga de archivos usando la API de WildFire 200 OK Correcto WildFire procesar el env o 401 Unauthorized Clave API no v lida 402 Payment Required Clave API caducada 403 Forbidden Clave API revocada 405 Method Not Allowed Se ha utilizado un m todo distinto a POST 406 Not Acceptable Error de clave API 413 Request Entity Too Large Tama o de archivo de muestra sobre el l mite m ximo de 10 MB 418 Unsupported File Type No se admite el tipo de archivo de muestra 419 Max Request Reached Se ha superado el n mero m ximo de cargas por d a Consulta de un informe XML de WildFire Utilice el m todo de obtenci n de informe XML para buscar un informe XML de los resultados del an lisis de una muestra concreta Utilice el hash MD5 o SHA 256 del archivo de muestra como consul
87. iones de comando adicionales para este comando en este nivel Hay una opci n para especificar un valor de excepci n o un valor de coincidencia para restringir el comando Aunque las comillas dobles no son un s mbolo de opci n de comando debe usarse al introducir frases de varias palabras en comandos de CLI Por ejemplo para crear un nombre de grupo de direcci n llamado Grupo de prueba y a adir el usuario llamado nombrel a este grupo debe escribir el nombre del grupo con comillas dobles alrededor del siguiente modo establecer grupo de direcciones Grupo de prueba usuariol Si no coloca comillas dobles alrededor del nombre del grupo la CLI podr a interpretar la palabra Prueba como el nombre del grupo y Grupo como el nombre de usuario y se mostrar a el siguiente mensaje de error prueba no es un nombre v lido Nota Las comillas simples tampoco ser an v lidas en este ejemplo Los siguientes ejemplos muestran c mo se usan estos s mbolos Ejemplo En el siguiente comando es obligatoria la palabra clave from nombreusuarioenombrehost gt scp import configuration remote port n mero de puerto de SSH en el host remoto from Origen nombreusuarioahost ruta nombreusuarioenombrehost gt scp import configuration Ejemplo El resultado de este comando muestra opciones designadas con y gt nombreusuarioenombrehostkH set rulebase security rules rulel action acci n applicati
88. irmas de malware aparte de las acciones habituales de firma de antivirus del perfil de antivirus Las firmas de WildFire entregadas en la actualizaci n din mica incluyen las generadas para el malware detectado en archivos enviados a WildFire por todos los clientes de Palo Alto Networks WildFire no solo las muestras de archivos que env a el cortafuegos a WildFire Gu a del administrador de WildFire 5 Acerca de WildFire Descripci n general de WildFire Una firma de WildFire tarda aproximadamente de 30 a 60 minutos en generarse y en estar disponible para los suscriptores de WildFire despu s de que el malware se detecte Los cortafuegos equipados con una suscripci n de WildFire pueden sondear la existencia de nuevas firmas de malware cada 15 30 o 60 minutos Por ejemplo si el cortafuegos est definido para sondear actualizaciones de firmas de WildFire cada 30 minutos puede que no reciba una firma de uno de los archivos enviados hasta el segundo intervalo de sondeo despu s de que se detecte debido al tiempo que tarda en generarse la firma Si el cortafuegos solo tiene una suscripci n de Threat Prevention seguir recibiendo firmas generadas por WildFire despu s de que las firmas de WildFire entren en las actualizaciones del antivirus que se producen cada 24 48 horas Para los archivos analizados por un Dispositivo WF 500 WildFire solo se pueden generar firmas para malware detectado en la red si ha habilitado expl citamente la funci n
89. l explorador A continuaci n puede ver un informe de muestra Reports Dashboard Upload File Search Source Type 0004A100237 All JA Showing 1 50 of 686 first prev next last Recelved Time Source Filename Url Verdict E 09 12 2011 04 05 00044100237 HP_CLJ3600_32bit_HB exe unknown Benign PM O 09 12 2011 02 53 0004A100237 DJ_SF 05 D2600_NonNet Basic_Win_WW_140_049 exe unknown Benign PM gt 09 12 2011 01 57 00044100237 SetupEpicPlayexe 41 epicplay com aj bundie 392 Benign PM E 09 12 2011 12 51 0004A100237 A11GX620 EXE unknown Malware PM p 09 12 2011 12 46 0004A100237 XvidSetup exe origin ics fivemillionfriends com IC GPLAppBundier4 1 22596 0 df Malware PM p 09 12 2011 12 42 0004A100237 vic exe us 1820 malil yahoo com ya upload_with_cred cred bQk1WJkc1195MT4 Benign PM G 09 12 2011 12 26 0004A100237 OJProL7X00_Basic_14 exe unknown Benign PM Qu contienen los informes de WildFire Los informes muestran informaci n detallada de comportamiento sobre el archivo que se ejecut en el sistema WildFire as como informaci n sobre el usuario de destino la aplicaci n que entreg el archivo y todas las direcciones URL involucradas en la entrega o en la actividad tel fono casa del archivo La siguiente tabla describe cada secci n que aparece en un informe de an lisis de WildFire t pico La organizaci n del informe puede variar en funci n de la versi n del software del dispositivo WildFire instalado en dicho disposi
90. ldFire consulte Cuentas de usuario del portal de WildFire en la p gina 51 Para obtener informaci n sobre la cuenta de administrador usada para recuperar informes de un dispositivo WildFire consulte Realizaci n de la configuraci n inicial en la p gina 10 y el paso que describe la cuenta portal admin Supervisi n de env os con la nube de WildFire Vaya a la nube WildFire de Palo Alto Networks en https wildfire paloaltonetworks com e inicie sesi n usando sus credenciales de asistencia t cnica de Palo Alto Networks o su cuenta de WildFire El portal se abrir para mostrar el panel que enumera informaci n de informes de resumen de todos los cortafuegos asociados a la suscripci n a WildFire o cuenta de asistencia t cnica espec fica as como los archivos que se hayan cargado manualmente Para cada dispositivo se mostrar n estad sticas del n mero de archivos de malware detectados archivos buenos analizados y archivos pendientes en espera para su an lisis Tambi n aparecer n la fecha y la hora que registr el cortafuegos la primera vez con el portal para comenzar el reenv o de archivos a WildFire Para obtener informaci n sobre la configuraci n de cuentas de WildFire adicionales que pueden usarse para revisar informaci n de informes consulte Cuentas de usuario del portal de WildFire en la p gina 51 WILDFIRE n Settings Log Off Dashboard Upload File Today 103099 477 139 o 09 01 2011 08
91. ldFire de Palo Alto Networks y el dispositivo WildFire son las siguientes El dispositivo WildFire habilita el aislamiento local del malware para que los archivos que no resulten peligrosos nunca salgan de la red del cliente De forma predeterminada el dispositivo WildFire no reenv a archivos a la nube de WildFire y por lo tanto no se generan firmas para el malware detectado por este Si desea generar firmas de WildFire para el malware detectado en su red puede habilitar la funci n de env o autom tico en el dispositivo Con esta opci n habilitada el dispositivo env a cualquier malware que detecte a la nube de WildFire para la generaci n de la firma correspondiente La API de WildFire que se proporciona con todas las suscripciones a WildFire est disponible para todos los suscriptores de WildFire y puede utilizarse con la nube p blica pero no con el dispositivo WF 500 El env o manual de muestras puede realizarse en la nube p blica a trav s del portal web wildfire paloaltonetworks com pero no existe ning n portal web local para el dispositivo WE 500 Cu les son las ventajas de la suscripci n de WildFire WildFire ofrece detecci n y prevenci n de malware de d a cero mediante una combinaci n de detecci n de malware basada en firmas y en aislamiento y bloqueo del malware Para usar WildFire para obtener visibilidad del malware de d a cero todo lo que necesita es configurar un perfil de bloqueo de archivos para
92. lor gt path lt valor gt content lt valor gt 96 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire O BIEN certificate O name lt valor gt passphrase lt valor gt path lt valor gt content lt valor gt certificate name lt valor gt format pkcs12 pem BIEN private key O name lt valor gt passphrase lt valor gt path lt valor gt content lt valor gt certificate name lt valor gt format pkcs12 pem BIEN keypair O name lt valor gt passphrase lt valor gt path lt valor gt content lt valor gt certificate name lt valor gt format pkcs12 pem BIEN ssl optout text O name lt valor gt path lt valor gt content lt valor gt BIEN ssl cert status page O name lt valor gt path lt valor gt content lt valor gt BIEN logo O name lt valor gt path lt valor gt content lt valor gt BIEN custom logo login screen name lt valor gt path lt valor gt Gu a del administrador de WildFire Comandos del modo de operaci n 97 Comandos del modo de operaci n O BIEN main ui name lt valor gt path lt valor gt O BIEN pdf report header name lt valor gt path lt valor gt O BIEN pdf report footer name lt valor gt path lt valor gt
93. los puertos necesarios Nube de WildFire Utiliza el puerto 443 para registro y env o de archivos Dispositivo WildFire Utiliza el puerto 443 para registro y el 10443 para env o de archivos Siga estas instrucciones en todos los cortafuegos que reenviar n archivos a WildFire CONFIGURACI N DE UN PERFIL DE BLOQUEO DE ARCHIVOS Y POSTERIOR ADICI N DEL MISMO A UN PERFIL DE SEGURIDAD Paso 1 Compruebe que el cortafuegos tiene 1 Acceda a Dispositivo gt Licencias y confirme que el cortafuegos suscripciones a WildFire y prevenci n de tiene suscripciones a WildFire y prevenci n de amenazas v lidas amenazas y que las actualizaciones 2 Acceda a Dispositivo gt Actualizaciones din micas y haga clic din micas est n programadas y en Comprobar ahora para asegurarse de que el cortafuegos actualizadas tiene las actualizaciones m s recientes del antivirus aplicaciones Nota Aunque el cortafuegos puede reenviar y amenazas y WildFire archivos a WildFire sin una suscripci n a 3 Si las actualizaciones no est n programadas h galo ahora WildFire los logs de WildFire no estar n Aseg rese de escalonar la programaci n de las actualizaciones disponibles en el cortafuegos y el porque solo se puede realizar una cada vez Consulte cortafuegos no recibir actualizaciones de Recomendaciones pata actualizaciones din micas en la firmas de malware de WildFire con una p gina 37 para conocer la configuraci n recomendada fre
94. m lt valor gt from xpath lt valor gt to xpath lt valor gt mode merge replace append O BIEN repo device lt valor gt file lt valor gt O BIEN version lt valor gt delete config saved lt valor gt O BIEN repo device lt valor gt file lt valor gt O BIEN running config O BIEN software image lt valor gt O BIEN version lt valor gt 86 Referencia de la CLI del software del dispositivo WildFire Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire clear job id 0 4294967295 O BIEN log config O BIEN system O BIEN counter device show arp management ethernet1 1 ethernet1 2 all O BIEN neighbor management ethernet1 1 ethernet1 2 all O BIEN web server log level O BIEN config diff O BIEN running xpath lt valor gt O BIEN candidate O BIEN interface management ethernet1 1 O BIEN management clients O BIEN counter management server O BIEN interface management ethernet1 1 O BIEN device O BIEN ntp O BIEN clock O BIEN Gu a del administrador de WildFire Comandos del modo de operaci n 87 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire wildfire sample status sha256 equal lt valor gt
95. ma nombrehost wf corpl ip address 192 168 2 20 netmask 255 255 255 0 default gateway 192 168 2 1 mac address 00 25 90 95 84 76 vm interface ip address 10 16 0 20 vm interface netmask 255 255 252 0 vm interface default gateway 10 16 0 1 vm interface dns server 10 0 0 247 time Mon Apr 15 13 31 39 2013 uptime 0 days 0 02 35 family m model WF 500 serial 009707000118 sw version 5 1 0 logdb version 5 0 2 platform family m nombreusuarioenombrehost gt El siguiente ejemplo muestra solo informaci n del modelo del sistema nombreusuarioenombrehost gt show system info match model model WF 500 nombreusuarioenombrehost gt 70 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Modos de comando de la CLI Niveles de privilegio Los niveles de privilegio determinan los comandos que el usuario tiene permitido ejecutar y la informaci n que el usuario tiene permitido ver superlector Tiene solo acceso de lectura completo al dispositivo superusuario Tiene acceso de escritura completo al dispositivo Modos de comando de la CLI En este cap tulo se describen los modos usados para interactuar con la CLI del software del dispositivo WildFire A Acerca del modo de configuraci n A Acerca del modo de operaci n Acerca del modo de configuraci n Al introducir comandos en el modo de configuraci n se modifica la configuraci n del candidato La config
96. malware Aunque algunos sitios web de uso compartido de archivos tienen una funci n antivirus que comprueba los archivos cuando se cargan solo pueden proteger contra malware conocido Si desea m s informaci n sobre la configuraci n de WildFire consulte Env o de archivos a la nube de WildFire en la p gina 34 o Reenv o de archivos a un dispositivo WF 500 WildFire en la p gina 24 Este ejemplo usa un sitio web que utiliza cifrado SSL por lo que el descifrado debe configurarse en el cortafuegos y la opci n Permitir reenv o de contenido descifrado debe estar habilitada Para obtener m s informaci n sobre la configuraci n del descifrado consulte la Palo Alto Networks Getting Started Guide Gu a de inicio de Palo Alto Networks Para obtener m s informaci n sobre c mo habilitar el reenv o de datos descifrados consulte Env o de archivos a la nube de WildFire en la p gina 34 o Reenv o de archivos a un dispositivo WF 500 WildFire en la p gina 24 CASO DE EJEMPLO DE WILDFIRE Paso 1 El representante de ventas de la empresa asociada carga un archivo de una herramienta de ventas denominado sales tool exe en su cuenta de Dropbox y despu s env a un correo electr nico a la representante de ventas de Palo Alto Networks con un enlace al archivo Paso 2 La representante de ventas de Palo Alto recibe el correo electr nico del socio de ventas y hace clic en el v nculo descargado que le lleva al
97. move admin lt valor gt O BIEN config lock ada comment lt valor gt O BIEN remove O BIEN tech support dump O BIEN stats dump O BIEN shutdown system O BIEN system software info O BIEN check O BIEN download version lt valor gt O BIEN file lt valor gt O BIEN install version lt valor gt O BIEN file lt valor gt 84 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire load config lt valor gt O BIEN license info O BIEN fetch auth code lt valor gt O BIEN install lt valor gt O BIEN restart system O BIEN software O BIEN support info O BIEN check check pending changes O BIEN data access passwd system save config to lt valor gt load config key lt valor gt last saved O BIEN from lt valor gt O BIEN version lt valor gt 1 1048576 O BIEN partial Gu a del administrador de WildFire Comandos del modo de operaci n 85 Comandos del modo de operaci n from lt valor gt from xpath lt valor gt to xpath lt valor gt mode merge replace append O BIEN device state load config key lt valor gt last saved O BIEN from lt valor gt O BIEN version lt valor gt O BIEN partial fro
98. n adminewF 500 gt show system info Introduzca el siguiente comando para ver las ltimas versiones adminewF 500 gt request system software check Nota Si el dispositivo no puede ponerse en contacto con el servidor de actualizaci n de Palo Alto Networks aseg rese de que cuenta con una licencia y de que el DNS est resolviendo correctamente Tambi n puede probar desde el dispositivo haciendo ping al servidor de actualizaci n de Palo Alto Networks para asegurarse de que es posible acceder Ejecute el siguiente comando de la CLI adminewF 500 gt ping host updates paloaltonetworks com Paso 2 Descargue e instale una nueva versi n del software del dispositivo WildFire hb Para instalar una nueva versi n del software utilice el siguiente comando adminQewF 500 gt request system software download file nombre de archivo Por ejemplo adminowF 500 gt request system software download file WildFire m 5 1 0 Compruebe que el archivo ha terminado de descargarse utilizando el siguiente comando adminowF 500 gt show jobs pending o admin WF 500 gt show jobs all Despu s de se descargue el archivo inst lelo usando el siguiente comando admin WF 500 gt request system software install file nombre de archivo Por ejemplo admin WF 500 gt request system software install file WildFire_m 5 1 0 22 Gu a del administrador de WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Configur
99. n de reenv o v lida pero que no se envi y analiz en WildFire porque el archivo ya se envi a la nube WildFire desde otra sesi n posiblemente desde otro cortafuegos 3 Consulte los logs de WildFire se necesita suscripci n seleccionando Supervisar gt Logs gt WildFire Si los logs de WildFire est n disponibles el cortafuegos est reenviando correctamente los archivos a WildFire y WildFire est devolviendo los resultados del an lisis de archivos Nota Para obtener m s informaci n sobre los logs relacionados con WildFire consulte Acerca de los logs de WildFire en la p gina 48 pai Paso4 Cree la pol tica de bloqueo de archivos Acceda a Objetos gt Perfiles de seguridad gt Bloqueo de archivo y haga clic en el perfil de bloqueo de archivo para modificarlo N Confirme que la acci n est establecida en Reenviar o en Continuar y reenviar Si est establecida en Continuar y reenviar solo se reenviar el tr fico http https porque es el nico tipo de tr fico que permite solicitar al usuario que haga clic para continuar Paso 5 Compruebe la pol tica de seguridad 1 Acceda a Pol ticas gt Seguridad y haga clic en la regla de pol tica de seguridad que activa el reenv o de archivos a WildFire 2 Haga clic en la pesta a Acciones y aseg rese que la pol tica de bloqueo de archivos est seleccionada en el men desplegable Bloqueo de archivo Gu a del administrador de WildFire 39 E
100. n la bah a gt remove unidad que se eliminar del par de discos RAID Resultado de muestra El siguiente resultado muestra un dispositivo WildFire WF 500 con una RAID configurada correctamente adminewf corpl1 gt show system raid Disk Pair A Available Disk id Al Present Disk id A2 Present Disk Pair B Available Disk id B1 Present Disk id B2 Present 106 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Nivel de privilegios requerido superusuario superlector Gu a del administrador de WildFire Comandos del modo de operaci n 107 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire show wildfire Descripci n Muestra la informaci n de registro del dispositivo WildFire actividad muestras recientes que se han analizado e informaci n de la m quina virtual Ubicaci n de jerarqu a show wildfire Sintaxis sample status sha256 equal lt valor gt O BIEN status O BIEN statistics O BIEN latest analysis filter malicious benign sort by SHA256 Submit Time Start Time Finish Time Malicious Status sort direction asc desc limit 1 20000 days 1 7 O BIEN sessions filter malicious benign sort by SHA256 Create Time Src IP Src Port Dst Ip Dst Port File Device ID App Malicious Status sort direction asc desc limit 1 20000 days 1 7 O BIEN samples filter malicious be
101. n puede ser una l nea DSL especializada o un conexi n de red que solo permita el acceso directo desde la interfaz a Internet y restrinja cualquier acceso a servidores internos hosts de cliente En la siguiente ilustraci n se muestran dos opciones para conectar la interfaz vm a la red Internet Opci n 2 gt Puerto Ethernet 1 de la interfaz vm con direcci n IP p blica conectada directamente a Internet TA Cortafuegos corporativo Zona no fiable a e Zona WildFire Zona fiable servidores hosts internos Opci n 1 i San Puerto Ethernet 1 de la interfaz vm a 10 16 0 20 22 q Puerto de interfaz de gesti n 10 10 0 5 22 Recibe archivos reenviados desde el cortafuegos corporativo y reenv a software malintencionado a la nube de WildFire si el env o autom tico est habilitado Dispositivo WildFire La interfaz se conecta a una zona WildFire del cortafuegos con una pol tica para Internet y sin acceso a ninguno de los servidores hosts internos Interfaz de gesti n Interfaz VM e Opci n 1 recomendada La interfaz vm se conecta a un interfaz en una zona especializada de un cortafuegos con una pol tica que solo permite el acceso a Internet Es importante porque el malware que se ejecuta en las m quinas virtuales de WildFire puede utilizar potencialmente esta interfaz para propagarse Es la opci n recomendada porque los logs del cortafuegos proporcionar n visibilidad en c
102. name lt valor gt passphrase lt valor gt format pkcs12 pem Gu a del administrador de WildFire Comandos del modo de operaci n O BIEN private key O from lt valor gt file lt valor gt remote port 1 65535 source ip lt ip m scara de red gt passphrase lt valor gt certificate name lt valor gt format pkcs12 pem BIEN keypair O from lt valor gt file lt valor gt remote port 1 65535 source ip lt ip m scara de red gt passphrase lt valor gt certificate name lt valor gt format pkcs12 pem BIEN license o from lt valor gt file lt valor gt remote port 1 65535 source ip lt ip m scara de red gt BIEN software from lt valor gt file lt valor gt remote port 1 65535 source ip lt ip m scara de red gt O BIEN export config bundle to lt valor gt remote port 1 65535 source ip lt ip m scara_de red gt O BIEN core file 100 control plane from lt valor gt to lt valor gt remote port 1 65535 source ip lt ip m scara de red gt Referencia de la CLI del software del dispositivo WildFire Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de operaci n O BIEN device state to lt valor gt remote port 1 65535 source ip lt ip m scara_de red gt O BIEN mgmt pcap f
103. nign sort by SHA256 Create Time File Name File Type File Size Malicious Status sort direction asc desc 108 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de operaci n limit 1 20000 days 1 7 O BIEN uploads sort by SHA256 Create Time Finish Time Status sort direction asc desc limit 1 20000 days 1 7 O BIEN last device registration all Opciones adminowf corp1 gt show wildfire gt last device registration Muestra una lista de las ltimas actividades de registro gt latest Muestra las ltimas 30 actividades que incluyen las ltimas 30 actividades de an lisis los ltimos 30 archivos que se analizaron informaci n de la sesi n de red en archivos que fueron analizados y archivos que fueron cargados al servidor en la Nube p blica gt sample status Muestra un estado de ejemplo de wildfire gt statistics Muestra estad sticas b sicas de wildfire gt status Estado Resultado de muestra A continuaci n se muestra el resultado de este comando adminowf corp1 gt show wildfire last device registration all po cenna PR HS a e ds pasao PERA A HS 54 Device ID Last Registered Device IP SW Version HW Model Sta tus ESA O RS ds poseo nens Pros 001606000114 2013 03 12 08 34 09 192 168 2 1 5 0 2 PA 200 OK a a e SAA Ha Sas HPA AAA admin wf corpl gt show wildfire latest gt
104. nuevos modificado el registro o instalado objetos de ayuda del explorador comportamientos Network Activity Muestra la actividad de la red generada por la muestra como el acceso a otros Actividad de red hosts de la red y la actividad tel fono casa del archivo Host Activity Actividad de host Muestra las claves de registro que se han definido modificado o eliminado Process Proceso Muestra archivos que han empezado un proceso principal el nombre del proceso y la acci n que ha realizado el proceso File Archivo Muestra archivos que han empezado un proceso secundario el nombre del proceso y la acci n que ha realizado el proceso 54 Gu a del administrador de WildFire Supervisi n control y prevenci n del malware en la red Configuraci n de alertas para el malware detectado Configuraci n de alertas para el malware detectado Esta secci n describe los pasos necesarios para configurar un cortafuegos de Palo Alto Networks para enviar una alerta cada vez que WildFire devuelva un log de amenaza al cortafuegos que indica que se ha detectado malware Este ejemplo describe c mo configurar una alerta de correo electr nico Para configurar los registros de Syslog los traps SNMP o el reenv o de logs a Panorama aseg rese de que el cortafuegos est configurado con informaci n de servidor SNMP y de que este cortafuegos est gestionado por Panorama Panorama Syslog o SNMP se pueden selecciona
105. nv o de archivos a la nube de WildFire An lisis de archivos mediante la nube de WildFire COMPROBACI N DE LA CONFIGURACI N DE WILDFIRE EN EL CORTAFUEGOS CONTINUACI N Paso 6 Compruebe el estado de WildFire Ejecute los siguientes comandos de la CLI para comprobar el estado de WildFire y verificar que las estad sticas est n aumentando Compruebe el estado de WildFire adminePA 200 gt show wildfire status Cuando reenv e los archivos a la nube de WildFire el resultado deber a ser el siguiente Connection info Wildfire cloud Status Best server default cloud Idle ca s1 wildfire paloaltonetworks com Device registered yes Valid wildfire license yes Service route IP address 192 168 2 1 Signature verification enable Server selection enable Through a proxy no Forwarding info file size limit MB 2 file idle time out second 90 total file forwarded 0 forwarding rate per minute 0 concurrent files 0 Nota Siel cortafuegos est reenviando archivos a un dispositivo WildFire el campo Wildfire cloud mostrar la direcci n IP o nombre de host del dispositivo y Best server no mostrar ning n valor Utilice el siguiente comando para comprobar las estad sticas y determinar si los valores han aumentado adminePA 200 gt show wildfire statistics Este es el resultado de un cortafuegos en funcionamiento Si no aparece ning n valor el cortafuegos no est reenviando archiv
106. on aplicaci n destination destino disabled deshabilitado from de log end fin del log log setting ajuste de log log start inicio de log negate destination negar destino negate source negar origen schedule programaci n service servicio source origen to para Gu a del administrador de WildFire 69 Acceso a la CLI Referencia de la CLI del software del dispositivo WildFire gt profiles perfiles lt Intro gt Finalizar entrada editar nombreusuarioenombrehostHf set rulebase security rules rulel Cada opci n de la lista marcada con se puede a adir al comando La palabra clave perfiles con gt tiene opciones adicionales nombreusuarioenombrehostH set rulebase security rules rulel profiles virus Cadena de ayuda para virus spyware Cadena de ayuda para spyware vulnerability Cadena de ayuda para vulnerabilidad group Cadena de ayuda para grupo lt Intro gt Finalizar entrada editar nombreusuarioenombrehosti set rulebase security rules rulel profiles Restricci n de resultados de comandos Algunos comandos de operaci n incluyen una opci n pata restringir el resultado que aparece Para restringir el resultado introduzca un s mbolo de barra vertical seguido de excepto o coincidencia y el valor que se debe incluir o excluir Ejemplo El siguiente resultado de muestra pertenece al comando mostrar informaci n del sistema nombreusuarioenombrehost gt mostrar informaci n del siste
107. ortafuegos gestionados usando plantillas de Panorama As se garantiza la consistencia entre todos los cortafuegos y se simplifica la gesti n de la programaci n de actualizaciones Estas orientaciones proporcionan dos opciones de programaci n la programaci n m nima recomendada y una m s agresiva Si elige un enfoque m s agresivo el dispositivo realizar actualizaciones m s frecuentemente algunas de las cuales pueden ser de gran volumen m s de 100 MB para las actualizaciones de antivirus De igual forma raramente se podr an producir errores Por lo tanto considere retrasar la instalaci n de nuevas actualizaciones hasta que se no hayan publicado un determinado n mero de horas Utilice el campo Umbral horas para especificar cu nto tiempo se debe esperar tras una publicaci n antes de realizar una actualizaci n de contenido e Antivirus se publican nuevas actualizaciones de contenido antivirus diariamente Para obtener el contenido m s reciente programe estas actualizaciones diariamente como m nimo Se puede realizar una programaci n m s agresiva cada hora e Aplicaciones y amenazas App ID nuevo protecci n de vulnerabilidad y firmas antispyware se publican como actualizaciones de contenido semanales normalmente los martes Para obtener el contenido m s reciente programe estas actualizaciones semanalmente como m nimo Si desea un enfoque m s agresivo realice una programaci n diaria que garantice que el cortafuegos rec
108. os Total msg rcvd 8819 Total bytes rcvd 7064822 Total msg read 8684 Total bytes read 6756221 Total msg lost by read 135 DP receiver reset count 2 Total file count 42 CANCEL FILE DUP 31 CANCEL FILESIZE_LIMIT 2 DROP_NO MATCH FILE 135 FWD_CNT_LOCAL FILE 9 FWD_CNT_LOCAL DUP 30 FWD_CNT_REMOTE_FILE 9 FWD_CNT_REMOTE _DUP_CLEAN 24 FWD_CNT_REMOTE_DUP_TBD 3 FWD_CNT _CACHE_SYNC 1 FWD_ERR_CONN_FAIL 16776 LOG_ERR REPORT CACHE NOMATCH 47 Service connection reset cnt el data_buf_meter 0 msg_buf meter ctrl _ msg _buf meter fbf buf meter ooo A A o a 40 Gu a del administrador de WildFire An lisis de archivos mediante la nube de WildFire Env o de archivos a la nube de WildFire COMPROBACI N DE LA CONFIGURACI N DE WILDFIRE EN EL CORTAFUEGOS CONTINUACI N Paso 7 Compruebe el estado y las 1 Acceda a Dispositivo gt Actualizaciones din micas programaciones de las actualizaciones 2 Aseg rese de que el antivirus las aplicaciones y amenazas y din micas para asegurarse de que el WildFire tienen las actualizaciones m s recientes y que se ha cortafuegos est recibiendo establecido la programaci n para cada elemento Escalone la autom ticamente las firmas generadas programaci n de las actualizaciones porque solo se puede por WildFire realizar una cada vez 3 Haga clic en Comprobar ahora en la parte inferior de las ventanas para ver si hay alguna actualizaci n disponible lo que tambi n confirma que el cortaf
109. ositivo gt Licencias y confirme que se ha instalado y prevenci n de amenazas y el registro de una suscripci n v lida de WildFire y prevenci n de amenazas Si WildFire no hay instaladas licencias v lidas vaya a la secci n Gesti n de licencias y haga clic en Recuperar claves de licencia del Nota El cortafuegos debe tener una suscripci n j servidor de licencias a WildFire para reenviar archivos a un dispositivo WildFire 2 Para comprobar que el cortafuegos se puede comunicar con un sistema WildFire de forma que los archivos se puedan reenviar para su an lisis ejecute el siguiente comando de la CLI adminePA 200 gt test wildfire registration En la siguiente salida el cortafuegos indica un dispositivo WildFire Si el cortafuegos indica la nube de WildFire mostrar el nombre de host de uno de los sistemas WildFire en la nube de WildFire Test wildfire wildfire registration successful download server list successful select the best server 192 168 2 20 10443 3 Silos problemas con las licencias contin an p ngase en contacto con su distribuidor o con un ingeniero de sistemas de Palo Alto Networks para confirmar todas las licencias y conseguir un nuevo c digo de autorizaci n si es necesario Paso 2 Confirme que el cortafuegos est 1 Para determinar si el cortafuegos est reenviando archivos a la enviando archivos al sistema nube WildFire de Palo Alto Networks o a un dispositivo WildFire correcto WildFi
110. plo crearemos una cuenta de superlector para el usuario bsimpson ip Introduzca el modo de configuraci n ejecutando el siguiente comando admin WF 500 gt configure Para crear la cuenta de usuario introduzca el siguiente comando admin WF 500 set mgt config users bsimpson password Introduzca y confirme la nueva contrase a Para asignar la funci n de superlector introduzca el siguiente comando y a continuaci n pulse Intro admin WF 500 set mgt config users bsimpson permissions role based superreader yes Gu a del administrador de WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Configuraci n del dispositivo WF 500 WildFire INTEGRACI N DEL DISPOSITIVO WILDFIRE EN UNA RED CONTINUACI N Paso 7 Active el dispositivo con el c digo de autorizaci n de WildFire que ha recibido 1 Vaya al modo de operaci n para ejecutar los siguientes comandos de Palo Alto Networks admin WF 500 gt exit Nota El dispositivo WF 500 funcionar sinun 2 Obtenga e instale la licencia de WildFire c digo de autenticaci n pero las nuevas admin WF 500 gt request license fetch actualizaciones de software no pueden auth code auth code instalarse sin un c digo de autenticaci n Pulse Intro para obtener e instalar la licencia v lido 4 Verifique la licencia admin WF 500 gt request license info Debe aparecer una licencia activa con una fecha posterior a la fecha actual Paso 8 Establez
111. r Haga clic en el icono de detalles del log a la izquierda de la entrada del log de WildFire para ver m s detalles sobre la sesi n A continuaci n haga clic en el icono Ver informes de WildFire para ver el informe detallado del an lisis de WildFire Si el cortafuegos reenv a logs a Panorama estos pueden verse en Panorama en la misma rea Al enviar archivos al portal de WildFire mediante el reenv o de cortafuegos la carga manual o la API de WildFire es posible acceder a los informes desde el cortafuegos as como desde el portal de WildFire Para acceder a los informes desde el portal inicie sesi n en https wildfire paloaltonetworks com y haga clic en el bot n Informes en la parte superior de la p gina del portal de WildFire Aparecer una lista que muestre la fecha en la que se ha recibido el archivo el n mero de serie del cortafuegos que ha reenviado el archivo o manual si el archivo se ha cargado manualmente o mediante la API de WildFire y el nombre de archivo o URL Tambi n tiene a su disposici n opciones de b squeda en la parte superior de la p gina y se incluyen controles de paginaci n 52 Gu a del administrador de WildFire Supervisi n control y prevenci n del malware en la red Visualizaci n de informes de WildFire Para ver un informe individual desde el portal haga clic en el icono Informes situado a la izquierda del nombre del informe Para imprimir un informe detallado use la opci n de impresi n de
112. r despu s junto con el correo electr nico seg n se describe en los siguientes pasos Para obtener m s informaci n sobre alertas y reenv o de logs consulte las secciones Configuraci n de alertas de correo electr nico Definici n de servidores Syslog y Configuraci n de los destinos de Trap SNMP de la Palo Alto Networks Getting Started Guide Gu a de inicio de Palo Alto Networks CONFIGURACI N DE ALERTAS PARA MALWARE Paso 1 Configure un perfil de servidor de correo 1 Vaya a Dispositivo gt Perfiles de servidor gt Correo electr nico electr nico si no hay uno ya configurado 2 Haga clic en A adir y a continuaci n introduzca un Nombre para el perfil Por ejemplo WildFire Correoelectronico Perfil 3 Opcional Seleccione el sistema virtual al que se aplica este perfil en el men desplegable Ubicaci n 4 Haga clic en A adir para a adir una nueva entrada de servidor de correo electr nico e introduzca la informaci n necesaria para conectar con el servidor SMTP y enviar mensajes de correo electr nico puede a adir hasta cuatro servidores de correo electr nico al perfil e Servidor nombre para identificar el servidor de correo electr nico 1 31 caracteres Este campo es solamente una etiqueta y no tiene que ser el nombre de host de un servidor SMTP existente Mostrar nombre el nombre que aparecer en el campo De del correo electr nico De la direcci n de correo electr n
113. ra determinar qu archivos se han reenviado a WildFire busque los siguientes valores en la columna Action Acci n del log wildfire upload success El archivo se ha enviado a la nube Esto significa que el archivo no est firmado por un firmante de archivo fiable y que WildFire no lo ha analizado anteriormente wildfire upload skip aparecer en todos los archivos que se identifiquen como aptos para enviarse a WildFire por un perfil de bloqueo de archivos o una pol tica de seguridad pero que no fue necesario que WildFire analizase porque ya se hab an analizado previamente En este caso la acci n de reenviar aparecer en el registro de Filtrado de datos porque era una acci n de reenv o v lida pero que no se envi y analiz en WildFire porque el archivo ya se envi a la nube WildFire desde otra sesi n posiblemente desde otro cortafuegos Si est habilitado el registro de archivos wildfire upload skip tambi n se mostrar para archivos buenos que se hayan encontrado antes por lo que no es necesario que se env en a la nube para su an lisis El registro de archivos se activa desde la CLI ejecutando set deviceconfig setting wildfire report benign file Logs de WildFire los resultados del an lisis de los archivos analizados por WildFire se devuelven a los logs del cortafuegos se requiere suscripci n a WildFire una vez se complete el an lisis Estos logs se escriben en el cortafuegos que reenvi el archivo en Sup
114. ra introducir un comando del modo de operaci n mientras est en el modo de configuraci n use el comando ejecutar Por ejemplo para mostrar recursos del sistema desde el modo de configuraci n use ejecutar mostrar recursos del sistema Mostrar opciones de comandos de la CLI del software del dispositivo WildFire Use o Meta H para mostrar una lista de opciones de comandos basada en el contexto e Para mostrar una lista de comandos de operaci n introduzca en el mensaje del comando nombreusuarioenombrehost gt clear Borrar los par metros de tiempo de ejecuci n configure Modificar la informaci n de la configuraci n de software debug Depurar y diagnosticar exit Salir de esta sesi n grep Buscar en el archivo l neas que contengan una coincidencia de patrones less Examinar el contenido del archivo depurado ping Hacer ping a hosts y redes quit Abandonar esta sesi n request Hacer solicitudes en el nivel de sistema Gu a del administrador de WildFire 67 Acceso a la CLI 68 Referencia de la CLI del software del dispositivo WildFire scp Usar ssh para copiar el archivo en otro host set Establecer par metros opcionales show Mostrar par metros opcionales ssh Iniciar una shell para otro host tail Imprimir las ltimas 10 l neas del contenido del archivo de depuraci n nombreusuario nombrehost gt Para mostrar las opciones disponibles de un comando especificado introduzca el comando seguido de Ej
115. re vaya a Dispositivo gt Configuraci n gt WildFire 2 Haga clic en el bot n de edici n Configuraci n general 3 Siel cortafuegos est reenviando archivos a la nube de WildFire este campo deber a aparecer como default cloud Si est reenviando archivos a un dispositivo WildFire aparecer n la direcci n IP o FQDN del dispositivo WildFire En Panorama el nombre predeterminado de la nube es wildfire public cloud Nota Si ha modificado el valor de este campo pero quiere volver al ajuste default cloud borre el campo Servidor WildFire y haga clic en ACEPTAR As restaurar el campo a su valor predeterminado Cuando utilice un dispositivo WildFire aseg rese de que no est habilitada la opci n Deshabilitar selecci n de servidor o de lo contrario el dispositivo no podr a recibir archivos desde el cortafuegos Compruebe el siguiente ajuste y aseg rese de que est establecido como no adminePA 2004 set deviceconfig setting wildfire disable server select Gu a del administrador de WildFire 29 Reenv o de archivos a un dispositivo WF 500 WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire COMPROBACI N DE LA CONFIGURACI N DE WILDFIRE EN EL CORTAFUEGOS CONTINUACI N Paso 3 Compruebe los logs 1 Vaya a Supervisar gt Logs gt Filtrado de datos 2 Confirme que los archivos se est n reenviando a WildFire consultando la columna Acci n e Reenviar Aparece si el perfil de bloq
116. re activa y registrada a nombre de un titular de cuenta de su organizaci n Puede compartir la misma clave API en la organizaci n La clave API aparece en la secci n My Account Mi cuenta del portal web de WildFire junto con estad sticas como cu ntas cargas y consultas se han realizado usando la clave La clave se debe considerar secreta y no debe compartirse fuera de los canales autorizados C mo usar la API de WildFire La API de WildFire es una API REST que utiliza solicitudes HTTP est ndar para enviar y recibir datos Las llamadas de la API se pueden realizar directamente desde utilidades de la l nea de comandos como cURL o usando cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la REST Los m todos de la API se alojan en https wildfire paloaltonetworks com y el protocolo HTTPS no HTTP es necesario pata proteger su clave API y cualquier otro dato intercambiado con el servicio Una clave API de WildFire le permite hasta 100 cargas de muestra por d a y hasta 1000 informes por d a M todos de env o de la API de WildFire Utilice los siguiente m todos para enviar archivos a WildFire A Env o de un archivo a la nube de WildFire usando el m todo de env o de archivo A Env o de un archivo a WildFire usando el m todo de env o de URL Gu a del administrador de WildFire 43 Carga de archivos usando la API de WildFire An lisis de archivos mediante la nube de WildFire
117. rfaz de la m quina virtual en la p gina 20 que se conectar la interfaz vm Gu a del administrador de WildFire 19 Configuraci n del dispositivo WF 500 WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Configuraci n del cortafuegos para controlar el tr fico de la interfaz de la m quina virtual En el siguiente flujo de trabajo de ejemplo se describe c mo conectar la interfaz vm a un puerto en un cortafuegos de Palo Alto Networks Antes de conectar la interfaz vm al cortafuegos este debe tener una zona no fiable conectada a Internet En este ejemplo se configura una nueva zona denominada wf vm zone para conectar la interfaz vm del dispositivo al cortafuegos La pol tica asociada con la zona wf vm solo permitir la comunicaci n desde la interfaz vm hasta la zona no fiable CONFIGURACI N DE LA INTERFAZ DEL CORTAFUEGOS PARA LA RED DE LA M QUINA VIRTUAL Paso 1 Configure la interfaz en el cortafuegos al 1 En la interfaz web del cortafuegos seleccione Red gt Interfaces que se conectar la interfaz vm y y a continuaci n seleccione una interfaz por ejemplo establezca el enrutador virtual Ethernet1 3 Nota La zona wf vm configurada en este paso 2 Seleccione Tipo de interfaz Capa3 solo se debe utilizar para conectar la 3 En la pesta a Configurar cuadro desplegable Zona de interfaz vm desde el dispositivo al seguridad seleccione Nueva zona cortafuegos No a ada
118. rol muy detallado de las condiciones bajo las cuales se env an los archivos a WildFire Por ejemplo puede elegir reenviar solo archivos adjuntos de correo electr nico web o solo los procedentes de sitios web de determinadas categor as URL Siempre que se transfiere un archivo mediante una sesi n que coincida con una regla de seguridad con un perfil de reenv o el cortafuegos comprueba con WildFire si el archivo es nuevo Si el archivo es nuevo el cortafuegos lo reenv a autom ticamente a WildFire incluso si este se encontraba en un archivo ZIP o en HTTP comprimido El cortafuegos tambi n se puede configurar para que reenv e archivos situados dentro de sesiones SSL descifradas Cuando WildFire recibe un archivo lo analiza en su entorno aislado virtualizado para determinar si muestra signos de comportamientos malintencionados cambios en la configuraci n de seguridad del explorador introducci n de c digo en otros procesos modificaci n de archivos en las carpetas del sistema de Windows o dominios que la muestra puede haber visitado Cuando el motor de WildFire completa el an lisis genera un informe experto detallado que resume las actividades realizadas por la muestra en el host y la red y asigna autom ticamente un veredicto para indicar si se trata de malware o no 2 Gu a del administrador de WildFire Descripci n general de WildFire Acerca de WildFire Adem s cuando el motor de WildFire identifica una muestra como malware lo pasa
119. rom lt valor gt to lt valor gt remote port 1 65535 source ip lt ip m scara de red gt O BIEN configuration from lt valor gt to lt valor gt remote port 1 65535 source ip lt ip m scara de red gt O BIEN tech support to lt valor gt remote port 1 65535 source ip lt ip m scara_de red gt O BIEN log file management plane to lt valor gt remote port 1 65535 source ip lt ip m scara de red gt load config key lt valor gt last saved O BIEN from lt valor gt O BIEN version lt valor gt 1 1048576 O BIEN partial from lt valor gt from xpath lt valor gt to xpath lt valor gt mode merge replace append Gu a del administrador de WildFire 101 Comandos del modo de operaci n O BIEN device state less mp log lt valor gt O BIEN mp backtrace lt valor gt grep invert match yes no line number yes no ignore case yes no no filename yes no count yes no max count 1 65535 context 1 65535 before context 1 65535 after context 1 65535 pattern lt valor gt mp log lt valor gt O BIEN dp log lt valor gt tail follow yes no lines 1 65535 mp log lt valor gt ssh inet yes no port 0 65535 source lt valor gt vl yes no v2 yes no host lt valor gt telnet 8bit yes no port 0 65535 host lt valor gt traceroute ipv4 yes no fi
120. rst ttl 1 255 max ttl 1 255 102 Referencia de la CLI del software del dispositivo WildFire Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire port 1 65535 tos 1 255 wait 1 99999 pause 1 2000000000 do not fragment yes no debug socket yes no gateway lt ip m scara de red gt no resolve yes no bypass routing yes no source lt valor gt host lt valor gt netstat route yes no interfaces yes no groups yes no statistics yes no verbose yes no numeric yes no numeric hosts yes no numeric ports yes no numeric users yes no symbolic yes no extend yes no programs yes no continuous yes no listening yes no all yes no timers yes no fib yes no cache yes no ping bypass routing yes no count 1 2000000000 do not fragment yes no interval 1 2000000000 source lt valor gt no resolve yes no pattern lt valor gt size 0 65468 tos 1 255 ttl 1 255 verbose yes no host lt valor gt Gu a del administrador de WildFire Comandos del modo de operaci n 103 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire test wildfire registration Descripci n Ejecute una prueba para verificar si se han registrado correctamente el dispositivo WildFire o un firewall con un servidor WildFire Si la prueba es satisfactoria se mostrar n la direcci n IP o el nombre del servidor Wild
121. ry 10 0 0 246 Navegaci n por la jerarqu a El titular editar presentado a continuaci n de la l nea del s mbolo de sistema del modo de configuraci n muestra el contexto de jerarqu a actual Por ejemplo el titular editar indica que el contexto relativo es el m ximo nivel de la jerarqu a mientras que editar deviceconfig indica que el contexto relativo est al nivel de deviceconfig 74 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Modos de comando de la CLI Use los comandos de la lista para navegar por la jerarqu a de configuraci n editar Establece el contexto para la configuraci n dentro de la jerarqu a de comandos arriba Cambia el contexto al nivel superior de la jerarqu a m ximo Cambia el contexto al nivel m s alto de la jerarqu a Si se emite el comando establecer despu s de usar los comandos arriba y principal se inicia desde un nuevo contexto Acerca del modo de operaci n La primera vez que se inicia sesi n en el dispositivo la CLI del software del dispositivo WildFire se abre en el modo de operaci n Los comandos del modo de operaci n tienen que ver con acciones que se ejecutan inmediatamente No suponen cambios en la configuraci n y no es necesario guardarlos o compilarlos Los comandos del modo de operaci n son de diversos tipos e Acceso a la red Abre una ventana a otro host Es compatible con SSH e Supervi
122. s a PAN OS consulte la Gu a de referencia de la interfaz de l nea de comandos de PAN OS de Palo Alto Networks para obtener informaci n sobre esos comandos jerarqu a y tienen un hiperenlace a la descripci n deviceconfig system login banner lt valor gt hostname lt valor gt domain lt valor gt speed duplex Todos los comandos espec ficos de WildFire est n en color azul en el resultado de la siguiente auto negotiate 10Mbps half duplex 10Mbps full duplex 100Mbps half duplex 100Mbps full duplex 76 1Gbps full duplex ip address lt ip m scara de red gt netmask lt valor gt default gateway lt ip m scara de red gt interfaz vm ip address lt ip m scara_de red gt netmask lt valor gt default gateway lt ip m scara de red gt mtu 576 1500 speed duplex auto negotiate 10Mbps half duplex 10Mbps full duplex 100Mbps half duplex 100Mbps full duplex 1Gbps full duplex link state up down dns server lt ip m scara_de red gt geo location latitude lt float gt longitude lt float gt timezone dns setting servers primary lt ip m scara_de red secondary lt ip m scara_de red gt ntp server 1 lt valor gt ntp server 2 lt valor gt update server lt valor gt secure proxy server lt valor gt secure proxy port 1 65535 secure proxy user lt valor gt Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire
123. s informes de gt De forma predeterminada todos los elementos de informaci n an lisis de WildFire de la sesi n aparecer n en los informes Borre las casillas de verificaci n que correspondan a campos que desee eliminar de los informes de an lisis de WildFire 3 Haga clic en ACEPTAR para guardar los cambios Paso 7 Compile la configuraci n Haga clic en Compilar para aplicar los cambios Durante la evaluaci n de la pol tica de seguridad todos los archivos que cumplan los criterios definidos en la pol tica de bloqueo de archivos se reenviar n a WildFire para su an lisis Para obtener informaci n sobre c mo consultar los informes de los archivos que se han analizado consulte Supervisi n control y prevenci n del malware en la red en la p gina 47 Para obtener instrucciones sobre c mo comprobar la configuraci n consulte Comprobaci n de la configuraci n de WildFire en el cortafuegos en la p gina 38 36 Gu a del administrador de WildFire An lisis de archivos mediante la nube de WildFire Env o de archivos a la nube de WildFire Recomendaciones para actualizaciones din micas En la siguiente lista se detallan recomendaciones para conseguir actualizaciones din micas en un cortafuegos t pico que utilice WildFire y que tenga suscripciones a WildFire y prevenci n de amenazas Para un flujo de trabajo m s din mico utilice Panorama para introducir programaciones de actualizaci n din micas en los c
124. secure proxy password lt valor gt service disable ssh yes no disable icmp yes no setting wildfire cloud server lt valor gt auto submit yes no vm network enable yes no management admin lockout failed attempts 0 10 lockout time 0 60 idle timeout 1 1440 mgt config users REPETIR lt nombre gt phash lt valor gt permissions role based superreader yes O BIEN superuser yes predefined shared log settings system informational send syslog using syslog setting lt valor gt low send syslog using syslog setting lt valor gt Gu a del administrador de WildFire Comandos del modo de configuraci n 77 Comandos del modo de configuraci n Referencia de la CLI del software del dispositivo WildFire medium send syslog using syslog setting lt valor gt high send syslog using syslog setting lt valor gt critical send syslog using syslog setting lt valor gt config any send syslog using syslog setting lt valor gt syslog REPETIR lt nombre gt server REPETIR lt nombre gt server lt valor gt port 1 65535 facility LOG_USER LOG_LOCALO LOG_LOCAL1 LOG_LOCAL2 LOG_LOCAL3 LOG_LOCAL4 LOG_LOCAL5 LOG_LOCAL6 LOG _ LOCAL 78 Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de configur
125. si n y soluci n de problemas Realizar diagn sticos y an lisis Incluye los comandos depurar y Ping e Mostrat comandos Muestra o borra la informaci n actual Incluye los comandos borrar y mostrar e Comandos de navegaci n de la CLI del software del dispositivo WildFire Entrar en el modo de configuraci n o salir de la CLI del software del dispositivo WildFire Incluye los comandos configurar salir y abandonar Comandos del sistema Hace solicitudes en el nivel del sistema o reinicia Incluye los comandos establecer y solicitud Establecimiento del formato de salida para comandos de configuraci n Cambia el formato de salida para los comandos de configuraci n usando el comando establecer formato de salida de la configuraci n de cli en el modo de operaci n Las opciones incluyen el formato predefinido json JavaScript Object Notation formato establecido y formato XML El formato predefinido es un formato jer rquico donde las secciones de configuraci n tienen sangr a y est n entre llaves Gu a del administrador de WildFire 75 Comandos del modo de configuraci n Comandos del modo de configuraci n Referencia de la CLI del software del dispositivo WildFire Esta secci n contiene informaci n de consulta sobre comandos para los siguientes comandos del modo de configuraci n que son espec ficos del software del dispositivo WildFire El resto de comandos que forman parte del software del dispositivo WildFire son id ntico
126. sos necesarios para empezar a cargar archivos en la nube WildFire de Palo Alto Networks para su an lisis directamente desde el cortafuegos manualmente desde el portal o de forma programada mediante la API de WildFire Incluye las siguientes secciones A Env o de archivos a la nube de WildFire A Carga de archivos en el portal de la nube de WildFire A Carga de archivos usando la API de WildFire Gu a del administrador de WildFire 33 Env o de archivos a la nube de WildFire An lisis de archivos mediante la nube de WildFire Env o de archivos a la nube de WildFire Para configurar un cortafuegos para el env o autom tico de archivos desconocidos a WildFire configure un perfil de bloqueo de archivo con la acci n Reenviar o Continuar y reenviar y a continuaci n adj ntelo a las reglas de seguridad que desea inspeccionar en busca de un malware de d a cero Por ejemplo podr a configurar una pol tica con un perfil de bloqueo de archivo que active el cortafuegos para reenviar cualquier archivo exe que intenten descargar los usuarios durante una sesi n de navegaci n web El reenv o de archivos con cifrado SSL tambi n es compatible siempre que el cifrado SSL est configurado en el cortafuegos y la opci n de reenviar archivos cifrados est activada Si hay un cortafuegos entre el cortafuegos que est reenviando los archivos a WildFire y la nube de WildFire o el dispositivo WildFire aseg rese de que el cortafuegos intermedio permite
127. ta de b squeda https wildfire paloaltonetworks com get report xml POST md5 Hash MDS5 del informe solicitado o el hash sha256 seg n aparece en la siguiente fila sha256 Hash SHA 256 del informe solicitado apikey Su clave API de WildFire 200 OK Correcto WildFire procesar el env o 401 Unauthorized Clave API no v lida 404 Not Found No se ha encontrado el informe 405 Method Not Allowed Se ha utilizado un m todo distinto a POST Los informes tambi n se pueden recuperar de la nube de WildFire seg n el n mero de serie device_1D del cortafuegos que envi el archivo y el ID del informe tid El valor tid se puede encontrar en el CSV Syslog o exportaci n de API de un log de amenazas https wildfire paloaltonetworks com publicapi report POST Gu a del administrador de WildFire 45 Carga de archivos usando la API de WildFire An lisis de archivos mediante la nube de WildFire device_id N mero de serie del cortafuegos que envi el archivo a WildFire report_id El ID de informe tid se puede encontrar en el CSV Syslog o exportaci n de API de un log de amenazas format XML 200 OK Correcto WildFire procesar el env o 401 Unauthorized Clave API no v lida 404 Not Found No se ha encontrado el informe 405 Method Not Allowed Se ha utilizado un m todo distinto a POST Ejemplos de c digo para env o y consulta El sigu
128. ta opci n un cion qs da is 7 ES a Ba ES verificaci n Permitir reenv o de contenido descifrado superusuario Paso 5 Adjunte el perfil de bloqueo de archivos a 1 Despl cese hasta Pol ticas gt Seguridad una pol tica de seguridad 2 Haga clic en A adir para crear una nueva pol tica para las zonas a las que est aplicando el reenv o de WildFire o seleccione una pol tica de seguridad existente 3 En la pesta a Acciones seleccione el perfil Bloqueo de archivo en el men desplegable Nota Si esta regla de seguridad no tiene ning n perfil adjunto seleccione Perfiles en el men Tipo de perfil para habilitar la selecci n de un perfil de bloqueo de archivos Paso 6 Opcional Modifique el tama o m ximo 1 Acceda a Dispositivo gt Configuraci n gt WildFire del archivo que puede cargar el 2 Haga clic en el icono de edici n Configuraci n general fi ildFire z i o OA ES MEA En el campo Tama o de archivo m ximo MB introduzca el tama o m ximo de archivo para los archivos enviados a WildFire para su an lisis intervalo 1 10 MB de forma predeterminada 2 MB Paso 7 Opcional Modifique las opciones dela 1 Haga clic en el icono de edici n de Ajustes de informaci n de sesi n que definen qu informaci n de sesi n sesi n se debe registrar en los informes de 2 De forma predeterminada todos los elementos de informaci n an lisis de WildFire de la sesi n aparecer n en los informes Borre las casillas de verif
129. tallan los resultados e Interfaz de m quina virtual interfaz vm proporciona acceso a la ted para que los elementos de aislamiento de an lisis permitan a WildFire analizar mejor el comportamiento de los archivos que se ejecutan en ellos ya que ello permite observar algunos comportamientos malintencionados que no se mostrat an sin acceso a la red como la actividad tel fono casa Sin embargo para evitar que el malware acceda a la red desde el elemento de aislamiento debe configurar esta interfaz en una red aislada con una conexi n a Internet para permitir que el malware que se ejecuta en las m quinas virtuales se comunique con Internet Para obtener m s informaci n sobre la interfaz vm consulte Configuraci n de interfaz de la m quina virtual en la p gina 17 Debe configurar esta interfaz para poder compilar los cambios en el dispositivo 8 Gu a del administrador de WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Configuraci n del dispositivo WF 500 WildFire Configuraci n del dispositivo WF 500 WildFire En esta secci n se describen los pasos necesarios para configurar un dispositivo de WildFire en una red y c mo configurar un cortafuegos de Palo Alto Networks para que le reenv e los archivos para su an lisis Esta secci n contiene los siguientes temas A A Antes de comenzar Realizaci n de la configuraci n inicial Verificaci n de la configuraci n del dispositivo WF 500 WildFire
130. tion enable Through a proxy no Forwarding info file size limit MB 2 file idle time out second 90 total file forwarded 0 forwarding rate per minute 0 concurrent files 0 Nota Si el cortafuegos est reenviando archivos a un dispositivo WildFire el campo Wildfire cloud mostrar la direcci n IP o nombre de host del dispositivo y Best server no mostrar ning n valor Utilice el siguiente comando para comprobar las estad sticas y determinar si los valores han aumentado adminePA 200 gt show wildfire statistics Este es el resultado de un cortafuegos en funcionamiento Si no aparece ning n valor el cortafuegos no est reenviando archivos Total msg rcvd 8819 Total bytes rcvd 7064822 Total msg read 8684 Total bytes read 6756221 Total msg lost by read 135 DP receiver reset count 2 Total file count 42 CANCEL FILE DUP 31 CANCEL _FILESIZE_LIMIT 2 DROP_NO MATCH FILE 135 FWD_CNT_LOCAL FILE 9 FWD_CNT_LOCAL DUP 30 FWD_CNT_REMOTE_FILE 9 FWD_CNT_REMOTE_DUP_CLEAN 24 FWD_CNT_REMOTE_DUP_TBD 3 FWD_CNT_CACHE_SYNC 1 FWD_ERR_CONN_FAIL 16776 LOG_ERR REPORT CACHE NOMATCH 47 Service connection reset cnt data_buf meter msg_buf meter ctrl_msg_buf meter fbf buf meter ocooor o o o o Gu a del administrador de WildFire 31 Reenv o de archivos a un dispositivo WF 500 WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire COMPROBACI N DE LA CONFIGURACI N DE WILDFIRE EN EL CO
131. tivo o de si los informes se ven desde la nube de WildFire El informe contendr parte o la totalidad de la siguiente informaci n en funci n de la informaci n de sesi n definida en el cortafuegos que reenvi el archivo y tambi n en funci n del comportamiento observado Al visualizar un informe de WildFire para un archivo que se ha cargado manualmente al portal de WildFire o mediante la API de WildFire el informe no mostrar informaci n de sesi n ya que no lo ha reenviado un cortafuegos Por ejemplo el informe no mostrar a atacante origen ni v ctima destino Gu a del administrador de WildFire 53 Visualizaci n de informes de WildFire Supervisi n control y prevenci n del malware en la red Encabezado del informe Descripci n Informaci n del archivo e SHA 256 muestra la informaci n SHA del archivo La informaci n SHA es muy similar a una huella digital que identifica exclusivamente un archivo para garantizar que este no se ha modificado de ninguna forma Si la informaci n de SHA se compara con el archivo original y se encuentran diferencias este archivo se ha modificado de alg n modo Antivirus Coverage cobertura antivirus haga clic en este v nculo para ver si el archivo se ha identificado anteriormente Esto le llevar al sitio web https www virustotal com en que contiene informaci n sobre vatios proveedores de antivirus y le mostrar si estos ofrecen cobertura o no para el archivo
132. ualquier tr fico generado por la interfaz vm 18 Gu a del administrador de WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Configuraci n del dispositivo WF 500 WildFire e Opci n 2 Utilice una conexi n especializada del proveedor de Internet como una conexi n DSL para conectar la interfaz vm a Internet Aseg rese de que no hay acceso desde esta conexi n a servidores hosts internos Aunque es una soluci n simple el tr fico generado por la interfaz vm no se registrar a no ser que se coloque un cortafuegos o una herramienta de supervisi n de tr fico entre el dispositivo WildFire y la conexi n DSL Configuraci n de la interfaz de la m quina virtual En esta secci n aparecen las instrucciones necesarias para configurar la interfaz vm en el dispositivo WildFire usando la configuraci n de la opci n 1 detallada en el flujo de trabajo anterior Despu s de configurar la interfaz vm usando esta Opci n tambi n debe configurar una interfaz en un cortafuegos de Palo Alto Networks por el que se enrutar el tr fico desde la interfaz vm seg n se describe en Configuraci n del cortafuegos para controlar el tr fico de la interfaz de la m quina virtual en la p gina 20 De forma predeterminada la interfaz vm est configurada usando los siguientes ajustes Direcci n IP 192 168 2 1 M scara de red 255 255 255 0 Puerta de enlace predeterminada 192 168 2 254 DNS 192 168 2 254 Si tiene pensado ha
133. uario en un navegador web solo es compatible con aplicaciones de navegaci n web Cuando utilice Continuar y reenviar aseg rese de que la interfaz de entrada la que recibe en primer lugar el tr fico para sus usuarios tiene un perfil de gesti n adjunto que permite p ginas de respuesta Para configurar un perfil de gesti n seleccione Red gt Perfiles de red gt Gesti n de interfaz y seleccione la casilla de verificaci n P ginas de respuesta Instale el perfil de gesti n en la pesta a Avanzado en la configuraci n de la interfaz de entrada Haga clic en ACEPTAR para guardar los cambios Gu a del administrador de WildFire 35 Env o de archivos a la nube de WildFire An lisis de archivos mediante la nube de WildFire CONFIGURACI N DE UN PERFIL DE BLOQUEO DE ARCHIVOS Y POSTERIOR ADICI N DEL MISMO A UN PERFIL DE SEGURIDAD CONTINUACION Paso 3 Para reenviar archivos a WildFire desde sitios web usando el cifrado SSL habilite el reenv o de contenido descifrado Para obtener informaci n sobre la configuraci n del descifrado consulte la Palo Alto Networks Getting Started Guide Gu a de inicio de Palo Alto Networks 1 Vaya a Dispositivo gt Configuraci n gt ID de contenido 2 Haga clic en el icono de edici n de las opciones Filtrado de URL y habilite Permitir reenv o de contenido descifrado 3 Haga clic en ACEPTAR para guardar los cambios Nota Si el cortafuegos tiene m ltiples sistemas
134. uegos se puede comunicar con updates paloaltonetworks com Si el cortafuegos no tiene conectividad con el servidor de actualizaci n descargue las actualizaciones directamente desde Palo Alto Networks Inicie sesi n en https support paloaltonetworks com y en la secci n Dispositivos gestionados haga clic en Actualizaciones din micas para ver las actualizaciones disponibles Para obtener m s informaci n sobre las actualizaciones din micas consulte la secci n Gesti n de la actualizaci n de contenidos de la Palo Alto Networks Getting Started Guide Gu a de inicio de Palo Alto Networks Gu a del administrador de WildFire 41 Carga de archivos en el portal de la nube de WildFire An lisis de archivos mediante la nube de WildFire Carga de archivos en el portal de la nube de WildFire Todos los clientes de Palo Alto Networks con una cuenta de asistencia t cnica pueden cargar archivos manualmente en el portal de Palo Alto Networks WildFire para su an lisis El portal de WildFire admite la carga manual de los archivos Win32 PE con un m ximo de 10MB El siguiente procedimiento describe los pasos necesarios para cargar archivos manualmente CARGA MANUAL EN WILDFIRE hb Paso 1 Cargue un archivo para su an lisis en Acceda a https wildfire paloaltonetworks com e inicie sesi n WildFire 2 Haga clic en el bot n Cargar archivo en la parte superior derecha de la p gina y haga clic en Choose File Seleccionar
135. ueo del archivo y la pol tica de seguridad reenv an el archivo de forma correcta e Wildfire upload success Aparecer si el archivo se ha enviado a WildFire Esto significa que el archivo no est firmado por un firmante de archivo fiable y que WildFire no lo ha analizado anteriormente e Wildfire upload skip Aparecer en todos los archivos que se identifiquen como aptos para enviarse a WildFire por un perfil de bloqueo de archivos o una pol tica de seguridad pero que no fue necesario que WildFire analizase porque ya se hab an analizado previamente En este caso la acci n de reenviar aparecer en el registro de Filtrado de datos porque era una acci n de reenv o v lida pero que no se envi y analiz en WildFire porque el archivo ya se envi a la nube WildFire desde otra sesi n posiblemente desde otro cortafuegos 3 Consulte los logs de WildFire se necesita suscripci n seleccionando Supervisar gt Logs gt WildFire Si los logs de WildFire est n disponibles el cortafuegos est reenviando correctamente los archivos a WildFire y WildFire est devolviendo los resultados del an lisis de archivos Nota Para obtener m s informaci n sobre los logs relacionados con WildFire consulte Acerca de los logs de WildFire en la p gina 48 n Paso 4 Cree la pol tica de bloqueo de archivos Acceda a Objetos gt Perfiles de seguridad gt Bloqueo de archivo y haga clic en el perfil de bloqueo de archivo para modi
136. ultado muestra que el env o autom tico no est habilitado en el dispositivo WildFire de modo que los archivos infectados por software malintencionado no se enviar n a la Nube de WildFire Si el env o autom tico estuviera habilitado se enviar an los archivos a la Nube de WildFire porque el servidor de la Nube de la Nube p blica de wildfire est definido Tambi n muestra que la interfaz vm est habilitada lo cual permitir que el software malintencionado que se ejecuta en m quinas virtuales de WildFire accedan a Internet wildfire auto submit no vm network enable yes cloud server wildfire public cloud Nivel de privilegios requerido superusuario superlector Gu a del administrador de WildFire 81 Comandos del modo de operaci n Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire Esta secci n contiene informaci n de consulta sobre comandos para los siguientes comandos del modo de operaci n que son espec ficos del software del dispositivo WildFire El resto de comandos que forman parte del softwate del dispositivo WildFire son id nticos a PAN OS consulte la Gu a de referencia de la l nea de comandos de PAN OS de Palo Alto Networks para obtener informaci n sobre esos comandos te se 82 st wildfire registration t wildfire portal admin password lt valor gt O BIEN management server unlock admin lt valor gt O BIE
137. upera el informe de an lisis detallado de WildFire y se muestra en su explorador La cuenta de administrador del portal es la nica cuenta para ver informes desde los logs es posible cambiar la contrase a pero no se puede cambiar el nombre de cuenta ni crear cuentas adicionales Ubicaci n de jerarqu a Nivel m ximo del modo de operaciones Sintaxis set wildfire portal admin password lt valor gt Opciones No hay opciones adicionales Resultado de muestra A continuaci n se muestra el resultado de este comando adminewf corp1 gt set wildfire portal admin password Enter password Confirm password Nivel de privilegios requerido superusuario superlector Gu a del administrador de WildFire 105 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire raid Descripci n Use esta opci n para manejar los pares de RAID instalados en el dispositivo WildFire El dispositivo WEF 500 WildFire se entrega con cuatro unidades en las cuatro primeras bah as de unidades A1 A2 B1 B2 Las unidades A1 y A2 son el par RAID 1 y las unidades B1 y B2 son el segundo par RAID 1 Ubicaci n de jerarqu a request system Sintaxis raid remove lt valor gt O BIEN copy from lt valor gt to lt valor gt O BIEN ada Opciones gt add A ade una unidad al par de discos RAID correspondiente gt copy Copia y migra de una unidad a otra e
138. uraci n del candidato modificada se almacena en la memoria del dispositivo y se conserva mientras el dispositivo est en funcionamiento Cada comando de configuraci n implica una acci n y tambi n puede incluir palabras clave opciones y valores En esta secci n se describen el modo de configuraci n y la jerarqu a de configuraci n A Uso de comandos del modo de configuraci n A Acerca de la jerarqu a de configuraci n A Navegaci n por la jerarqu a Uso de comandos del modo de configuraci n Use los siguientes comandos para almacenar y aplicar cambios de configuraci n e Comando guardar Guarda la configuraci n del candidato en la memoria permanente del dispositivo La configuraci n guardada se conserva hasta que se vuelva a usar el comando guardar para sobrescribirla Tenga en cuenta que este comando no activa la configuraci n e comando compilar Aplica la configuraci n de lcandidato al dispositivo Una configuraci n compilada vuelve activa la configuraci n del dispositivo Gu a del administrador de WildFire 71 Modos de comando de la CLI Referencia de la CLI del software del dispositivo WildFire comando establecer Cambia un valor en la configuraci n del candidato comando cargar Asigna la ltima configuraci n guardada o una configuraci n especificada para ser la configuraci n del candidato Cuando se cambia el modo de configuraci n sin emitir el comando guardar o compilar los cambios de configuraci
139. v os de archivos y hasta 1 000 consultas al d a Tenga en cuenta que no puede usar la API de WildFire para enviar archivos al dispositivo WildFire e Dispositivo WildFire solo los cortafuegos con una suscripci n de WildFire v lida pueden reenviar archivos a un dispositivo WildFire para su an lisis Los cortafuegos que solo tienen una suscripci n de Threat Prevention instalada pueden reenviar archivos a la nube de WildFire pero no a un dispositivo WildFire 6 Gu a del administrador de WildFire 2 An lisis de archivos mediante el dispositivo WF 500 WildFire En este cap tulo se describe el dispositivo WF 500 WildFire y se explica c mo configurarlo y gestionarlo para que pueda recibir y analizar archivos Adem s se explican los pasos necesarios para configurar un cortafuegos de Palo Alto Networks para que reenv e archivos a un dispositivo WildFire que los analizar A Acerca del dispositivo WF 500 WildFire A Configuraci n del dispositivo WF 500 WildFire A Reenv o de archivos a un dispositivo WF 500 WildFire Gu a del administrador de WildFire 7 Acerca del dispositivo WF 500 WildFire An lisis de archivos mediante el dispositivo WF 500 WildFire Acerca del dispositivo WF 500 WildFire El dispositivo WF 500 WildFire proporciona una nube privada de WildFire in situ que le permite analizar archivos sospechosos en un entorno aislado sin que sea necesario su env o fuera de la red Para utilizar un dispositivo WF 500 en lugar
140. virtuales debe habilitar esta opci n por VSYS En esta situaci n acceda a Dispositivo gt Sistemas virtuales haga clic en el sistema virtual que desea modificar y seleccione la casilla de Nota aolo piede a a verificaci n Permitir reenv o de contenido descifrado superusuario Paso 4 Adjunte el perfil de bloqueo de archivos a 1 Despl cese hasta Pol ticas gt Seguridad una pol tica de seguridad 2 Haga clic en A adir para crear una nueva pol tica para las zonas a las que desea aplicar el reenv o de WildFire o seleccione una pol tica de seguridad existente 3 En la pesta a Acciones seleccione el perfil Bloqueo de archivo en el men desplegable Nota Si esta regla de seguridad no tiene ning n perfil adjunto seleccione Perfiles en el men Tipo de perfil para habilitar la selecci n de un perfil de bloqueo de archivos Paso 5 Opcional Modifique el tama o m ximo 1 Acceda a Dispositivo gt Configuraci n gt WildFire del archivo permitido para cargar en 2 Haga clic en el icono de edici n Configuraci n general Moe En el campo Tama o de archivo m ximo MB introduzca el tama o m ximo de archivo para los archivos que se enviar n a WildFire para su an lisis intervalo 1 10 MB de forma predeterminada 2 MB Paso 6 Opcional Modifique las opciones dela 1 Haga clic en el icono de edici n de Ajustes de informaci n sesi n que definen qu informaci n de de sesi n sesi n se debe registrar enlo
141. vm wildfire Gu a del administrador de WildFire 79 Comandos del modo de configuraci n Resultado de muestra A continuaci n se muestra una interfaz vm configurada vm interface ip address 10 16 0 20 netmask 255 255 252 0 default gateway 10 16 0 1 dns server 10 0 0 246 Nivel de privilegios requerido superusuario superlector 80 Referencia de la CLI del software del dispositivo WildFire Gu a del administrador de WildFire Referencia de la CLI del software del dispositivo WildFire Comandos del modo de configuraci n wildfire Descripci n Configure los ajustes de Wildfire para que env a autom ticamente el software malintencionado a la Nube de Palo Alto Networks WildFire para generar firmas definir el servidor de la Nube que recibir los archivos infectados por software malintencionado y habilitar o deshabilitar la interfaz vm Lea la descripci n de la interfaz vm antes de habilitarla Ubicaci n de jerarqu a establecer configuraci n de deviceconfig Sintaxis wildfire cloud server lt valor gt auto submit yes no vm network enable yes no Opciones adminowf corpl1k establecer wildfire auto submit env a autom ticamente todo el veredicto incorrecto software malicioso a la Nube p blica cloud server Nombre de host para el servidor de la Nube De manera predefinida es wildfire public cloud vm network enable habilitar deshabilitar Resultado de muestra El siguiente res
142. y libcurllall O BIEN all O BIEN on normal debug dump O BIEN off O BIEN show O BIEN statistics O BIEN wildfire reset forwarding O BIEN management server client disable authd useridd ha agent O BIEN enable authd useridd ha agent O BIEN conn O BIEN on error warn info debug dump O BIEN off O BIEN clear O BIEN show O BIEN set all O BIEN comm basic detail all O BIEN panorama basic detaillall O BIEN proxy basic detaillall O BIEN server basic detaillall Gu a del administrador de WildFire Comandos del modo de operaci n 95 Comandos del modo de operaci n Referencia de la CLI del software del dispositivo WildFire O BIEN unset all O BIEN comm basic detail all O BIEN panorama basic detail all O BIEN proxy basic detaillall O BIEN server basic detaillall y upload generic chunks todir lt valor gt tofile lt valor gt offset 0 419430600 endoffile yes no content lt valor gt O BIEN generic name lt valor gt path lt valor gt content lt valor gt todir lt valor gt tofile lt valor gt O BIEN config name lt valor gt path lt valor gt content lt valor gt O BIEN software name lt valor gt path lt valor gt content lt valor gt O BIEN license name lt va
Download Pdf Manuals
Related Search