WildFire 6.0 FAQ Tech Note PAN-OS 6.0 © 2014 Palo Alto Networks (PAN-OS 6.0) 1 目次 WildFire: FAQ ...................................................................................................................................... 3 WildFire とは何ですか? ...................................................................................................................... 3 WildFire はアプライアンス、機能、サービスのどれですか? ........................................................................ 3 なぜ Palo Alto Networks は WildFire を開発したのですか? ........................................................................ 3 WildFire は追加ハードウェアが必要ですか? ............................................................................................ 3 WildFire は防御機能持つか、検知機能のみかどちらですか? ........................................................................ 3 WildFire へ送信される個人情報のプライバシーをどのように確保できますか? ................................................. 4 仮想環境ではどのオペレーティングシステムが使われていますか? ................................................................ 4 他のファイルフォーマットのサポート予定はありますか? ........................................................................... 5 PDF や Office 系ファイルのスキャンができないと標的型攻撃対策はできませんか? .......................................... 5 WildFire のサンプル送信が行えないアプリケーションはありますか? ............................................................ 5 ドライブバイダウンロードに対するコンティニューページでは WildFire はどのように動作しますか? ................... 5 レポートやログはどのように表示されますか? .......................................................................................... 6 WildFire は ZIP 圧縮されたファイルを展開できますか? ............................................................................. 7 ユーザーはファイルが転送されたことをどのように知ることができますか? .................................................... 7 何故 WildFire と呼ぶのですか? ............................................................................................................. 7 未知のマルウェアによる攻撃の例は何ですか? .......................................................................................... 7 WildFire Japan FAQ .............................................................................................................................. 8 WildFire Japan クラウドとは何ですか? ................................................................................................. 8 誰でも WildFire Japan を利用できますか? ............................................................................................... 8 WildFire Japan を使用するとファイルはどこへ行きますか? ......................................................................... 8 WildFire Japan を使うためにどのような設定が必要ですか? ......................................................................... 8 WildFire Japan ユーザーは WildFire シグネチャを取得できますか? ............................................................... 8 WildFire サブスクリプションに何か変更はありますか? ............................................................................... 8 WildFire API はどこで利用できますか? ................................................................................................... 8 WildFire Japan サーバーとその機能について教えてください ....................................................................... 9 そもそもクラウドへファイルを転送したくありませんが、どうすればよいですか?............................................ 9 WildFire FAQ: 技術詳細 ....................................................................................................................... 10 ファイルタイプが一致すれば WildFire クラウドに転送されるのですか? ....................................................... 10 自己解凍形式の実行ファイルは WildFire クラウドにアップロードされますか? .............................................. 10 ファイアウォール内部の WildFire 関連のバッファ領域はどの程度ありますか? .............................................. 10 WildFire クラウドのどのサーバーに接続されますか?............................................................................... 11 アップロードされたファイルやユーザー情報はいつまで WildFire クラウドで保持されますか? .......................... 11 Wildfire に関するファイアウォール上のログにはどのようなものがありますか?............................................. 12 WildFire サーバーにアップロードされたファイルはその後どうなりますか? .................................................. 12 WildFire により検知されたマルウェアに対する AV シグネチャは、いつどのように作られるのですか?................ 12 ユーザセッション情報は WildFire の解析に影響を与えますか? .................................................................. 13 HTTPS/SSL 暗号化通信でダウンロードされたファイルを WildFire にアップロードできますか? ........................ 13 WildFire でマルウェアが発見された際に、管理者にメール通知可能ですか? .................................................. 13 WF-500 のパフォーマンスはどの程度ですか? ....................................................................................... 13 © 2014 Palo Alto Networks (PAN-OS 6.0) 2 WildFire: FAQ WildFireとは何ですか? WildFire を使い.exe ファイルと.dll ファイルをパロアルトネットワークスのセキュアなクラウドベースの仮想化され た環境に送信することで、それらに悪意ある活動が無いか自動的に分析できます。パロアルトネットワークスはファ イルを脆弱性のある環境で動作させ、システムファイルの修正、セキュリティ機構の無効化、さまざまな IPS 検知の 回避手法使用など 100 以上の悪意ある振舞いや技術を観察できます。結果をレビューできるようになったらユーザー へ自動的に通知することができます。送信されたファイルの詳細分析は WildFire ポータルおよび PA の WebUI で確 認でき、管理者はどのユーザーがターゲットになったか、利用されたアプリケーションは何か、観察された悪意ある 振舞い、ファイルが業界のアンチウイルスソリューションで対応できているかどうかを確認できます。 WildFireはアプライアンス、機能、サービスのどれですか? WildFire は PAN-OS4.1 から利用可能な機能で、シグネチャではなく実行可能ファイルの動作振舞いを基にマルウェ アを自動検知します。クラウドサービスとして提供されるグローバルの WildFire、日本国内にクラウドサーバを持つ WildFire Japan、オンプレミスで利用できるアプライアンス型の WF-500 があります。 なぜPalo Alto NetworksはWildFireを開発したのですか? 標的型のプロフェッショナル攻撃、いわゆる APT (Advanced Persistent Threat) で利用されるマルウェアは、標的 とするネットワークに対してカスタムメイドされ、過去にインターネット上に出現していないものであるために既存 の AV シグネチャでは発見できません。そのためファイルが既知のものでなくても無害か悪意あるものか判断する機 能が必要です。悪意あるファイルが見つかった場合、WildFire は分析を実行し、即座に利用できる検知能力と保護を IT チームに提供します。 WildFireは追加ハードウェアが必要ですか? WildFire クラウドを使用する場合、ユーザーは実行可能ファイルのサンプルを既存のパロアルトネットワークス機器 またはパロアルトネットワークス WildFire ポータル経由で送信できます。WildFire の分析はクラウドで実施されるた め、ユーザーのファイアウォールパフォーマンスに影響を与えません。また、2013 年 6 月(バージョン 5.1)にオン プレミス型の WF-500 がリリースされました。WF-500 を使うとサンプルファイルを WildFire クラウドに送ること なく、WF-500 で分析します。 WildFireは防御機能持つか、検知機能のみかどちらですか? WildFire は 2 つの主要機能があります。悪意ある振舞いを検知する「仮想サンドボックス環境」と、パロアルトネッ トワークスの標準マルウェアアップデート経由で配布されるシグネチャの生成とテストを行う「自動シグネチャ生成」 です。この機能では、アップデートはほぼリアルタイムで配信され、マルウェアが見つかってから 1 時間以内(目標 値)に世界中に配信されるシグネチャを生成します。WildFire サブスクリプションを持つ PA シリーズは 15 分おきに 新規シグネチャがないかクラウドに問い合わせます。 補足) PAN-OS6.1 では 15 分でのシグネチャ生成を予定。 © 2014 Palo Alto Networks (PAN-OS 6.0) 3 WildFireへ送信される個人情報のプライバシーをどのように確保できますか? クラウドに送信されるすべてのファイルはパロアルトネットワークスの証明書を用いて暗号化されます。ファイルが クラウドで受信されると、厳重にセキュリティ保護されたサンドボックス環境に送られ、ここですべてのトラフィッ クが複数セキュリティ階層により厳しく統制されます。WildFire では重複解析をしなくても良いように分析したファ イルのハッシュが管理されます。別のファイアウォールで同じファイルが見つかった場合、そのファイアウォールは ファイルを送信する前に、既に同じファイルが分析されていないかをクラウドに問い合わせます。PAN-OS5.0 までは、 EXE および DLL ファイルの分析に制限され、インターネットのような信頼されない送信元から来るファイルのみを転 送し、企業の内部情報が含まれるであろう内部セグメントからの実行ファイルを送らないようにするようポリシーを 設定することができます。PAN-OS6.0 からは Office, PDF, Java, APK ファイルの分析にも対応します。さらにユー ザーは、対象ユーザー、アプリケーション、IP アドレスといった情報のうちどれをサンプルに含めて WildFire へ送信 するかを設定できます。 図 1: WildFire で送信するユーザー情報選択画面 仮想環境ではどのオペレーティングシステムが使われていますか? 仮想サンドボックスではオペレーティングシステムとして Windows XP、Windows 7、Android が使われます。サポ ートされるオペレーティングシステムは今後増えていく予定です。Android を使った APK ファイルの分析には WildFire サブスクリプションが必要です。 © 2014 Palo Alto Networks (PAN-OS 6.0) 4 他のファイルフォーマットのサポート予定はありますか? はい、WildFire はマルウェアによく用いられる他のファイルタイプを含むよう、順次拡張されていきます。PAN-OS6.0 で Microsoft Office (.doc、.xls、.ppt、.rtf)、PDF、Java Applet (.jar、class)、Android アプリケーション パッケ ージ (.apk) のサポートが追加されました。Office、PDF、Java、APK の各ファイル種別の分析には WildFire サブス クリプションが必要です。 PDFやOffice系ファイルのスキャンができないと標的型攻撃対策はできませんか? いいえ。標的型攻撃で利用されるマルウェア本体は WildFire で検出可能な実行形式ファイルです。標的型メール等で 添付される PDF、Flush、Microsoft Office 系ファイルには Javascript の文字列として符号化されるようなシェルコ ード(脆弱性を悪用する攻撃コード)が埋め込まれ、シェルコードを介してマルウェア本体がダウンロードされます。 標的型攻撃対策としてシェルコード自体を検出する方法と、シェルコードを使ってダウンロードされるマルウェア本 体を検出する方法があります。PAN-OS5.0 以前では後者の手法、PAN-OS6.0 以降では前者を含めた手法に対応する ことになります。 WildFireのサンプル送信が行えないアプリケーションはありますか? WildFire クラウドへファイルを送信するには、PA デバイスのファイルブロッキング機能においてトラフィックからフ ァイルを抽出できることが前提となります。また、独自暗号化されたトラフィック上でやりとりされるアプリケーシ ョンは WildFire で分析することができません。これらアプリケーションはマルウェア感染経路を与えるなどのさまざ まな理由から次世代ファイアウォールで厳格に規制すべきです。SSL 暗号化セッション内のファイルは WildFire で分 析するサンプルの転送に SSL 復号化機能が必要となることがあります。 ドライブバイダウンロードに対するコンティニューページではWildFireはどのように動作しますか? コンフォートページの生成、コンティニュー処理、コンティニュー/フォワード処理を行います。 (補足)コンフォートページとは、Web ブラウザ経由で実行ファイルダウンロード時にブラウザ画面に表示されるレ スポンスページです (図 2)。このページは “Device > Response Pages > File Blocking Continue Page” でカスタ マイズできます。このページは日本語も使えますが、UTF-8 エンコードで記述してください。 (補足)コンティニュー処理とは、コンフォートページ内の「Continue」ボタンをユーザーがクリックすると、目的 の実行ファイルのダウンロードが開始されることです。File Blocking Profile の Action が continue であればコンテ ィニュー処理、continue-and-forward であればコンティニュー処理後 WildFire へファイルをアップロードします。 図 2: コンフォートページの出力画面 © 2014 Palo Alto Networks (PAN-OS 6.0) 5 レポートやログはどのように表示されますか? PAN-OS4.1 では、ログおよびレポートは WildFire web ポータルで参照します。PAN-OS5.0 では、WildFire サブス クリプションを適用していれば Monitor タブの「WildFire Submissions (WildFire への送信)」に WildFire へ送信し たファイルやそのセッションの情報、分析結果のログを参照することが可能です。PAN-OS5.0 の WildFire 詳細ログ には web ポータルの当該ログへジャンプする [View WildFire Report] ボタンがあり、ボタンを押してポータルの認 証情報を入力することでレポートを参照することができます。PAN-OS6.0 ではサブスクリプションがなくても当該メ ニューでログ情報を参照することが可能で、図 4 のような詳細ログも PAN-OS の GUI で参照でき、さらに詳細ログ を PDF にエクスポートすることも可能です。いずれのバージョンにおいても、WildFire クラウドへファイルを転送し たかどうかは、データフィルタリングログで参照します。 図 3: WildFire web ポータル画面 図 4: WildFire 詳細ログ © 2014 Palo Alto Networks (PAN-OS 6.0) 6 WildFireはZIP圧縮されたファイルを展開できますか? はい。ZIP や Compressed HTTP (GZIP) は検査対象となり、中の EXE や DLL ファイルは分析のため送信されます。 (補足)ZIP や GZIP 以外の圧縮ファイル、パスワード付の圧縮ファイルは展開できません。ZIP や GZIP は2階層ま での圧縮(ZIP 圧縮したファイルをさらに ZIP 圧縮)に対応しています。Web メール添付の ZIP ファイルは 1 階層 までの圧縮に対応します。 ユーザーはファイルが転送されたことをどのように知ることができますか? WildFire にアップロードされたファイルは Data Filtering ログに記述されます。 (補足)詳細は「WildFire に関するファイアウォール上のログにはどのようなものがありますか?」を参照してくだ さい。 何故WildFireと呼ぶのですか? 名前は、WildFire が作られた解決すべき課題を訴えています。つまり、アンチマルウェアソリューションは防御策が 展開される前に “ワイルド (インターネット上)” でマルウェアのサンプルを取得する必要性に基づきます。標的型ま たはカスタムのマルウェアの場合、マルウェアは従来のハニーポットやハニーネットに現れることがないため、深刻 な問題となります。標的ネットワークはマルウェアが確実に出現する唯一の場所です。このため、ファイアウォール の位置までワイルドのマルウェアを捕捉する概念を導く必要がありました。 未知のマルウェアによる攻撃の例は何ですか? Application and Threat Research Center で い く つ か の 例 を 示 し て い ま す の で (http://www.paloaltonetworks.com/researchcenter/)、今後もこちらの資料を参照してください。主な例を以下 に示します。 RSA および Aurora 攻撃 - これら 2 つは非常に有名な標的型攻撃です。これらは、それまで未知だったマルウ ェアを使って企業に侵入した非常に高度な攻撃の例です。詳細情報は以下を参照して下さい。 http://www.paloaltonetworks.com/researchcenter/2011/05/a-few-thoughts-on-the-latest-databreac hes/ TDL-4 - 従来のセキュリティ対策を避けるためにいろいろな策略を用いた高度にネットワーク化されたマルウ ェアのよい例です。TDL-4 に関する詳細情報は以下を参照してください。 http://www.paloaltonetworks.com/researchcenter/2011/07/analyzing-the-indestructible-botnet/ © 2014 Palo Alto Networks (PAN-OS 6.0) 7 WildFire Japan FAQ WildFire Japanクラウドとは何ですか? WildFire Japan クラウドは、NTT コミュニケーションズ社において日本国内に閉じてホスティングされた WildFire クラウドの新しいインスタンスです。日本のユーザーのための WildFire サービスインフラであり、プライベートデー タを国外に送ることなく、日本国内に閉じて分析サービスを実施できるのが特徴です。WildFire Japan に送られたフ ァイルは日本のクラウドで分析され、シグネチャ生成および配信のためにマルウェアファイルのみがパブリックの WildFire クラウドへ送信されます。無害のファイルは WildFire Japan の外へ出ることはなく、データプライバシー レベルを上げることができます。WildFire Japan は今後、日本語 OS など日本の環境に特化した解析を行うようカス タマイズしていくため、日本のお客様は WildFire Japan をお使いください。 誰でもWildFire Japanを利用できますか? はい。日本市場を対象としていますが、どのパロアルトネットワークスファイアウォールもパブリック WildFire クラ ウドの代わりに WildFire Japan を使用するよう設定できます。 WildFire Japanを使用するとファイルはどこへ行きますか? WildFire Japan は日本国内の NTT コミュニケーションズ社のデータセンタにホスティングされています。すべての ファイルが WildFire Japan に送信され、WildFire 仮想サンドボックスにより国内で分析されます。ファイルが無害 であると判定された場合、そのファイルは 30 日以内に削除され (「アップロードされたファイルやユーザー情報はい つまで WildFire クラウドで保持されますか?」を参照)、NTT データセンタ内で稼働する WildFire Japan サーバーの 外へ出ることはありません。ファイルは 30 日間保持され、マルウェア検知を改善したテストの実施を既存サンプルに 対して一括して再実施する場合もあります。マルウェアと判定されたファイルは、WildFire と脅威防御サブスクリプ ションを持つお客様にシグネチャを提供できるよう、WildFire Japan からパブリック WildFire クラウドに送信され ます。カリフォルニアのパロアルトネットワークス本社において、脅威リサーチチームによってマルウェアサンプル の追加分析が行われることもあります。 WildFire Japanを使うためにどのような設定が必要ですか? WildFire Japan を使用するには、“default-cloud” から “wildfire.paloaltonetworks.jp” へデバイスの WildFire サ ーバー設定を変更します。この設定でファイアウォールはワールドワイド WildFire クラウドの代わりに WildFire Japan を使うよう登録します。それ以外の変更は必要ありません。注意として、WildFire へファイルを送るには、こ れまでと同様にファイルブロッキングプロファイルを設定する必要があります。 WildFire JapanユーザーはWildFireシグネチャを取得できますか? はい。WildFire サブスクリプションを持つすべてのユーザーが、パブリックおよび日本の WildFire クラウドの両方で 確認されたすべてのマルウェアに対するアンチウイルスシグネチャを取得します。 WildFireサブスクリプションに何か変更はありますか? いいえ、WildFire サブスクリプションは同じで、WildFire Japan を使う WildFire サブスクリプションユーザも WildFire シグネチャを最短 15 分ごとにポーリングします。WildFire サブスクリプションは WildFire Japan を使うた めに必須ではありませんが、WildFire シグネチャ取得、WildFire API 利用、統合 WildFire ログ (PAN-OS5.0)、Office, PDF, Java, APK ファイルの分析 (PAN-OS6.0 以降) に対しては必要となります。 WildFire APIはどこで利用できますか? © 2014 Palo Alto Networks (PAN-OS 6.0) 8 WildFire API は WildFire サブスクリプションを購入した PA デバイスに対して発行される API キーを利用することで、 グローバルおよび Japan の WildFire で利用することができます。API を使うことで PA デバイスを介さずにサンプル ファイルを WildFire クラウドへ送信することができるようになります。 WildFire Japanサーバーとその機能について教えてください WildFire Japan ポータルは wildfire.paloaltonetworks.jp (180.37.182.54) でホスティングされています。これは WildFire Japan を使うよう設定されたファイアウォールによって最初にアクセスされる場所でもあります。WildFire Japan とハンドシェークを行った後、ファイアウォールは wf1.wildfire.paloaltonetworks.jp (180.37.181.205) ま たは wf2.wildfire.paloaltonetworks.jp (180.37.183.39) のいずれかに自身を登録します。すべての WildFire Japan サーバーは NTT データセンタ内でホスティングされています。 そもそもクラウドへファイルを転送したくありませんが、どうすればよいですか? WildFire Japan を含めクラウドへのファイル転送を行いたくない場合、オンプレミス型の WildFire である WF-500 を社内に配置し、社内の PA シリーズのファイル転送先を WF-500 へ向けるようにします。WF-500 では動作させる 仮想マシンの OS (Windows XP, Windows 7, Android) や Adobe Reader、Flash などのバージョンを選択します。 PAN-OS6.0 までは WF-500 でマルウェアが検出された後にシグネチャが必要であれば、検体ファイルをパブリック クラウドに送信する必要があります。 © 2014 Palo Alto Networks (PAN-OS 6.0) 9 WildFire FAQ: 技術詳細 ファイルタイプが一致すればWildFireクラウドに転送されるのですか? WildFire クラウドへの転送対象となるファイルについて、デバイス上で既にクラウドへ送ったことのあるファイルについ てはハッシュが生成されてキャッシュされ、次に同じハッシュ値となるファイルが到達した場合デバイスはクラウドへ転 送しません。また、信頼された発行元により署名されたファイルもクラウドへ転送されません。この動作は “set deviceconfig setting wildfire disable-signature-verify” コマンドにより無効にすることが可能です。デバイスは信頼さ れた発行元のリストを保持しており、この情報は App + Threat のシグネチャにより毎週アップデートされます。 自己解凍形式の実行ファイルはWildFireクラウドにアップロードされますか? はい。自己解凍形式のファイルは実行ファイル形式であるため、他の実行ファイルと同様に WildFire クラウドでの検査対 象となります。 ファイアウォール内部のWildFire関連のバッファ領域はどの程度ありますか? ファイアウォールがクラウドにファイルを転送する前に、マネジメントプレーンにバッファ可能な記憶領域は機種によっ て異なります。アップロードすべきファイルが大量に到着した場合や、クラウドとのコネクションが低速な場合に利用さ れます。 PA-5060/5050/5020/4060/4050 – 500MB PA-4020, PA-2050/2020, PA-500 – 200MB PA-200 - 100MB このバッファの利用率は “show wildfire disk-usage” で確認することが可能です。 -----------------------------------------------------admin@PA-500> show wildfire disk-usage Disk usage for wildfire: Total disk usage: 45056 Total temporary files: 4 File limit: 250 ------------------------------------------------------ “Total temporary files” が “Total disk usage” の範囲内である場合バッファにファイルを格納できます。 “show wildfire statistics” の “CANCEL_BY_DP” や “CENCEL_FILE_DUP” でもクラウドに送信されなかったファイ ルのカウントが確認できます。 admin@PA500> show wildfire statistics Packet based Total Total Total Total Total Total Total Total counters: msg rcvd: bytes rcvd: msg lost: bytes lost: msg read: bytes read: msg lost by read: DROP_NO_MATCH_FILE 26986115 23206829038 43822 33707409 21690190 19173509267 5252103 5252103 Total files received from DP: 2612316 Counters for file cancellation: CANCEL_BY_DP CANCEL_TIME_OUT CANCEL_OFFSET_NO_MATCH CANCEL_FILE_DUP_EARLY CANCEL_FILE_DUP CANCEL_FILESIZE_LIMIT CANCEL_UNSUPPORT_FILE_TYPE CANCEL_NO_LICENSE (以下、略) © 2014 Palo Alto Networks (PAN-OS 6.0) 155114 48363 104 3337 209946 39791 2151184 4305 10 WildFireクラウドのどのサーバーに接続されますか? “Device > Setup > WildFire > General Settings” に て WildFire Server が 指 定 さ れ ま す 。 デ フ ォ ル ト で は default-cloud と設定されています。デフォルト設定の場合、アメリカ、ヨーロッパ、日本、シンガポールに置かれたサ ーバ(具体的には Amazon EC2 サーバ)のうち、稼働中で遅延が最も小さいサーバーが自動的に選択されます。ファイ アウォールはすべての WildFire サーバーに対して自動的に ping を実施し、最もレスポンスの早いサーバーを選択します。 選択されたサーバーは、 “show wildfire status” コマンドの “Best server” で確認できます。 管 理 者 が 手 動 で 特 定 の WildFire サ ー バ ー を 選 択 す る こ と も 可 能 で す 。 “set deviceconfig setting wildfire disable-server-select” コマンドによりサーバーの自動選択を無効にできます。 サーバーとファイアウォールの間では HTTPS コネクションが接続され、SSL 暗号化されます。クライアント側とサーバ ー側の証明書はパロアルトによって署名されています。認証局(CA)は、パロアルトネットワークスのファイアウォール が有効な WildFire クラウドインスタンスにのみ接続されるよう、あるいは WildFire クラウドインスタンスが有効なファ イアウォールとだけ接続されることを確実にします。 admin@PA500> show wildfire status Connection info: Wildfire cloud: Status: Best server: Device registered: Service route IP address: Signature verification: Server selection: Through a proxy: default cloud Idle jp-s1.wildfire.paloaltonetworks.com yes 192.168.0.232 enable enable no Forwarding info: file size limit (MB): file idle time out (second): total file forwarded: forwarding rate (per minute): concurrent files: 10 90 4 0 0 アップロードされたファイルやユーザー情報はいつまでWildFireクラウドで保持されますか? ユーザーに関する情報(IP アドレス、ポート番号、アプリケーション名、ユーザー名、URL、ファイル名、VSYS のうち アップロードする設定にしたもの。)と、無害 (Benign) と判定されたファイルの実体は最大 30 日間 WildFire Analysis Center で保持されます。マルウェアと判定されたファイルは 1, 2, 3, 4, 5, 7, 15, 30 日後に再スキャンが実施され、更 新された WildFire システムにより前回マルウェアだったファイルが無害として判定されないか確認されます。マルウェア と判定されたファイルの実体は無期限に保持されます。 © 2014 Palo Alto Networks (PAN-OS 6.0) 11 Wildfireに関するファイアウォール上のログにはどのようなものがありますか? PAN-OS5.0 からは WildFire ログに WildFire の結果が出力されます。Data Filtering ログの Action で WildFire へファイ ルが送出されたかをデバッグするために利用できます。Data Filtering ログの Action には以下があります。 forward: ファイルブロッキングプロファイルによりファイルが正常に転送されたことを表します。 wildfire-upload-success: ファイルが WildFire へ送信されたことを示します。信頼された発行元により署名されてお らず、過去にクラウドで未確認であることを表します。この場合、ファイルとセッション情報は解析のためクラウドにア ップロードされます。 wildfire-upload-skip: ファイルブロッキングプロファイルによりファイルが WildFire へ転送される対象ですが、ファ イルが既にクラウドへ送られたことがあり、WildFire で分析する必要がないことを表します。この場合、Action として forward も共に表示されます。 wildfire-upload-fail: 誤った DNS 設定やコネクションタイムアウトなどのネットワーク的な問題によりクラウドへの アップロードが失敗しました。 “varrcvr.log” 内の “pan_fbd_cloud_upload error” にエラーの理由が記載されます。 WildFireサーバーにアップロードされたファイルはその後どうなりますか? カリフォルニアにある WildFire Analysis Center がデータを取得できるまで、セッション情報とサンプル情報は WildFire サーバーにバッファリングされます。通常、ユーザデータは数秒間 WildFire サーバーで保持されます。WildFire サーバー と WildFire Analysis Center の前段には IP アドレスベースのアクセスリストが存在し、WildFire サーバーと WildFire Analysis Center 間のコネクションのみが許可されます。この間のコネクションは HTTPS で SSL 暗号化されています。 顧客データは最大 30 日間 WildFire Analysis Center に保持されます。マルウェアと判断されたサンプル (アプリケーシ ョン、送信元 IP とポート、送信元 URL のセッション情報を含む) はクラウドから取り出された後、カリフォルニアにあ るパロアルトネットワークス本社のマルウェアライブラリに保存され、アンチウイルス (PAN-DB)、アンチスパイウェア、 DNS の各シグネチャを生成して顧客に配信できるようにします。WildFire 関連のデータは厳格に管理され、パロアルトネ ットワークスの脅威リサーチチームメンバのみがアクセスするよう制限されています。 パロアルトネットワークスは、顧客プライバシーの重要性と、業界のパートナー間で突発した脅威情報をタイムリーに共 有化するメリットとの間で均衡を図っています。WildFire サービス経由で顧客から得たオリジナルサンプルファイルは、 パロアルトネットワークにより保持され、外部団体と共有されません。しかし、マルウェア研究コミュニティとの「関連 データ」の共有や、顧客との間で脅威シグネチャという形で共有することがあります。 「関連データ」とは、サンプルの動 的解析時に得たデータであり、コマンドアンドコントロールのドメインや IP アドレス、ドロッパファイルによる第二段階 のマルウェアダウンロードとインストール、マルウェアサンプルによりエンドポイントで実行される振舞いが含まれます。 パロアルトネットワークスは顧客間または他の団体と、WildFire サービスにサンプルを提供した人を特定できる形で WildFire データを共有することはありません。 WildFireにより検知されたマルウェアに対するAVシグネチャは、いつどのように作られるのですか? WildFire により検知されたマルウェアに対するアンチウイルスシグネチャは、ファイルハッシュではなく、従来の AV シ グネチャと同様のフォーマットで生成されます。ファイル構造内の特定データフィールドを基に生成することで、ファイ ルハッシュを基にするよりも確実なシグネチャとし、1つのシグネチャで同じサンプルの複数の亜種を見つけることも可 能になります。 太平洋標準時 (PST) の午後 5 時頃に AV シグネチャの生成が行われ翌朝リリースされますが、PAN-OS4.1 では午後 5 時 頃までに WildFire システムで検知された新規マルウェアに対するシグネチャは翌朝のリリースに含まれることになりま す。 (補足)ファイルハッシュは、WildFire システムで既に検査したファイルかどうかを判定するために使われます。 この項で述べている AV シグネチャはデイリーでリリースされるもので、WildFire サブスクリプションによる最短 15 分 間隔のシグネチャではありません。 © 2014 Palo Alto Networks (PAN-OS 6.0) 12 ユーザセッション情報はWildFireの解析に影響を与えますか? いいえ。現時点では送信元 IP アドレスなどのユーザセッション情報は WildFire におけるマルウェア解析には使用されま せん。ポータルサイトにおけるレポートで使われるだけです。したがって、ファイアウォールとインターネットの間に明 示型プロキシが置かれていてもマルウェア解析に影響はありません。 HTTPS/SSL暗号化通信でダウンロードされたファイルをWildFireにアップロードできますか? はい。HTTPS の通信で WildFire の設定を行うには、以下の設定を行います (1) WildFire の設定 (2) SSL decryption の設定 (3) CLI から以下のコマンドを入力 set setting ssl-decrypt allow-forward-decrypted-content yes WildFireでマルウェアが発見された際に、管理者にメール通知可能ですか? 可能です。WildFire Web ポータルの Settings メニューで、WildFire クラウドにてファイルがマルウェアまたは無害と識 別された場合に、管理者のメールアカウントにメール通知することが可能です。メール通知は、特定のデバイスのみ指定 することも可能です。 送信されるメールのタイトルは “Your Wildfire analysis report for file “ファイル名” is ready” で、メールの内容例は以 下です。 -----The file "test.exe" is uploaded from firewall PA500 at 2012-01-01 11:11:10. URL: example.com/xxx/ User: unknown Application: web-browsing Source IP/Port:108.59.10.xx/80 Destination IP/Port:192.168.210.xx/57025 Device S/N: 0006C100xxx This sample is malware Here is the summary of the sample's behaviors: -Created or modified files -Spawned new processes -Modified Windows registries -Changed security settings of Internet Explorer -Visited a malware domain -Created an executable file in a user document folder -Changed the proxy settings for Internet Explorer -Modified the network connections setting for Internet Explorer The detailed analysis report is at: https://wildfire.paloaltonetworks.com/report/box/14e763d8aaf474af7592ab501f40e6831b7bd1e110645b41be92 e8efxxxxxxxx/XXXXXXX ------ WF-500 のパフォーマンスはどの程度ですか? WF-500 はほとんどの大規模顧客において単一または少数のデバイスで解析処理が行えるようサイジングされました。 WF-500 のスケーリング係数は一日当たり分析可能なファイル数のみであるため、サイズフリーのアプローチを取れ ます。潜在的に悪意あるコンテンツの検出やブロックを必要とするそれぞれのロケーションに機器を置く競合他社と は対照的に、既に設置されたファイアウォールが検査したいコンテンツを一台の集約されたサンドボックス機器 (WF-500) に転送するだけです。WF-500 は一日当たり約 4,500 件の実行ファイルを分析します。WildFire 利用率 に基づくデータによると、この値はパブリッククラウドを最もよく利用するユーザーの使用量をはるかに超えていま す。新規ファイルはそれぞれ一度だけ分析されればよく、仮想マシンで実行する前に以前分析したファイルかどうか をハッシュによって確認します。その結果、EXE ファイルを転送するセッションの数は一日あたり 4,500 件以上とな ったとしても、サンドボックス内で分析する新規 EXE ファイルのキャパシティは足りる計算となります。 © 2014 Palo Alto Networks (PAN-OS 6.0) 13
© Copyright 2024 Paperzz