WildFire 7.0 FAQ Tech Note PAN-OS 7.0 © 2016 Palo Alto Networks (PAN-OS7.0) 1 目次 WildFireとは何ですか?.............................................................................................................................. 4 WildFireはアプライアンス、機能、サービスのどれですか?................................................................................ 4 なぜPalo Alto NetworksはWildFireを開発したのですか? .................................................................................. 4 WildFireは追加ハードウェアが必要ですか?(更新) ........................................................................................ 4 WildFireは防御機能持つか、検知機能のみかどちらですか?(更新) .................................................................... 4 WildFireへ送信される個人情報のプライバシーをどのように確保できますか?(更新) ............................................. 5 仮想環境ではどのオペレーティングシステムが使われていますか? ....................................................................... 6 他のファイルフォーマットのサポート予定はありますか?(更新) ....................................................................... 6 PDFやOffice系ファイルのスキャンができないと標的型攻撃対策はできませんか?.................................................... 6 WildFireのサンプル送信が行えないアプリケーションはありますか? .................................................................... 6 ドライブバイダウンロードに対するコンティニューページではWildFireはどのように動作しますか? ............................ 6 レポートやログはどのように表示されますか?................................................................................................. 8 WildFireはZIP圧縮されたファイルを展開できますか?(更新) ........................................................................... 9 ユーザーはファイルが転送されたことをどのように知ることができますか? ........................................................... 9 何故WildFireと呼ぶのですか? ..................................................................................................................... 9 未知のマルウェアによる攻撃の例は何ですか?................................................................................................. 9 WildFire Japanクラウドとは何ですか? ....................................................................................................... 10 誰でもWildFire Japanを利用できますか? ...................................................................................................... 10 WildFire Japanを使用するとファイルはどこへ行きますか? ............................................................................... 10 WildFire Japanを使うためにどのような設定が必要ですか? ............................................................................... 10 WildFire JapanユーザーはWildFireシグネチャを取得できますか? ...................................................................... 10 WildFireサブスクリプションに何か変更はありますか? ..................................................................................... 10 WildFire APIはどこで利用できますか? ......................................................................................................... 11 WildFire Japanサーバーとその機能について教えてください(更新) .................................................................. 11 そもそもクラウドへファイルを転送したくありませんが、どうすればよいですか?(更新) ..................................... 11 WildFireの 識別・分析・評価ワークフローを教えてください。(追加) .............................................................. 12 ファイルタイプが一致すればWildFireクラウドに転送されるのですか? ............................................................... 13 WildFireクラウドのどのサーバーに接続されますか?(更新) ........................................................................... 14 アップロードされたファイルやユーザー情報はいつまでWildFireクラウドで保持されますか?................................... 14 Wildfireに関するファイアウォール上のログにはどのようなものがありますか?(更新) ......................................... 15 WildFireサーバーにアップロードされたファイルはその後どうなりますか?.......................................................... 15 ユーザセッション情報はWildFireの解析に影響を与えますか?(更新) ............................................................... 16 HTTPS/SSL暗号化通信でダウンロードされたファイルをWildFireにアップロードできますか? ................................. 16 WildFireでマルウェアが発見された際に、管理者にメール通知可能ですか?.......................................................... 16 WF-500 のパフォーマンスはどの程度ですか?(更新) .................................................................................. 17 WildFireクラウドとWF-500 の機能差を教えてください(追加) ....................................................................... 17 WF-500解析用仮想マシンの種類を教えてください(追加) .............................................................................. 17 WildFireにてサポートされているファイルのサイズ上限を教えてください(追加) ................................................. 18 © 2016 Palo Alto Networks (PAN-OS7.0) 2 WildFire においてサンドボックス環境であることを見破られないような対策をしていますか?(追加) ...................... 18 WildFireにて提供されるシグニチャの種類を教えてください。(追加) ............................................................... 18 WildFireシグニチャにて検知されたイベントログはどの様に区別できますか?(追加) ........................................... 19 WildFireにて静的解析は実施されますか?(追加) ......................................................................................... 19 WildFire 6.1にて追加されたEmail linkの検査機能を教えてください。(追加) ..................................................... 20 WildFire 7.0で追加された新機能を教えてください(追加) .............................................................................. 21 © 2016 Palo Alto Networks (PAN-OS7.0) 3 WildFire: FAQ WildFireとは何ですか? WildFire を使い.exe ファイルと.dll ファイルをパロアルトネットワークスのセキュアなクラウドベースの仮想化され た環境に送信することで、それらに悪意ある活動が無いか自動的に分析できます。パロアルトネットワークスはファ イルを脆弱性のある環境で動作させ、システムファイルの修正、セキュリティ機構の無効化、さまざまな IPS 検知の 回避手法使用など 100 以上の悪意ある振舞いや技術を観察できます。結果をレビューできるようになったらユーザー へ自動的に通知することができます。送信されたファイルの詳細分析は WildFire ポータルおよび PA の WebUI で確 認でき、管理者はどのユーザーがターゲットになったか、利用されたアプリケーションは何か、観察された悪意ある 振舞い、ファイルが業界のアンチウイルスソリューションで対応できているかどうかを確認できます。 WildFireはアプライアンス、機能、サービスのどれですか? WildFire は PAN-OS4.1 から利用可能な機能で、シグネチャではなく実行可能ファイルの動作振舞いを基にマルウェ アを自動検知します。クラウドサービスとして提供されるグローバルの WildFire、日本国内にクラウドサーバを持つ WildFire Japan、オンプレミスで利用できるアプライアンス型の WF-500 があります。 なぜPalo Alto NetworksはWildFireを開発したのですか? 標的型のプロフェッショナル攻撃、いわゆる APT (Advanced Persistent Threat) で利用されるマルウェアは、標的 とするネットワークに対してカスタムメイドされ、過去にインターネット上に出現していないものであるために既存 の AV シグネチャでは発見できません。そのためファイルが既知のものでなくても無害か悪意あるものか判断する機 能が必要です。悪意あるファイルが見つかった場合、WildFire は分析を実行し、即座に利用できる検知能力と保護を IT チームに提供します。 WildFireは追加ハードウェアが必要ですか?(更新) WildFireクラウドを使用する場合、ユーザーはファイルのサンプルを既存のパロアルトネットワークス機器 または パロアルトネットワークス WildFire ポータル経由で手動で送信できます。 Wildポータルに送信可能な1日あたりの、ファイル数(実行形式ファイル以外も送信可)は下記の通りです。 ・WildFireサブスクリプション有り:1000件/日 ・WildFireサブスクリプション無し:5 件/日 WildFire の分析はクラウドで実施されるため、ユーザーのファイアウォールパフォーマンスに影響を与えません。ま た、2013 年 6 月(バージョン 5.1)にオンプレミス型の WF-500 がリリースされました。WF-500 を使うとサンプ ルファイルを WildFire クラウドに送ることなく、WF-500 で分析します。 WildFireは防御機能持つか、検知機能のみかどちらですか?(更新) WildFire は 2 つの主要機能があります。悪意ある振舞いを検知する「仮想サンドボックス環境」と、パロアルトネッ トワークスの標準マルウェアアップデート経由で配布されるシグネチャの生成とテストを行う「自動シグネチャ生成」 です。この機能では、未知のマルウエアを分析し、15分間隔でシグネチャを生成、配信します。 補足) PAN-OS7.1 では 5 分でのシグネチャ生成を予定。 クラウドにファイルを送らず、15分間隔で配信されるシグニチャ提供のみで最新のマルウエアを検知・防御いただく事 も可能ですが、WildFireの2つの主要機能のご利用を推奨いたします。クラウドにファイルを送らずに「仮想サンドボ ックス環境をご利用されたい場合は「そもそもクラウドへファイルを転送したくありませんが、どうすればよいですか ?(更新)」を参照してください。 © 2016 Palo Alto Networks (PAN-OS7.0) 4 WildFireへ送信される個人情報のプライバシーをどのように確保できますか?(更新) クラウドに送信されるすべてのファイルはパロアルトネットワークスの証明書を用いて暗号化されます。ファイルが クラウドで受信されると、厳重にセキュリティ保護されたサンドボックス環境に送られ、ここですべてのトラフィッ クが複数セキュリティ階層により厳しく統制されます。WildFire では重複解析をしなくても良いように分析したファ イルのハッシュが管理されます。別のファイアウォールで同じファイルが見つかった場合、そのファイアウォールは ファイルを送信する前に、既に同じファイルが分析されていないかをクラウドに問い合わせます。PAN-OS5.0 までは、 EXE および DLL ファイルの分析に制限され、インターネットのような信頼されない送信元から来るファイルのみを転 送し、企業の内部情報が含まれるであろう内部セグメントからの実行ファイルを送らないようにするようポリシーを 設定することができます。PAN-OS6.0 からは Office, PDF, Java, APK ファイルの分析にも対応します。さらにユー ザーは、対象ユーザー、アプリケーション、IP アドレスといった情報のうちどれをサンプルに含めて WildFire へ送信 するかを設定できます。送信された情報はWildFireポータル及びAutofocusにおいてお客様のアカウントのみ参照可能 な「セッション情報」として活用されます。 図 1: WildFire で送信するユーザー情報選択画面 © 2016 Palo Alto Networks (PAN-OS7.0) 5 エンドユーザーデータについて製品ご購入時に発行されるEND USER LICENSE AGREEMENT (EULA)の免責条項に 合意いただいたものとさせていただきます。 “7. END USER DATA.” (条項抜粋)Submission of End User Data to Palo Alto Networks shall be at End User’s sole discretion and at its own risk, and Palo Alto Networks assumes no responsibility or liability for receipt of such End User Data. End User Data sent to Palo Alto Networks may be stored by Palo Alto Networks. End User further acknowledges that Palo Alto Networks may anonymize such End User Data to use for statistical purposes and share samples of such anonymized End User Data with other third party security-related researchers,vendors and customers. (条項抜粋(訳))「パロアルトネットワークスへのエンドユーザーデータの送信は、エンドユーザーの裁量とその 自身の責任で行うものとし、パロアルトネットワークスは、エンドユーザーのデータを受信するための一切の責任 を負いません。パロアルトネットワークスに送信されたエンドユーザーデータを、パロアルトネットワークスが格 納し、統計上の目的や他のサードパーティのセキュリティ関連の研究者とベンダーと、匿名エンドユーザーデータ の共有サンプルとして使用出来る様にエンドユーザーのデータを匿名化ができることを認めます。」 仮想環境ではどのオペレーティングシステムが使われていますか? 仮想サンドボックスではオペレーティングシステムとして Windows XP、Windows 7、Android が使われます。サポ ートされるオペレーティングシステムは今後増えていく予定です。Android を使った APK ファイルの分析には WildFire サブスクリプションが必要です。 他のファイルフォーマットのサポート予定はありますか?(更新) はい、 WildFire はマルウェアによく用いられる他のファイルタイプを含むよう、順次拡張されていきます。PAN-OS6.0 で Microsoft Office (.doc、.xls、.ppt、.rtf)、PDF、Java Applet (.jar、class)、Android アプリケーション パッケ ージ (.apk) のサポートが追加されました。Office、PDF、Java、APK の各ファイル種別の分析には WildFire サブス クリプションが必要です。 PDFやOffice系ファイルのスキャンができないと標的型攻撃対策はできませんか? いいえ。標的型攻撃で利用されるマルウェア本体は WildFire で検出可能な実行形式ファイルです。標的型メール等で 添付される PDF、Flush、Microsoft Office 系ファイルには Javascript の文字列として符号化されるようなシェルコ ード(脆弱性を悪用する攻撃コード)が埋め込まれ、シェルコードを介してマルウェア本体がダウンロードされます。 標的型攻撃対策としてシェルコード自体を検出する方法と、シェルコードを使ってダウンロードされるマルウェア本 体を検出する方法があります。PAN-OS5.0 以前では後者の手法、PAN-OS6.0 以降では前者を含めた手法に対応する ことになります。 WildFireのサンプル送信が行えないアプリケーションはありますか? WildFire クラウドへファイルを送信するには、 PA デバイスのファイルブロッキング機能においてトラフィックからフ ァイルを抽出できることが前提となります。また、独自暗号化されたトラフィック上でやりとりされるアプリケーシ ョンは WildFire で分析することができません。これらアプリケーションはマルウェア感染経路を与えるなどのさまざ まな理由から次世代ファイアウォールで厳格に規制すべきです。SSL 暗号化セッション内のファイルは WildFire で分 析するサンプルの転送に SSL 復号化機能が必要となることがあります。 ドライブバイダウンロードに対するコンティニューページではWildFireはどのように動作しますか? コンフォートページの生成、コンティニュー処理、コンティニュー/フォワード処理を行います。 (補足)コンフォートページとは、Web ブラウザ経由で実行ファイルダウンロード時にブラウザ画面に表示されるレ スポンスページです (図 2)。このページは “Device > Response Pages > File Blocking Continue Page” でカスタ © 2016 Palo Alto Networks (PAN-OS7.0) 6 マイズできます。このページは日本語も使えますが、UTF-8 エンコードで記述してください。 (補足)コンティニュー処理とは、コンフォートページ内の「Continue」ボタンをユーザーがクリックすると、目的 の実行ファイルのダウンロードが開始されることです。File Blocking Profile の Action が continue であればコンテ ィニュー処理、continue-and-forward であればコンティニュー処理後 WildFire へファイルをアップロードします。 図 2: コンフォートページの出力画面 © 2016 Palo Alto Networks (PAN-OS7.0) 7 レポートやログはどのように表示されますか? PAN-OS4.1 では、ログおよびレポートは WildFire web ポータルで参照します。PAN-OS5.0 では、WildFire サブス クリプションを適用していれば Monitor タブの「WildFire Submissions (WildFire への送信)」に WildFire へ送信し たファイルやそのセッションの情報、分析結果のログを参照することが可能です。PAN-OS5.0 の WildFire 詳細ログ には web ポータルの当該ログへジャンプする [View WildFire Report] ボタンがあり、ボタンを押してポータルの認 証情報を入力することでレポートを参照することができます。PAN-OS6.0 ではサブスクリプションがなくても当該メ ニューでログ情報を参照することが可能で、図 4 のような詳細ログも PAN-OS の GUI で参照でき、さらに詳細ログ を PDF にエクスポートすることも可能です。いずれのバージョンにおいても、WildFire クラウドへファイルを転送し たかどうかは、データフィルタリングログで参照します。 図 3: WildFire web ポータル画面 図 4: WildFire 詳細ログ © 2016 Palo Alto Networks (PAN-OS7.0) 8 WildFireはZIP圧縮されたファイルを展開できますか?(更新) はい。ZIP や Compressed HTTP (GZIP) は検査対象となり、中の EXE や DLL ファイルは分析のため送信されます。 (補足)ZIP や GZIP 以外の圧縮ファイル、パスワード付の圧縮ファイルは展開できません。ZIP や GZIP は4階層ま での圧縮(ZIP 圧縮したファイルをさらに ZIP 圧縮)に対応しています。 ユーザーはファイルが転送されたことをどのように知ることができますか? WildFire にアップロードされたファイルは Data Filtering ログに記述されます。 (補足)詳細は「WildFire に関するファイアウォール上のログにはどのようなものがありますか?」を参照してくだ さい。 何故WildFireと呼ぶのですか? 名前は、WildFire が作られた解決すべき課題を訴えています。つまり、アンチマルウェアソリューションは防御策が 展開される前に “ワイルド (インターネット上)” でマルウェアのサンプルを取得する必要性に基づきます。標的型ま たはカスタムのマルウェアの場合、マルウェアは従来のハニーポットやハニーネットに現れることがないため、深刻 な問題となります。標的ネットワークはマルウェアが確実に出現する唯一の場所です。このため、ファイアウォール の位置までワイルドのマルウェアを捕捉する概念を導く必要がありました。 未知のマルウェアによる攻撃の例は何ですか? Application and Threat Research Center(http://www.paloaltonetworks.com/researchcenter/)でいくつかの 例を示していますので、今後もこちらの資料を参照してください。主な例を以下に示します。 RSA および Aurora 攻撃 - これら 2 つは非常に有名な標的型攻撃です。これらは、それまで未知だったマルウ ェアを使って企業に侵入した非常に高度な攻撃の例です。詳細情報は以下を参照して下さい。 http://www.paloaltonetworks.com/researchcenter/2011/05/a-few-thoughts-on-the-latest-databreac hes/ TDL-4 - 従来のセキュリティ対策を避けるためにいろいろな策略を用いた高度にネットワーク化されたマルウ ェアのよい例です。TDL-4 に関する詳細情報は以下を参照してください。 http://www.paloaltonetworks.com/researchcenter/2011/07/analyzing-the-indestructible-botnet/ © 2016 Palo Alto Networks (PAN-OS7.0) 9 WildFire Japan FAQ WildFire Japanクラウドとは何ですか? WildFire Japan クラウドは、NTT コミュニケーションズ社において日本国内に閉じてホスティングされた WildFire クラウドの新しいインスタンスです。日本のユーザーのための WildFire サービスインフラであり、プライベートデー タを国外に送ることなく、日本国内に閉じて分析サービスを実施できるのが特徴です。WildFire Japan に送られたフ ァイルは日本のクラウドで分析され、シグネチャ生成および配信のためにマルウェアファイルのみがパブリックの WildFire クラウドへ送信されます。無害のファイルは WildFire Japan の外へ出ることはなく、データプライバシー レベルを上げることができます。WildFire Japan は今後、日本語 OS など日本の環境に特化した解析を行うようカス タマイズしていくため、日本のお客様は WildFire Japan をお使いください。 誰でもWildFire Japanを利用できますか? はい。日本市場を対象としていますが、どのパロアルトネットワークスファイアウォールもパブリックWildFireク ラウドの代わりに WildFire Japan を使用するよう設定できます。 WildFire Japanを使用するとファイルはどこへ行きますか? WildFire Japan は日本国内の NTT コミュニケーションズ社のデータセンタにホスティングされています。すべての ファイルが WildFire Japan に送信され、WildFire 仮想サンドボックスにより国内で分析されます。ファイルが無害 であると判定された場合、そのファイルは 30 日以内に削除され (「アップロードされたファイルやユーザー情報はい つまで WildFire クラウドで保持されますか?」を参照)、NTT データセンタ内で稼働する WildFire Japan サーバーの 外へ出ることはありません。ファイルは 30 日間保持され、マルウェア検知を改善したテストの実施を既存サンプルに 対して一括して再実施する場合もあります。マルウェアと判定されたファイルは、WildFire と脅威防御サブスクリ プションを持つお客様にシグネチャを提供できるよう、WildFire Japan からパブリックWildFire クラウドに送信 されます。カリフォルニアのパロアルトネットワークス本社において、脅威リサーチチームによってマルウェアサ ンプルの追加分析が行われることもあります。 WildFire Japanを使うためにどのような設定が必要ですか? WildFire Japan を使用するには、“default-cloud” から “wildfire.paloaltonetworks.jp” へデバイスの WildFire サ ーバー設定を変更します。この設定でファイアウォールはパブリックWildFireクラウドの代わりに WildFire Japan を使うよう登録します。それ以外の変更は必要ありません。注意として、WildFire へファイルを送るには、これまで と同様にファイルブロッキングプロファイルを設定する必要があります。 WildFire JapanユーザーはWildFireシグネチャを取得できますか? はい。WildFire サブスクリプションを持つすべてのユーザーが、パブリックおよび日本の WildFire クラウドの両 方で確認されたすべてのマルウェアに対するアンチウイルスシグネチャを取得します。 WildFireサブスクリプションに何か変更はありますか? いいえ、WildFire サブスクリプションは同じで、WildFire Japan を使う WildFire サブスクリプションユーザも WildFire シグネチャを最短 15 分ごとにポーリングします。WildFire サブスクリプションは WildFire Japan を使うた めに必須ではありませんが、WildFire シグネチャ取得、WildFire API 利用、統合 WildFire ログ (PAN-OS5.0)、Office, PDF, Java, APK ファイルの分析 (PAN-OS6.0 以降) に対しては必要となります。 © 2016 Palo Alto Networks (PAN-OS7.0) 10 WildFire APIはどこで利用できますか? WildFire API は WildFire サブスクリプションを購入した PA デバイスに対して発行される API キーを利用することで、 グローバルおよび Japan の WildFire で利用することができます。API を使うことで PA デバイスを介さずにサンプル ファイルを WildFire クラウドへ送信することができるようになります。 WildFire Japanサーバーとその機能について教えてください(更新) WildFire Japan ポータルは wildfire.paloaltonetworks.jpでホスティングされています。これは WildFire Japan を 使うよう設定されたファイアウォールによって最初にアクセスされる場所でもあります。WildFire Japan とハンド シ ェ ー ク を 行 っ た 後 、 フ ァ イ ア ウ ォ ー ル は wf1.wildfire.paloaltonetworks.jp ま た は wf2.wildfire.paloaltonetworks.jpのいずれかに自身を登録します。すべての WildFire Japan サーバーは NTT デ ータセンタ内でホスティングされています。 そもそもクラウドへファイルを転送したくありませんが、どうすればよいですか?(更新) WildFire Japan を含めクラウドへのファイル転送を行いたくない場合、オンプレミス型の WildFire である WF-500 を社内に配置し、社内の PA シリーズのファイル転送先を WF-500 へ向けるようにします。WF-500 では動作させる 仮想マシンの OS (Windows XP, Windows 7, Android) や Adobe Reader、Flash などのバージョンを選択します。 PAN-OS6.0 までは WF-500 でマルウェアが検出された後にシグネチャが必要であれば、検体ファイルをパブリック クラウドに送信する必要があります。(PAN-OS6.1以降はWF-500でシグニチャ生成が可能) © 2016 Palo Alto Networks (PAN-OS7.0) 11 WildFire FAQ: 技術詳細 WildFireの 識別・分析・評価ワークフローを教えてください。(追加) WildFireの 識別・分析・評価ワークフローについて、以下の図を参照ください。 図5:WildFire 識別・分析・評価ワークフロー © 2016 Palo Alto Networks (PAN-OS7.0) 12 ファイルタイプが一致すればWildFireクラウドに転送されるのですか? WildFire クラウドへの転送対象となるファイルについて、デバイス上で既にクラウドへ送ったことのあるファイルについ てはハッシュが生成されてキャッシュされ、次に同じハッシュ値となるファイルが到達した場合デバイスはクラウドへ転 送しません。また、信頼された発行元により署名されたファイルもクラウドへ転送されません。 この動作は “set deviceconfig setting wildfire disable-signature-verify” コマンドにより無効にすることが可能です。デバイスは信頼さ れた発行元のリストを保持しており、この情報は App + Threat のシグネチャにより毎週アップデートされます。 自己解凍形式の実行ファイルはWildFireクラウドにアップロードされますか? はい。自己解凍形式のファイ ルは実行ファイル形式であるため、他の実行ファイルと同様に WildFire クラウドでの検査対象となります。 ファイアウォール内部のWildFire関連のバッファ領域はどの程度ありますか?(更新) ファイアウォール がクラウドにファイルを転送する前に、マネジメントプレーンにバッファ可能な記憶領域は機種によっ て異なります。ア ップロードすべきファイルが大量に到着した場合や、クラウドとのコネクションが低速な場合に利用されます。 PA-5060/5050/5020/4060/4050/3050 – 500MB PA-4020/2050/2020/3020/500 – 200MB PA-200 - 100MB このバッファの利用率は “show wildfire disk-usage” で確認することが可能です。 -----------------------------------------------------admin@PA-500> show wildfire disk-usage Disk usage for wildfire: Total disk usage: 45056 Total temporary files: 4 File limit: 250 ------------------------------------------------------ “Total temporary files” が “File limit” の範囲内である場合バッファにファイルを格納できます。 “show wildfire statistics” の “CANCEL_BY_DP” や “CANCEL_FILE_DUP” でもクラウドに送信されなかったファイ ルのカウントが確認できます。 admin@PA500> show wildfire statistics Packet based Total Total Total Total Total Total Total Total counters: msg rcvd: bytes rcvd: msg lost: bytes lost: msg read: bytes read: msg lost by read: DROP_NO_MATCH_FILE 26986115 23206829038 43822 33707409 21690190 19173509267 5252103 5252103 Total files received from DP: 2612316 Counters for file cancellation: CANCEL_BY_DP CANCEL_TIME_OUT CANCEL_OFFSET_NO_MATCH CANCEL_FILE_DUP_EARLY CANCEL_FILE_DUP CANCEL_FILESIZE_LIMIT CANCEL_UNSUPPORT_FILE_TYPE CANCEL_NO_LICENSE (以下、略) © 2016 Palo Alto Networks (PAN-OS7.0) 155114 48363 104 3337 209946 39791 2151184 4305 13 WildFireクラウドのどのサーバーに接続されますか?(更新) “Device > Setup > WildFire > General Settings” にて WildFire Server が指定 され ます 。デ フォ ルト では default-cloud と設定されています。デフォルト設定の場合、アメリカ、ヨーロッパ、日本、シンガポールに置かれたサ ーバ(具体的には Amazon EC2 サーバ)のうち、稼働中で遅延が最も小さいサーバーが自動的に選択されます。ファイ アウォールはすべてのWildFireサーバーに対して自動的にhttps接続し、最もレスポンスの早いサーバーを選択します。 選択されたサーバーは、 “show wildfire status” コマンドの “Best server” で確認できます。 管 理 者 が 手 動 で 特 定 の WildFire サ ー バ ー を 選 択 す る こ と も 可 能 で す 。 “set deviceconfig setting wildfire disable-server-select” コマンドによりサーバーの自動選択を無効にできます。 サーバーとファイアウォールの間では HTTPS コネクションが接続され、SSL 暗号化されます。クライアント側とサーバ ー側の証明書はパロアルトによって署名されています。認証局(CA)は、パロアルトネットワークスのファイアウォール が有効な WildFire クラウドインスタンスにのみ接続されるよう、あるいは WildFire クラウドインスタンスが有効なファ イアウォールとだけ接続されることを確実にします。 admin@PA500> show wildfire status Connection info: Wildfire cloud: Status: Best server: Device registered: Service route IP address: Signature verification: Server selection: Through a proxy: default cloud Idle jp-s1.wildfire.paloaltonetworks.com yes 192.168.0.232 enable enable no Forwarding info: file size limit (MB): file idle time out (second): total file forwarded: forwarding rate (per minute): concurrent files: 10 90 4 0 0 WildFireクラウドとの接続確認についてWildFireサーバーはPingに応答しないため、下記のCLIコマンドにて 接続確認を行います。 “test wildFire registration” アップロードされたファイルやユーザー情報はいつまでWildFireクラウドで保持されますか? ユーザーに関する情報(IP アドレス、ポート番号、アプリケーション名、ユーザー名、URL、ファイル名、VSYS のうち アップロードする設定にしたもの。 )と、無害 (Benign) と判定されたファイルの実体は最大 30 日間 WildFire Analysis Center で保持されます。マルウェアと判定されたファイルは 1, 2, 3, 4, 5, 7, 15, 30 日後に再スキャンが実施され、更 新された WildFire システムにより前回マルウェアだったファイルが無害として判定されないか確認されます。マルウェア と判定されたファイルの実体は無期限に保持されます。 © 2016 Palo Alto Networks (PAN-OS7.0) 14 Wildfireに関するファイアウォール上のログにはどのようなものがありますか?(更新) PAN-OS5.0 からは WildFire ログに WildFire の結果が出力されます。Data Filtering ログの Action で WildFire へファイ ルが送出されたかをデバッグするために利用できます。Data Filtering ログの Action には以下があります。 forward: ファイルブロッキングプロファイルによりファイルが正常に転送されたことを表します。 wildfire-upload-success: ファイルが WildFire へ送信されたことを示します。信頼された発行元により署名されてお らず、過去にクラウドで未確認であることを表します。この場合、ファイルとセッション情報は解析のためクラウドにア ップロードされます。 wildfire-upload-skip: ファイルブロッキングプロファイルによりファイルが WildFire へ転送される対象ですが、ファ イルが既にクラウドへ送られたことがあり、WildFire で分析する必要がないことを表します。この場合、Action として forward も共に表示されます。 wildfire-upload-fail: 誤った DNS 設定やコネクションタイムアウトなどのネットワーク的な問題によりクラウドへの アップロードが失敗しました。 “varrcvr.log” 内の “pan_fbd_cloud_upload error” にエラーの理由が記載されます。 注)PAN-OS7.0からはデータフィルタリングログ(Monitor>Data Filtering )にエントリとして追加されません。 WildFireへのサンプルファイル送信結果を”debug”コマンドにて確認が出来るようになりました。 > debug wildfire upload-log channel public 詳細は「WildFire™ Administrator’s Guide Version 7.0」をご参照ください。 WildFireサーバーにアップロードされたファイルはその後どうなりますか? カリフォルニアにある WildFire Analysis Center がデータを取得できるまで、セッション情報とサンプル情報は WildFire サ ーバーにバッファリングされます。通常、ユーザデータは数秒間 WildFire サーバーで保持されます。WildFire サーバー と WildFire Analysis Center の前段には IP アドレスベースのアクセスリストが存在し、WildFire サーバーと WildFire Analysis Center 間のコネクションのみが許可されます。この間のコネクションは HTTPS で SSL 暗号化されています。 顧 客データは最大 30 日間 WildFire Analysis Center に保持されます。マルウェアと判断されたサンプル (アプリケーシ ョン 、送信元 IP とポート、送信元 URL のセッション情報を含む) はクラウドから取り出された後、カリフォルニアにあ るパロ アルトネットワークス本社のマルウェアライブラリに保存され、アンチウイルス、アンチスパイウェア、 DNS の各シグネチ ャを生成及びPAN-DBのマルウェアカテゴリーにURLをフィードバックして顧客に配信できるようにします。WildFire 関連 のデータは厳格に管理され、パロアルトネ ットワークスの脅威リサーチチームメンバのみがアクセスするよう制限されてい ます。 パロアルトネットワークスは、顧客プライバシーの重要性と、業界のパートナー間で突発した脅威情報をタイムリー に共 有化するメリットとの間で均衡を図っています。WildFire サービス経由で顧客から得たオリジナルサンプルファイル は、 パロアルトネットワークにより保持され、外部団体と共有されません。しかし、マルウェア研究コミュニティとの「 関連 データ」の共有や、顧客との間で脅威シグネチャという形で共有することがあります。 「関連データ」とは、サンプル の動 的解析時に得たデータであり、コマンドアンドコントロールのドメインや IP アドレス、ドロッパファイルによる第二段 階 のマルウェアダウンロードとインストール、マルウェアサンプルによりエンドポイントで実行される振舞いが含まれます 。 パロアルトネットワークスは顧客間または他の団体と、WildFire サービスにサンプルを提供した人を特定できる形で WildFire データを共有することはありません。 WildFireにより検知されたマルウェアに対するAVシグネチャは、いつどのように作られるのですか? WildFire により検知されたマルウェアに対するアンチウイルスシグネチャは、ファイルハッシュではなく、従来の AV シ グネチャと同様のフォーマットで生成されます。ファイル構造内の特定データフィールドを基に生成することで、ファイ ルハッシュを基にするよりも確実なシグネチャとし、1つのシグネチャで同じサンプルの複数の亜種を見つけることも可 能になります。 太平洋標準時 (PST) の午後 5 時頃に AV シグネチャの生成が行われ翌朝リリースされますが、PAN-OS4.1 では午後 5 時 頃までに WildFire システムで検知された新規マルウェアに対するシグネチャは翌朝のリリースに含まれることになりま す。 (補足)ファイルハッシュは、WildFire システムで既に検査したファイルかどうかを判定するために使われます。 この項 © 2016 Palo Alto Networks (PAN-OS7.0) 15 で述べている AV シグネチャはデイリーでリリースされるもので、WildFire サブスクリプションによる最短 15 分 間隔の シグネチャではありません。 ユーザセッション情報はWildFireの解析に影響を与えますか?(更新) いいえ。現時点では送信元 IP アドレスなどのユーザセッション情報は WildFire におけるマルウェア解析には使用されま せん。ポータルサイト(Wildfireポータル及びAutoFocus)におけるレポートで使われるだけです。したがって、ファイ アウォールとインターネットの間に明示型プロキシが置かれていてもマルウェア解析に影響はありません。 HTTPS/SSL暗号化通信でダウンロードされたファイルをWildFireにアップロードできますか? はい。HTTPS の通信で WildFire の設定を行うには、以下の設定を行います (1) WildFire の設定 (2) SSL decryption の設定 (3) CLI から以下のコマンドを入力 set setting ssl-decrypt allow-forward-decrypted-content yes WildFireでマルウェアが発見された際に、管理者にメール通知可能ですか? 可能です。WildFire Web ポータルの Settings メニューで、WildFire クラウドにてファイルがマルウェアまたは無害と識 別された場合に、管理者のメールアカウントにメール通知することが可能です。メール通知は、特定のデバイスのみ指定 することも可能です。 送信されるメールのタイトルは “Your Wildfire analysis report for file “ファイル名” is ready” で、メールの内容例は以 下です。 -----The file "test.exe" is uploaded from firewall PA500 at 2012-01-01 11:11:10. URL: example.com/xxx/ User: unknown Application: web-browsing Source IP/Port:108.59.10.xx/80 Destination IP/Port:192.168.210.xx/57025 Device S/N: 0006C100xxx This sample is malware Here is the summary of the sample's behaviors: -Created or modified files -Spawned new processes -Modified Windows registries -Changed security settings of Internet Explorer -Visited a malware domain -Created an executable file in a user document folder -Changed the proxy settings for Internet Explorer -Modified the network connections setting for Internet Explorer The detailed analysis report is at: https://wildfire.paloaltonetworks.com/report/box/14e763d8aaf474af7592ab501f40e6831b7bd1e110645b41be92 e8efxxxxxxxx/XXXXXXX ------ © 2016 Palo Alto Networks (PAN-OS7.0) 16 WF-500 のパフォーマンスはどの程度ですか?(更新) WF-500 はほとんどの大規模顧客において単一または少数のデバイスで解析処理が行えるようサイジングされました。 WF-500 のスケーリング係数は一日当たり分析可能なファイル数のみであるため、サイズフリーのアプローチを取れ ます。潜在的に悪意あるコンテンツの検出やブロックを必要とするそれぞれのロケーションに機器を置く競合他社と は対照的に、既に設置されたファイアウォールが検査したいコンテンツを一台の集約されたサンドボックス機器 (WF-500) に転送するだけです。WF-500 は一日当たり約 10,000 件の実行ファイルを分析します。WildFire 利用率 に基づくデータによると、この値はパブリッククラウドを最もよく利用するユーザーの使用量をはるかに超えていま す。新規ファイルはそれぞれ一度だけ分析されればよく、仮想マシンで実行する前に以前分析したファイルかどうか をハッシュによって確認します。その結果、EXE ファイルを転送するセッションの数は一日あたり10,000 件以上とな ったとしても、サンドボックス内で分析する新規 EXE ファイルのキャパシティは足りる計算となります。 WildFireクラウドとWF-500 の機能差を教えてください(追加) WildFireクラウドとWF-500 の主な機能差は下記の通りです。 項目 対応ファイル WF-500 WildFire Cloud PE, Java, Office, Adobe Flash,PDF PE, Java, Office, Adobe Flash,PDF, Android APK クラウドの利用 設定により選択可 常に利用 解析用VMの種類 1(5種類から選択) Windows XP 32 bit ※「WF-500解析用仮想マシンの種 Windows 7 64bit, 類を教えてください」ご参照 処理能力 Android OS 2.3, 4.1 10,000 / 日(動的解析) 無制限 電子メールリンク分析 ✔ (Ver 7.0より対応) ✔ マルチバージョン解析 未対応 ✔ ✔ (Ver 6.1より対応) ✔ (ver 7.0新機能) API 表1:WF-500とWildFire Cloudの比較表(ver 7.0) WF-500解析用仮想マシンの種類を教えてください(追加) WF-500 解析用の仮想マシンは以下から1種類を選択します。 Windows XP, Adobe Reader 9.3.3, Flash 9, Office 2003, PDF, Office 2003とそれ以前 Windows XP, Adobe Reader 9.4.0, Flash 10, Office 2007, PDF, Office 2007とそれ以前 Windows XP, Adobe Reader 11, Flash 11, Office 2010, PDF, Office 2010とそれ以前 Windows 7 32bit, Adobe Reader 11, Flash 11, Office 2010, PDF, Office 2010とそれ以前 Windows 7 64bit, Adobe Reader 11, Flash 11, Office 2010, PDF, Office 2010 とそれ以前 © 2016 Palo Alto Networks (PAN-OS7.0) 17 WildFireにてサポートされているファイルのサイズ上限を教えてください(追加) WildFireにてサポートされているファイルのサイズ上限は下記のとおりです。 flash: 10 MB apk: 50 MB pdf: 1000 KB jar: 10 MB pe: 10MB ms-office: 10000 KB WildFire においてサンドボックス環境であることを見破られないような対策をしていますか?(追加) WildFireにおける検知回避技術への対策 WildFire クラウドサービスではサンドボックスであることを攻撃者に検知されないようにするためマウスやキーボード入 力などのユーザー動作を再現する VM検知回避技術やデバッガ、アンチデバッガ対策などさまざまな攻撃手法に対応でき るように多くの検知回避アーキテクチャを採用しております。WildFireクラウドサービスではお客様が意識することなく新 たな脅威に対応できるように随時更新されています。これらの技術はハードウエア、カーネルレベルからさまざまな階層に おいて実装されております。これらは知的財産にあたる情報で、詳細は非公開となっております。 詳細仕様が公開されないことによってお客様を攻撃者から保護する意味合いがあります。 WildFireにて提供されるシグニチャの種類を教えてください。(追加) WildFireにて配布されるシグニチャ WildFireシグニチャ(WildFiire :WildFireサブスクリプションが必要) 管理番号(Threat ID): 3000000 – 4000000 15分毎に配信される最新の脅威防御シグニチャ WF-500シグニチャ(WF-Private :WF-500アプライアンスによって作成されたシグニチャ) 管理番号(Threat ID): 5000000 – 6000000 5分毎に配信される最新の脅威防御ローカルシグニチャ 上記、WildFireシグニチャ配信とWF-500のシグニチャ配信は並行運用可能です。 更に脅威防御(Threat Prevention)サブスクリプションとURLフィルタリングサブスクリプションを 組み合わせることで、攻撃のあらゆるステージに対応した、多層防御が可能になります。 © 2016 Palo Alto Networks (PAN-OS7.0) 18 WildFireシグニチャにて検知されたイベントログはどの様に区別できますか?(追加) WildFireシグニチャにて検知されたイベントログはType=WildFire-Virusとして表示されアンチウイルスシグニチャと 検知を区別することが出来ます。 図6:WildFire イベントログ WildFireにて静的解析は実施されますか?(追加) はい、WildFireは、検査対象ファイルに有害なコードが含まれているかどうかを判断するために、Office、PDF、Flashなど ファイルのマクロ、埋め込みファイル、埋め込みコード、異常な構造のファイル(サイズ・属性・無効なメタデータな ど)に静的解析を実行します。静的解析の結果に基づいて、WildFireは、さらなる分析のために動的解析対象ファイル を選定します。それによって分析システムリソースの有効活用と検知の多層化を実現します。静的解析はWildFireクラ ウド、WF-500ともに実施されます。 © 2016 Palo Alto Networks (PAN-OS7.0) 19 WildFire 6.1にて追加されたEmail linkの検査機能を教えてください。(追加) 主な効果 O 従来WildFireでは、電子メールの添付ファイル解析のみ可能だったが,メールの本文に記載されたURL linkに ついても安全性の解析が可能になった。 o SMTP、POP3に対応 (SMTPS、POP3Sの場合は、SSL Decryptionが必要) 該当のリンク(http:// またはhttps:// で始まるURL)及びメールのヘッダ情報 [送信者、受信者、件名 (オプション設定)]をWildFireに転送 o (メール本文はWildFireに転送されない) WildFireが該当のリンクへアクセスし、エクスプロイトの含まれるwebサイトか否かを検査該当のwebペ ージにエクスプロイトが含まれる場合にmaliciousと判定し、詳細レポートを作成する。また、PAに WildFireログを送付する(送付したリンク先が、Benignの場合には、WildFireログには表示されない) o Maliciousと判定されたURLは、PAN-DBのmalwareカテゴリーに追加される o PAN-OS v6.1ではWildFireクラウドのみ利用可能(WF-500はVer 7.0より対応) o WildFireサブスクリプションが必要 図7:WildFire Email Link検査概要 © 2016 Palo Alto Networks (PAN-OS7.0) 20 WildFire 7.0で追加された新機能を教えてください(追加) WildFire 7.0にて強化された機能は下記の通りです。 PDFのマルチ・バージョン分析(WildFireクラウドにて対応) 主な効果 o 複数のAdobe Reader のバージョンに渡るPDFの検査を1つのVM上で実現 o 幅広い脆弱性のカバレッジと、エクスプロイト検知 o アプリケーションを狙った攻撃に対して、より精度の高い判定が可能に o 分析時間の増加は無し ハイブリッドクラウド 主な効果 o WildFireクラウドまたはWF-500への解析をポリシーベースで緻密にコントロール 例)外部からのPEファイルはクラウドにて検査、内部でやり取りされるファイルはWF-500で検査といった形で WildFireの解析をPAシリーズのポリシーで柔軟に制御可能(PAシリーズ Ver 7.0以降で対応) グレーウエア判定 主な効果 o Malware以外のAdwareなどをGraywareとして判定し迅速に脅威を優先付け 図8:WildFire 7.0機能強化 © 2016 Palo Alto Networks (PAN-OS7.0) 21
© Copyright 2024 Paperzz
