WildFire Administrator`s Guide
Transcription
WildFire Administrator`s Guide
Palo Alto Networks Guide de l'administrateur WildFire™ Version 7.0 Coordonnées de contact Siège social de l'entreprise : Palo Alto Networks 4401 Great America Parkway Santa Clara, CA 95054 https://www.paloaltonetworks.fr/company/contact-us.html À propos de ce guide Le présent guide explique les tâches administratives requises pour utiliser et gérer la fonction WildFire de Palo Alto Networks. Les sujets abordés sont : les informations relatives aux licences, la configuration de pare-feux pour transférer des fichiers en vue de leur inspection, l'affichage de rapports et la méthode permettant de configurer et de gérer l'appareil WF-500. Pour des informations sur les capacités supplémentaires et pour les instructions pour la configuration des fonctionnalités sur le pare-feu, consultez le site https://www.paloaltonetworks.com/documentation. Pour accéder à la base de connaissances, aux forums de discussion et aux vidéos, consultez le site https://live.paloaltonetworks.com. Pour contacter le support, obtenir des informations sur les programmes de support ou gérer votre compte ou vos périphériques, consultez le site https://support.paloaltonetworks.com. Pour obtenir les dernières notes de publication, rendez-vous sur la page des téléchargements logiciels https://support.paloaltonetworks.com/Updates/SoftwareUpdates. Pour nous communiquer vos remarques sur la documentation, écrivez-nous à l'adresse : [email protected]. Palo Alto Networks, Inc. www.paloaltonetworks.com © 2014–2015 Palo Alto Networks, Inc. Palo Alto Networks est une marque déposée de Palo Alto Networks. La liste de nos marques est disponible sur le site http://www.paloaltonetworks.com/company/trademarks.html. Toutes les autres marques mentionnées dans le présent document appartiennent à leur propriétaire respectif. Date de révision : mai 17, 2016 2 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Table des matières Présentation de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 A propos de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Déploiements WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Cloud WildFire public. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Cloud WildFire privé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Cloud WildFire hybride . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Concepts de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Bac à sable virtuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Verdicts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Analyse du type de fichier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Analyse de liens d'e-mail WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Alertes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Journaux et génération de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Conditions d'abonnement à WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Recommandations pour le maintien des signatures à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Configuration de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 À propos de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Configuration de l'appareil WF-500. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Configuration de l'interface MV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Présentation de l'interface de machine virtuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Configuration de l'interface MV sur l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Connexion du pare-feu à l'interface MV de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Paramétrages des mises à jour de contenu WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Installation des mises à jour de contenu WF-500 directement à partir du serveur de mises à jour . . . 34 Installation des mises à jour de contenu WF-500 à partir d'un serveur SCP . . . . . . . . . . . . . . . . . . . . . 35 Activation de la génération de signatures et d'URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Mise à niveau de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Envoi des fichiers pour analyse WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 Transfert de fichiers pour analyse par WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Vérification des envois WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Test d'un échantillon de fichier malveillant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Vérification du transfert des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Chargement manuel de fichiers dans le portail WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Envoi des logiciels malveillants ou des rapports à partir de l'appareil WF-500. . . . . . . . . . . . . . . . . . . . . . . 54 Capacité de transfert de fichier de pare-feu par plateforme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 3 Table des matières Surveillance de l'activité WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Utilisation du pare-feu pour surveiller l'activité WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration des paramètres du journal des envois WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Surveillance des envois et des rapports d'analyse WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Paramétrage des alertes pour la journalisation des logiciels malveillants. . . . . . . . . . . . . . . . . . . . . . . . 58 58 60 63 Utilisation du portail WildFire pour surveiller l'activité WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration des paramètres du portail WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ajout des utilisateurs du portail WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Affichage des rapports sur le portail WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 65 66 67 Rapports d'analyse WildFire : aperçu de près . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Utilisation de l'API WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 À propos des abonnements à WildFire et des clés API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Méthodes d'envoi de fichiers de l'API WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Envoi d'un fichier au cloud WildFire à l'aide de la méthode Submit File . . . . . . . . . . . . . . . . . . . . . . . 75 Envoi d'un fichier à WildFire à l'aide de la méthode Submit URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Requête d'un rapport PDF ou XML WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Utilisation de l'API pour récupérer un échantillon de fichier malveillant pour le test . . . . . . . . . . . . . . . . . 78 Utilisation de l'API pour récupérer un échantillon ou une PCAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Utilisation de l'API WildFire sur un appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Génération de clés API sur l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestion des clés API sur l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Utilisation de l'API WildFire sur un appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 81 82 83 Utilisation de la CLI de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Concepts de la CLI du logiciel de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Structure de la CLI du logiciel de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conventions des commandes de la CLI du logiciel de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . Messages des commandes de la CLI du logiciel de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . Symboles des options de commande. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Niveaux de privilèges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 86 86 87 87 89 Modes des commandes de la CLI de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Mode Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Mode Opérationnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Accès à la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Établissement d'une connexion de console directe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Établissement d'une connexion SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Utilisation de la CLI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Accès aux modes Opérationnel et Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Affichage des options de commandes de la CLI du logiciel de l'appareil WF-500 . . . . . . . . . . . . . . . . Restriction du résultat de la commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Paramétrage du format de sortie des commandes de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 96 96 97 98 Référence des commandes du mode Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 set deviceconfig setting wildfire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 set deviceconfig system update-schedule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 set deviceconfig system vm-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 4 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Table des matières Référence des commandes du mode Opérationnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 create wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 delete wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 delete wildfire-metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 edit wildfire api-key. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 load wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 request system raid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 request system wildfire-vm-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 request wf-content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 save wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 set wildfire portal-admin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 show system raid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 show wildfire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 test wildfire registration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Exemple WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 5 Table des matières 6 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Présentation de WildFire WildFire™ assure la détection et la prévention de logiciels malveillants au jour 0 en combinant des analyses dans un bac à sable, une détection basée sur une signature et un blocage de logiciels malveillants. WildFire étend les fonctionnalités des pare-feux Palo Alto Networks de nouvelle génération pour identifier et bloquer les logiciels malveillants ciblés et inconnus. A propos de WildFire Déploiements WildFire Concepts de WildFire Conditions d'abonnement à WildFire Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 7 A propos de WildFire Présentation de WildFire A propos de WildFire Les logiciels malveillants modernes sont au centre de nombreuses attaques réseau parmi les plus sophistiquées à l'heure actuelle et sont de plus en plus personnalisés de sorte à échapper aux les solutions de sécurité classiques. Palo Alto Networks a développé une approche intégrée qui examine le cycle de vie d'un logiciel malveillant et qui consiste à prévenir toute infection, identifier des logiciels malveillants au jour 0 (les logiciels malveillants non détectés) ou des logiciels malveillants ciblés (ceux ciblant un secteur ou une entreprise spécifique), mais aussi identifier et interrompre la progression d'infections actives. Le moteur WildFire de Palo Alto Networks observe directement des logiciels malveillants au jour 0 et ciblés dans un environnement virtuel à l'intérieur du système WildFire. La fonction WildFire utilise pleinement la technologie App-ID de Palo Alto Networks en identifiant les transferts de fichiers dans l'ensemble des applications et pas uniquement les pièces jointes d'e-mails ou les téléchargements de fichiers effectués à partir d'un navigateur. Pour plus d'informations sur la politique de confidentialité de Palo Alto Networks, reportez-vous à https://live.paloaltonetworks.com/docs/DOC-2880. La Flux décisionnel WildFire de haut niveau illustre le flux travail WildFire de base et la Flux décisionnel WildFire détaillé décrit l'ensemble du cycle de vie WildFire à partir du moment où un utilisateur télécharge un fichier malveillant jusqu'à ce que WildFire génère une signature qui sera utilisée par les pare-feux Palo Alto Networks pour se protéger contre une exposition future au logiciel malveillant. Le flux décisionnel WildFire de haut niveau décrit le flux de travail de téléchargement d'un fichier. L'analyse d'un lien HTTP/HTTPS contenu dans un e-mail est très similaire, mais avec quelques différences mineures. Pour plus d'informations, reportez-vous à la section Analyse de liens d'e-mail WildFire. 8 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Présentation de WildFire A propos de WildFire Flux décisionnel WildFire de haut niveau Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 9 A propos de WildFire Présentation de WildFire Flux décisionnel WildFire détaillé 10 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Présentation de WildFire Déploiements WildFire Déploiements WildFire Vous pouvez configurer un pare-feu Palo Alto Networks pour envoyer des fichiers inconnus pour analyse WildFire à l'aide des types de déploiements WildFire suivants : Cloud WildFire public Cloud WildFire privé Cloud WildFire hybride Cloud WildFire public Dans un déploiement de cloud WildFire public, un pare-feu Palo Alto Networks transfère des fichiers vers l'environnement WildFire hébergé qui est détenu et géré par Palo Alto Networks. Lorsque WildFire détecte un nouveau logiciel malveillant, il génère une nouvelle signature dans les 15 à 30 minutes qui suivent. Les pare-feux abonnés à WildFire peuvent recevoir de nouvelles signatures dans un délai de 15 minutes ; les pare-feux disposant d'un abonnement de prévention des menaces les recevront lors de la prochaine mise à jour des signatures de l'antivirus au bout de 24 à 48 heures. Les serveurs de cloud WildFire sont wildfire.paloaltonetworks.com pour le serveur du cloud WildFire hébergé aux États-Unis et wildfire.paloaltonetworks.jp pour le cloud WildFire hébergé au Japon. Vous voudrez peut-être que vos pare-feux utilisent le serveur japonais si vous ne souhaitez pas que les fichiers bénins soient transférés au serveur américain. Cependant, le cloud japonais transfère les fichiers malveillants aux serveurs du cloud américain pour qu'une signature soit générée et distribuée aux utilisateurs de WildFire en vue d'identifier et de bloquer la menace. Si vos pare-feux sont situés au Japon, vous bénéficierez également d'un temps de réponse plus court pour l'envoi d'exemples et la génération de rapports. De multiples machines virtuelles sont exécutées sur le cloud WildFire pour représenter une variété de systèmes d'exploitation et d'applications qui sont alors utilisés pour analyser le comportement d'échantillons de fichiers transférés aux pare-feu Palo Alto Networks. Le cloud WildFire public prend également en charge l'analyse multi-version, c'est-à-dire que le cloud WildFire public analyse les fichiers propres à une application, tels que les documents Microsoft Office, les PDF et les fichiers multimédias, sur plusieurs versions de l'application afin de détecter les logiciels malveillants qui ont été conçus pour ne cibler que des certaines versions des applications client. Cloud WildFire privé Dans un déploiement de cloud privé Palo Alto Networks, les pare-feu Palo Alto Network transfèrent des fichiers vers un appareil WF-500 qui est installé sur le réseau de votre entreprise et qui sert à l'hébergement d'un emplacement d'analyse sur un cloud privé. Le cloud WildFire privé qui est hébergé sur un appareil WF-500 peut recevoir et analyser des fichiers provenant d'un maximum de 100 pare-feu Palo Alto Networks. Les fichiers bénins ou indésirables ne quittent jamais votre réseau puisque le cloud WildFire privé place tous les fichiers localement dans son bac à sable. De plus, par défaut, le cloud privé n'envoie pas les logiciels malveillants hors de votre réseau ; cependant, vous pouvez choisir de transférer automatique les logiciels malveillants au cloud WildFire public. Le cloud WildFire public procède à une nouvelle analyse de l'échantillon, génère une signature s'il s'agit d'un logiciel malveillant et distribue la signature aux pare-feu Palo Alto Networks à l'échelle Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 11 Déploiements WildFire Présentation de WildFire mondiale qui disposent d'une icence de protection contre les menaces ou d'un abonnement à WildFire. Alternativement, vous pouvez procéder au Chargement manuel de fichiers dans le portail WildFire ou à l'Utilisation de l'API WildFire pour envoyer les fichiers découverts dans le cloud privé pour une analyse plus poussée et la distribution de la signature à l'ensemble des utilisateurs. Si vous ne voulez pas que le cloud WildFire privé envoie les échantillons de logiciels malveillants à l'extérieur de votre réseau, il est recommandé que vous activiez l'envoi du rapport de logiciels malveillants (plutôt que de l'échantillon) par l'appareil au cloud WildFire public. Les rapports WildFire donnent des renseignements statistiques qui facilitent l'évaluation par Palo Alto Networks de l'omniprésence et de la propagation des logiciels malveillants Pour plus d'informations, reportez-vous à la section Envoi des logiciels malveillants ou des rapports à partir de l'appareil WF-500. Activation de la génération de signatures et d'URL sur l'appareil WF-500 pour générer localement des signatures pour les logiciels malveillants qui ont été identifiés dans le cloud privé. Les signatures générées par l'appareil WF-500 sont distribuées aux pare-feu connectés pour que ces derniers puissent bloquer efficacement le logiciel malveillant la prochaine fois qu'il sera détecté. Cloud WildFire hybride Dans le cadre d'un déploiement de cloud WildFire hybride, un seul pare-feu peut transférer certains échantillons du cloud WildFire public et d'autres échantillons à un cloud WildFire privé hébergé par un appareil WF-500. Configurez les paramètres sur le pare-feu pour transférer les fichiers à un emplacement d'analyse WildFire (soit sur le cloud public ou sur le cloud privé) selon le type de fichier, l'application et le sens de transmission du fichier (chargement ou téléchargement). Un déploiement de cloud WildFire hybride offre la souplesse nécessaire pour analyser des documents privés localement et dans votre réseau, tandis que le cloud WildFire public analyse des fichiers provenant d'Internet. Par exemple, transférez les données sur les cartes de paiement (PCI) et les renseignements personnels sur la santé exclusivement au cloud WildFire privé pour analyse, mais transférez les fichiers PE (portable executable/exécutable portable) au cloud WildFire public pour analyse. Si le cloud WildFire est déployé sous forme de cloud hybride, le transfert de fichiers vers le cloud public pour analyse vous permet d'obtenir un verdict rapide relativement aux fichiers qui ont déjà été traités dans le cloud WildFire public et libère de la capacité de l'appareil WF-500 pour qu'il traite du contenu de nature délicate. De plus, vous pouvez transférer certains types de fichiers vers le cloud WildFire public qui ne sont pas actuellement pris en charge pour analyse par l'appareil WF-500, tels que les fichiers Android Application Package (APK). Pour configurer le cloud hybride, reportez-vous à la section Transfert de fichiers pour analyse par WildFire. 12 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Présentation de WildFire Concepts de WildFire Concepts de WildFire Bac à sable virtuel Verdicts Analyse du type de fichier Analyse de liens d'e-mail WildFire Signatures Alertes Journaux et génération de rapports Bac à sable virtuel WildFire exécute les fichiers suspects reçus dans un environnement virtuel et observe le comportement des fichiers pour déterminer si ces derniers montrent des signes d'activités malveillantes, telles que la modification des paramètres de sécurité du navigateur, l'injection de code dans d'autres processus, la modification de fichiers dans le dossier système de Windows ou de domaines auxquels l'échantillon a accédé. Le cloud WildFire public analyse également les fichiers sur plusieurs versions des application afin d'identifier les logiciels malveillants qui ont été conçus pour ne cibler que certaines versions des applications client (le cloud WildFire privé ne prend pas en charge l'analyse multi-version et n'analyse pas les fichiers propres à une application Une fois que le moteur WildFire a terminé l'analyse des fichiers, il génère un rapport d'analyse détaillé récapitulant les comportements observés et détermine automatiquement s'il s'agit d'un logiciel malveillant ou d'un fichier bénin ou indésirable. De même, WildFire va extraire des liens de messages électroniques et consulte les liens pour déterminer si la page Web correspondante présente une faille de sécurité quelconque. Si WildFire détecte un comportement malveillant, il génère un rapport, envoie l'URL à PAN-DB et classe l'URL comme étant malveillante. WildFire inclut la prise en charge du bac à sable pour les environnements de système d'exploitation suivants : Microsoft Windows XP 32 bits Microsoft Windows 7 32 bits (pris en charge comme option de l'appareil WF-500 uniquement) Microsoft Windows 7 64 bits Verdicts WildFire rend des verdicts afin d'identifier les échantillons qu'il analyse comme étant sûrs, malveillants ou indésirables (les échantillons indésirables sont considérés comme dérangeants, mais pas malveillants) : Bénin : l'échantillon est sûr et ne manifeste aucun comportement malveillant. Indésirable : l'échantillon ne menace pas directement la sécurité, mais présente un comportement dérangeant. Les logiciels indésirables comprennent généralement les logiciels publicitaires, les logiciels espions et les objets BHO (Browser Helper Objects/objets de l'assistant du navigateur). Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 13 Concepts de WildFire Présentation de WildFire Malveillant : l'échantillon est malveillant en nature ou portée et menace la sécurité. Les échantillons malveillants comprennent les virus, les vers, les chevaux de Troie, les outils d’accès à distance (RAT), les outils de dissimulation d'activité et les réseaux de zombies. Dans le cas de fichiers identifiés comme étant malveillants, WildFire génère et distribue une signature pour éviter toute exposition ultérieure à la menace. Analyse du type de fichier Vous configurez un profil d'analyse WildFire sur les pare-feu Palo Alto Networks afin de transférer les échantillons pour analyse WildFire selon le type de fichier. Lorsqu'un utilisateur télécharge un échantillon de fichier dans une session correspondant à la règle de sécurité à laquelle le profil d'analyse WildFire est associé, le pare-feu procède à une vérification du hachage du fichier avec WildFire afin de déterminer si WildFire a déjà analysé le fichier. Si le fichier est inconnu, le pare-feu le transfère à WildFire. Le pare-feu peut transférer des fichiers pour analyse WildFire en fonction des types de fichiers suivants : : fichiers Android Application Package (APK). Les fichiers APK ne sont pas pris en charge pour l'analyse par le cloud WildFire privé via l'appareil WF-500. email-link flash jar ms-office pe : fichiers PE (Portable Executable/exécutable portable). Les fichiers PE englobent les fichiers exécutables, le code objet, les fichiers DLL et les fichiers FON (polices). Un abonnement n'est pas requis pour transférer les fichiers PE pour une analyse WildFire, mais est requis pour tous les autres types de fichiers pris en charge. pdf apk : liens d'e-mail HTTP/HTTPS contenus dans des messages électroniques SMTP et POP3. : applets Adobe Flash et contenu Flash intégré à des pages Web. : applets Java (types de fichiers JAR/class) : fichiers Microsoft Office, y compris les documents (DOC, DOCX, RTF), les classeurs (XLS, XLSX), et les présentations PowerPoint (PPT, PPTX) ainsi que les documents XML (OOXML) Open Office 2007+ . : fichiers Portable Document Format (PDF). Pour obtenir des précisions sur l'activation du pare-feu afin de transférer des échantillons vers WildFire selon le type de fichiers, reportez-vous à la section Transfert de fichiers pour analyse par WildFire. Analyse de liens d'e-mail WildFire Un pare-feu Palo Alto Networks peut extraire des liens HTTP/HTTPS contenus dans les messages électroniques SMTP et POP3 et transférer les liens vers le cloud WildFire public ou privé pour analyse. Activez le transfert des liens inconnus contenus dans les messages électroniques en configurant un profil d'analyse WildFire avec type de fichier email-link. Le pare-feu extrait uniquement les liens et les informations de session associées (expéditeur, destinataire et objet) des messages électroniques qui traversent le pare-feu ; il ne reçoit, stocke, transfère ni affiche les messages électroniques. 14 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Présentation de WildFire Concepts de WildFire Lorsqu'il reçoit un lien d'un pare-feu, WildFire suit ce lien afin de déterminer si la page Web correspondante présente une faille de sécurité quelconque. Si WildFire détermine que la page est bénigne ou indésirable, il ne génère pas de journal. Toutefois, s'il détecte un comportement malveillant sur la page, le pare-feu renvoie un verdict malveillant et : Génère un rapport d'analyse détaillé et le consigne le rapport dans le journal des envois WildFire sur le pare-feu. Le journal inclut les informations d'en-tête d'e-mail (expéditeur, destinataire et objet de l'e-mail) afin que vous puissiez identifier le message et le supprimer du serveur de messagerie ou minimiser la menace si l'e-mail a déjà été distribué ou ouvert. Ajoute l'URL à PAN-DB et classe l'URL comme étant malveillante. Le pare-feu transfère les liens d'e-mail à WildFire par lots de 100 ou toutes les deux minutes (selon la première limite atteinte). Chaque chargement par lot sur WildFire est comptabilisé comme un chargement sur la capacité de chargement par minute de la plateforme de pare-feu spécifique (Capacité de transfert de fichier de pare-feu par plateforme). Si un lien contenu dans un e-mail correspond à un fichier de téléchargement plutôt qu'à un URL, le pare-feu transfère le fichier vers WildFire pour analyse seulement si le type de fichier correspondant est activé pour l'analyse WildFire. Pour obtenir des précisions sur l'activation du transfert des liens contenus dans les e-mails vers le cloud WildFire sur le pare-feu, reportez-vous à la section Transfert de fichiers pour analyse par WildFire. Signatures Les avantages clés de cette fonction sont la détection de logiciels malveillants au jour 0 dans le trafic Web (HTTP/HTTPS), les protocoles de messagerie (SMTP, IMAP et POP) et le trafic FTP, et la génération rapide de signatures, permettant de prévenir toute infection future par l'ensemble des logiciels malveillants détectés. WildFire génère automatiquement une signature en fonction des données utiles malveillantes de l'échantillon et la teste pour l'exactitude et la sécurité. En raison de l'évolution rapide des logiciels malveillants, les signatures que WildFire génère vont prendre en compte plusieurs de ses variantes. Lorsque WildFire détecte un nouveau logiciel malveillant, il génère une nouvelle signature dans les 15 à 30 minutes qui suivent. Les pare-feux abonnés à WildFire peuvent recevoir les nouvelles signatures dans les 15 minutes qui suivent. Si vous ne disposez pas d'un abonnement WildFire, les signatures sont disponibles dans un délai de 24 à 48 heures, et sont intégrées à la mise à jour antivirus destinée aux pare-feux abonnés de prévention des menaces. Une fois le pare-feu télécharge et installe la nouvelle signature, le pare-feu supprimer tout fichier contenant ce logiciel malveillant (ou l'une de ses variantes). Les informations regroupées par WildFire pendant l'analyse de logiciels malveillants vont permettre de consolider d'autres fonctions de prévention des menaces, comme l'ajout d'URL de logiciels malveillants dans PAN-DB, la génération de signatures DNS, de signatures antivirus et antispyware. Palo Alto Networks développe aussi des signatures pour le trafic de commande et de contrôle qui perturbent immédiatement toute communication d'un logiciel malveillant au sein du réseau. Pour plus d'informations sur les signatures et les avantages d'un abonnement à WildFire, consultez la section Conditions d'abonnement à WildFire. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 15 Concepts de WildFire Présentation de WildFire Alertes Activez le pare-feu pour qu'il envoie des avis instantanés lorsqu'il détecte des logiciels malveillants sur votre réseau. Paramétrage des alertes pour la journalisation des logiciels malveillants qui seront envoyés sous forme de pièces SNMP, messages Syslog ou notifications par courrier électronique. Les notifications d’alerte vous permettant de rapidement identifier l'utilisateur qui a téléchargé le logiciel malveillant et le supprimer avant qu'il ne cause des dommages importants ou qu'il ne se propage sur les ordinateurs d'autres utilisateurs. De plus, chaque signature que WildFire génère est automatiquement propagée dans l'ensemble des pare-feux Palo Alto Networks (avec un abonnement de prévention des menaces et/ou à WildFire), qui fournit une protection automatique contre les logiciels malveillants détectés sur des réseaux du monde entier. Journaux et génération de rapports Vous pouvez effectuer la Surveillance de l'activité WildFire au moyen d'un pare-feu qui envoie des échantillons pour analyse, du portail WildFire portal ou de l'API WildFire. Pour chaque échantillon analysé par WildFire, WildFire génère un rapport d'analyse qui classe l'échantillon sous la catégorie appropriée (logiciel malveillant, fichier indésirable ou fichier bénin) et expose de façon détaillée de l'information sur l'échantillon ainsi que sur son comportement. Les rapports d'analyse de WildFire sont accessibles sur le pare-feu qui a envoyé l'échantillon et sur le cloud WildFire (public ou privé) qui a analysé l'échantillon : Affichage des rapports sur les échantillons qui ont été envoyés au cloud WildFire public Utilisation du pare-feu : tous les échantillons envoyés par un pare-feu pour analyse WildFire sont journalisés sous forme d'entrées des journaux d'envois WildFire (Surveillance > Envois WildFire). Pour chaque envoi WildFire, vous pouvez ouvrir une vue détaillée du journal afin de visualiser le rapport d'analyse WildFire qui correspond à l'échantillon ou de télécharger le rapport au format PDF. Utilisation du portail WildFire : surveillance de l'activité WildFire, y compris le rapport d'analyse WildFire de chaque échantillon, qui peut également être téléchargé au format PDF. Si le cloud WildFire est déployé sous forme de cloud public, le portail WildFire offre des précisions sur les échantillons envoyés vers le cloud public par les pare-feu connectés et sur les échantillons qui sont manuellement chargés vers le portail. Affichage des rapports sur les échantillons qui ont été envoyés au cloud WildFire privé Utilisation du pare-feu : tous les échantillons envoyés par un pare-feu pour analyse WildFire sont journalisés sous forme d'entrées des journaux d'envois WildFire (Surveillance > Envois WildFire). Pour chaque envoi WildFire, vous pouvez ouvrir une vue détaillée du journal afin de visualiser le rapport d'analyse WildFire qui correspond à l'échantillon ou de télécharger le rapport au format PDF. Utilisation du portail WildFire : (seulement lorsque l'intelligence du cloud est activée sur l'appareil WF-500) surveillance de l'activité WildFire, y compris le rapport d'analyse WildFire de chaque échantillon, qui peut également être téléchargé au format PDF. Si le cloud WildFire est déployé sous forme de cloud privé, le portail WildFire offre des précisions sur les échantillons qui sont manuellement chargés vers le portail et sur les échantillons qui sont envoyés par un appareil WF-500 lorsque l'intelligence du cloud est activée. Utilisation de l'API WildFire : extraction des rapports d'analyse WildFire à partir d'un appareil WF-500. 16 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Présentation de WildFire Concepts de WildFire Les rapports d'analyse WildFire affichent des informations comportementales détaillées concernant l'échantillon, des informations sur l'utilisateur ciblé, l'application contenant le fichier et toutes les URL impliquées dans la transmission ou dans l'activité phone-home du fichier. Pour plus d'informations sur les champs d'un rapport, consultez la section Rapports d'analyse WildFire : aperçu de près. La capture d'écran suivante montre une partie d'un rapport d'analyse pour un fichier envoyé vers le cloud WildFire, suivie d'une deuxième capture d'écran illustrant un rapport d'analyse WildFire d'un lien d'e-mail. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 17 Concepts de WildFire 18 • Guide de l’administrateur WildFire 7.0 Présentation de WildFire Palo Alto Networks Présentation de WildFire Conditions d'abonnement à WildFire Conditions d'abonnement à WildFire WildFire assure la détection et la prévention de logiciels malveillants au jour 0 en combinant des analyses dans un bac à sable à la détection de logiciels malveillants basés sur les signatures. Aucun abonnement n'est requis pour que WildFire analyse dans un bac à sable les fichiers envoyés depuis des pare-feux Palo Alto Networks vers le cloud WildFire. Pour que le pare-feu procède à la détection et au blocage des logiciels malveillants connus détectés par WildFire, le pare-feu nécessite un abonnement de prévention des menaces et/ou WildFire. L'abonnement de prévention des menaces permet au pare-feu de recevoir des mises à jour quotidiennes de signatures antivirus qui offrent une couverture pour tous les échantillons de logiciels malveillants que WildFire détecte à l'échelle mondiale. Cet abonnement permet également d'accéder aux mises à jour hebdomadaires du contenu qui fournissent une nouvelle protection contre les vulnérabilités et des signatures antispyware. Pour activer un appareil WF-500 pour l'analyse locale, vous ne devez installer qu'une licence de support. Celle-ci permet à l'appareil de communiquer avec le serveur de mises à jour de Palo Alto Networks afin de télécharger les images de système d'exploitation et les mises à jour de contenu quotidiennes. Les mises à jour de contenu prennent en charge la capacité de génération de signatures sur l'appareil WF-500 local et de fournir à l'appareil les toutes dernières informations sur les menaces afin de détecter précisément les logiciels malveillants et d'améliorer la capacité de l'appareil à différencier les logiciels malveillants et bénins. Pour pleinement profiter de tous les avantages liés à ce service WildFire, chaque pare-feu connecté au cloud WildFire public ou privé doit disposer d'un abonnement à WildFire qui comprend les éléments suivants : Mises à jour dynamiques de WildFire : fournissent de nouvelles signatures de logiciels malveillants sur une base sub-horaire, configurables dans Périphérique > Mises à jour dynamiques. Dans les 15 à 30 minutes après l'identification d'un logiciel malveillant par WildFire, ce dernier génère une nouvelle signature de logiciel malveillant et la distribue via les mises à jour dynamiques WildFire que le pare-feu peut interroger toutes les 15, 30 ou 60 minutes. Vous pouvez configurer le pare-feu pour qu'il exécute des actions spécifiques sur des signatures de logiciels malveillants, différentes des actions habituellement appliquées aux signatures antivirus dans le profil antivirus. Les signatures WildFire fournies dans la mise à jour dynamique incluent celles générées pour les logiciels malveillants détectés dans les fichiers envoyés à WildFire par l'ensemble des clients Palo Alto Networks et pas uniquement les échantillons de fichiers que vos pare-feux envoient à WildFire. Prise en charge des types de fichiers avancés : permet au pare-feu de transférer des échantillons pour analyse WildFire selon le type de fichier (reportez-vous à la section Analyse du type de fichier) et de configurer le pare-feu de sorte qu'il puisse extraire et transférer les liens contenus dans des messages électroniques pour Analyse de liens d'e-mail WildFire WildFire. API WildFire : permet un accès programmatique direct au service WildFire sur le cloud WildFire de Palo Alto Networks ou un appareil WF-500. Utilisez l'API WildFire pour envoyer des fichiers pour analyse et pour extraire les rapports d'analyse WildFire subséquents. L'API WildFire prend en charge jusqu'à 1 000 envois de fichiers et jusqu'à 10 000 requêtes par jour. Seuls les pare-feux disposant d'un abonnement valide à WildFire peuvent transférer des fichiers vers un appareil WF-500 en vue de leur analyse par le cloud privé. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 19 Recommandations pour le maintien des signatures à jour Présentation de WildFire Recommandations pour le maintien des signatures à jour Cette section décrit les recommandations visant à maintenir un pare-feu doté des abonnements de prévention des menaces et WildFire à jour avec la dernière protection. Pour simplifier votre flux de travail, utilisez des modèles Panorama pour appliquer des calendriers de mises à jour dynamiques à des pare-feux gérés, afin d'assurer une cohérence entre tous les pare-feux et de simplifier la gestion des calendriers de mises à jour. Ces directives fournissent deux options de calendrier : un calendrier minimum recommandé et un autre plus agressif. Si vous choisissez l'approche plus agressive, le périphérique effectuera le téléchargement et l'installation des mises à jour beaucoup plus souvent, dont certaines peuvent être très volumineuses (plus de 100 Mo pour les mises à jour antivirus). Vous pouvez échelonner les mises à jour automatiques en utilisant le champ Seuil (heures) pour préciser le temps d'attente avant de procéder à une mise à jour du contenu. Antivirus - De nouvelles mises à jour de contenu antivirus sont proposées chaque jour par Palo Alto Networks. Pour obtenir leur contenu le plus récent, planifiez des mises à jour quotidiennes au minimum. Dans un calendrier plus agressif, planifiez-les toutes les heures. Applications et menaces - De nouveaux App-ID, une nouvelle protection contre les vulnérabilités et de nouvelles signatures antispyware sont mis à disposition par Palo Alto Networks sous la forme de mises à jour de contenu hebdomadaires (le mardi en général). Pour recevoir leur contenu le plus récent, planifiez des mises à jour hebdomadaires au minimum. Dans un calendrier plus agressif, pour vous assurer que le pare-feu reçoit le contenu le plus récent peu après sa publication (notamment les occasionnelles mises à jour d'urgence de contenu hors calendrier), planifiez le pare-feu pour des téléchargements/installations quotidiens. WildFire - De nouvelles signatures antivirus WildFire sont publiées toutes les 15 minutes. Selon le moment où WildFire détecte un nouveau logiciel malveillant pendant le cycle de mise à jour, une protection est fournie sous la forme d'une signature WildFire 15 à 30 minutes après que WildFire l'a identifié pour la première fois. Pour obtenir les signatures WildFire les plus récentes, planifiez des mises à jour toutes les heures ou demi-heures. Dans un calendrier plus agressif, configurez le pare-feu pour qu'il recherche les mises à jour toutes les 15 minutes. WF privé : si la génération de signatures et de catégories d'URL (signatures antivirus, signatures DNS et entrées d'URL pour PAN-DB) est configuré sur l'appareil WF-500, configurez le pare-feu pour qu'il télécharge et installe les mises à jour à l'aide de la mise à jour dynamique WF privé. Dans la plupart des cas, lorsque l'appareil reçoit un échantillon malveillant, il génère une signature dans les cinq minutes qui suivent. Lors de la configuration du pare-feu pour la récupération de ces mises à jour, définissez le calendrier pour un téléchargement et une installation une ou deux fois par heure. Dans un calendrier plus agressif (recommandé), vous pouvez planifier le pare-feu pour qu'il télécharge et installe les mises à jour toutes les 5 minutes. Si vous configurez vos pare-feux pour qu'ils récupèrent des mises à jour WF-Private, il est vivement recommandé que les pare-feux téléchargent également des mises à jour de contenu de Palo Alto Networks (antivirus, applications et menaces et WildFire) pour s'assurer que les pare-feux disposent de la toute dernière protection. Ceci est important car, lorsque le stockage local de mises à jour WF-Private de l'appareil est saturé, les nouvelles signatures/catégories d'URL remplacent les existantes, en commençant par les plus anciennes. Pour plus d'informations sur la génération de signature locale, reportez-vous à la section Activation de la génération de signatures et d'URL. 20 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Configuration de l'appareil WF-500 Cette rubrique décrit comment configurer un appareil WF-500 de façon à y héberger un cloud WildFire privé pour analyser les fichiers sur votre réseau. Les rubriques suivantes expliquent comment préparer l'appareil WF-500 à recevoir les fichiers en vue de leur analyse, comment gérer l'appareil et comment activer l'appareil pour qu'il génère localement des signatures de menace et des catégories d'URL. À propos de l'appareil WF-500 Configuration de l'appareil WF-500 Configuration de l'interface MV Paramétrages des mises à jour de contenu WF-500 Activation de la génération de signatures et d'URL Mise à niveau de l'appareil WF-500 Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 21 À propos de l'appareil WF-500 Configuration de l'appareil WF-500 À propos de l'appareil WF-500 L'appareil WF-500 fournit un cloud WildFire™ privé sur site vous permettant d'analyser des fichiers suspects dans un environnement bac à sable, sans que le pare-feu n'envoie de fichiers en dehors du réseau. Si vous souhaitez utiliser l'appareil WF-500 pour héberger un cloud WildFire privé, configurez le pare-feu pour qu'il envoie des échantillons à l'appareil WF-500 pour leur analyse. L'appareil WF-500 place localement tous les fichiers dans son bac à sable et les analyse afin de détecter tout comportement malveillant à l'aide du même moteur que le cloud WildFire privé. En quelques minutes, le cloud privé renvoie les résultats de l'analyse journal des envois WildFire du pare-feu. L'appareil WF-500 possède une fonctionnalité d'intelligence du cloud que vous pouvez activer (elle est désactivée par défaut) pour envoyer des logiciels malveillants avérés au cloud public afin de générer des signatures. Vous pouvez également configurer cette fonctionnalité pour n'envoyer des rapports que sur les logiciels malveillants, ce qui permet à Palo Alto Networks de collecter des statistiques sur les logiciels malveillants. Il est recommandé de configurer l'appareil pour qu'il envoie des échantillons malveillants au cloud WildFire public afin que des signatures soient générées et distribuées de façon à protéger l'ensemble des utilisateurs mondiaux. Si vous ne souhaitez pas envoyer automatiquement tous les logiciels malveillants détectés au cloud WildFire public pour la génération de signatures, vous pouvez les charger manuellement sur le portail WildFire. Vous pouvez également configurer l'appareil WF-500 afin qu'il génère des signatures localement ; les pare-feu connectés peuvent alors récupérer les mises à jour directement de l'appareil. Pour plus d'informations sur la configuration de la génération de signature locale et pour en savoir plus sur les types de mises à jour de contenu que l'appareil peut proposer, reportez-vous à la section Activation de la génération de signatures et d'URL. Configurer un maximum de 100 pare-feu Palo Alto Networks disposant d'un abonnement valide à WildFire pour effectuer des transferts vers un appareil WF-500 unique. L'appareil WF-500 dispose de deux interfaces : MGT - Reçoit tous les fichiers transférés par les pare-feu et renvoie aux pare-feu des journaux détaillant les résultats. Reportez-vous à la section Configuration de l'appareil WF-500. Interface de la machine virtuelle (vm-interface) - Fournit un accès réseau aux systèmes de bac à sable WildFire pour permettre aux échantillons de fichiers de communiquer avec Internet et à WildFire de mieux analyser le comportement des échantillons. Lorsque l'interface MV est configurée, WildFire peut observer les comportements malveillants qui ne se seraient pas manifestés sans accès réseau, tel que l'activité phone-home. Toutefois, pour éviter que votre bac à sable ne fasse entrer des logiciels malveillants dans votre réseau, configurez l'interface de la machine virtuelle sur un réseau isolé doté d'une connexion Internet. Vous pouvez également activer l'option Tor pour masquer l'adresse IP publique utilisée par votre entreprise des sites malveillants accessibles par l'échantillon. Pour plus d'informations sur l'interface MV, reportez-vous à la section Configuration de l'interface MV. 22 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Configuration de l'appareil WF-500 Configuration de l'appareil WF-500 Configuration de l'appareil WF-500 Cette section décrit les différentes étapes requises pour intégrer un appareil WF-500 dans un réseau et procéder à un paramétrage de base. Configuration de l'appareil WF-500 Avant de commencer : L'appareil WF-500 doit être monté en rack et câblé. Reportez-vous au Guide de référence du matériel de l'appareil WildFire. Procurez-vous les informations nécessaires pour configurer la connectivité réseau sur le port MGT et l'interface de machine virtuelle auprès de votre administrateur réseau (adresse IP, masque de sous-réseau, passerelle, nom d'hôte, serveur DNS). Toutes les communications entre les pare-feu et l'appareil s'effectuent sur le port MGT, notamment l'envoi de fichiers, la distribution de journaux WildFire et l'administration de l'appareil. Par conséquent, vérifiez que les pare-feu sont raccordés au port MGT de l'appareil. L'appareil doit également pouvoir se connecter au site updates.paloaltonetworks.com pour récupérer les mises à jour logicielles de son système d'exploitation. Votre ordinateur doit être doté d'un câble de console ou d'un câble Ethernet afin que vous puissiez vous connecter au périphérique pour la configuration initiale. Step 1 1. Connectez l'ordinateur de gestion à l'appareil à l'aide du port MGT ou du port de console et mettez l'appareil sous tension. Connectez-vous au port de console ou au port MGT. Les deux se trouvent à l'arrière de l'appareil • Port de console - Il s'agit d'un connecteur série mâle à 9 broches. Utilisez les paramètres suivants sur l'application de la console : 9600-8-N-1. Connectez le câble fourni au port série de l'ordinateur de gestion ou au convertisseur USB vers Série. • Port MGT - Il s'agit d'un port Ethernet RJ-45. Par défaut, l'adresse IP du port MGT est 192.168.1.1. L'interface de votre ordinateur de gestion doit se trouver sur le même sous-réseau que le port MGT. Par exemple, paramétrez l'adresse IP de l'ordinateur de gestion sur 192.168.1.5. 2. Mettez l'appareil sous tension. L'appareil est mis sous tension dès que vous branchez l'alimentation à la première source d'alimentation et un bip sonore d'avertissement retentit jusqu'à ce que vous branchiez la seconde alimentation. Si l'appareil est déjà branché et qu'il est arrêté, appuyez sur le bouton d'alimentation situé à l'avant de l'appareil pour le mettre sous tension. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 23 Configuration de l'appareil WF-500 Configuration de l'appareil WF-500 Configuration de l'appareil WF-500 (Continué) Step 2 Enregistrez l'appareil WF-500. 1. Procurez-vous le numéro de série qui se trouve sur l'étiquette S/N de l'appareil ou exécutez la commande suivante et consultez le champ serial : admin@WF-500> show system info 2. Dans un navigateur, accédez au site de support de Palo Alto Networks. 3. Enregistrez le périphérique comme suit : • S'il s'agit du premier périphérique Palo Alto Networks que vous enregistrez et que vous ne disposez d'aucune information de connexion, cliquez sur S'enregistrer à droite de la page. Pour ce faire, entrez une adresse e-mail et le numéro de série du périphérique. Lorsque vous y êtes invité, configurez un nom d'utilisateur et un mot de passe pour accéder à la communauté de support de Palo Alto Networks. • Pour les comptes existants, connectez-vous et cliquez sur Mes périphériques. Accédez à la section Enregistrer le périphérique située en bas de l'écran, saisissez le numéro de série du périphérique, votre ville et votre code postal, puis cliquez sur Enregistrer le périphérique. 4. Pour confirmer l'enregistrement de WildFire sur l'appareil WF-500, connectez-vous à l'appareil à l'aide d'un client SSH ou en utilisant le port de console. Saisissez un nom d'utilisateur/mot de passe admin/admin. et saisissez la commande suivante sur l'appareil `: admin@WF-500> test wildfire registration La sortie suivante indique que l'appareil est enregistré avec l'un des serveurs du cloud WildFire de Palo Alto Networks. Test wildfire wildfire registration: successful download server list: successful select the best server: cs-s1.wildfire.paloaltonetworks.com Step 3 Réinitialisez le mot de passe admin. 1. Définissez un nouveau mot de passe en exécutant la commande suivante : admin@WF-500# set password 24 • Guide de l’administrateur WildFire 7.0 2. Saisissez l'ancien mot de passe, appuyez sur la touche Entrée et confirmez le nouveau mot de passe. Vous n'avez pas à valider la configuration car il s'agit d'une commande opérationnelle. 3. Saisissez exit pour vous déconnecter, puis reconnectez-vous pour vérifier que le nouveau mot de passe a bien été défini. Palo Alto Networks Configuration de l'appareil WF-500 Configuration de l'appareil WF-500 Configuration de l'appareil WF-500 (Continué) Step 4 Configurez les paramètres de l'interface de gestion. Cet exemple utilise les valeurs suivantes : • Adresse IPv4 - 10.10.0.5/22 • Masque de sous-réseau 255.255.252.0 • Passerelle par défaut - 10.10.0.1 • Nom d'hôte - wildfire-corp1 • Serveur DNS - 10.0.0.246 1. Connectez-vous à l'appareil à l'aide d'un client SSH ou en utilisant le port de console et passez en mode Configuration : admin@WF-500> configure 2. Définissez les informations relatives à l'adresse IP : admin@WF-500# set deviceconfig system ip-address 10.10.0.5 netmask 255.255.252.0 default-gateway 10.10.0.1 dns-setting servers primary 10.0.0.246 Configurez un serveur DNS secondaire en remplaçant « primary » par « secondary » dans la commande ci-dessus, en excluant les autres paramètres relatifs à l'adresse IP. Par exemple : admin@WF-500# set deviceconfig system dns-setting servers secondary 10.0.0.247 3. Définissez le nom d'hôte (wildfire-corp1, dans cet exemple) : admin@WF-500# set deviceconfig system hostname wildfire-corp1 4. Validez la configuration pour activer la nouvelle configuration de port de gestion (MGT) : 5. Connectez le port de l'interface MGT à un commutateur réseau. 6. Replacez l'ordinateur de gestion sur votre réseau d'entreprise, ou sur n'importe quel réseau requis pour accéder à l'appareil sur le réseau de gestion. 7. Dans votre ordinateur de gestion, utilisez le client SSH pour vous connecter à la nouvelle adresse IP ou nom d'hôte attribué au port MGT de l'appareil. Dans cet exemple, l'adresse IP est 10.10.0.5. 1. Passez en mode opérationnel : 2. Recherchez et installez la licence WildFire : admin@WF-500# commit Step 5 Activez l'appareil à l'aide du code d'autorisation WildFire que Palo Alto Networks vous a envoyé. admin@WF-500# exit Même s'il fonctionnera sans code d'authentification, l'appareil WF-500 ne pourra pas 3. récupérer de mises à jour logicielles ou de contenu sans code d'authentification valide. Palo Alto Networks admin@WF-500> request license fetch auth-code <code d'authentification> Vérifiez la licence : admin@WF-500> request support check Les informations sur le site et le contrat de support s'affichent. Vérifiez que la date affichée est valide. Guide de l’administrateur WildFire 7.0 • 25 Configuration de l'appareil WF-500 Configuration de l'appareil WF-500 Configuration de l'appareil WF-500 (Continué) Step 6 Définissez manuellement la date, l'heure et le fuseau horaire actuels ou synchronisez l'horloge de l'appareil WF-500 avec un serveur NTP (Network Time Protocol/Protocole de synchronisation de réseau). Définition manuelle de la date, de l'heure et du fuseau horaire de l'appareil WF-500 1. Définissez la date et l'heure : admin@WF-500> set clock date <AA/MM/JJ> time <hh:mm:ss> 2. Passez en mode Configuration : admin@WF-500> configure 3. Définissez le fuseau horaire local : admin@WF-500# set deviceconfig system timezone <fuseau horaire> L'horodatage qui va s'afficher sur le rapport détaillé WildFire va utiliser le fuseau horaire défini sur l'appareil. Si des administrateurs de plusieurs régions consulteront les rapports, définissez le fuseau horaire sur UTC. Synchronisation de l'horloge de l'appareil WF-500 avec un serveur NTP (Network Time Protocol/Protocole de synchronisation de réseau) 1. Passez en mode Configuration : admin@WF-500> configure 2. Saisissez l'adresse IP du serveur NTP que vous souhaitez utiliser pour synchroniser l'horloge de l'appareil WF-500. admin@WF-500# set deviceconfig system ntp-servers primary-ntp-server ntp-server-address <adresse du serveur IP> 3. (Facultatif) Saisissez l'adresse IP du serveur NTP (Network Time Protocol/Protocole de synchronisation de réseau) secondaire. admin@WF-500# set deviceconfig system ntp-servers secondary-ntp-server ntp-server-address <adresse du serveur IP> L'appareil WF-500 n'accorde aucune priorité au serveur NTP principal ou secondaire ; il est synchronisé avec l'un ou l'autre des serveurs. 4.Configurez l'authentification du serveur NTP : • Désactivez l'authentification du serveur NTP : admin@WF-500# set deviceconfig system ntp-servers primary-ntp-server authentication-type none • Activez l'échange de clés symétriques (secrets partagés) pour authentifier les mises à jour de l'heure du serveur NTP : admin@WF-500# set deviceconfig system ntp-servers primary-ntp-server authentication-type symmetric-key Procédez à la saisie de l'ID de la clé (de 1 à 65534), choisissez l'algorithme à utiliser lors de l'authentification NTP (MD5 ou SHA1), puis saisissez et confirmez la clé d'authentification de l'algorithme d'authentification. • Utilisez la clé automatique (chiffrement à clé publique) pour authentifier les mises à jour de l'heure du serveur NTP : admin@WF-500# set deviceconfig system ntp-servers primary-ntp-server authentication-type autokey 26 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Configuration de l'appareil WF-500 Configuration de l'appareil WF-500 Configuration de l'appareil WF-500 (Continué) Step 7 • Pour afficher une liste des machines virtuelles disponibles et Choisissez l'image de machine virtuelle déterminer laquelle représente votre environnement : que l'appareil devra utiliser pour l'analyse de fichiers. admin@WF-500> show wildfire vm-images L'image doit être basée sur les attributs qui représentent le plus exactement possible les logiciels installés sur les ordinateurs de vos utilisateurs finaux. Chaque image virtuelle contient différentes versions de systèmes d'exploitation et de logiciels, notamment Windows XP ou Windows 7 32 ou 64 bits, et des versions spécifiques d'Adobe Reader et Flash. Même si vous configurez l'appareil pour utiliser une configuration d'image de machine virtuelle, l'appareil utilise plusieurs instances de l'image afin d'améliorer les performances. • Affichez l'image de machine virtuelle actuelle en exécutant la commande suivante et consultez le champ Selected VM : admin@WF-500> show wildfire status • Sélectionnez l'image de machine virtuelle que l'appareil utilisera pour l'analyse de fichiers : admin@WF-500# set deviceconfig setting wildfire active-vm <numéro d'image de la machine virtuelle> Par exemple, pour utiliser vm-1 : admin@WF-500# set deviceconfig setting wildfire active-vm vm-1 Continuez la configuration des paramètres facultatifs suivants de l'appareil WF-500 : • Activez la fonctionnalité d'intelligence du cloud Envoi des échantillons malveillants vers le cloud WildFire public. de l'appareil WF-500 afin d'envoyer automatiquement les échantillons de logiciels malveillants détectés dans le cloud WildFire privé au cloud WildFire public. Le cloud WildFire public analyse de nouveau l'échantillon et génère une signature s'il est malveillant. La signature est ajoutée aux mises à jour de signatures WildFire de sorte qu'elle puisse être distribuée à l'ensemble des utilisateurs mondiaux. • Si vous ne souhaitez pas envoyer les échantillons Envoi des rapports d'analyse vers le cloud WildFire public. de logiciels malveillants à l'extérieur du cloud WildFire privé, envoyez plutôt les rapports d'analyse des logiciels malveillants au cloud WildFire public. Si l'envoi des logiciels malvaillants au cloud WildFire public n'est pas activé sur l'appareil WF-500, il est recommandé d'activer l'envoi des rapports d'analyse des logiciels malveillants afin d'obtenir des renseignement sur les menaces et d'améliorer l'obtention de tels renseignements. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 27 Configuration de l'appareil WF-500 Configuration de l'appareil WF-500 Configuration de l'appareil WF-500 (Continué) Dans cet exemple, vous allez créer un compte super lecteur pour l'utilisateur bsimpson : Deux types de rôles peuvent être assignés : super 1. Passez en mode Configuration : admin@WF-500> configure utilisateur et super lecteur. Le rôle super utilisateur équivaut au compte admin et le rôle 2. Créez le compte utilisateur : super lecteur dispose uniquement d'un accès en admin@WF-500# set mgt-config users bsimpson <mot de passe> lecture. 3. Saisissez et confirmez un nouveau mot de passe. • Configurez d'autres comptes utilisateurs pour gérer l'appareil WF-500. 4. Assignez le rôle super lecteur : admin@WF-500# set mgt-config users bsimpson permissions role-based superreader yes • Configurez l'authentification RADIUS pour l'accès administrateur. 1. Créez un profil RADIUS à l'aide des options suivantes : admin@WF-500# set shared server-profile radius <nom du profil> (Configurez le serveur RADIUS et d'autres attributs.) 2. Créez un profil d'authentification : admin@WF-500# set shared authentication-profile <nom du profil> method radius server-profile <nom du profil de serveur> 3. Assignez le profil à un compte admin local : admin@WF-500# set mgt-config users username authentication-profile <nom du profil d'authentification> Seul le mot de passe peut être modifié pour le compte Admin du portail WildFire et aucun compte Admin supplémentaire ne peut être créé. Le nom d'utilisateur et le mot de passe par défaut est L'admin du portail WildFire peut se servir du admin/admin. portail pour envoyer manuellement des échantillons au cloud WildFire public pour 1. Pour modifier le mot de passe du compte Admin du portail WildFire, procédez comme suit : leur analyse et pour afficher les rapports admin@WF-500> set wildfire portal-admin password d'analyse de ces échantillons (reportez-vous à la section Chargement manuel de fichiers 2. Appuyez sur Entrée et confirmez le nouveau mot de passe. dans le portail WildFire). Si l'appareil WF-500 est activé pour procéder automatiquement à l'Envoi des échantillons malveillants vers le cloud WildFire public, les rapports d'analyse de ces échantillons sont également accessibles par l'entremise du portail WildFire. • Définissez un mot de passe pour le compte Admin du portail WildFire. Étapes suivantes... • Configuration de l'interface MV pour activer l'appareil WF-500 afin d'observer les comportements malveillants, où le fichier en cours d'analyse cherche à accéder au réseau. • Utilisation de l'API WildFire pour extraire les rapports d'analyse WildFire des échantillons analysés dans un cloud WildFire privé. • Si vous avez activé l'intelligence du cloud pour l'Envoi des échantillons malveillants vers le cloud WildFire public pour analyse approfondie, utilisez le portail WildFire pour afficher les rapports des échantillons malveillants envoyés. 28 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Configuration de l'appareil WF-500 Configuration de l'interface MV Configuration de l'interface MV L'interface de la machine virtuelle (vm-interface) assure la connectivité réseau externe des machines virtuelles bac à sable dans l'appareil WF-500 pour permettre d'observer des comportements malveillants dans lesquels le fichier analysé tente d'accéder au réseau. Les sections suivantes décrivent l'interface MV et les étapes à suivre pour sa configuration. Vous pouvez également activer la fonctionnalité Tor sur l'interface MV ; celle-ci masque le trafic malveillant envoyé par l'appareil WF-500 via l'interface MV, de manière à ce que les sites malveillants vers lesquels le trafic peut être envoyé ne puissent pas détecter votre adresse IP publique. Cette section explique également les étapes à suivre pour connecter l'interface MV à un port dédié sur un pare-feu Palo Alto Networks afin d'activer la connectivité Internet. Présentation de l'interface de machine virtuelle Configuration de l'interface MV sur l'appareil WF-500 Connexion du pare-feu à l'interface MV de l'appareil WF-500 Présentation de l'interface de machine virtuelle L'interface MV (nommée 1 à l'arrière de l'appareil) est utilisée par WildFire pour améliorer les fonctionnalités de détection des logiciels malveillants. L'interface permet à l'échantillon d'un fichier en cours d'exécution sur les machines virtuelles WildFire de communiquer avec Internet et permet à WildFire de mieux analyser le comportement de cet échantillon afin de déterminer s'il montre des caractéristiques propres à un logiciel malveillant. Bien qu'il soit recommandé d'activer l'interface MV, il est très important que vous ne la connectiez pas à un réseau où n'importe lequel de vos serveurs/hôtes pourrait accéder, car les logiciels malveillants qui s'exécutent dans les machines virtuelles WildFire peuvent éventuellement utiliser cette interface pour se propager. Cette connexion peut être une ligne ADSL dédiée ou une connexion réseau qui autorise uniquement un accès direct à Internet depuis l'interface MV et qui limite tout accès à des serveurs internes/hôtes clients. Le schéma suivant illustre deux options permettant de connecter l'interface MV au réseau. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 29 Configuration de l'interface MV Configuration de l'appareil WF-500 Exemple d'interface de machine virtuelle Option 1 (recommandée) - Connectez l'interface MV à une interface dans une zone dédiée sur un pare-feu dont la politique autorise uniquement l'accès à Internet. Cette politique est importante car les logiciels malveillants qui s'exécutent dans les machines virtuelles WildFire peuvent éventuellement utiliser cette interface pour se propager. Cette option est recommandée car les logs du pare-feu vont fournir une visibilité sur n'importe quel trafic généré par l'interface MV. Option 2 - Utilisez une connexion dédiée à un fournisseur Internet, comme une connexion ADSL, pour connecter l'interface MV à Internet. Vérifiez que les serveurs/hôtes internes n'ont pas accès à cette connexion. Bien qu'il s'agisse d'une solution simple, le trafic généré par le logiciel malveillant de l'interface MV ne sera pas consigné à moins que vous placiez un pare-feu ou un outil de surveillance du trafic entre l'appareil WF-500 et la connexion ADSL. Configuration de l'interface MV sur l'appareil WF-500 Cette section explique les différentes étapes requises pour configurer l'interface MV sur l'appareil WF-500 en utilisant la configuration de l'option 1 détaillée dans l'Exemple d'interface de machine virtuelle. Après avoir configuré l'interface MV en utilisant cette option, vous devez également configurer une interface sur un pare-feu Palo Alto Networks par lequel le trafic issu de l'interface MV sera acheminé, comme décrit dans la section Connexion du pare-feu à l'interface MV de l'appareil WF-500. Par défaut, l'interface MV comporte les paramètres suivants : Adresse IP : 192.168.2.1 30 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Configuration de l'appareil WF-500 Masque réseau : 255.255.255.0 Passerelle par défaut : 192.168.2.254 DNS : 192.168.2.254 Configuration de l'interface MV Si vous prévoyez d'activer cette interface, configurez-la avec les paramètres adaptés à votre réseau. Si vous ne prévoyez pas d'utiliser cette interface, conservez les paramètres par défaut. Notez que cette interface doit disposer de valeurs réseau configurées ou la configuration échouera. Configuration de l'interface MV Step 1 1. Définissez les informations relatives à l'adresse IP pour l'interface MV sur l'appareil WF-500. 2. Les paramètres suivants sont utilisés dans cet exemple : • Adresse IPv4 - 10.16.0.20/22 • Masque de sous-réseau - 255.255.252.0 • Passerelle par défaut - 10.16.0.1 • Serveur DNS - 10.0.0.246 L'interface MV ne peut pas se trouver sur le même réseau que l'interface de gestion (MGT). Step 2 Activez l'interface MV. 1. Passez en mode Configuration : admin@WF-500> configure Définissez les informations relatives à l'adresse IP pour l'interface MV : admin@WF-500# set deviceconfig system vm-interface ip-address 10.16.0.20 netmask 255.255.252.0 default-gateway 10.16.0.1 dns-server 10.0.0.246 Vous ne pouvez configurer qu'un seul serveur DNS sur l'interface MV. Il est recommandé d'utiliser le serveur DNS de votre ISP ou un service DNS ouvert. Activez l'interface MV : admin@WF-500# set deviceconfig setting wildfire vm-network-enable yes 2. Validez la configuration : admin@WF-500# commit Step 3 Testez la connectivité de l'interface MV. Exécutez une commande ping sur un système et spécifiez l'interface MV comme la source. Par exemple, si l'adresse IP de l'interface MV est 10.16.0.20, exécutez la commande suivante où ip-ou-nom-hôte est l'adresse IP ou le nom d'hôte d'un serveur/réseau sur lequel la commande ping est activée : admin@WF-500> ping source 10.16.0.20 host ip-ou-nom-hôte Par exemple : admin@WF-500> ping source 10.16.0.20 host 10.16.0.1 Step 4 (Facultatif) Activez le réseau Tor Lorsque Activez le réseau Tor : 1. admin@WF-500# set deviceconfig setting wildfire cette option est activée, tout trafic vm-network-use-tor malveillant généré par les logiciels 2. Validez la configuration : malveillants sur Internet est envoyé au réseau Tor. Le réseau Tor masque votre admin@WF-500# commit adresse IP publique, de manière à ce que les sites malveillants ne puisse pas déterminer la source du trafic. Étapes suivantes... Palo Alto Networks Connexion du pare-feu à l'interface MV de l'appareil WF-500. Guide de l’administrateur WildFire 7.0 • 31 Configuration de l'interface MV Configuration de l'appareil WF-500 Connexion du pare-feu à l'interface MV de l'appareil WF-500 L'exemple de flux de travail suivant explique comment connecter l'interface MV à un port sur un pare-feu Palo Alto Networks. Avant de connecter cette interface au pare-feu, une zone non approuvée du pare-feu doit déjà être connectée à Internet. Dans cet exemple, vous configurez une nouvelle zone nommée wf-vm-zone qui contiendra l'interface MV utilisée pour connecter l'interface MV sur l'appareil au pare-feu. La politique associée à cette zone va uniquement autoriser les communications entre l'interface MV et la zone non approuvée. Configuration du pare-feu afin de contrôler le trafic de l'interface MV de l'appareil WF-500 Step 1 Configurez l'interface du pare-feu auquel 1. l'interface MV va se connecter et paramétrez le routeur virtuel. La zone wf-vm-zone ne doit contenir que l'interface (ethernet1/3 dans cet exemple) utilisée pour connecter l'interface MV sur l'appareil au pare-feu. Ceci permet d'empêcher le trafic généré par le logiciel malveillant de se propager sur d'autres réseaux. 2. Dans l'interface Web du pare-feu, sélectionnez Réseau > Interfaces, puis sélectionnez une interface, par exemple : Ethernet 1/3. Dans la liste déroulante Type d'interface, sélectionnez Couche 3. 3. Dans l'onglet Configuration, cliquez sur la liste déroulante Zone de sécurité, sélectionnez Nouvelle zone. 4. Dans le champ Nom de la boîte de dialogue Zone, saisissez wf-vm-zone, puis cliquez sur OK. 5. Dans la liste déroulante Routeur virtuel, sélectionnez Par défaut. 6. Pour assigner une adresse IP à l'interface, cliquez sur l'onglet IPv4, puis sur Ajouter dans la section IP et saisissez l'adresse IP, ainsi que le masque réseau à assigner à l'interface, par exemple : 10.16.0.0/22. 7. Step 2 Créez une politique de sécurité sur le pare-feu pour autoriser l'accès à Internet depuis l'interface MV et bloquer l'ensemble du trafic entrant. Dans cet exemple, le nom de la politique est WildFire VM Interface. Étant donné que vous n'allez pas créer une politique de sécurité entre la zone non approuvée et la zone wf-vm-interface, l'ensemble du trafic entrant est bloqué par défaut. Pour enregistrer la configuration de l'interface, cliquez sur OK. 1. Sélectionnez Politiques > Sécurité, puis cliquez sur Ajouter. 2. Dans l'onglet Général, saisissez un Nom. 3. Dans l'onglet Source , définissez la Zone source sur wf-vm-zone. 4. Dans l'onglet Destination, définissez la zone de destination sur Non approuvée. 5. Dans les onglets Application et Catégorie de service/URL, conservez le paramètre par défaut Indifférent. 6. Dans l'onglet Actions, définissez le Paramètre d'action sur Autoriser. 7. Sous Paramètre des journaux, cochez la case Se connecter à la fin de la session. Si vous craignez qu'une personne puisse ajouter involontairement d'autres interfaces à la zone wf-vm-zone, clonez la politique de sécurité de l'interface MV WildFire puis, dans l'onglet Action de la règle clonée, sélectionnez Refuser. Vérifiez que cette nouvelle politique de sécurité s'affiche sous la politique de l'interface MV WildFire. Ceci remplacera la règle d'autorisation intra-zone implicite qui autorise les communications entre les interfaces d'une même zone et refuse/bloque toutes les communications intra-zone. 32 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Configuration de l'appareil WF-500 Configuration de l'interface MV Configuration du pare-feu afin de contrôler le trafic de l'interface MV de l'appareil WF-500 (Continué) Step 3 Connectez les câbles. Connectez physiquement l'interface MV de l'appareil WF-500 au port que vous avez configuré sur le pare-feu (Ethernet 1/3 dans cet exemple) à l'aide d'un câble RJ-45 droit. L'interface MV correspond au chiffre 1 à l'arrière de l'appareil. Step 4 Vérifiez que cette interface transmet et reçoit du trafic. 1. Affichez les paramètres de l'interface MV : admin@WF-500> show interface vm-interface 2. Vérifiez que les valeurs des compteurs de réception et de transmission augmentent. Vous pouvez exécuter la commande suivante pour générer du trafic ping de l'interface MV vers un périphérique externe : admin@WF-500> ping source vm-interface-ip host <adresse IP de la passerelle> Par exemple : admin@WF-500> ping source 10.16.0.20 host 10.16.0.1 Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 33 Paramétrages des mises à jour de contenu WF-500 Configuration de l'appareil WF-500 Paramétrages des mises à jour de contenu WF-500 Configurez les mises à jour de contenu quotidiennes sur l'appareil WF-500. Les mises à jour de contenu de l'appareil WF-500 fournissent à l'appareil des renseignements sur les menaces, ce qui facilite la détection des logiciels malveillants, améliore la capacité de l'appareil à différencier les logiciels malveillants et bénins et garantit que l'appareil dispose des toutes dernières informations nécessaires à la génération de signatures. Installation des mises à jour de contenu WF-500 directement à partir du serveur de mises à jour Installation des mises à jour de contenu WF-500 à partir d'un serveur SCP Installation des mises à jour de contenu WF-500 directement à partir du serveur de mises à jour Installation des mises à jour de contenu sur l'état des menaces directement à partir du serveur de mises à jour Step 1 Vérifiez la connectivité entre l'appareil et 1. le serveur de mises à jour, et identifiez la mise à jour du contenu à installer. 2. Connectez-vous à l'appareil WF-500 et exécutez la commande suivante pour afficher la version du contenu actuelle : admin@wf-500> show system info | match wf-content-version Vérifiez que l'appareil peut communiquer avec le serveur de mises à jour de Palo Alto Networks et affichez les mises à jour disponibles : admin@wf-500> request wf-content upgrade check La commande interroge le serveur de mises à jour de Palo Alto Networks, renvoie des informations sur les mises à jour disponibles et identifie la version installée sur l'appareil. Version Size Released on Downloaded Installed --------------------------------------------------------2-253 57MB 2014/09/20 20:00:08 PDT no no 2-39 44MB 2014/02/12 14:04:27 PST yes current Si l'appareil ne peut pas se connecter au serveur de mises à jour, vous devrez autoriser la connectivité entre l'appareil et le serveur de mises à jour de Palo Alto Networks, ou télécharger et installer la mise à jour à l'aide de SCP comme décrit dans la section Installation des mises à jour de contenu WF-500 à partir d'un serveur SCP. Step 2 Téléchargez et installez la dernière mise à 1. jour du contenu. 2. Téléchargez la dernière mise à jour du contenu : admin@wf-500> request wf-content upgrade download latest Affichez le statut du téléchargement : admin@wf-500> show jobs all Vous pouvez exécuter la commande show jobs pending pour afficher les tâches en attente. Le résultat suivant montre que le téléchargement (ID de tâche 5) est terminé (statut FIN) : 3. Enqueued ID Type Status Result Completed --------------------------------------------------------2014/04/22 03:42:20 5 Downld FIN OK 03:42:23 Une fois le téléchargement terminé, installez la mise à jour : admin@wf-500> request wf-content upgrade install version latest Exécutez de nouveau la commande show jobs all pour connaître le statut de l'installation. 34 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Configuration de l'appareil WF-500 Paramétrages des mises à jour de contenu WF-500 Installation des mises à jour de contenu sur l'état des menaces directement à partir du serveur de mises à jour Step 3 Vérifiez la mise à jour du contenu. Exécutez la commande suivante et consultez le champ wf-content-version : admin@wf-500> show system info Vous trouverez ci-dessous un exemple de résultat avec la version de mise à jour du contenu 2-253 installée : admin@wf-500> show system info hostname: wf-500 ip-address: 10.5.164.245 Masque réseau : 255.255.255.0 default-gateway: 10.5.164.1 mac-address: 00:25:90:c3:ed:56 vm-interface-ip-address: 192.168.2.2 vm-interface-netmask: 255.255.255.0 vm-interface-default-gateway: 192.168.2.1 vm-interface-dns-server: 192.168.2.1 time: Mon Apr 21 09:59:07 2014 uptime: 17 days, 23:19:16 family: m model: WF-500 serial: abcd3333 sw-version: 6.1.0 wf-content-version: 2-253 wfm-release-date: 2014/08/20 20:00:08 logdb-version: 6.1.2 platform-family: m Step 4 (Facultatif) Programmez l'installation 1. quotidienne ou hebdomadaire des mises à jour de contenu. Planifiez l'appareil pour qu'il télécharge et installe les mises à jour du contenu : admin@WF-500# set deviceconfig system update-schedule wf-content recurring [daily | weekly] action [download-and-install | download-only] Par exemple, pour télécharger et installer les mises à jour chaque jour à 8h du matin : admin@WF-500# set deviceconfig system update-schedule wf-content recurring daily action download-and-install at 08:00 2. Validez la configuration. admin@WF-500# commit Installation des mises à jour de contenu WF-500 à partir d'un serveur SCP La procédure suivante décrit comment installer des mises à jour de contenu sur l'état des menaces sur un appareil WF-500 qui n'a pas de connectivité directe avec le serveur de mises à jour de Palo Alto Networks. Vous aurez besoin d'un serveur SCP (Secure Copy/copie sécurisée) pour stocker temporairement la mise à jour de contenu. Installation des mises à jour de contenu sur l'état des menaces à partir d'un serveur SCP Step 1 Récupérez le fichier de mise à jour du contenu sur le serveur de mises à jour. Palo Alto Networks 1. Connectez-vous au site de support Palo Alto Networks et cliquez sur Mises à jour dynamiques. 2. Dans la section Appareil WF-500, recherchez la dernière mise à jour de contenu de l'appareil WF-500 et téléchargez-la. 3. Copiez le fichier de mise à jour du contenu sur un serveur SCP et notez le nom du fichier et le chemin d'accès au répertoire. Guide de l’administrateur WildFire 7.0 • 35 Paramétrages des mises à jour de contenu WF-500 Configuration de l'appareil WF-500 Installation des mises à jour de contenu sur l'état des menaces à partir d'un serveur SCP (Continué) Step 2 Installez la mise à jour du contenu sur l'appareil WF-500. 1. Connectez-vous à l'appareil WF-500 et téléchargez le fichier de mise à jour du contenu à partir du serveur SCP : admin@WF-500> scp import wf-content from username@host:path Par exemple : admin@WF-500> scp import wf-content from [email protected]:c:/updates/panup-all-wfmeta-2-253. tgz Si votre serveur SCP est exécuté sur un port non standard ou si vous devez spécifiez l'adresse IP source, vous pouvez également définir ces options dans la commande scp import. 2. Installez la mise à jour : admin@WF-500> request wf-content upgrade install file panup-all-wfmeta-2-253.tgz Affichez le statut de l'installation : admin@WF-500> show jobs all Step 3 Vérifiez la mise à jour du contenu. Vérifiez la version du contenu : admin@wf-500> show system info | match wf-content-version Le résultat suivant indique la version 2-253 : wf-content-version: 2-253 36 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Configuration de l'appareil WF-500 Activation de la génération de signatures et d'URL Activation de la génération de signatures et d'URL L'appareil WF-500 peut générer des signatures localement en fonction des échantillons reçus des pare-feu connectés et de l'API WildFire, plutôt que d'envoyer les logiciels malveillants au cloud public pour la génération des signatures. L'appareil peut générer les types de signatures suivants qui peuvent servir à bloquer les logiciels malveillants ainsi que le trafic de commande et de contrôle associé : Signatures antivirus : détectent et bloquent les fichiers malveillants. WildFire ajoute ces signatures aux mises à jour du contenu WildFire et antivirus. Signatures DNS : détectent et bloquent les domaines de rappel du trafic de commande et de contrôle associé à un logiciel malveillant. WildFire ajoute ces signatures aux mises à jour du contenu WildFire et antivirus. Catégories d'URL : classent les domaines de rappel comme malveillants et mettent à jour la catégorie d'URL dans PAN-DB. Configurez les pare-feu pour qu'ils reçoivent les signatures générées par l'appareil WF-500 aux cinq minutes. Vous pouvez également envoyer l'échantillon de logiciels malveillants au cloud WildFire public pour permettre la distribution des signatures à l'ensemble des utilisateurs mondiaux via les mises à jour de contenu Palo Alto Networks. Si vous prévoyez de configurer l'appareil WF000 dans le cadre d'un déploiement de Cloud WildFire hybride, vous devriez également permettre au pare-feu de recevoir les dernières signatures distribuées par le cloud WildFire public. Les étapes suivantes décrivent comment permettre à l'appareil WF-500 de générer des signatures et des catégories d'URL et comment distribuer les signatures et les catégories aux pare-feu de votre réseau. Permettre à l'appareil WF-500 de générer et de distribuer les signatures et les catégories d'URL Avant de commencer, assurez-vous de procéder à la Paramétrages des mises à jour de contenu WF-500 pour que l'appareil WF-500 reçoivent les renseignements sur les menaces les plus récents de Palo Alto Networks. Step 1 Activez la génération de signatures et de catégories d'URL. 1. 2. Connectez-vous à l'appareil et saisissez configure pour passer en mode Configuration. Activez toutes les options de prévention des menaces : admin@WF-500# set deviceconfig setting wildfire signature-generation av yes dns yes url yes 3. Validez la configuration : admin@WF-500# commit Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 37 Activation de la génération de signatures et d'URL Configuration de l'appareil WF-500 Permettre à l'appareil WF-500 de générer et de distribuer les signatures et les catégories d'URL Step 2 Programmez la réception des signatures et des catégories d'URL générées par l'appareil par les pare-feu connectés à celui-ci. Il est recommandé de configurer vos pare-feu pour extraire les mises à jour de contenu du cloud WildFire public et de l'appareil WF-500. Cette configuration garantit que vos pare-feu reçoivent des signatures en fonction des menaces détectées dans le monde entier en plus des signatures générées par votre appareil local. Pour de multiples pare-feu gérés par Panorama Démarrez Panorama et sélectionnez Panorama > Déploiement de périphérique > Mises à jour dynamiques, cliquez sur Calendriers, puis sur Ajouter pour ajouter les mises à jour de contenu pour les périphériques gérés. Pour de plus amples renseignements sur l'utilisation de Panorama pour configurer les pare-feu gérés de sorte qu'ils reçoivent les signatures et les catégories d'URL d'un appareil WF-500, reportez-vous à la section Planification des mises à jour de contenu sur des périphériques à l'aide de Panorama. Pour un seul pare-feu : 1. Connectez-vous à l'interface Web du pare-feu et sélectionnez Périphérique > Mises à jour dynamiques. Pour les pare-feu configurés pour transférer des fichiers à un appareil WF-500 (qu’il soit déployé sous forme de cloud privé ou hybride), la section WF-Private s'affiche. 2. Définissez le Calendrier du téléchargement et des mises à jour de contenu à partir de l'appareil WF-500 et de leur installation sur le pare-feu. Pour de plus amples précisions sur l'établissement et la gestion des mises à jour de contenu des pare-feu, reportez-vous à la section Gestion des mises à jour du contenu. 38 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Configuration de l'appareil WF-500 Mise à niveau de l'appareil WF-500 Mise à niveau de l'appareil WF-500 Cette section explique comment mettre à niveau le système d'exploitation de l'appareil WF-500. Tout d'abord, téléchargez et installez l'image MV invité de l'appareil WF-500 pour cette version. Les images MV peuvent atteindre 4 Go. Vous devez donc les télécharger du serveur de mises à jour de Palo Alto Networks et les héberger sur un serveur SCP (que vous fournissez). Utilisez ensuite le client SCP sur l'appareil pour télécharger le logiciel et les images MV du serveur SCP avant de mettre à niveau l'appareil. L'appareil ne peut utiliser qu'un seul environnement à la fois pour analyser des échantillons. Ainsi, après la mise à niveau de l'appareil, consultez la liste des images MV disponibles et choisissez l'image correspondant le mieux à votre environnement. Dans le cas de Windows 7, si votre environnement comporte des systèmes Windows 7 32 bits et Windows 7 64 bits, il est recommandé de choisir l'image Windows 7 64 bits. WildFire analysera donc les fichiers PE 32 et 64 bits. Même si vous configurez l'appareil pour utiliser une configuration d'image de machine virtuelle, pour améliorer les performances, l'appareil utilise plusieurs instances de l'image pour l'analyse de fichiers. Les fichiers MV peuvent atteindre 4 Go. Vérifiez donc que le logiciel de votre serveur SCP (Secure Copy) prend en charge le transfert de fichiers de plus de 4 Go et que l'espace disponible est suffisant pour stocker temporairement les fichiers. Mise à niveau de l'appareil WF-500 Step 1 Téléchargez la version 7.0 du logiciel sur Connectez-vous à l'appareil WF-500 et téléchargez la version 7.0.0 du logiciel : l'appareil WF-500. Lorsque vous mettez à jour l'appareil WF-500, vous ne pouvez sauter de versions principales. Par exemple, si vous souhaitez passer de la version 6.0 à la version 7.0, vous devez d'abord installez la version 6.1. Step 2 admin@WF-500> request system software download version 7.0.0 Pour vérifier l'état du téléchargement, utilisez la commande suivante : admin@WF-500> show jobs all Téléchargez l'image MV 7.0 à un serveur 1. SCP. Sur le site support Palo Alto Networks, cliquez sur Mises à jour logicielles. 2. Dans la section Images MV invité, téléchargez l'image MV invité 7.0.0—WFWinXpGf_m-1.0.0-c6.xpgf—sur votre système local. 3. Déplacez le fichier sur votre serveur SCP et notez le nom du fichier et le chemin d'accès au répertoire. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 39 Mise à niveau de l'appareil WF-500 Configuration de l'appareil WF-500 Mise à niveau de l'appareil WF-500 (Continué) Step 3 Téléchargez l'image MV sur l'appareil WF-500. Téléchargez le fichier de l'image MV sur l'appareil WF-500 à partir du serveur SCP en exécutant la commande suivante sur l'appareil : admin@WF-500> scp import wildfire-vm-image from <server>:/<path>/WFWinXpGf_m-1.0.0-c6.xpgf Par exemple : admin@WF-500> scp import wildfire-vm-image from [email protected]:c:/root/WF-Elink-Image/WFWinXpGf_m-1. 0.0-c6xpgf Le chemin d'accès SCP qui se trouve après l'adresse IP ou le nom d'hôte varie en fonction du logiciel SCP que vous utilisez. Pour Windows, le chemin d'accès est c:/dossier/nom-du-fichier ou //dossier/nom-du-fichier; pour les systèmes Unix/Mac, le chemin d'accès est /dossier/nom-du-fichier ou //dossier/nom-du-fichier. Step 4 Installez l'image MV sur l'appareil WF-500. Exécutez la commande suivante pour installer l'image MV sur l'appareil WF-500 : admin@WF-500> request system wildfire-vm-image upgrade install file WFWinXpGf__m-1.0.0_c6.xpgf Step 5 Installez la version 7.0 du logiciel sur l'appareil WF-500. Installez l'image du système d'exploitation de l'appareil WF-500 (téléchargez à Step 1) en exécutant la commande suivante : admin@WF-500> request system software install version 7.0.0 Step 6 Redémarrez l'appareil WF-500 et vérifiez 1. que l'installation a réussi. Confirmez que la mise à niveau est terminée. Exécutez la commande suivante et consultez le type de tâche Install et l'état FIN : admin@WF-500> show jobs all Enqueued ID Type Status Result Completed ---------------------------------------------------------2015/05/15 10:38:48 2 Downld FIN OK 10:39:08 2. Redémarrez l'appareil : admin@WF-500> request restart system 3. Vérifiez que le champ sw-version indique 7.0 : admin@WF-500> show system info | match sw-version 40 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Configuration de l'appareil WF-500 Mise à niveau de l'appareil WF-500 Mise à niveau de l'appareil WF-500 (Continué) Step 7 (Facultatif) Activez l'environnement bac à 1. sable de Windows 7 64 bits. Affichez l'image de machine virtuelle active en exécutant la commande suivante et consultez le champ Selected VM : admin@WF-500> show wildfire status 2. Affichez la liste des images de machines virtuelles disponibles : admin@WF-500> show wildfire vm-images Le résultat suivant montre que vm-5 correspond à l'image Windows 7 64 bits : 3. vm-5 Windows 7 64 bits, Adobe Reader 11, Flash 11, Office 2010. Prise en charge de PE, PDF, Office 2010 et version antérieure Sélectionnez l'image à utiliser pour l'analyse : admin@WF-500# set deviceconfig setting wildfire active-vm <numéro d'image de la machine virtuelle> Par exemple, pour utiliser vm-5, exécutez la commande suivante : admin@WF-500# set deviceconfig setting wildfire active-vm vm-5 4. Validez (commit) la configuration : admin@WF-500# commit Step 8 Mettez à niveau les pare-feu qui sont connectés à l'appareil. Palo Alto Networks Mettez à niveau les pare-feu vers PAN-OS 7.0. Guide de l’administrateur WildFire 7.0 • 41 Mise à niveau de l'appareil WF-500 Configuration de l'appareil WF-500 Mise à niveau de l'appareil WF-500 (Continué) Step 9 Activez le transfert pour analyse des fichiers depuis le pare-feu vers l'appareil WF-500. 1. Cette étape est nécessaire pour garantir que les paramètres WildFire qui ont migré lors de la mise à niveau sont configurés correctement. Pendant la mise à niveau vers PAN-OS 7.0, les paramètres de transfert de fichier migrent du profil d'interdiction des fichiers vers le profil d'analyse WildFire. Le nouveau profil d'analyse WildFire permet au pare-feu de prendre en charge un 2. déploiement decloud WildFire hybride, dans le cadre duquel les fichiers peuvent être transférés vers un cloud public ou un cloud privé pour leur analyse. Définissez le trafic à transférer vers WildFire pour analyse : a. Sélectionnez Objets > Profils de sécurité > Analyse WildFire , puis, pour chaque règle de profil, définissez le paramètre de l'analyse sur cloud privé. b. (Facultatif) Pour utiliser le cloud WildFire public afin d'analyser certains fichiers (par exemple, les fichiers APK qui ne sont pas pris en charge pour l'analyse par l'appareil WF-500), ajoutez ou modifiez une règle associée au profil d'analyse WildFire pour utiliser le cloud public comme emplacement d'analyse. Le trafic correspondant aux règles et dont l'emplacement d'analyse est configuré sur cloud public sera transféré vers le cloud WildFire public pour analyse. Sélectionnez Périphérique > Configuration > WildFire et configurez les emplacements WildFire vers lesquels le pare-feu transfèrera les fichiers pour analyse : a. Dans le champ Cloud WildFire privé, saisissez l'adresse IP ou le nom de domaine complet d'un appareil WF-500. b. Si le pare-feu était connecté à un apparel WF-500 avant la mise à niveau, l'adresse IP ou le nom de domaine complet de l'appareil WF-500 est automatique inscrit dans le champ Cloud WildFire public. Remplissez ce champ selon l'option choisie, c'est-à-dire soit analyser les fichiers uniquement au moyen de l'appareil WF-500, soit analyser les fichiers au moyen de l'appareil WF-500 et du cloud WildFire public : – Pour continuer à transférer les fichiers uniquement vers l'appareil WF-500, supprimez l'entrée du champ Cloud WildFire public et laissez ce dernier vide. – Pour permettre au pare-feu de transférer des fichiers vers l'appareil WF-500 et le cloud WildFire public hébergé aux États-Unis, saisissez wildfire.paloaltonetworks.com. Pour utiliser le cloud japonais, saisissez wildfire.paloaltonetworks.jp. Étapes suivantes... 42 • Guide de l’administrateur WildFire 7.0 Transfert de fichiers pour analyse par WildFire. Palo Alto Networks Envoi des fichiers pour analyse WildFire Les rubriques suivantes décrivent comment envoyer des fichiers pour analyse WildFire™. Vous pouvez configurer les pare-feu Palo Alto Networks pour qu'ils transfèrent automatiquement les fichiers inconnus au cloud WildFire public ou à un cloud WildFire privé ; vous pouvez également envoyer des fichiers pour analyse au moyen du portail WildFire. Les échantillons envoyés pour analyse WildFire reçoivent un verdict bénin, indésirable ou malveillant ; un rapport d'analyse détaillé de chacun des échantillons est également généré. Transfert de fichiers pour analyse par WildFire Vérification des envois WildFire Chargement manuel de fichiers dans le portail WildFire Envoi des logiciels malveillants ou des rapports à partir de l'appareil WF-500 Capacité de transfert de fichier de pare-feu par plateforme Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 43 Transfert de fichiers pour analyse par WildFire Envoi des fichiers pour analyse WildFire Transfert de fichiers pour analyse par WildFire Configurez les pare-feu Palo Alto Networks pour qu'ils transfèrent les fichiers ou les liens d'e-mail inconnus pour leur analyse. Utilisez le profil d'analyse WildFire pour définir les fichiers qui doivent être transférés au cloud WildFire (utilisez le cloud public ou un cloud privé), puis associez le profil à une règle de sécurité qui déclenchera l'inspection des logiciels malveillants au jour 0. Précisez le trafic à transférer pour analyse selon l'application utilisée, le type de fichier détecté, les liens contenus dans les courriels ou le sens de transmission de l'échantillon (chargement, téléchargement ou les deux). Par exemple, vous pouvez configurer le pare-feu pour qu'il transfère les fichiers PE (Portable Executables/Exécutable portable) que les utilisateurs essaient de télécharger au cours d'une session de navigation Web. Si vous utilisez un appareil WF-500 pour héberger un cloud WildFire privé, vous pouvez étendre les ressources d'analyses WildFire à un Cloud WildFire hybride, en configurant le pare-feu pour qu'il poursuive le transfert des fichiers de nature délicate vers votre cloud WildFire privé pour analyse locale et qu'il transfère un nombre inférieur de types de fichiers de nature délicate ou pris en charge vers le cloud WildFire public. Configuration d'un pare-feu pour le transfert des fichiers et des liens d'e-mail vers WildFire Avant de commencer : S'il y a un autre pare-feu entre le pare-feu que vous configurez pour effectuer le transfert des fichiers vers le cloud WildFire ou l'appareil WF-500, vérifiez que ce pare-feu autorise les ports suivants : • Le cloud WildFire public utilise le port 443 pour les enregistrements et les envois de fichiers. • L'appareil WF-500 utilise le port 443 pour les enregistrements et le port 10443 pour les envois de fichiers. Vérifiez que le pare-feu dispose d'une licence de protection contre les menaces et d'un abonnement valide à WildFire (Périphérique > Licences). Vérifiez que les mises à jour de contenu sont planifiées et à jour. Sélectionnez Périphérique > Mises à jour dynamiques, puis Vérifier maintenant pour vous assurer que le pare-feu dispose des mises à jour antivirus, d'applications, de menaces et WildFire les plus récentes. (Pare-feu des séries PA-7000 uniquement) Pour permettre à un pare-feu des séries PA-7000 de transférer des fichiers et des liens d'email pour analyse WildFire, vous devez d'abord configurer un port de données sur un NPC comme interface de type carte de journal. 44 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Envoi des fichiers pour analyse WildFire Transfert de fichiers pour analyse par WildFire Configuration d'un pare-feu pour le transfert des fichiers et des liens d'e-mail vers WildFire Step 1 Configuration des paramètres WildFire. 1. Les paramètres WildFire comprennent la définition de l'emplacement d'analyse du 2. cloud WildFire public et du cloud WildFire privé et la possibilité d'activer la génération de rapports pour les fichiers bénins ou indésirables. Sélectionnez Périphérique > Configuration > WildFire et modifiez l'icône Modifier dans la section Paramètres généraux. Entrez le cloud WildFire public et le cloud WildFire privé que vous voulez utiliser pour l'analyse WildFire : • Pour transférer les fichiers vers le cloud WildFire public hébergé aux États-Unis, saisissez wildfire.paloaltonetworks.com. Pour transférer des fichiers vers le cloud WildFire hébergé au Japon, saisissez wildfire.paloaltonetworks.jp. Si vous êtes au Japon, il se peut que vous rencontriez un temps de réponse plus court si vous utilisez le cloud hébergé au Japon pour l'envoi d'exemples et la génération de rapports. Vous pouvez également utiliser le cloud japonais si vous ne voulez pas que les fichiers bénins ou indésirables soient transférés vers les serveurs de cloud américains ; toutefois, si un fichier envoyé au cloud japonais est considéré comme malveillant, ce dernier continuera d'être transféré vers les serveurs américains pour analyse et génération de signatures. Panorama uniquement : Si Panorama détecte la présence d'une entrée du journal des envois WildFire dont certains champs ne sont pas remplis, Panorama peut se connecter à WildFire pour recueillir des renseignements sur l'échantillon et générer les détails de l'entrée de journal. Sélectionnez Panorama > Configuration > WildFire et entrez un Serveur WildFire avec lequel Panorama peut communiquer pour recueillir des renseignements sur l'échantillon (par défaut, Panorama utilisera le cloud WildFire public). • Pour transférer des fichiers vers un cloud WildFire privé, saisissez l'adresse IP ou le nom de domaine complet de l'appareil WF-500. • Laissez ces deux champs vides si vous ne prévoyez pas d'utiliser ce cloud pour l'analyse de fichiers. 3. (Facultatif) Modifiez les Limites de taille de fichier des fichiers transférés depuis le pare-feu. Par exemple, si vous définissez PDF sur 5 Mo, tout fichier PDF de plus de 5 Mo ne sera pas transféré. 4. (Facultatif) Activez la production de rapports pour les fichiers bénins et indésirables : • Sélectionnez Rapporter les fichiers bénins pour permettre la journalisation des fichiers qui reçoivent un verdict WildFire bénin. • Sélectionnez Signaler des fichiers indésirables pour permettre la journalisation des fichiers qui reçoivent un verdict WildFire indésirable. Pour afficher les journaux des fichiers qui reçoivent un verdict de fichier bénin ou indésirable, sélectionnez Surveillance > Envois WildFire. 5. (Facultatif) Définissez les informations de session qui sont enregistrées dans les rapports d'analyse de WildFire : a. Modifiez les Paramètres d'informations de session. b. Par défaut, toutes les informations de session sont affichées dans les rapports d'analyse de WildFire. Décochez les cases correspondant à des champs pour les supprimer des rapports d'analyse WildFire, puis cliquez sur OK pour enregistrer les paramètres. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 45 Transfert de fichiers pour analyse par WildFire Envoi des fichiers pour analyse WildFire Configuration d'un pare-feu pour le transfert des fichiers et des liens d'e-mail vers WildFire Step 2 Définissez le trafic à transférer vers WildFire pour analyse. 1. Si vous avez configuré un 2. appareil WF-500, vous pouvez utiliser, à la fois, le cloud privé et le cloud public dans un déploiement de cloud hybride. Analysez les 3. fichiers sensibles localement sur votre réseau, tandis que vous envoyez tous les autres fichiers inconnus au cloud WildFire public pour analyse approfondie et un renvoi de verdict rapide. Sélectionnez Objets > Profils de sécurité > Analyse WildFire, puis Ajouter un nouveau profil d'analyse WildFire et donnez au profil un Nom descriptif. Ajoutez une règle au profil pour définir le trafic à transférer vers WildFire pour analyse et donnez à la règle un Nom descriptif, tel quel analyse-PDF-locale. Définissez une règle de profil à faire correspondre au trafic inconnu pour le transfert des échantillons en vue de leur analyse selon les éléments suivants : • Applications : cette option permet le transfert des fichiers pour analyse selon l'application utilisée. • Types de fichiers : cette option permet le transfert des fichiers pour analyse selon les types de fichiers, y compris les liens contenus dans les messages électroniques. Par exemple, sélectionnez PDF pour envoyer, pour analyse, des PDF inconnus qui ont été détectés par le pare-feu. • Sens : cette option permet le transfert des fichiers pour analyse selon le sens de transmission du fichier (chargement, téléchargement ou les deux). Par exemple, sélectionnez les deux pour transférer tous les PDF inconnus pour qu'ils soient analysés, peu importe le sens de transmission. 4. Établissez l'emplacement de l'analyse où les fichiers qui correspondent à la règle seront transférés. • Sélectionnez cloud public pour envoyer au cloud WildFire public les fichiers correspondant à la règle pour leur analyse. • Sélectionnez cloud privé pour envoyer au cloud WildFire privé les fichiers correspondant à la règle pour leur analyse. Par exemple, pour analyser des PDF qui contiennent des renseignements exclusifs sensibles sans envoyer ces documents hors de votre réseau, établissez l'emplacement de l'Analyse à cloud privé pour la règle intitulée analyse-PDF-local. 5. 6. 46 • Guide de l’administrateur WildFire 7.0 Par mesure de précaution, lorsqu'un cloud hybride est déployé, les fichiers qui correspondent tant aux règles établies pour le cloud privé qu'à celles établies pour le cloud public sont transférés uniquement vers le cloud privé. (Facultatif) Continuez d'ajouter des règles au profil d'analyse WildFire, au besoin. Par exemple, vous pourriez ajouter une seconde règle au profil visant le transfert de fichiers de package APK Android, PE (Portable Executable/exécutable portable)et Flash vers le cloud WildFire public pour analyse. Cliquez sur OK pour enregistrer le profil d'analyse WildFire. Palo Alto Networks Envoi des fichiers pour analyse WildFire Transfert de fichiers pour analyse par WildFire Configuration d'un pare-feu pour le transfert des fichiers et des liens d'e-mail vers WildFire Step 3 Step 4 Associez le profil d'analyse WildFire à une 1. règle de politique de sécurité. Sélectionnez Politiques > Sécurité et ajoutez ou modifiez une règle de politique. 2. Le trafic qui est autorisé par la règle de politique de sécurité est évalué selon le 3. profil d'analyse WildFire joint ; les pare-feu transfèrent le trafic correspondant au profil pour analyse par . WildFire. Dans la section Paramètres des profils, sélectionnez Profils en tant que Type de profil et sélectionnez un profil d'Analyse WildFire à joindre à la règle de politique (Facultatif) Activer le pare-feu pour qu'il transfère le trafic décrypté pour analyse par WildFire. Le trafic qui est décrypté par le pare-feu est évalué en fonction de la politique de sécurité et, s'il correspond au profil d'analyse WildFire joint à une règle de politique, il peut être transféré à WildFire, qui l'analyse avant qu'il ne soit de nouveau crypté. Seul un super utilisateur peut activer cette option. Step 5 Validez la configuration. Étapes suivantes... Cliquez sur l'onglet Actions de la règle de politique. Pour transférer le trafic décrypté pour analyse WildFire, le décryptage doit d'abord être activité sur le pare-feu. Sur un seul pare-feu : 4. Sélectionnez Périphérique > Configuration > Content-ID. 5. Modifiez les options Filtrage d'URL et activez Autoriser le transfert de contenu décrypté. 6. Cliquez sur OK pour enregistrer les modifications. Sur un pare-feu prenant en charge la fonction de systèmes virtuels configurés : Sélectionnez Périphérique > Systèmes virtuels, cliquez sur le système virtuel à modifier et cochez la case Autoriser le transfert de contenu décrypté. Cliquez sur Valider pour appliquer les paramètres. • Vérification des envois WildFire pour confirmer que le pare-feu transfère correctement les fichiers pour analyse WildFire. • (Appareil WF-500 uniquement.)Envoi des logiciels malveillants ou des rapports à partir de l'appareil WF-500 Activez cette fonctionnalité pour transférer automatiquement les logiciels malveillants détectés dans votre cloud WildFire privé vers le cloud WildFire public. Le cloud WildFire public analyse de nouveau l'échantillon et génère une signature s'il est malveillant. La signature est distribuée à l'ensemble des utilisateurs à l'échelle mondiale par l'entremise des mises à jour de signatures WildFire. • Effectuez la Surveillance de l'activité WildFire pour évaluer les alertes et les informations données sur les échantillons malveillants. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 47 Vérification des envois WildFire Envoi des fichiers pour analyse WildFire Vérification des envois WildFire Testez votre configuration WildFire à l'aide des échantillons de fichier malveillant; vérifiez également que le pare-feu transfère correctement les fichiers pour analyse WildFire. Test d'un échantillon de fichier malveillant Vérification du transfert des fichiers Test d'un échantillon de fichier malveillant Palo Alto Networks fournit un échantillon de fichier malveillant que vous pouvez utiliser pour tester une configuration WildFire. Suivez les étapes décrites ci-dessous pour télécharger l'échantillon de fichier malveillant, vérifier que le fichier est transféré pour analyse WildFire et afficher les résultats de l'analyse. Utilisation d'un échantillon de fichier malveillant pour tester la configuration WildFire Step 1 Téléchargez le fichier malveillant pour le test : https://wildfire.paloaltonetworks.com/publicapi/test/pe. Le fichier d'essai est nommé wildfire-test-pe-file.exe, et chaque fichier d'essai comporte une valeur de hachage SHA-256 unique. Vous pouvez également faire l'Utilisation de l'API pour récupérer un échantillon de fichier malveillant pour le test. Step 2 Sur l'interface Web du pare-feu, sélectionnez Surveillance > Envois WildFire pour confirmer que le fichier a été transféré pour analyse. Il faut compter environ cinq minutes pour que les résultats de l'analyse du fichier s'affichent sur la page Envois WildFire. Le fichier d'essai recevra toujours un verdict de fichier malveillant. Vérification du transfert des fichiers Une fois le pare-feu configuré pour Transfert de fichiers pour analyse par WildFire, servez-vous des options suivantes pour vérifier la connexion entre le pare-feu et le cloud WildFire public ou privé et pour surveiller le transfert des fichiers. Plusieurs des options qui permettent de vérifier qu'un pare-feu envoi des échantillons pour analyse WildFire consistent en des commandes de la CLI ; pour une introduction à la CLI et des renseignements sur son utilisation, reportez-vous au Guide de mise en route de la ligne de commande PAN-OS. 48 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Envoi des fichiers pour analyse WildFire Vérification des envois WildFire Vérification du transfert des fichiers Vérifiez que le pare-feu communique avec un Utilisez la commande test wildfire registration pour vérifier ou plusieurs serveurs WildFire. que le pare-feu est connecté au cloud WildFire privé, au cloud WildFire public ou aux deux. Voici un exemple de résultat obtenu à l'aide d'un pare-feu déployé dans un Cloud WildFire privé : Le résultat présenté confirme que le pare-feu est connecté au cloud WildFire privé et qu'il n'est pas connecté au cloud WildFire public (échec de l'enregistrement au cloud privé). Si le pare-feu est configuré dans un Cloud WildFire hybride, vérifiez que le pare-feu est bien enregistré auprès du cloud WildFire public et du cloud WildFire privé et qu'il est connecté aux deux clouds. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 49 Vérification des envois WildFire Envoi des fichiers pour analyse WildFire Vérification du transfert des fichiers Vérifiez l'état de la connexion entre le pare-feu Utilisez la commande show wildfire status pour : et le cloud WildFire public ou le cloud WildFire • Vérifiez l'état du cloud WildFire public ou privé auquel le pare-feu privé, ou les deux, y compris le nombre total de est connecté. L'état Idle indique que le cloud WildFire (public ou fichiers que le pare-feu transfère pour analyse. privé) est prêt à recevoir des fichiers pour analyse. • Confirmez les limites de taille configurées pour les fichiers transférés par le pare-feu (Périphérique > Configuration > WildFire). • Surveillez le transfert des fichiers, y compris le nombre total de fichiers que le pare-feu transfère pour analyse WildFire. Si le pare-feu est déployé sous forme de cloud hybride, le nombre de fichiers qui sont transférés vers le cloud WildFire public et le cloud WildFire privé s'affiche également. Les exemples suivants illustrent le résultat de la commande show wildfire status pour un pare-feu dans un déploiement de cloud privé : Pour afficher les informations sur les transferts uniquement pour le cloud WildFire public ou le cloud WildFire privé, utilisez les commandes suivantes : • show wildfire status channel public • show wildfire status channel private 50 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Envoi des fichiers pour analyse WildFire Vérification des envois WildFire Vérification du transfert des fichiers Utilisez la commande show wildfire statistics pour confirmer les Afficher les échantillons transférés par le pare-feu selon le type de fichier (y compris les types de fichiers qui sont transférés vers le cloud WildFire public ou privé : liens d'e-mail). • La commande affiche le résultat d'un pare-feu en fonctionnement et Utilisez cette option pour confirmer que indique les compteurs de chaque type de fichier que le pare-feu transfère pour analyse WildFire. Si un champ de compteurs indiquent les liens d'e-mail sont transférés pour 0, cela signifie que le pare-feu ne transfère pas ce type de fichier. analyse WildFire, étant donné que seuls les liens d'e-mail qui reçoivent un verdict • Confirmez que les liens d'e-mail sont transférés pour analyse en d'échantillon malveillant sont consignés vérifiant que les compteurs suivants n'indiquent pas zéro : sous forme d'entrée du journal des – FWD_CNT_APPENDED_BATCH : indique le nombre de liens Envois WildFire sur le pare-feu, même si d'e-mails ajoutés à un lot en attente de chargement sur la journalisation des échantillons bénins WildFire. et indésirables est activée. Cela s'explique par le nombre impressionnant d'entrées – FWD_CNT_LOCAL_FILE : indique le nombre total de liens au journal des Envois WildFire qui d'e-mail chargés sur WildFire. seraient consignées si les liens d'e-mail bénins étaient consignés. Vérifiez que le pare-feu a transféré un échantillon Exécutez les commandes de la CLI suivantes sur le pare-feu pour afficher les échantillons que le pare-feu a transféré pour analyse WildFire : donné et vérifiez l'état de cet échantillon. Cette option peut être utile lors du dépannage, pour : • confirmer que les échantillons qui n'ont pas encore reçu de verdict WildFIre ont été correctement transférés par le pare-feu. Étant donné que les Envois WildFire ne sont journalisés sur le pare-feu que lorsque l'analyse WildFire est terminée et que l'échantillon a reçu un verdict WildFire, utilisez cette option pour vérifier que le pare-feu a transféré un échantillon qui fait actuellement l'objet d'une analyse WildFire. • Affichez tous les échantillons qu'a transmis le pare-feu au moyen de la commande de la CLI suivante : debug wildfire upload-log. • N'affichez que les échantillons qui ont été transmis au cloud WildFire public au moyen de la commande de la CLI suivante : debug wildfire upload-log channel public. • N'affichez que les échantillons qui ont été transmis au cloud WildFire privé au moyen de la commande de la CLI suivante : debug wildfire upload-log channel private. Cet exemple montre le résultat que l'on obtient lorsque les trois commandes présentées ci-dessus sont émises sur un pare-feu déployé sous forme de cloud WildFire public : • Suivez l'état d'un lien d'e-mail ou d'un fichier unique qui était autorisé en vertu de votre politique de sécurité, a été mis en correspondance avec un profil d'analyse WildFire, puis a été transféré pour analyse WildFire. • Vérifiez qu'un pare-feu déployé sous forme de Cloud WildFire hybride transfère les bons types de fichiers et de liens e-mails vers le cloud WildFire public ou vers un cloud WildFire privé. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 51 Vérification des envois WildFire Envoi des fichiers pour analyse WildFire Vérification du transfert des fichiers Surveillez les échantillons qui ont été À l'aide de l'interface Web du pare-feu, sélectionnez Surveillance > correctement envoyés pour analyse WildFire. Journaux > Envois WildFire. Tous les fichiers transférés par un pare-feu vers un cloud WildFire public ou privé pour analyse sont journalisés à la page des Envois WildFire. • Vérifiez le verdict WildFire d'un échantillon : Par défaut, seuls les échantillons qui ont reçu un verdict de logiciel malveillant sont affichés sous forme d'entrée du journal desEnvois WildFire. Pour activer la journalisation des échantillons bénins ou indésirables, sélectionnez Périphérique > Configuration > WildFire > Signaler des fichiers bénins/Signaler des fichiers indésirables. Activer la journalisation des fichiers bénins pour vérifier rapidement si le pare-feu transfère les fichiers et corriger le problème, le cas échéant. Examinez les journaux d'Envois WildFire pour vérifier que les fichiers sont envoyés pour analyse et qu'ils reçoivent un verdict WildFire (dans le cas présent, il s'agit d'un verdict de fichier bénin). • Confirmez l'emplacement d'analyse d'un échantillon : La colonne Cloud WildFire affiche l'emplacement vers lequel le fichier a été transféré et où il a été analysé (cloud public ou cloud privé). C'est une étape utile lors du déploiement d'un Cloud WildFire hybride. 52 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Envoi des fichiers pour analyse WildFire Chargement manuel de fichiers dans le portail WildFire Chargement manuel de fichiers dans le portail WildFire Tous les clients Palo Alto Networks qui possèdent un compte de support peuvent utiliser le portail WildFire de Palo Alto Network pour envoyer manuellement des fichiers pour analyse WildFire. Chargement d'échantillons dans le portail WildFire Step 1 Step 2 Chargez manuellement des fichiers ou des URL depuis votre réseau vers le portail WildFire pour analyse. 1. Si votre pare-feu transfère des fichiers vers le portail WildFire au Japon, utilisez https://wildfire.paloaltonetworks.jp. 2. Dans la barre de menus, cliquez sur Charger un échantillon, puis cliquez sur Ajouter des fichiers. 3. Cliquez sur Ouvrir le ficher pour lequel vous souhaitez recevoir un verdict WildFire et un rapport d'analyse WildFire. Le nom du fichier va s'afficher sous l'icône Ajouter des fichiers. 4. Cliquez sur l'icône Démarrer à droite du fichier ou sur le bouton Démarrer le chargement si plusieurs fichiers sont en attente de chargement. Si le chargement du ou des fichier(s) réussit, Réussite va s'afficher en regard de chaque fichier. 5. Fermez la fenêtre contextuelle Informations sur le fichier chargé. Affichez les résultats d'analyse du fichier. 1. Un délai d'environ cinq minutes est nécessaire pour que WildFire analyse un fichier. Étant donné qu'un chargement manuel n'est associé à aucun pare-feu spécifique, les chargements manuels apparaissent séparément de vos pare-feux enregistrés et n'affichent aucune information de session dans les rapports. Palo Alto Networks Connectez-vous au portail WildFire. Actualisez la page du portail dans votre navigateur. 2. Cliquez sur Manuel sous la colonne source pour afficher le résultat du changement d'échantillon manuel. 3. La page du rapport affiche une liste de tous les fichiers ayant été chargés dans votre compte. Recherchez le fichier que vous avez chargé et cliquez sur l'icône Détails située à gauche du champ de la date. Le portail affiche un rapport complet d'analyse du fichier qui détaille le comportement observé du fichier. Si WildFire identifie le fichier en tant que logiciel malveillant, il génère une signature qui sera ensuite distribuée à l'ensemble des pare-feux Palo Alto Networks configurés avec un abonnement WildFire ou de prévention contre les menaces. Guide de l’administrateur WildFire 7.0 • 53 Envoi des logiciels malveillants ou des rapports à partir de l'appareil WF-500 Envoi des fichiers pour analyse WildFire Envoi des logiciels malveillants ou des rapports à partir de l'appareil WF-500 Activez la fonctionnalité d'intelligence du cloud de l'appareil WF-500 afin d'envoyer automatiquement les échantillons de logiciels malveillants détectés dans le cloud WildFire privé au cloud WildFire public. Le cloud WildFire public fait une analyse plus approfondie de l'échantillon malveillant et génère une signature pour identifier l'échantillon. La signature est ensuite ajoutée aux mises à jour de signatures WildFire et distribuée à l'ensemble des utilisateurs mondiaux pour empêcher toute exposition ultérieure à la menace. Si vous ne souhaitez pas envoyer les échantillons malveillants à l'extérieur de votre réseau, vous pouvez plutôt choisir d'envoyer seulement les rapports WildFire des échantillons malveillants qui ont été découverts sur votre réseau afin de les ajouter aux statistiques WildFire et aux renseignements sur les menaces. Autorisation d'un appareil WF-500 à envoyer les échantillons malveillants ou les rapports vers le cloud WildFire public Envoi des échantillons malveillants vers le cloud WildFire public Step 1 À partir de l'appareil WF-500, exécutez les commandes de la CLI suivantes afin de permettre à l'appareil d'envoyer automatiquement les échantillons malveillants vers le cloud WildFire public : admin@WF-500# set deviceconfig setting wildfire cloud-intelligence submit-sample yes Si la capture de paquet (PCAP) est activée sur le pare-feu qui a initialement envoyé l'échantillon pour analyse par le cloud WildFire privé, la PCAP de l'échantillon malveillant sera également transférée vers le cloud WildFire public. Step 2 Accédez au portail WildFire pour afficher les rapports d'analyse des échantillons malveillants qui ont été automatiquement envoyés vers le cloud WildFire public. Envoi des rapports d'analyse vers le cloud WildFire public Si l'Envoi des échantillons malveillants vers le cloud WildFire public est activée sur l'appareil WF-500, vous n'avez pas à activer l'envoi de rapports vers le cloud public sur l'appareil. Lorsqu'un échantillon malveillant est envoyé au cloud WildFire public, le cloud public génère un nouveau rapport d'analyse pour cet échantillon. Si vous voulez que l'appareil WF-500 envoie automatiquement un rapports sur les échantillons malveillants vers le cloud WildFire public (plutôt que l'échantillon malveillant lui-même), exécutez la commande de la CLI suivante sur l'appareil WF-500 : admin@WF-500# set deviceconfig setting wildfire cloud-intelligence submit-report yes Vérification des paramètres de l'intelligence du cloud Confirmez que l'intelligence du cloud est activée pour envoyer les échantillons malveillants ou les rapports sur les échantillons malveillants vers le cloud WildFire public en exécutant la commande suivante : admin@WF-500> show wildfire status Reportez-vous aux champs Submit sample et Submit report. 54 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Envoi des fichiers pour analyse WildFire Capacité de transfert de fichier de pare-feu par plateforme Capacité de transfert de fichier de pare-feu par plateforme La capacité de transfert de fichier correspond au débit maximum par minute auquel chaque plateforme de pare-feu Palo Alto Networks peut envoyer des fichiers vers le cloud WildFire ou un appareil WF-500 pour analyse Si le pare-feu atteint la limite par minute, il met les échantillons restants en file d'attente. La colonne Espace lecteur réservé du tableau ci-dessous indique la quantité d'espace du lecteur sur le pare-feu réservée à la mise en file d'attente des fichiers. Si le pare-feu atteint la limite d'espace lecteur, il annule le transfert de nouveaux fichiers vers WildFire jusqu'à ce que plus d'espace soit disponible dans la file d'attente. La vitesse à laquelle le pare-feu peut transférer des fichiers vers WildFire dépend également de la bande passante de la liaison de chargement vers les systèmes WildFire. Plateforme Nombre maximum de fichiers par minute Espace lecteur réservé VM-100 5 100 Mo VM-200 10 200 Mo VM-300 20 200 Mo PA-200 5 100 Mo PA-500 10 200 Mo PA-2000 Series 20 200 Mo PA-3020 50 200 Mo PA-3050/3060 50 500 Mo PA-4020 20 200 Mo PA-4050/4060 50 500 Mo PA-5000 Series 50 500 Mo PA-7000 Series 100 1 Go Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 55 Capacité de transfert de fichier de pare-feu par plateforme 56 • Guide de l’administrateur WildFire 7.0 Envoi des fichiers pour analyse WildFire Palo Alto Networks Surveillance de l'activité WildFire Selon le type de déploiement WildFire™ que vous avez sélectionné (cloud public, privé ou hybride), vous pouvez afficher les échantillons envoyés à WildFire et les résultats d'analyse de chaque échantillon à l'aide du portail WildFire, en accédant au pare-feu qui a envoyé l'échantillon (ou Panorama, si vous gérez centralement de multiples pare-feu) ou à l'aide de l'API WildFire. Si Envoi des échantillons malveillants vers le cloud WildFire public est activé sur l'appareil WF-500, les résultats d'analyse du logiciel malveillant envoyé au cloud public peuvent également être visualisés sur le portail WildFire. Une fois que WildFire a analysé un échantillon et rendu un verdict de fichier malveillant, indésirable ou bénin, un rapport d'analyse détaillé est généré pour l'échantillon. Les rapports d'analyse WildFire qui sont visualisés sur le pare-feu qui a envoyé l'échantillon comprennent également des informations sur la session au cours de laquelle l'échantillon a été détecté. Pour les échantillons qui sont identifiés comme étant malveillants, le rapport d'analyse WildFire donne des détails sur les signatures WildFire existantes qui pourraient être liées à ce logiciel malveillant qui vient d'être identifié et des renseignements sur les attributs, le comportement et l'activité du fichier qui ont indiqué que l'échantillon était malveillant. Reportez-vous aux rubriques suivantes pour utiliser le portail WildFire ou un pare-feu connecté pour surveiller les envois WildFire, pour afficher les rapports des échantillons analysés et pour définir des alertes et des avis fondés sur les envois et les résultats d'envoi : Utilisation du pare-feu pour surveiller l'activité WildFire Utilisation du portail WildFire pour surveiller l'activité WildFire Rapports d'analyse WildFire : aperçu de près Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 57 Utilisation du pare-feu pour surveiller l'activité WildFire Surveillance de l'activité WildFire Utilisation du pare-feu pour surveiller l'activité WildFire Les échantillons qui ont été transférés par le pare-feu sont consignés au journal des Envois WildFire en tant qu'entrées. Un rapport d'analyse WildFire détaillé s'affiche dans la vue agrandie de chacune des entrées du journal des Envois WildFire. Configuration des paramètres du journal des envois WildFire Surveillance des envois et des rapports d'analyse WildFire Paramétrage des alertes pour la journalisation des logiciels malveillants Configuration des paramètres du journal des envois WildFire Activez les options suivantes pour les journaux Envois WildFire : Activation de la journalisation des échantillons de fichiers bénins ou indésirables Insertion des informations d'en-tête d'e-mail dans les journaux et rapports WildFire Insertion des informations d'ID utilisateur dans les journaux et rapports WildFire Activation de la journalisation des échantillons de fichiers bénins ou indésirables La journalisation des échantillons bénins et indésirables est désactivée par défaut. Les liens d'e-mail qui reçoivent des verdicts bénins ou indésirables ne sont pas journalisés. Activation de la journalisation des échantillons de fichiers bénins ou indésirables Step 1 Sélectionnez Périphérique > Configuration > WildFire, puis modifiez les Paramètres généraux. Step 2 Sélectionnez Signaler des fichiers bénins ou Signaler des fichiers indésirables, puis cliquez sur OK pour enregistrer les paramètres. 58 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Surveillance de l'activité WildFire Utilisation du pare-feu pour surveiller l'activité WildFire Insertion des informations d'en-tête d'e-mail dans les journaux et rapports WildFire Utilisez les étapes suivantes pour inclure les informations d'en-tête d'e-mail (expéditeur, destinataire(s) et objet de l'e-mail) dans les journaux et rapports WildFire. Les informations de session sont transférées au cloud WildFire conjointement à l'échantillon et servent à la production du rapport d'analyse WildFire. Ni le pare-feu, ni le cloud WildFire ne reçoit, ne stocke ou n'affiche le contenu de l'e-mail. Les informations de session peuvent vous permettre d'identifier et de corriger rapidement les menaces détectées dans les e-mails, les pièces jointes ou les liens, y compris d'identifier les destinataires ayant téléchargé du contenu malveillant ou accéder à un tel contenu. Insertion des informations d'en-tête d'e-mail dans les journaux et rapports WildFire Step 1 Sélectionnez Périphérique > Configuration > WildFire. Step 2 Modifiez la section Paramètres d'informations de session et activez une ou plusieurs des options (Expéditeur de l'e-mail, Destinataire de l'e-mail et Objet de l'e-mail). Step 3 Cliquez sur OK pour enregistrer les paramètres. Insertion des informations d'ID utilisateur dans les journaux et rapports WildFire Permettre au pare-feu de mettre en correspondance les informations d'ID utilisateur et les informations d'en-tête d'e-mail, afin que l'ID utilisateur du destinataire ayant reçu une pièce jointe malveillante ou un courrier électronique contenant un lien malveillant soit identifié en vue de créer une entrée de journal WildFire. Insertion des informations d'ID utilisateur dans les journaux et rapports WildFire Step 1 Sélectionnez Périphérique > Identification utilisateur > Paramètres de mappage de groupe. Step 2 Sélectionnez le profil de mappage de groupe souhaité pour le modifier. Step 3 Dans l'onglet Profil de serveur, dans la section Domaines de messagerie, renseignez le champ Liste des domaines : • Attributs de messagerie : ce champ est automatiquement renseigné lorsque vous renseignez le champ Liste des domaines et que vous cliquez sur OK. Les attributs dépendent du type de votre serveur LDAP (Sun/RFC, Active Directory et Novell). • Liste des domaines : saisissez la liste des domaines de messagerie de votre entreprise en les séparant par une virgule (256 caractères maximum). Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 59 Utilisation du pare-feu pour surveiller l'activité WildFire Surveillance de l'activité WildFire Insertion des informations d'ID utilisateur dans les journaux et rapports WildFire Lorsque les informations d'en-tête d'e-mail et les informations d'ID utilisateur sont mises en correspondance, le champ ID utilisateur du destinataire de la section En-têtes d'e-mail de la vue détaillée du journal d'envois contient un lien vers un centre de commande de l'application (ACC) filtré pour cet utilisateur ou groupe d'utilisateurs. Surveillance des envois et des rapports d'analyse WildFire Les échantillons que les pare-feu envoient pour analyse WildFire s'affichent en tant qu'entrées du journal des Envois WildFire sur l'interface Web du pare-feu. Pour chaque entrée WildFire, vous pouvez ouvrir une vue élargie du journal, dans laquelle apparaissent les détails du journal et le rapport d'analyse WildFire de l'échantillon. Surveillance des envois et des rapports WildFire Step 1 Transfert de fichiers pour analyse par WildFire. Step 2 Configuration des paramètres du journal des envois WildFire. 60 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Surveillance de l'activité WildFire Utilisation du pare-feu pour surveiller l'activité WildFire Surveillance des envois et des rapports WildFire (Continué) Step 3 Pour afficher les échantillons envoyés par un pare-feu à un cloud hybride, privé ou public, sélectionnez Surveillance > Envois WildFire. Une fois l'analyse WildFire d'un échantillon terminée, les résultats sont renvoyés au pare-feu qui a envoyé l'échantillon et sont accessibles dans les journaux des envois WildFire. La colonne Verdict indique si l'échantillon est bénin, malveillant ou indésirable. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 61 Utilisation du pare-feu pour surveiller l'activité WildFire Surveillance de l'activité WildFire Surveillance des envois et des rapports WildFire (Continué) Step 4 Pour toute entrée, sélectionnez l'icône Détails du log pour ouvrir une vue détaillée pour chaque entrée du journal : la vue détaillée du journal présente des informations sur le journal et le rapport d'analyse WildFire relatifs à l'entrée. Si la capture de paquet (PCAP) est activée pour le pare-feu, les échantillons de PCAP s'affichent également. Pour tous les échantillons, le rapport d'analyse WildFire affiche le fichier et les détails de la session. Pour les échantillons de logiciels malveillants, le rapport d'analyse WildFire est élargi pour y inclure des détails sur le comportement et les attributs du fichier qui indiquaient son caractère malveillant. Step 5 (Facultatif) Téléchargez le PDF du rapport d'analyse WildFire. 62 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Surveillance de l'activité WildFire Utilisation du pare-feu pour surveiller l'activité WildFire Paramétrage des alertes pour la journalisation des logiciels malveillants Vous pouvez configurer un pare-feu Palo Alto Networks afin d'envoyer une alerte lorsque WildFire identifie un fichier ou un lien d'e-mail malveillant. Vous pouvez également configurer des alertes pour les fichiers bénins ou indésirables, mais pas pour les liens d'e-mail bénins ou indésirables. Cet exemple décrit comment configurer une alerte d'e-mail. Vous pouvez toutefois configurer également le transfert de logs pour établir des alertes qui seront envoyées sous forme de messages Syslog, de pièges SNMP ou d'alertes Panorama. Paramétrage des alertes par e-mail en cas de détection d'un logiciel malveillant Step 1 Configurez un profil de serveur de messagerie. 1. Sélectionnez Périphérique > Profils de serveur > Messagerie. 2. Cliquez sur Ajouter, puis donnez un nom au profil. Par exemple, Profil-de-messagerie-WildFire. 3. (Facultatif) Sélectionnez le système virtuel auquel ce profil s'applique dans la liste déroulante Emplacement. 4. Cliquez sur Ajouter pour ajouter une nouvelle entrée de serveur de messagerie, puis saisissez les informations requises pour vous connecter au serveur SMTP (Simple Mail Transport Protocol) et envoyer un e-mail (un maximum de quatre serveurs de messagerie peuvent être ajoutés au profil) : • Serveur : nom identifiant le serveur de messagerie (1 à 31 caractères). Ce champ est un simple intitulé et ne doit pas comporter le nom d'hôte d'un serveur SMTP existant. • Nom complet : nom à afficher dans le champ De du courrier électronique. • De : adresse de messagerie à partir de laquelle les e-mails de notification sont envoyés. • À : adresse de messagerie vers laquelle les e-mails de notification sont envoyés. • Autre(s) destinataire(s) - Saisissez une adresse e-mail à laquelle les notifications seront envoyées à un second destinataire. • Passerelle : adresse IP ou nom d'hôte de la passerelle SMTP à utiliser pour envoyer les messages électroniques. Step 2 5. Cliquez sur OK pour enregistrer le profil de serveur. 6. Cliquez sur Valider pour enregistrer les modifications de la configuration active. Testez le profil du serveur de messagerie. 1. Palo Alto Networks Sélectionnez Surveillance > Rapports PDF > Planificateur de courrier électronique. 2. Cliquez sur Ajouter et sélectionnez le nouveau profil de messagerie dans la liste déroulante Profil de messagerie. 3. Cliquez sur le bouton Envoyer un e-mail de test et un e-mail de test doit être envoyé aux destinataires définis dans le profil de messagerie. Guide de l’administrateur WildFire 7.0 • 63 Utilisation du pare-feu pour surveiller l'activité WildFire Surveillance de l'activité WildFire Paramétrage des alertes par e-mail en cas de détection d'un logiciel malveillant (Continué) Step 3 Configurez un profil de transfert de logs 1. pour activer l'envoi des logs WildFire vers 2. Panorama, un compte de messagerie, SNMP et/ou un serveur syslog. 3. Dans cet exemple, vous établirez l'envoi par e-mail des journaux lorsqu'un échantillon est déterminé comme étant malveillant. Vous pouvez également activer l'envoi des journaux de fichiers bénins et indésirables, ce qui produira plus d'activité lors du test. Sélectionnez Objets > Transfert des logs. Cliquez sur Ajouter et donnez un nom au profil. Par exemple, Transfert des journaux WildFire. Dans la section Paramètres WildFire, sélectionnez le profil de messagerie dans la colonne Messagerie pour Malveillant comme illustré dans la capture d'écran. Pour transférer des journaux vers Panorama, cochez les cases situées sous la colonne Panorama pour Bénin, Indésirable ou Malveillant. Pour SNMP et Syslog, cliquez sur la liste déroulante, choisissez le profil approprié ou cliquez sur Nouveau pour configurer un nouveau profil. 4. Step 4 Ajoutez le profil de transfert des journaux 1. à une politique de sécurité utilisée pour le transfert WildFire (avec un profil 2. d'analyse WildFire associé). Le profil d'analyse WildFire définit le trafic que le pare-feu envoie pour analyse 3. WildFire. Pour définir un profil d'analyse WildFire et l'associer à une règle de politique de sécurité, reportez-vous à la section Transfert de fichiers pour analyse par WildFire. 64 • Guide de l’administrateur WildFire 7.0 Cliquez sur OK pour enregistrer les modifications. Sélectionnez Politiques > Sécurité et cliquez sur la politique utilisée pour le transfert WildFire. Dans l'onglet Actions de la section Paramètre des journaux, sélectionnez le profil de Transfert des journaux que vous avez configuré. Cliquez sur OK pour enregistrer les modifications, puis sur Valider pour valider la configuration. Palo Alto Networks Surveillance de l'activité WildFire Utilisation du portail WildFire pour surveiller l'activité WildFire Utilisation du portail WildFire pour surveiller l'activité WildFire Connectez-vous au portail WildFire de Palo Alto Networks à l'aide de vos informations d'identification du support Palo Alto Networks ou de votre compte WildFire. Le portail affiche le tableau de bord, qui répertorie les informations des rapports de synthèse de l'ensemble des pare-feu associés à un abonnement WildFire spécifique ou à un compte de support. Pour chaque périphérique répertorié, le portail propose des statistiques sur le nombre d'échantillons infectés par des logiciels malveillants, les échantillons bénins ayant été analysés et le nombre de fichiers attendant d'être analysés. Votre compte du portail WildFire affiche des données sur chacun des échantillons envoyés par les pare-feu de votre réseau qui sont connectés au cloud WildFire public ainsi que des données sur les échantillons envoyés manuellement au portail. De plus, si vous avez autorisé un appareil WF-500 à transférer les fichiers et logiciels malveillants vers le cloud WildFire public pour qu'une signature soit générée et distribuée, les rapports de ces échantillons malveillants sont également accessibles sur le portail. Reportez-vous aux sections suivantes pour obtenir de plus amples précisions sur l'utilisation du portail WildFire pour surveiller l'activité WildFire : Configuration des paramètres du portail WildFire Ajout des utilisateurs du portail WildFire Affichage des rapports sur le portail WildFire Configuration des paramètres du portail WildFire Cette section décrit les différents paramètres d'un compte du cloud WildFire pouvant être personnalisés, comme le fuseau horaire et les notifications par e-mail dans chaque pare-feu connecté au compte. Vous pouvez également supprimer les journaux du pare-feu stockés dans le cloud. Personnalisation des paramètres du portail WildFire Connectez-vous au cloud WildFire, puis sélectionnez Paramètres dans la barre de menus pour modifier le fuseau horaire, la zone ainsi que les paramètres de la journalisation et des notifications. • Configurez le fuseau horaire du compte du cloud Sélectionnez un fuseau horaire dans la liste déroulante Définir le WildFire. fuseau horaire, puis Mettre à jour le fuseau horaire pour enregistrer la modification. L'horodatage qui s'affiche sur les rapports d'analyse WildFire est basé sur le fuseau horaire configuré pour le compte du cloud WildFire. • Supprimez les journaux WildFire de certains pare-feu qui sont hébergés sur le cloud. Palo Alto Networks 1. Dans la liste déroulante Supprimer les rapports WildFire, sélectionnez un pare-feu (par numéro de série), puis sélectionnez Supprimer les rapports pour retirer les journaux propres à ce pare-feu du portail WildFire. Cette action ne supprime pas les journaux stockés sur le pare-feu. 2. Cliquez sur OK pour confirmer la suppression. Guide de l’administrateur WildFire 7.0 • 65 Utilisation du portail WildFire pour surveiller l'activité WildFire Surveillance de l'activité WildFire Personnalisation des paramètres du portail WildFire • Configurez les notifications par e-mail selon les 1. verdicts d'analyse WildFire. Dans la section Configuration des alertes, cochez la case Malveillant, Indésirable ou Bénin pour recevoir des notifications par e-mail en fonction des verdicts suivants : • Pour recevoir des notifications selon les verdicts pour l'ensemble des échantillons chargés sur le cloud WildFire, cochez les cases de verdict qui se trouvent à la ligne intitulée Tout. • Pour recevoir des notifications selon les verdicts pour l'ensemble des échantillons qui sont chargés manuellement sur le cloud WildFire public au moyen du portail WildFire, cochez les cases de verdict qui se trouvent à la ligne intitulée Manuel. • Sélectionnez les cases de verdict pour un ou plusieurs numéros de série de pare-feu pour recevoir des avis selon les verdicts pour les échantillons envoyés par ces pare-feu. 2. Sélectionnez Mettre à jour la notification pour activer l'envoi des notifications selon les verdicts à l'adresse e-mail associée à votre compte de support. Ajout des utilisateurs du portail WildFire Les comptes du portail WildFire sont créés par un super utilisateur (le propriétaire enregistré d'un périphérique Palo Alto Networks) afin que d'autres utilisateurs puissent se connecter au cloud WildFire et consulter les données des périphériques auxquels le super utilisateur leur a autorisé l'accès. Un utilisateur WildFire peut être un utilisateur associé à un compte Palo Alto Networks existant ou un utilisateur qui n'est pas associé à un compte de support Palo Alto Networks, à qui vous pouvez accorder l'accès uniquement aux clouds WildFire public et à un ensemble donné de données provenant des pare-feu. Ajout de comptes utilisateur WildFire Step 1 Sélectionnez le compte pour lequel vous souhaitez ajouter des utilisateurs qui peuvent accéder au portail WildFire. 1. Connectez-vous au site de support de Palo Alto Networks. 2. Sous Gérer un compte, cliquez sur Utilisateurs et comptes. 3. Sélectionnez un compte ou un sous-compte existant. Les utilisateurs du portail WildFire peuvent visualiser les données de tous les pare-feu associés au compte de support. 66 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Surveillance de l'activité WildFire Utilisation du portail WildFire pour surveiller l'activité WildFire Ajout de comptes utilisateur WildFire (Continué) Step 2 Ajoutez un utilisateur WildFire. 1. Cliquez sur le bouton Ajouter un utilisateur WildFire. 2. Saisissez l'adresse e-mail de l'utilisateur que vous souhaitez ajouter. Lors de l'ajout d'un utilisateur, la seule restriction est que l'adresse e-mail ne doit pas provenir d'un compte e-mail gratuit basé sur le Web (Gmail, Hotmail ou Yahoo). Si une adresse e-mail est saisie pour un domaine qui n'est pas pris en charge, une fenêtre d'avertissement contextuelle s'affiche. Step 3 Assignez des pare-feu au nouveau compte Sélectionnez le ou les pare-feu par numéro de série au(x)quel(s) vous utilisateur et accédez au cloud WildFire. voulez autoriser l'accès et renseignez les détails facultatifs du compte. Les utilisateurs titulaires d'un compte de support existant vont recevoir un e-mail avec une liste des pare-feu permettant désormais de consulter les rapports WildFire. Si un utilisateur ne dispose pas d'un compte de support, le portail envoie un e-mail avec des instructions indiquant comment accéder au portail et comment configurer un nouveau mot de passe. Le nouvel utilisateur peut désormais se connecter au cloud WildFire et consulter les rapports WildFire des pare-feu dont l'accès lui a été autorisé. Les utilisateurs peuvent également configurer l'envoi d'alertes automatiques par e-mail pour ces périphériques concernant les fichiers analysés. Il peut choisir de recevoir des rapports de fichiers malveillants et/ou bénins. Affichage des rapports sur le portail WildFire Le portail WildFire affiche les rapports des échantillons qui sont envoyés du pare-feu, chargés manuellement ou chargés à l'aide de l'API du pare-feu. Sélectionnez Rapports pour afficher les plus récents rapports des échantillons analysés par le cloud WildFire. Pour chaque échantillon répertorié, l'entrée du rapport indique la date et l'heure de réception de l'échantillon par le cloud, le numéro de série du pare-feu qui a envoyé le fichier, le nom de fichier ou l'URL ainsi que le verdict rendu par WildFire (bénin, indésirable ou malveillant). Utilisez l'option de recherche pour chercher des rapports selon le nom de fichier ou la valeur de hachage de l'échantillon. Vous pouvez également restreindre les résultats affichés en n'affichant que les rapports des échantillons envoyés par une Source donnée (afficher uniquement les résultats des échantillons envoyés manuellement ou par un pare-feu donné) ou des échantillons qui ont reçu un Verdict WildFire particulier (tous les verdicts, verdict bénin, verdict malveillant, verdict indésirable ou en attente). Pour afficher un rapport dans le portail, cliquez sur l'icône Rapports située à gauche du nom du rapport. Pour enregistrer le rapport détaillé, cliquez sur le bouton Télécharger au format PDF dans le coin supérieur droit de la page du rapport. Pour plus de précisions sur les rapports d'analyse WildFire, reportez-vous à la section Rapports d'analyse WildFire : aperçu de près. Voici une liste des échantillons de fichiers envoyés par un pare-feu donné : Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 67 Utilisation du portail WildFire pour surveiller l'activité WildFire 68 • Guide de l’administrateur WildFire 7.0 Surveillance de l'activité WildFire Palo Alto Networks Surveillance de l'activité WildFire Rapports d'analyse WildFire : aperçu de près Rapports d'analyse WildFire : aperçu de près Accès aux rapports d'analyse WildFire sur le pare-feu, sur le portail WildFire et sur l'API WildFire. Les rapports d'analyse WildFire affichent des informations détaillées sur l'échantillon ainsi que des informations sur l'utilisateur ciblé, des informations d'en-tête d'e-mail (si activé), l'application contenant le fichier et toutes les URL impliquées dans la transmission ou dans l'activité phone-home du fichier. Les rapports WildFire contiennent quelques ou toutes les informations décrites dans le tableau suivant selon les informations de session configurées sur le pare-feu ayant transféré le fichier et selon le comportement observé du fichier. Lors de l'affichage du rapport WildFire d'un fichier chargé manuellement dans le portail WildFire ou à l'aide de l'API WildFire, ce rapport ne fournit aucune information de session, car le trafic n'a pas traversé le pare-feu. Par exemple, le rapport ne va pas afficher le pirate/source et la victime/destination. En-tête du rapport Description Informations sur le fichier • Type de fichier - Flash, PE, PDF, APK, JAR/Class ou MS Office. Ce champ correspond à l'URL nommée pour les rapports de lien d'e-mail HTTP/HTTPS et affiche l'URL qui a été analysée. • Signataire du fichier - Entité qui a signé le fichier à des fins d'authenticité. • Valeur de hachage - Le hachage de fichier s'apparente à une empreinte qui identifie de manière unique un fichier pour s'assurer qu'il n'a subi aucune modification. Voici une liste des versions de hachage générées par WildFire pour chaque fichier analysé : • SHA-1 - Affiche la valeur SHA-1 du fichier. • SHA-256 - Affiche la valeur SHA-256 du fichier. • MD5 - Affiche les informations MD5 du fichier. • Taille du fichier - Taille (en octets) du fichier analysé par WildFire. • Horodatage de la première analyse - Si le système WildFire a analysé le fichier précédemment, il s'agit de la date et de l'heure auxquelles il a été observé en premier. • Verdict - Affiche le verdict de l'analyse : • Bénin - Le fichier est sûr et ne manifeste aucun comportement malveillant. • Indésirable - Le fichier se comporte d'une façon similaire aux fichiers malveillants, mais ne menace pas directement la sécurité. Il peut s'agir de fichiers exécutables qui ont un comportement dérangeant, mais qui ne sont pas de nature malveillante. Les logiciels publicitaires, les logiciels espions et les objets BHO (Browser Helper Objects/objets de l'assistant du navigateur) sont des exemples de logiciels indésirables • Malveillant - WildFire a identifié le fichier comme étant un logiciel malveillant et génère une signature pour le protéger contre toute exposition future. • Échantillon de fichier - Cliquez sur le lien Télécharger le fichier pour télécharger l'échantillon de fichier sur votre système local. Notez que vous pouvez uniquement télécharger des fichiers avec le verdict Malveillant, et non Bénin. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 69 Rapports d'analyse WildFire : aperçu de près Surveillance de l'activité WildFire En-tête du rapport Description État de la couverture Cliquez sur le lien Total de virus pour afficher les informations de couverture antivirus du point d'extrémité des échantillons qui ont déjà été identifiés par d'autres fournisseurs. Si le fichier est inconnu des fournisseurs répertoriés, le message Fichier introuvable s'affiche. De plus, lorsque le rapport est affiché sur le pare-feu, des informations actualisées sur cette signature et la couverture de filtrage des URL fournie par Palo Alto Networks pour protéger contre la menace s'affichent également dans cette section. Ces informations étant récupérées de manière dynamique, elles n'apparaissent pas dans le rapport PDF. La capture d'écran suivante illustre l'état de la couverture qui s'affiche après l'affichage du rapport sur le pare-feu : Les informations de couverture suivantes sont fournies pour les signatures actives : • Type de couverture - Le type de protection proposée par Palo Alto Networks (virus, DNS, WildFire ou URL malveillante). • ID de signature - Un numéro d'ID unique attribué à chaque signature fournie par Palo Alto Networks. • Détail - Le nom connu du virus. • Date de publication - La date à laquelle Palo Alto Networks a publié la couverture de protection contre le logiciel malveillant. • Version du contenu - Le numéro de version du contenu offrant une protection contre le logiciel malveillant. Information de session Contient des informations de session selon que le trafic traverse ou non le pare-feu ayant transféré l'échantillon. Pour définir les informations de session que WildFire inclura dans les rapports, sélectionnez Périphérique > Configuration > WildFire > Paramètres d'informations de session. Les options suivantes sont disponibles : • Adresse IP source • Port source • Adresse IP de destination • Port de destination • Système virtuel (si l'option Systèmes virtuels multiples est configurée sur le pare-feu) • Application • Utilisateur (si l'option User-ID est configurée sur le pare-feu) • URL • Nom de fichier • Expéditeur de l'e-mail • Destinataire de l'e-mail • Objet de l'e-mail 70 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Surveillance de l'activité WildFire Rapports d'analyse WildFire : aperçu de près En-tête du rapport Description Analyse dynamique Si un fichier présente un risque faible et si WildFire peut facilement déterminer qu'il est sûr, seule une analyse statique est effectuée, au lieu d'une analyse dynamique. Lorsqu'une analyse dynamique est effectuée, cette section contient des onglets pour chaque environnement virtuel dans lequel l'échantillon a été exécuté lors de son analyse dans le cloud WildFire. Par exemple, l'onglet Machine virtuelle 1 peut disposer des attributs Windows XP, Adobe Reader 9.3.3 et Office 2003, tandis que l'onglet Machine virtuelle 2 peut comporter Office 2007 en plus. Lorsqu'une analyse dynamique complète est effectuée, le fichier est exécuté sur chaque machine virtuelle et les résultats de chaque environnement peuvent être consultés en cliquant sur l'un des onglets de machine virtuelle. Sur l'appareil WildFire WF-500, une seule machine virtuelle est utilisée pour l'analyse, que vous sélectionnez en fonction des attributs de l'environnement virtuel qui correspondent le mieux à votre environnement local. Par exemple, si la plupart des utilisateurs ont Windows 7 32 bits, cette machine virtuelle doit être sélectionnée. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 71 Rapports d'analyse WildFire : aperçu de près Surveillance de l'activité WildFire En-tête du rapport Description Récapitulatif comportemental Chaque onglet de machine virtuelle récapitule le comportement de l'échantillon de fichier dans l'environnement spécifique. Des exemples montrent si l'échantillon a créé ou modifié des fichiers, démarré un processus, créé de nouveaux processus, modifié le registre ou installé des objets BHO (Browser Helper Objects/objets de l'assistant du navigateur). La colonne Gravité indique la gravité de chaque comportement. Un niveau de gravité faible est indiqué par une barre et plus la gravité est élevée, plus le nombre de barres augmente. Ces informations sont également ajoutées aux sections d'analyse dynamique et statique. Voici une description des divers comportements analysés : • Activité réseau - Indique l'activité réseau de l'échantillon, notamment l'accès à d'autres hôtes sur le réseau, les requêtes DNS et l'activité phone-home. Un lien est fourni pour télécharger la capture de paquets. • Activité d'hôte (par processus) - Répertorie les activités exécutées sur l'hôte comme les clés de registre qui ont été définies, modifiées ou supprimées. • Activité de processus - Répertorie les fichiers qui ont démarré un processus parent, le nom du processus et l'action exécutée par ce processus. • Fichier - Répertorie les fichiers qui ont démarré des processus enfant, le nom du processus et l'action exécutée par ce processus. • Mutex - Si l'échantillon de fichier génère d'autres threads du programme, le nom mutex et le processus parent sont journalisés dans ce champ. • Chronologie des activités - Répertorie une liste détaillée de toutes les activités de l'échantillon qui ont été enregistrées. Celle-ci permet de mieux comprendre la séquence d'événements qui s'est produite lors de l'analyse. Les informations de chronologie des activités sont uniquement disponibles dans l'export PDF des rapports WildFire. Envoyer malveillant Utilisez cette option pour envoyer manuellement l'échantillon à Palo Alto Networks. Le cloud WildFire va analyser de nouveau l'échantillon et générer une signature s'il détermine qu'il est malveillant. Ceci est utile sur un appareil WF-500 sur lequel la génération de signatures ou l'intelligence du cloud n'est pas activée, et qui est utilisé pour transférer un logiciel malveillant depuis l'appareil sur le cloud WildFire. Signaler un verdict incorrect Cliquez sur ce lien pour envoyer l'échantillon à l'équipe de prévention des menaces de Palo Alto Networks, si vous pensez que le verdict est un faux positif ou un faux négatif. L'équipe de prévention des menaces effectuera une autre analyse de l'échantillon pour déterminer s'il doit être reclassé. Si un échantillon malveillant est déterminé comme étant sûr, la signature du fichier est désactivée dans la prochaine mise à jour de signature antivirus ; si un fichier bénin est déterminé comme étant malveillant, une nouvelle signature est générée. Une fois la recherche terminée, vous recevez un e-mail décrivant l'action exécutée. 72 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de l'API WildFire L'API WildFire™ vous permet d'envoyer des tâches d'analyse de fichiers à WildFire et de rechercher des données via une interface API XML simple qui est prise en charge sur le cloud public WildFire et pour l'appareil WF-500. Reportez-vous aux sections suivantes pour obtenir de plus amples précisions sur l'utilisation de l'API WildFire : À propos des abonnements à WildFire et des clés API Méthodes d'envoi de fichiers de l'API WildFire Requête d'un rapport PDF ou XML WildFire Utilisation de l'API pour récupérer un échantillon de fichier malveillant pour le test Utilisation de l'API pour récupérer un échantillon ou une PCAP Utilisation de l'API WildFire sur un appareil WF-500 Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 73 À propos des abonnements à WildFire et des clés API Utilisation de l'API WildFire À propos des abonnements à WildFire et des clés API La clé API de WildFire peut être activée, à condition qu'au moins un pare-feu Palo Alto Networks dispose d'un abonnement WildFire actif enregistré chez le titulaire d'un compte appartenant à votre organisation. Vous pouvez partager la même clé API au sein de votre organisation. La clé API s'affiche dans la section Mon compte du portail Web WildFire, avec des statistiques, comme le nombre de chargements et de requêtes réalisés avec cette clé. Elle doit être considérée comme étant secrète et ne doit pas être partagée en dehors des canaux autorisés. L'API WildFire utilise des requêtes HTTP standard pour envoyer et recevoir des données. Des appels API peuvent être émis directement par des utilitaires de ligne de commande, comme cURL, ou en utilisant des structures de scripts ou d'applications prenant en charge les services REST. Les méthodes API sont hébergées sur le cloud WildFire et le protocole HTTPS (et non pas HTTP) est requis pour protéger votre clé API et toutes les autres données échangées avec le service. Une clé API WildFire autorise jusqu'à 1000 chargements d'échantillons et jusqu'à 10 000 requêtes de rapport par jour. Pour utiliser l'API WildFire sur un appareil WF-500, vous générez une clé API directement à partir de l'appareil et vous utilisez l'adresse IP ou le nom de domaine complet de l'URL pour rechercher l'appareil. Toutes les fonctions sont les mêmes que si vous utilisiez l'API sur le cloud WildFire public. Par exemple, l'URL pour récupérer un rapport sur le cloud public WildFire est https://wildfire.paloaltonetworks.com/publicapi/get/report. L'URL pour récupérer un rapport sur un appareil WF-500 avec l'adresse IP 10.3.4.50 serait la suivante : https://10.3.4.50/publicapi/get/report. Pour un exemple, reportez-vous à la section Utilisation de l'API WildFire sur un appareil WF-500. 74 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de l'API WildFire Méthodes d'envoi de fichiers de l'API WildFire Méthodes d'envoi de fichiers de l'API WildFire Suivez les méthodes suivantes pour envoyer des fichiers dans WildFire : Envoi d'un fichier au cloud WildFire à l'aide de la méthode Submit File Envoi d'un fichier à WildFire à l'aide de la méthode Submit URL Envoi d'un fichier au cloud WildFire à l'aide de la méthode Submit File L'API WildFire peut servir à l'envoi de tous les types de fichiers pris en charge (pour connaître la liste des types de fichiers pris en charge, reportez-vous à la section Analyse du type de fichier). Le fichier, ainsi que votre clé API, sont requis lors de l'envoi à WildFire pour analyse. Le code retour de la méthode submit-file indique une réussite ou une erreur. Si le code 200 OK est renvoyé, l'envoi a réussi et ses résultats peuvent normalement être consultés au bout de cinq minutes. Le tableau suivant décrit les attributs de l'API nécessaires pour envoyer des fichiers au cloud WildFire à l'aide de la méthode Submit file : URL https://wildfire.paloaltonetworks.com/publicapi/submit/file Méthode POST Paramètres apikey Votre clé API WildFire fichier Échantillon de fichier à analyser 200 OK Indique la réussite et un rapport est renvoyé 401 Unauthorized Clé API non valide 405 Method Not Allowed Utilisation d'une méthode autre que POST 413 Request Entity Too Large La taille de l'échantillon de fichier dépasse la limite maximale 418 Unsupported File Type Le type d'échantillon de fichier n'est pas pris en charge 419 Max Request Reached Dépassement du nombre maximum de chargements quotidiens 500 Erreur interne 513 Échec du chargement du fichier Retour Envoi d'un fichier à WildFire à l'aide de la méthode Submit URL La méthode submit-url permet d'envoyer un fichier pour l'analyser via une URL. L'interface et la fonctionnalité de cette méthode sont identiques à la méthode submit-file, sauf que le paramètre file est remplacé par le paramètre url. Le paramètre url doit pointer vers un type de fichier pris en charge et accessible. Si le code 200 OK est renvoyé, l'envoi a réussi et ses résultats peuvent généralement être consultés au bout de cinq minutes. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 75 Méthodes d'envoi de fichiers de l'API WildFire Utilisation de l'API WildFire Le tableau suivant décrit les attributs de l'API nécessaires pour envoyer des fichiers au cloud WildFire à l'aide d'une URL : URL https://wildfire.paloaltonetworks.com/publicapi/submit/url Méthode POST Paramètres apikey Votre clé API WildFire URL L'URL du fichier à analyser. L'URL doit contenir le nom du fichier, par exemple http://paloaltonetworks.com/folder1/my-file.pdf. 200 OK Indique la réussite et un rapport est renvoyé 401 Unauthorized Clé API non valide 405 Method Not Allowed Utilisation d'une méthode autre que POST 413 Request Entity Too Large La taille de l'échantillon de fichier dépasse la limite maximale 418 Unsupported File Type Le type d'échantillon de fichier n'est pas pris en charge 419 Max Request Reached Dépassement du nombre maximum de chargements quotidiens 422 Erreur de téléchargement d'URL 500 Erreur interne Retour Exemples de code pour l'envoi de fichiers La commande cURL suivante illustre l'envoi d'un fichier à WildFire à l'aide de la méthode submit file : curl –k -F apikey=yourAPIkey -F file=@local-file-path https://wildfire.paloaltonetworks.com/publicapi/submit/file L'exemple de code shell suivant illustre un script simple permettant d'envoyer un fichier à l'API WildFire pour analyse. La clé API est fournie en tant que premier paramètre et le chemin d'accès au fichier est le second paramètre : #manual upload sample to WildFire with APIKEY #Parameter 1: APIKEY #Parameter 2: location of the file key=$1 file=$2 /usr/bin/curl -i -k -F apikey=$key -F file=@$file https://wildfire.paloaltonetworks.com/submit/file La commande cURL suivante illustre l'envoi d'un fichier à WildFire à l'aide de la méthode submit URL : curl –k -F apikey=yourAPIkey -F url=URL https://wildfire.paloaltonetworks.com/publicapi/submit/url 76 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de l'API WildFire Requête d'un rapport PDF ou XML WildFire Requête d'un rapport PDF ou XML WildFire La méthode get report permet d'obtenir les résultats d'analyse d'un rapport XML ou PDF d'un échantillon donné. Utilisez le hachage MD5 ou SHA-256 de l'échantillon de fichier comme demande de recherche. Le tableau suivant décrit les attributs de l'API nécessaires pour obtenir des rapports : URL https://wildfire.paloaltonetworks.com/publicapi/get/report Méthode POST Paramètres hash La valeur MD5 ou SHA-256 de l'échantillon apikey Votre clé API WildFire format Format de rapport : PDF ou XML 200 OK Indique la réussite et un rapport est renvoyé 401 Unauthorized Clé API non valide 404 Not Acceptable Le rapport est introuvable 405 Method Not Allowed Utilisation d'une méthode autre que POST 419 Quota de demande de rapport dépassé 420 Arguments insuffisants 421 Arguments non valides 500 Erreur interne Retour Exemple de requête d'un rapport PDF ou XML à l'aide de l'API La commande cURL suivante illustre la requête d'un rapport PDF à l'aide du hachage MD5 d'un échantillon donné : curl –k -F hash=1234556 -F format=pdf -F apikey=yourAPIkey https://wildfire.paloaltonetworks.com/publicapi/get/report Pour récupérer la version XML du rapport, remplacez format=pdf par format=xml. Par exemple : curl -k -F hash=1234556 -F format=xml -F apikey=yourAPIkey https://wildfire.paloaltonetworks.com/publicapi/get/report Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 77 Utilisation de l'API pour récupérer un échantillon de fichier malveillant pour le test Utilisation de l'API WildFire Utilisation de l'API pour récupérer un échantillon de fichier malveillant pour le test Cette section décrit la syntaxe de l'API permettant de récupérer un échantillon de fichier malveillant, qui peut être utilisé pour tester le traitement des échantillons WildFire du début à la fin. Pour plus d'informations sur l'échantillon de fichier, consultez la section Test d'un échantillon de fichier malveillant. Pour récupérer le fichier à l'aide de l'API : API : GET https://wildfire.paloaltonetworks.com/publicapi/test/pe Ceci renvoie un fichier de test ; chaque appel de l'API renvoie un fichier similaire, mais avec une valeur SHA256 différente. Si vous rencontrez des problèmes lors de la récupération du fichier, une erreur interne au serveur (500) est renvoyée. Pour récupérer le fichier de test à l'aide d'une commande cURL : curl –k https://wildfire.paloaltonetworks.com/publicapi/test/pe 78 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de l'API WildFire Utilisation de l'API pour récupérer un échantillon ou une PCAP Utilisation de l'API pour récupérer un échantillon ou une PCAP Utilisation de l'API pour récupérer un échantillon Utilisation de l'API pour récupérer une capture de paquets (PCAP) Utilisation de l'API pour récupérer un échantillon Utilisez la méthode get-sample pour récupérer un échantillon spécifique. Vous pouvez utiliser le hachage MD5 ou SHA-256 de l'échantillon de fichier comme demande de recherche. URL https://wildfire.paloaltonetworks.com/publicapi/get/sample Méthode POST Paramètres hash La valeur MD5 ou SHA-256 de l'échantillon apikey Votre clé API WildFire 200 OK Indique la réussite et un échantillon est renvoyé 401 Unauthorized Clé API non valide 403 Forbidden Autorisation refusée 404 Not Acceptable L'échantillon est introuvable 405 Method Not Allowed Utilisation d'une méthode autre que POST 419 Quota de demande d'échantillon dépassé 420 Arguments insuffisants 421 Arguments non valides 500 Erreur interne Retour Exemple de requête d'API pour Get-sample La commande cURL suivante illustre la requête d'un échantillon à l'aide du hachage MD5 de l'échantillon : curl -k -F hash=md5hash -F apikey=yourAPIkey https://wildfire.paloaltonetworks.com/publicapi/get/sample Utilisation de l'API pour récupérer une capture de paquets (PCAP) La méthode get-pcap permet d'obtenir un PCAP enregistré pendant l'analyse d'un échantillon donné. Utilisez le hachage MD5 ou SHA-256 de l'échantillon de fichier comme demande de recherche. Vous pouvez éventuellement définir la plateforme du PCAP souhaité afin de spécifier le PCAP à renvoyer. Si aucune plateforme n'est spécifiée, la méthode renvoie un PCAP d'une session dont le résultat a été Logiciel malveillant. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 79 Utilisation de l'API pour récupérer un échantillon ou une PCAP Utilisation de l'API WildFire Les échantillons chargés avant août 2014 ne garantissent pas le renvoi d'une PCAP si aucun paramètre de plateforme n'est spécifié. Le tableau suivant décrit les paramètres de plateforme disponibles : ID de plateforme Description 1 Windows XP, Adobe Reader 9.3.3, Office 2003 2 Windows XP, Adobe Reader 9.4.0, Flash 10, Office 2007 3 Windows XP, Adobe Reader 11, Flash 11, Office 2010 4 Windows 7 32 bits, Adobe Reader 11, Flash 11, Office 2010 5 Windows 7 64 bits, Adobe Reader 11, Flash 11, Office 2010. 201 Android 2.3, API 10, avd2.3.1 Le tableau suivant décrit les attributs de l'API nécessaires pour obtenir des PCAP : URL https://wildfire.paloaltonetworks.com/publicapi/get/pcap Méthode POST Paramètres hash La valeur MD5 ou SHA-256 de l'échantillon apikey Votre clé API WildFire platform* Environnement d'analyse cible 200 OK Indique la réussite et un PCAP est renvoyé 401 Unauthorized Clé API non valide 403 Forbidden Autorisation refusée 404 Not Acceptable Le PCAP est introuvable 405 Method Not Allowed Utilisation d'une méthode autre que POST 419 Request sample quota exceeded 420 Arguments insuffisants 421 Arguments non valides 500 Erreur interne Retour * Paramètre facultatif Exemple de requête d'API pour Get-PCAP La commande cURL suivante illustre la requête d'un PCAP à l'aide du hachage MD5 de l'échantillon : curl -k -F hash=md5hash -F apikey=yourAPIkey -F platform=targetPlatform https://wildfire.paloaltonetworks.com/publicapi/get/pcap 80 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de l'API WildFire Utilisation de l'API WildFire sur un appareil WF-500 Utilisation de l'API WildFire sur un appareil WF-500 Pour utiliser l'API XML WildFire sur un appareil WF-500, vous devez tout d'abord générer une clé API sur l'appareil et l'utiliser sur l'ordinateur hôte exécutant les fonctions de l'API. L'URL utilisée pour rechercher l'appareil est basée sur l'adresse IP ou le nom de domaine complet de l'appareil. Lorsque les clés sont générées et que vous disposez de l'URL pour rechercher l'appareil, vous pouvez exécuter les mêmes fonctions de l'API que celles prises en charge sur le cloud WildFire. Les rubriques suivantes décrivent comment gérer les clés API sur l'appareil et proposent un exemple d'utilisation de l'API WildFire pour envoyer des échantillons de fichier à l'appareil. Génération de clés API sur l'appareil WF-500 Gestion des clés API sur l'appareil WF-500 Utilisation de l'API WildFire sur un appareil WF-500 Génération de clés API sur l'appareil WF-500 Génération d'une clé API Step 1 Générez une nouvelle clé API sur l'appareil WF-500. L'appareil prend en charge jusqu'à 100 clés API. Il est recommandé de supprimer l'option valeur-clé à ce stade. Le pare-feu génèrera une clé automatiquement. Si vous saisissez une clé manuellement, l'option valeur-clé doit être composée de caractères (a-z) ou chiffres (0-9) 64 bits que vous choisissez de manière aléatoire. 1. Connectez-vous à la CLI de l'appareil WF-500. 2. Générez la clé API selon l'une des méthodes suivantes : • Générez une clé automatiquement : admin@WF-500> create wildfire api-key name nom-clé Par exemple, pour créer une clé nommée ma-clé-api: admin@WF-500> create wildfire api-key name ma-clé-api • Pour générer une clé manuellement (où valeur-clé est une clé 64 bits) : admin@WF-500> create wildfire api-key name ma-clé-api key valeur-clé Par exemple : admin@WF-500> create wildfire api-key name ma-clé-api key 0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F45 5F142494BC43D4A1 Step 2 Affichez les clés API que vous avez générées. Affichez toutes les clés API : admin@WF-500> show wildfire api-key all Cette commande affiche également la date de génération et de la dernière utilisation de la clé. Dans cet exemple, l'appareil a généré la clé suivante avec le nom ma-clé-api : 0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F1424 94BC43D4A1 Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 81 Utilisation de l'API WildFire sur un appareil WF-500 Utilisation de l'API WildFire Gestion des clés API sur l'appareil WF-500 Cette section décrit des commandes utiles que vous pouvez utiliser pour gérer des clés API WildFire sur l'appareil et décrit comment exporter et importer les clés. Par exemple, vous pouvez souhaiter exporter toutes vos clés à des fins de sauvegarde ou pour simplifier l'accès aux clés à partir des systèmes qui utiliseront l'API pour exécuter diverses fonctions sur l'appareil. Gestion des clés API Désactivez ou activez une clé API : [disable | enable] key clé-api Par exemple, pour désactiver la clé API utilisée dans cet exemple : admin@WF-500> edit wildfire api-key status admin@WF-500> edit wildfire api-key status disable key 0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F142494BC43D4A1 Dans la commande ci-dessus, vous pouvez saisir les premiers chiffres uniques de la clé et appuyez sur la touche Tabulation pour saisir les chiffres restants. Supprimez une clé API : admin@WF-500> delete wildfire api-key key clé-api Par exemple : admin@WF-500> delete wildfire api-key key 377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F142494BC43D4A1 Utilisez les commandes suivantes pour importer ou exporter des clés API à partir de l'appareil à l'aide de SCP (Secure Copy) : • Enregistrez toutes les clés API dans un fichier pour les préparer pour l'exportation : admin@WF-500# save wildfire api-key to nom-fichier Par exemple : admin@WF-500> save wildfire api-key to my-api-keys Pour sécuriser la clé API (à l'aide de SCP) sur un serveur SCP : admin@WF-500> scp export wildfire-api-keys to nom-utilisateur@hôte:chemin Par exemple : admin@WF-500> scp export wildfire-api-keys to [email protected]:c:/scp/ Vous pouvez également importer la clé d'un serveur SCP : admin@WF-500> scp import wildfire-api-keys from [email protected]:c:/scp/my-api-keys • Une fois les clés API importées, vous devez les charger : admin@WF-500# load wildfire api-key mode [merge | replace] from my-api-keys Si vous n'utilisez pas l'option mode, le comportement par défaut fusionnera les nouvelles clés. Pour remplacer toutes les clés API sur l'appareil, utilisez l'option replace. Par exemple, pour remplacer toutes les clés, saisissez la commande : admin@WF-500# load wildfire api-key mode replace from my-api-keys • Vérifiez que les clés ont été chargées : admin@WF-500> show wildfire api-keys all 82 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de l'API WildFire Utilisation de l'API WildFire sur un appareil WF-500 Utilisation de l'API WildFire sur un appareil WF-500 Le flux de travail suivant décrit comment utiliser l'API WildFire pour envoyer un échantillon de fichier à un appareil WF-500 pour analyse. Lorsque vous aurez compris les concepts de base illustrés dans ce flux de travail, utilisez l'une des fonctions d'API disponibles sur le cloud WildFire. Les fonctions sont identiques, mais en ce qui concerne l'appareil WF-500, vous utiliserez la clé API générée sur l'appareil et l'URL de l'appareil. Ce flux de travail requiert un ordinateur hôte sur lequel l'outil de ligne de commande cURL est installé. Vous enverrez ensuite des fichiers de l'ordinateur d'hôte à l'appareil WF-500 à l'aide de la syntaxe d'URL. Utilisation de l'API WildFire pour envoyer un échantillon de fichier Step 1 Générez une clé API WildFire pour l'ordinateur hôte qui exécutera les fonctions d'API sur l'appareil WF-500. Pour plus de détails, reportez-vous à la section Génération de clés API sur l'appareil WF-500. 1. Accédez à la CLI sur l'appareil WF-500 et générez une clé API : admin@WF-500> create wildfire api-key name ma-clé-api 2. Affichez les clés API : admin@WF-500> show wildfire api-key all 3. Assurez-vous que l'état de la clé est Activé, puis sélectionnez et copiez la clé. La capture d'écran suivante illustre un exemple de clé API nommée ma-clé-api. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 83 Utilisation de l'API WildFire sur un appareil WF-500 Utilisation de l'API WildFire Utilisation de l'API WildFire pour envoyer un échantillon de fichier (Continué) Step 2 À l'aide de la nouvelle clé API que vous avez générée, envoyez un échantillon de fichier à l'appareil WF-500. 1. Placez un échantillon de fichier dans un dossier accessible depuis l'ordinateur hôte sur lequel l'outil de ligne de commande cURL est installé, et notez le chemin d'accès à l'échantillon de fichier. 2. Envoyez le fichier à l'aide d'une commande cURL : curl -k -F apikey=votre-clé-API -F file=@local-file-path --remote-name https://IP-appareil-WF/publicapi/submit/file La syntaxe varie en fonction de l'hôte utilisé. Les exemples suivants illustrent la syntaxe avec un hôte Linux et un hôte Windows. À partir d'un hôte Linux : curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F [email protected] --remote-name https://10.3.4.99/publicapi/submit/file À partir d'un hôte Windows (la seule différence est le chemin d'accès au fichier qui suit lesymbole @) : curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F file=@c://scp/test-wf-api.docx --remote-name https://10.3.4.99/publicapi/submit/file 3. Vérifiez que l'API a bien envoyé le fichier à l'appareil WF-500. Pour voir une liste des derniers échantillons envoyés à l'appareil : admin@WF-500> show wildfire latest samples La capture d'écran suivante illustre que l'échantillon de fichier test-wf-api.docx a bien été envoyé à l'appareil : Si l'échantillon de fichier n'apparaît pas sur l'appareil, vérifiez la connectivité entre l'ordinateur hôte et l'appareil, et que le chemin d'accès au dossier/fichier est correct. Vous pouvez également exécuter la commande show wildfire status (l'état doit être Idle) et la commande show wildfire statistics pour vérifier que l'appareil est prêt pour l'analyse des fichiers. Pour plus d'informations sur la résolution des problèmes, reportez-vous au Guide de l'administrateur Palo Alto Networks WildFire.. 84 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Cette section décrit les commandes de la CLI spécifiques au logiciel de l'appareil WildFire™. Toutes les autres commandes, telles que la configuration des interfaces, la validation de la configuration et la définition des informations système, sont identiques à celles de PAN-OS et sont également affichées dans la hiérarchie. Pour plus d'informations sur les commandes PAN-OS, reportez-vous au Guide de mise en route de la ligne de commande PAN-OS. Concepts de la CLI du logiciel de l'appareil WF-500 Modes des commandes de la CLI de WildFire Accès à la CLI Utilisation de la CLI Référence des commandes du mode Configuration Référence des commandes du mode Opérationnel Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 85 Concepts de la CLI du logiciel de l'appareil WF-500 Utilisation de la CLI de l'appareil WF-500 Concepts de la CLI du logiciel de l'appareil WF-500 Cette section présente et décrit l'utilisation de l'interface de ligne de commande (CLI) du logiciel de l'appareil WildFire : Structure de la CLI du logiciel de l'appareil WF-500 Conventions des commandes de la CLI du logiciel de l'appareil WF-500 Messages des commandes de la CLI du logiciel de l'appareil WF-500 Symboles des options de commande Niveaux de privilèges Structure de la CLI du logiciel de l'appareil WF-500 La CLI du logiciel de l'appareil WF-500 vous permet de gérer l'appareil. La CLI est la seule interface de l'appareil. Celle-ci vous permet non seulement d'afficher les informations d'état et de configuration, mais aussi de modifier la configuration de l'appareil. Accédez à la CLI du logiciel de l'appareil WF-500 via SSH ou directement à l'aide du port de la console. La CLI du logiciel de l'appareil WF-500 fonctionne en deux modes : Mode Opérationnel : affichez l'état du système, parcourez la CLI du logiciel de l'appareil WF-500 et passez en mode Configuration. Mode Configuration : affichez et modifiez la hiérarchie de configuration. Conventions des commandes de la CLI du logiciel de l'appareil WF-500 L'invite de commande de base incorpore le nom d'utilisateur et le nom d'hôte de l'appareil : username@hostname> Exemple : admin@WF-500> Lorsque vous passez en mode Configuration, l'invite passe de > à #: username@hostname>(mode Opérationnel) username@hostname> configure Entering configuration mode [edit] username@hostname# (mode Configuration) En mode Configuration, le contexte hiérarchique actuel est affiché par la bannière [edit...] présentée entre crochets lorsqu'une commande est émise. 86 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Concepts de la CLI du logiciel de l'appareil WF-500 Messages des commandes de la CLI du logiciel de l'appareil WF-500 Des messages peuvent s'afficher lors de l'émission d'une commande. Ces messages fournissent des informations contextuelles et peuvent vous aider à corriger les commandes non valides. Dans les exemples suivants, le message s'affiche en gras. Exemple : Commande inconnue username@hostname# application-group Unknown command: application-group [edit network] username@hostname# Exemple : Changement de modes username@hostname# exit Exiting configuration mode username@hostname> Exemple : Syntaxe non valide username@hostname> debug 17 Unrecognized command Invalid syntax. username@hostname> La CLI vérifie la syntaxe de chaque commande. Si la syntaxe est correcte, elle exécute la commande et les modifications apportées de la hiérarchie candidate sont enregistrées. Si la syntaxe est incorrecte, un message de syntaxe non valide s'affiche, comme dans l'exemple suivant : username@hostname# set deviceconfig setting wildfire cloud-intelligence submit-sample yes Unrecognized command Invalid syntax. [edit] username@hostname# Symboles des options de commande Le symbole précédant une option peut fournir des informations supplémentaires sur la syntaxe de la commande. Symbole Description * Cette option est obligatoire. > Des options imbriquées supplémentaires sont disponibles pour cette commande. + Des options imbriquées supplémentaires sont disponibles pour cette commande à ce niveau. | Une option permettant de préciser une valeur d'exception ou une valeur de correspondance est disponible pour restreindre la commande. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 87 Concepts de la CLI du logiciel de l'appareil WF-500 Utilisation de la CLI de l'appareil WF-500 Symbole Description ““ Bien que les guillemets doubles ne soient pas le symbole d'une option de commande, ils doivent être utilisés lors de la saisie d'expressions multimots dans les commandes de la CLI. Par exemple, pour créer un groupe d'adresses nommé Test Group et pour ajouter l'utilisateur nommé user1 à ce groupe, vous devez encadrer de guillemets le nom du groupe comme suit : set address-group Test Group user1. Si vous n'encadrez pas de guillemets le nom du groupe, la CLI interprète le mot Test comme le nom du groupe et Group comme le nom d'utilisateur. L'erreur suivante s'affiche alors : “test is not a valid name” . Un guillemet simple ne serait également pas valide dans cet exemple. Les exemples suivants indiquent comment ces symboles sont utilisés. Exemple : Dans la commande suivante, le mot-clé from est obligatoire : username@hostname> scp import configuration ? + remote-port SSH port number on remote host * from Source (username@host:path) username@hostname> scp import configuration Exemple : This command output shows options designated with + and >. username@hostname# set rulebase security rules rule1 ? + action action + application application + destination destination + disabled disabled + from from + log-end log-end + log-setting log-setting + log-start log-start + negate-destination negate-destination + negate-source negate-source + schedule schedule + service service + source source + to to > profiles profiles <Enter> Finish input [edit] username@hostname# set rulebase security rules rule1 Chaque option désignée par + peut être ajoutée à la commande. Le mot-clé profiles (avec >) dispose d'options supplémentaires : username@hostname# set rulebase security rules rule1 profiles ? 88 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Concepts de la CLI du logiciel de l'appareil WF-500 + + + + virus Help string for virus spyware Help string for spyware vulnerability Help string for vulnerability group Help string for group <Enter> Finish input [edit] username@hostname# set rulebase security rules rule1 profiles Niveaux de privilèges Les niveaux de privilèges déterminent les commandes que l'utilisateur est autorisé à exécuter et les informations qu'il est autorisé à afficher. Niveau Description Super lecteur Dispose d'un accès en lecture seule à l'appareil. Super utilisateur Dispose d'un accès en lecture/écriture à l'appareil. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 89 Modes des commandes de la CLI de WildFire Utilisation de la CLI de l'appareil WF-500 Modes des commandes de la CLI de WildFire Cette section décrit les modes utilisés pour interagir avec la CLI du logiciel de l'appareil WF-500 : Mode Configuration Mode Opérationnel Mode Configuration La saisie de commandes en mode Configuration modifie la configuration candidate. La configuration candidate modifiée est stockée dans la mémoire de l'appareil et conservée pendant l'exécution de l'appareil. Chaque commande de configuration implique une action et peut inclure des mots-clés, options et valeurs. Cette section décrit le mode Configuration et la hiérarchie de configuration. Utilisation des commandes du mode Configuration Hiérarchie de configuration Navigation dans la hiérarchie Utilisation des commandes du mode Configuration Les commandes suivantes vous permettent de stocker et d'appliquer les modifications apportées à la configuration : save : enregistre la configuration candidate dans la mémoire non volatile sur l'appareil. La configuration enregistrée est conservée jusqu'à ce qu'elle soit remplacée par les commandes save suivantes. Veuillez noter que cette commande n'active pas la configuration. commit : applique la configuration candidate à l'appareil. Une configuration validée devient la configuration active du périphérique. set : modifie une valeur dans la configuration candidate. load : affecte la dernière configuration enregistrée ou une configuration spécifiée comme configuration candidate. Si vous quittez le mode Configuration sans émettre la commande save ou commit, les modifications apportées à la configuration peuvent être perdues si l'appareil n'est plus alimenté. 90 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Modes des commandes de la CLI de WildFire La gestion d'une configuration candidate et la séparation des étapes d'enregistrement et de validation confèrent d'importants avantages par rapport aux architectures CLI classiques : La distinction entre les concepts d'enregistrement et de validation permet d'effectuer plusieurs modifications simultanément et de réduire la vulnérabilité du système. Les commandes peuvent être facilement adaptées pour des fonctions similaires. Par exemple, lors de la configuration de deux interfaces Ethernet, chacune disposant d'une adresse IP différente, vous pouvez modifier la configuration de la première interface, copier la commande, modifier uniquement l'interface et l'adresse IP, puis appliquer les modifications à la seconde interface. La structure de la commande est toujours cohérente. Comme la configuration candidate est toujours unique, toutes les modifications autorisées apportées à celle-ci sont cohérentes. Hiérarchie de configuration La configuration de l'appareil est organisée hiérarchiquement. La commande show vous permet d'afficher une partie du niveau hiérarchique actif. Saisissez show pour afficher la hiérarchie complète, et show avec des mots-clés pour afficher une partie de la hiérarchie. Par exemple, lorsque vous exécutez la commande show à partir du niveau supérieur du mode Configuration, toute la configuration s'affiche. Lorsque vous exécutez la commande edit mgt-config et que vous saisissez show, ou si vous exécutez show mgt-config, seule la partie mgt-config de la hiérarchie s'affiche. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 91 Modes des commandes de la CLI de WildFire Utilisation de la CLI de l'appareil WF-500 Chemins d'accès à la hiérarchie Lors de la saisie de commandes, le chemin d'accès à la hiérarchie est comme suit : Par exemple, la commande suivante affecte le serveur DNS principal 10.0.0.246 à l'appareil : [edit] username@hostname# set deviceconfig system dns-setting servers primary 10.0.0.246 Cette commande génère un nouvel élément dans la hiérarchie et dans le résultat de la commande show suivante : [edit] username@hostname# show deviceconfig system dns-settings dns-setting { servers { primary 10.0.0.246 } } [edit] username@hostname# 92 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Modes des commandes de la CLI de WildFire Navigation dans la hiérarchie La bannière [edit...] présentée sous la ligne d'invite de commande du mode Configuration affiche le contexte hiérarchique actif. [edit] indique que le contexte relatif est le niveau supérieur de la hiérarchie, tandis que [edit deviceconfig] indique que le contexte relatif est le niveau deviceconfig. Les commandes répertoriées ci-dessous vous permettent de parcourir la hiérarchie de configuration. Niveau Description edit Définit le contexte de la configuration dans la hiérarchie de commande. up Passe le contexte au niveau supérieur suivant de la hiérarchie. top Passe le contexte au niveau le plus élevé de la hiérarchie. La commande set émise après l'utilisation des commandes up et top est exécutée à partir du nouveau contexte. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 93 Modes des commandes de la CLI de WildFire Utilisation de la CLI de l'appareil WF-500 Mode Opérationnel Lors de la connexion initiale au périphérique, la CLI du logiciel de l'appareil WF-500 s'ouvre en mode Opérationnel. Les commandes du mode Opérationnel impliquent des actions qui sont immédiatement exécutées. Celles-ci n'affectent pas la configuration et ne doivent pas être enregistrées ni validées. Les commandes du mode Opérationnel sont de plusieurs types : Accès réseau : accédez à un autre hôte. SSH est pris en charge. Surveillance et dépannage : effectuez des tâches de diagnostic et d'analyse. Les commandes sont les suivantes : debug et ping. Commandes d'affichage : affichez ou effacez les informations actives. Les commandes sont les suivantes : clear et show. Commandes de navigation dans la CLI du logiciel de l'appareil WF-500 : passez en mode Configuration ou quittez la CLI du logiciel de l'appareil WF-500. Les commandes sont les suivantes : configure, exit et quit. Commandes système : émettez des requêtes au niveau du système ou redémarrez. Les commandes sont les suivantes : set et request. 94 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Accès à la CLI Accès à la CLI Cette section décrit l'accès et l'utilisation de la CLI du logiciel de l'appareil WF-500 : Établissement d'une connexion de console directe Établissement d'une connexion SSH Établissement d'une connexion de console directe Utilisez les paramètres suivants pour une connexion de console directe : Débit de données : 9600 Bits de données : 8 Parité : aucune Bits d'arrêt : 1 Contrôle de flux : aucun Établissement d'une connexion SSH Pour accéder à la CLI du logiciel de l'appareil WF-500 : Lancement de la CLI WildFire 1. Utilisez le logiciel d'émulation de terminal pour établir une connexion de console SSH avec l'appareil WF-500. 2. Saisissez le nom d'utilisateur de l'administrateur. La valeur par défaut est admin. 3. Saisissez le mot de passe de l'administrateur. La valeur par défaut est admin. La CLI du logiciel de l'appareil WF-500 s'ouvre en mode Opérationnel et l'invite d'interface de ligne de commande s'affiche : username@hostname> Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 95 Utilisation de la CLI Utilisation de la CLI de l'appareil WF-500 Utilisation de la CLI Accès aux modes Opérationnel et Configuration Affichage des options de commandes de la CLI du logiciel de l'appareil WF-500 Restriction du résultat de la commande Paramétrage du format de sortie des commandes de configuration Accès aux modes Opérationnel et Configuration Lors de la connexion, la CLI du logiciel de l'appareil WF-500 s'ouvre en mode Opérationnel. Vous pouvez basculer entre les modes Opérationnel et Configuration à tout moment. Pour passer du mode Opérationnel au mode Configuration, utilisez la commande configure : username@hostname> configure Entering configuration mode [edit] username@hostname# Pour quitter le mode Configuration et revenir en mode Opérationnel, utilisez la commande quit ou exit : username@hostname# quit Exiting configuration mode username@hostname> Pour passer du mode Configuration au mode Opérationnel, utilisez la commande run. Par exemple, pour afficher les ressources système en mode Configuration, utilisez la commande run show system resources. Affichage des options de commandes de la CLI du logiciel de l'appareil WF-500 Utilisez ? (ou Meta-H) pour afficher une liste des options de commande, en fonction du contexte : Pour afficher une liste des commandes opérationnelles, saisissez ? dans l'invite de commande. username@hostname> ? clear Clear runtime parameters configure Manipulate software configuration information debug Debug and diagnose exit Exit this session grep Searches file for lines containing a pattern match less Examine debug file content ping Ping hosts and networks quit Exit this session request Make system-level requests scp Use ssh to copy file to another host set Set operational parameters 96 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Utilisation de la CLI show Show operational parameters ssh Start a secure shell to another host tail Print the last 10 lines of debug file content username@hostname> Pour afficher les options disponibles pour une commande spécifique, saisissez la commande suivie de ?. Exemple : username@hostname> ping ? + bypass-routing Bypass routing table, use specified interface + count Number of requests to send (1..2000000000 packets) + do-not-fragment Don't fragment echo request packets (IPv4) + inet Force to IPv4 destination + interface Source interface (multicast, all-ones, unrouted packets) + interval Delay between requests (seconds) + no-resolve Don't attempt to print addresses symbolically + pattern Hexadecimal fill pattern + record-route Record and report packet's path (IPv4) + size Size of request packets (0..65468 bytes) + source Source address of echo request + tos IP type-of-service value (0..255) + ttl IP time-to-live value (IPv6 hop-limit value) (0..255 hops) + verbose Display detailed output + wait Delay after sending last packet (seconds) <host> Hostname or IP address of remote host Restriction du résultat de la commande Certaines commandes opérationnelles incluent une option permettant de restreindre le résultat affiché. Pour restreindre le résultat, saisissez le symbole de barre verticale suivi de except ou match et de la valeur à exclure ou inclure : Exemple : Le résultat suivant est pour la commande show system info : username@hostname> show system info hostname: WF-500 ip-address: 192.168.2.20 netmask: 255.255.255.0 default-gateway: 192.168.2.1 mac-address: 00:25:90:95:84:76 vm-interface-ip-address: 10.16.0.20 vm-interface-netmask: 255.255.252.0 vm-interface-default-gateway: 10.16.0.1 vm-interface-dns-server: 10.0.0.247 time: Mon Apr 15 13:31:39 2013 uptime: 0 days, 0:02:35 family: m model: WF-500 serial: 009707000118 sw-version: 5.1.0 Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 97 Utilisation de la CLI Utilisation de la CLI de l'appareil WF-500 logdb-version: 5.0.2 platform-family: m username@hostname> L'exemple suivant affiche uniquement les informations de modèle de système : username@hostname> show system info | match model model: WF-500 username@hostname> Paramétrage du format de sortie des commandes de configuration Modifiez le format de sortie des commandes de configuration à l'aide de la commande set cli config-output-format en mode Opérationnel. Les options sont les suivantes : Format par défaut, JSON (JavaScript Object Notation), Définir le format et Format XML. Le format par défaut est un format hiérarchique dans lequel les sections de configuration sont présentées une par ligne et entre accolades. 98 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Référence des commandes du mode Configuration Référence des commandes du mode Configuration Cette section contient des informations de référence sur les commandes du mode Configuration suivantes qui sont spécifiques au logiciel de l'appareil WF-500. Toutes les autres commandes du logiciel de l'appareil WF-500 sont identiques à celles de PAN-OS, comme décrit dans le Guide de mise en route de la ligne de commande PAN-OS 7.0. set deviceconfig setting wildfire set deviceconfig system update-schedule set deviceconfig system vm-interface set deviceconfig setting wildfire Description Configurez des paramètres WildFire sur l'appareil WF-500. Vous pouvez configurer le transfert de fichiers malveillants, définir le serveur de cloud qui reçoit les fichiers infectés et activer ou désactiver l'interface vm-interface. Emplacement de la hiérarchie set deviceconfig settings Syntaxe wildfire { active-vm; cloud-server <value>; vm-network-enable {no | yes}; vm-network-use-tor {enable | disable}; cloud-intelligence { submit-report {no | yes}; submit-sample {no | yes}; signature-generation { av {no | yes}; dns {no | yes}; url {no | yes}; { { { Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 99 Référence des commandes du mode Configuration Utilisation de la CLI de l'appareil WF-500 Options + active-vm — Sélectionnez l'environnement de machine virtuelle que WildFire utilisera pour l'analyse d'échantillon. Chaque MV dispose d'une configuration différente comme Windows XP, des versions Flash, Adobe Reader, etc. Pour afficher la MV sélectionnée, exécutez la commande show wildfire status en mode Opérationnel. admin@WF-500> show wildfire status et consultez le champ Machine virtuelle sélectionnée. Pour afficher les informations sur l'environnement MV, exécutez la commande suivante : admin@WF-500> show wildfire vm-images. + cloud-server — Nom d'hôte du serveur du cloud auquel l'appareil transfèrera les échantillons/rapports malveillants pour nouvelle analyse. Le serveur du cloud par défaut est wildfire-public-cloud. Pour configurer le transfert, exécutez la commande suivante : set deviceconfig setting wildfire cloud-intelligence. + vm-network-enable — Activez ou désactivez le réseau vm-network. Lorsqu'il est activé, les échantillons de fichiers exécutés dans le bac à sable de la machine virtuel ont accès à Internet. Ceci permet à WildFire de mieux analyser le comportement du logiciel malveillant afin de rechercher des informations comme l'activité du téléphone personnel. + vm-network-use-tor — Activez ou désactivez le réseau Tor pour l'interface vm-interface. Lorsque cette option est activée, tout trafic malveillant provenant des systèmes de bac à sable de l'appareil WF-500 lors de l'analyse d'échantillon est envoyé via le réseau Tor. Le réseau Tor masque votre adresse IP publique, de manière à ce que les sites malveillants ne puissent pas déterminer la source du trafic. + cloud-intelligence — Configurez l'appareil afin qu'il envoie des rapports aux échantillons WildFire au cloud WildFire de Palo Alto Networks. L'option d'envoi de rapport permet d'envoyer des rapports pour des échantillons malveillants au cloud à des fins de statistiques. L'option d'envoi d'échantillon permet d'envoyer des échantillons malveillants au cloud. Si l'option submit-sample est activée, vous n'avez pas besoin d'activer l'option submit-report car l'échantillon est analysé de nouveau dans le cloud, et un nouveau rapport et une signature sont générés si l'échantillon est malveillant. + signature-generation — Activez l'appareil pour qu'il génère des signatures localement, supprimant ainsi la nécessité d'envoyer des données au cloud public pour bloquer le contenu malveillant. L'appareil WF-500 analysera les fichiers qui lui sont transférés par les pare-feu Palo Alto Networks ou l'API WildFire, et générera des signatures antivirus et DNS qui bloquent les fichiers malveillants ainsi que le trafic de commande et de contrôle associé. Lorsque l'appareil détecte une URL malveillante, il l'envoie à PAN-DB qui la classe dans une catégorie de logiciel malveillant. Exemple de résultat Vous trouverez ci-dessous un exemple de résultat des paramètres WildFire. admin@WF-500# show deviceconfig setting wildfire wildfire { active-vm vm-5; cloud-intelligence { submit-sample yes; submit-report no; } cloud-server wildfire-public-cloud; signature-generation { av yes; dns yes; 100 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Référence des commandes du mode Configuration url yes; } } Niveau de privilège requis superuser, deviceadmin set deviceconfig system update-schedule Description Planifiez les mises à jour de contenu sur un appareil WF-500. Ces mises à jour de contenu fournissent à l'appareil les toutes dernières informations sur les menaces afin de détecter précisément les logiciels malveillants et d'améliorer la capacité de l'appareil à différencier les logiciels malveillants et bénins. Emplacement de la hiérarchie set deviceconfig system update-schedule Syntaxe wf-content recurring { daily at <valeur> action {download-and-install | download-only}; weekly { action {download-and-install | download-only}; at <valeur>; day-of-week {friday | monday | saturday | sunday | thursday | tuesday | wednesday}; } } Options > wf-content — Mises à jour de contenu WF-500 > daily — Planifier une mise à jour chaque jour + action — Spécifiez l'action à exécuter. Vous pouvez planifier l'appareil pour qu'il télécharge et installe la mise à jour ou qu'il la télécharge seulement et que vous l'installiez ensuite manuellement + at — Spécification de l'heure hh:mm (ex : 20:10) > hourly — Planifier une mise à jour chaque heure + action — Spécifiez l'action à exécuter. Vous pouvez planifier l'appareil pour qu'il télécharge et installe la mise à jour ou qu'il la télécharge seulement et que vous l'installiez ensuite manuellement Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 101 Référence des commandes du mode Configuration Utilisation de la CLI de l'appareil WF-500 + at — Minutes après l'heure > weekly — Planifier une mise à jour chaque semaine + action — Spécifiez l'action à exécuter. Vous pouvez planifier l'appareil pour qu'il télécharge et installe la mise à jour ou qu'il la télécharge seulement et que vous l'installiez ensuite manuellement + at — Spécification de l'heure hh:mm (ex : 20:10) + day-of-week — Jour de la semaine (Friday, Monday, Saturday, Sunday, Thursday, Tuesday, Wednesday) Exemple de résultat admin@WF-500# show update-schedule { wf-content { recurring { weekly { at 19:00; action download-and-install; day-of-week friday; } } } } Niveau de privilège requis superuser, deviceadmin set deviceconfig system vm-interface Description L'interface vm-interface est utilisée par les logiciels malveillants exécutés sur le bac à sable de la machine virtuel de l'appareil WF-500 pour accéder à Internet. L'activation de ce port est recommandée car elle permet à WildFire de mieux identifier l'activité malveillante si le logiciel malveillant accède à Internet pour une activité phone-home ou autre. Il est important que cette interface dispose d'une connexion isolée à Internet. Pour plus d'informations, voir Configuration de l'interface MV. Une fois que l'interface vm-interface est configurée, activez-la en exécutant la commande suivante : set deviceconfig setting wildfire vm-network-enable yes Emplacement de la hiérarchie set deviceconfig system 102 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Référence des commandes du mode Configuration Syntaxe set vm-interface { default-gateway <ip_address>; dns-server <ip_address>; ip-address <ip_address>; link-state; mtu; netmask <ip_address>; speed-duplex; { Options admin@WF-500# set vm-interface + default-gateway — Passerelle par défaut pour l'interface MV + dns-server — Serveur DNS par défaut pour l'interface MV + ip-address — Adresse IP de l'interface MV + link-state — Définir si l'état de la liaison est ascendant ou descendant + mtu — Unité de transmission maximale pour l'interface MV + netmask — Masque réseau IP de l'interface MV + speed-duplex — Vitesse et duplex pour l'interface MV Exemple de résultat Vous trouverez ci-dessous une interface vm-interface configurée. vm-interface { ip-address 10.16.0.20; netmask 255.255.252.0; default-gateway 10.16.0.1; dns-server 10.0.0.246; } Niveau de privilège requis superuser, deviceadmin Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 103 Référence des commandes du mode Opérationnel Utilisation de la CLI de l'appareil WF-500 Référence des commandes du mode Opérationnel Cette section contient des informations de référence sur les commandes du mode Opérationnel suivantes qui sont spécifiques au logiciel de l'appareil WF-500. Toutes les autres commandes du logiciel de l'appareil WF-500 sont identiques à celles de PAN-OS. Pour plus d'informations sur ces commandes, reportez-vous au Guide de mise en route de la ligne de commande PAN-OS 7.0. create wildfire api-key delete wildfire api-key delete wildfire-metadata edit wildfire api-key load wildfire api-key request system raid request system wildfire-vm-image request wf-content save wildfire api-key set wildfire portal-admin show system raid show wildfire test wildfire registration create wildfire api-key Description Générez des clés API sur un appareil WF-500 que vous utiliserez sur un système externe pour envoyer des échantillons à l'appareil, rechercher des rapports ou récupérer des échantillons et des captures de paquets (PCAP) de l'appareil. Syntaxe create { wildfire { api-key { key <value>; name <value>; { { { 104 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Référence des commandes du mode Opérationnel Options + key — Créez une clé API en saisissant manuellement une valeur de clé. La valeur doit être composée de caractères (a-z) ou chiffres (0-9) 64 bits. Si vous ne précisez pas l'option key, l'appareil génère automatiquement une clé. + name — (Facultatif) Donnez un nom à la clé API. Le nom de clé API est simplement utilisé pour étiqueter les clés afin de simplifier l'identification des clés affectées à des utilisations spécifiques et n'a aucun effet sur la fonctionnalité de la clé. Exemple de résultat La sortie suivante montre que l'appareil comporte trois clés API et qu'une clé est nommée ma-clé-api. admin@WF-500> show wildfire api-keys all +------------------------------------------------------------------+---------------+---------+---------------------+---------------------+ | Apikey | Name | Status | Create Time | Last Used Time | +------------------------------------------------------------------+---------------+---------+---------------------+---------------------+ | C625DE87CBFB6EF0B1A8183A74AB5B61287F7F63B6E14E2FFC704AABF5640D62 | ma-clé-api | Enabled | 2014-06-24 16:38:50 | | | D414CC910E93E9E05942A5E6F94DA36777B444543E71761CF5E9ACFA547F7D6F | | Enabled | 2014-06-25 09:05:30 | 2014-06-26 14:49:35 | | 73585ACAFEC0109CB65EB944B8DFC0B341B9B73A6FA7F43AA9862CAD47D0884C | | Enabled | 04/08/2014 17:00:42 | | +------------------------------------------------------------------+---------------+---------+---------------------+---------------------+ Niveau de privilège requis superuser, deviceadmin delete wildfire api-key Description Supprimez une clé API de l'appareil WF-500. Les systèmes configurés pour utiliser l'API afin d'exécuter des fonctions d'API sur l'appareil ne pourront plus accéder à l'appareil lorsque vous supprimez la clé. Syntaxe delete { wildfire { api-key { key <value>; { { { Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 105 Référence des commandes du mode Opérationnel Utilisation de la CLI de l'appareil WF-500 Options + key <valeur> — La valeur de la clé que vous souhaitez supprimer. Pour afficher la liste des clés API, exécutez la commande suivante : admin@WF-500> show wildfire api-keys all Exemple de résultat admin@WF-500> delete wildfire api-key key A0418F8EADABA4C78CD3106D71147321462C5AA085B2979136447B1EC334655A APIKey A0418F8EADABA4C78CD3106D71147321462C5AA085B2979136447B1EC334655A deleted Niveau de privilège requis superuser, deviceadmin delete wildfire-metadata Description Supprimez des mises à jour de contenu sur l'appareil WF-500. Pour plus d'informations sur les mises à jour de contenu et sur leur installation, reportez-vous à la section request wf-content. Syntaxe delete { wildfire-metadata update <valeur>; { Options + update <valeur> — Définissez la mise à jour de contenu que vous souhaitez supprimer. Exemple de résultat Le résultat suivant montre la suppression d'une mise à jour nommée panup-all-wfmeta-2-181.candidate.tgz. admin@WF-500> delete wildfire-metadata update panup-all-wfmeta-2-181.candidate.tgz 106 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Référence des commandes du mode Opérationnel successfully removed panup-all-wfmeta-2-181.candidate.tgz Niveau de privilège requis superuser, deviceadmin edit wildfire api-key Description Modifiez un nom de clé API ou l'état de la clé (activée/désactivée) sur un appareil WF-500. Syntaxe edit { wildfire { api-key [name | status] key <valeur>; { { Options + name — Renommer une clé API + status — Activer ou désactiver une clé API * key — Spécifier la clé à modifier Exemple de résultat La valeur de clé est requise dans cette commande. Par exemple, pour renommer la clé stu en stu-key1, saisissez la commande suivante : Dans la commande suivante, vous n'avez pas besoin de saisir l'ancien nom de clé ; saisissez simplement le nouveau. admin@WF-500> edit wildfire api-key name stu-key1 key B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288 Pour désactiver la clé stu-key1, saisissez la commande suivante : admin@WF-500> edit wildfire api-key status disable key B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288 Exemple de résultat montre que la clé stu-key1 est désactivée : admin@WF-500> show wildfire api-keys all Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 107 Référence des commandes du mode Opérationnel Utilisation de la CLI de l'appareil WF-500 +------------------------------------------------------------------+----------+----------+--------------------+---------------------+ | Apikey | Name | Status | Create Time | Last Used Time | +------------------------------------------------------------------+----------+----------+--------------------+---------------------+ | | B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288 | stu-key1 | Disabled | 2014-08-21 07:23:34 | | +------------------------------------------------------------------+----------+----------+--------------------+---------------------+ Niveau de privilège requis superuser, deviceadmin load wildfire api-key Description Après l'importation de clés API sur l'appareil WF-500, vous devez utiliser la commande load pour que les clés puissent être utilisées. Utilisez cette commande pour remplacer toutes les clés API existantes. Vous pouvez également fusionner les clés du fichier importé avec la base de données de clés existante. Syntaxe load { wildfire { from <valeur> mode [merge | replace]; { { Options * from — Spécifiez le nom du fichier de clés API que vous souhaitez importer. Les fichiers de clés portent l'extension .keys. Par exemple, mes-clés-api.keys. Pour afficher la liste des clés pouvant être importées, saisissez la commande suivante : admin@WF-500> load wildfire api-key from ? + mode — (Facultatif) Passez en mode d'importation (merge/replace). Par exemple, pour remplacer la base de données de clés sur l'appareil par le contenu du nouveau fichier de clés, saisissez la commande suivante : admin@WF-500> load wildfire api-key mode replace from mes-clés-api.keys Si vous ne spécifiez pas l'option mode, l'action par défaut fusionnera les nouvelles clés. 108 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Référence des commandes du mode Opérationnel Niveau de privilège requis superuser, deviceadmin request system raid Description Cette option vous permet de gérer les paires RAID installées sur l'appareil WF-500. L'appareil WF-500 est fourni avec quatre lecteurs ; ces derniers se trouvent dans les quatre premières baies de lecteur (A1, A2, B1 et B2). Les lecteurs A1 et A2 sont une paire RAID 1, et les lecteurs B1 et B3 sont une seconde paire RAID 1. Emplacement de la hiérarchie request system Syntaxe raid { remove <value>; OR... copy { from <value>; to <value>; } OR... add { Options > add > copy > remove Add a drive into the corresponding RAID Disk Pair Copy and migrate from one drive to other drive in the bay drive to remove from RAID Disk Pair Exemple de résultat Le résultat suivant indique un appareil WF-500 doté d'un RAID correctement configuré. admin@WF-500> show system raid Disk Pair A Disk id A1 Disk id A2 Palo Alto Networks Available Present Present Guide de l’administrateur WildFire 7.0 • 109 Référence des commandes du mode Opérationnel Disk Pair B Disk id B1 Disk id B2 Utilisation de la CLI de l'appareil WF-500 Available Present Present Niveau de privilège requis superuser, deviceadmin request system wildfire-vm-image Procédez à des mises à niveau sur les images de bac à sable de machine virtuelle (MV) de l'appareil WF-500 utilisées pour analyser les fichiers. Pour récupérer de nouvelles images MV du serveur de mises à jour de Palo Alto Networks, vous devez tout d'abord télécharger l'image manuellement, l'héberger sur un serveur SCP, puis récupérer l'image sur l'appareil à l'aide du client SCP. Une fois l'image téléchargée sur l'appareil, vous pouvez l'installer à l'aide de cette commande. Emplacement de la hiérarchie request system Syntaxe request { system { wildfire-vm-image { upgrade install file <valeur>; } } } Options > wildfire-vm-image — Installez des images de machine virtuelle (MV). + upgrade install file — Procédez à une mise à niveau vers l'image MV. Après l'option file, saisissez ? pour afficher la liste des images MV disponibles. Par exemple, exécutez la commande suivante pour répertorier les images disponibles : admin@WF-500> request system wildfire-vm-image upgrade install file ? Exemple de résultat Pour obtenir la liste des images MV disponibles, exécutez la commande suivante : admin@WF-500> request system wildfire-vm-image upgrade install file ? 110 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Référence des commandes du mode Opérationnel Pour installer une image MV (Windows 7 64 bits dans cet exemple), exécutez la commande suivante : admin@WF-500> request system wildfire-vm-image upgrade install file WFWin7_64Base_m-1.0.0_64base Niveau de privilège requis superuser, deviceadmin request wf-content Procédez à des mises à jour de contenu sur un appareil WF-500. Ces mises à jour de contenu fournissent à l'appareil les toutes dernières informations sur les menaces afin de détecter précisément les logiciels malveillants et d'améliorer la capacité de l'appareil à différencier les logiciels malveillants et bénins. Pour planifier l'installation automatique des mises à jour de contenu, reportez-vous à la section set deviceconfig system update-schedule et à la section delete wildfire-metadata pour la suppression de mises à jour de contenu sur l'appareil WF-500. Emplacement de la hiérarchie request Syntaxe request wf-content { downgrade install {previous | <valeur>}; upgrade { check download latest info install { file <nom du fichier> version latest; } } } Options > downgrade — Installer une version de contenu précédente Utilisez l'option previous pour installer le package de contenu précédemment installé ou saisissez une valeur de mise à niveau antérieure vers un numéro de package de contenu spécifique. > upgrade — Exécuter des fonctions de mise à niveau de contenu Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 111 Référence des commandes du mode Opérationnel Utilisation de la CLI de l'appareil WF-500 > check — Obtenir des informations sur les packages de contenu disponibles sur le serveur de mises à jour de Palo Alto Networks > download — Télécharger un package de contenu > info — Afficher des informations sur les packages de contenu disponibles > install — Installer un package de contenu > file — Spécifier le nom du fichier contenant le package de contenu > version — Télécharger ou mettre à niveau en fonction du numéro de version du package de contenu Exemple de résultat Pour obtenir la liste des mises à jour de contenu disponibles, exécutez la commande suivante : admin@WF-500> request wf-content upgrade check Version Size Released on Downloaded Installed ------------------------------------------------------------------------2-217 58MB 2014/07/29 13:04:55 PDT yes current 2-188 58MB 2014/07/01 13:04:48 PDT yes previous 2-221 59MB 2014/08/02 13:04:55 PDT no no Niveau de privilège requis superuser, deviceadmin save wildfire api-key Description Utilisez la commande save pour enregistrer toutes les clés API sur l'appareil WF-500 dans un fichier. Vous pouvez ensuite exporter le fichier de clés à des fins de sauvegarde ou pour modifier les clés par lot. Pour plus de détails sur l'utilisation de l'API WildFire sur un appareil WF-500, reportez-vous à la section À propos des abonnements à WildFire et des clés API. Emplacement de la hiérarchie save Syntaxe save { wildfire { api-key to <valeur>; 112 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Référence des commandes du mode Opérationnel { { Options * to — Entrez le nom du fichier d'exportation de clé. Par exemple, pour exporter toutes les clés API sur le WF-500 dans un fichier nommé mes-clés-wf, saisissez la commande suivante : admin@WF-500> save wildfire api-key to mes-clés-wf Niveau de privilège requis superuser, deviceadmin set wildfire portal-admin Description Définit le mot de passe du compte d'administrateur qu'un administrateur utilisera pour afficher les rapports d'analyse WildFire générés par un appareil WF-500. Le nom du compte (admin) et le mot de passe sont requis lors de l'affichage du rapport sur le pare-feu ou à partir de Panorama dans Surveillance > Envois WildFire > Afficher le rapport WildFire. Le nom d'utilisateur et le mot de passe par défaut est admin/admin. Le compte Admin du portail est le seul compte que vous pouvez configurer sur l'appareil pour afficher les rapports à partir de l'appareil ou du Panorama. Vous ne pouvez pas créer de nouveaux comptes ou renommer le compte. Ce compte Admin est différent de celui utilisé pour gérer l'appareil. Emplacement de la hiérarchie set wildfire Syntaxe set { wildfire { portal-admin { password <value>; } } Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 113 Référence des commandes du mode Opérationnel Utilisation de la CLI de l'appareil WF-500 Exemple de résultat Vous trouverez ci-dessous le résultat de cette commande. admin@WF-500> set wildfire portal-admin password Enter password: Confirm password: Niveau de privilège requis superuser, deviceadmin show system raid Description Affichez la configuration RAID de l'appareil. L'appareil WF-500 est fourni avec quatre lecteurs ; ces derniers se trouvent dans les quatre premières baies de lecteur (A1, A2, B1 et B2). Les lecteurs A1 et A2 sont une paire RAID 1, et les lecteurs B1 et B3 sont une seconde paire RAID 1. Emplacement de la hiérarchie show system Syntaxe raid { detail; { Options No additional options. Exemple de résultat Vous trouverez ci-dessous la configuration RAID sur un appareil WF-500 fonctionnel. admin@WF-500> show system raid detail Disk Pair A Status 114 • Guide de l’administrateur WildFire 7.0 Available clean Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Disk id A1 model size partition_1 partition_2 Disk id A2 model size partition_1 partition_2 Disk Pair B Status Disk id B1 model size partition_1 partition_2 Disk id B2 model size partition_1 partition_2 Référence des commandes du mode Opérationnel Present : : : : ST91000640NS 953869 MB active sync active sync : : : : ST91000640NS 953869 MB active sync active sync Present Available clean Present : : : : ST91000640NS 953869 MB active sync active sync : : : : ST91000640NS 953869 MB active sync active sync Present Niveau de privilège requis superuser, superreader show wildfire Description Affiche diverses informations sur l'appareil WF-500 comme les clés API disponibles, les informations d'enregistrement, l'activité, les derniers échantillons analysés par l'appareil, et la machine virtuelle sélectionnée pour effectuer l'analyse. Emplacement de la hiérarchie show wildfire Syntaxe api-keys all { details; Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 115 Référence des commandes du mode Opérationnel Utilisation de la CLI de l'appareil WF-500 } key <value>; } last-device-registration all | latest { analysis { filter malicious|benign; sort-by SHA256|Submit Time|Start Time|Finish Time|Malicious|Status; sort-direction asc|desc; limit 1-20000; days 1-7; } OR... samples { filter malicious|benign; sort-by SHA256|Create Time|File Name|File Type|File Size|Malicious|Status; sort-direction asc|desc; limit 1-20000; days 1-7; } OR... sessions { filter malicious|benign; sort-by SHA256|Create Time|Src IP|Src Port|Dst Ip|Dst Port|File|Device ID|App|Malicious|Status; sort-direction asc|desc; limit 1-20000; days 1-7; } OR... uploads { sort-by SHA256|Create Time|Finish Time|Status; sort-direction asc|desc; limit 1-20000; days 1-7; } sample-status { sha256 { equal <value>; } } statistics days <1-31>; status | vm-images | } Options admin@WF-500> show wildfire 116 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Référence des commandes du mode Opérationnel > api-keys — Affichez des détails sur les clés API générées sur l'appareil WF-500. Vous pouvez afficher l'heure de dernière utilisation de la clé, le nom de la clé, l'état (activée ou désactivée), et la date/heure de génération de la clé. > last-device-registration — Affichez la liste des dernières activités d'enregistrement. > latest — Affichez les 30 dernières activités, ce qui inclut les 30 dernières activités d'analyse, les 30 derniers fichier analysés, les informations de session sur les fichiers analysés, et les fichiers chargés sur le serveur du cloud public. > sample-status — Affichez l'état de l'échantillon WildFire. Saisissez la valeur SHA ou MD5 du fichier pour afficher l'état de l'analyse actuelle. > statistics — Affichez des statistiques WildFire de base. > status — Affichez l'état de l'appareil ainsi que des informations de configuration comme la machine virtuelle (MV) utilisée pour l'analyse de l'échantillon, si des échantillons/rapports sont envoyés ou non au cloud, le réseau vm-network, et des informations d'enregistrement. > vm-images — Affichez les attributs des images de machine virtuelle disponibles utilisées pour l'analyse de l'échantillon. Pour afficher l'image active actuellement, exécutez la commande suivante : admin@WF-500> show wildfire status et consultez le champ Machine virtuelle sélectionnée. Exemple de résultat Vous trouverez ci-dessous le résultat de cette commande. admin@WF-500> show wildfire api-keys all +------------------------------------------------------------------+----------------+--------+---------------------+---------------------+ | Apikey | Name | Status | Create Time | Last Used Time | +------------------------------------------------------------------+----------------+--------+---------------------+---------------------+ | C625DE87CBFB6EF0B1A8183A74AB5B61287F7F63B6E14E2FFC704AABF5640D62 | my-api-key-stu | Enabled | 2014-06-24 16:38:50 | | | D414CC910E93E9E05942A5E6F94DA36777B444543E71761CF5E9ACFA547F7D6F | | Enabled | 2014-06-25 09:05:30 | 2014-06-26 14:49:35 | +------------------------------------------------------------------+----------------+--------+---------------------+---------------------+ admin@WF-500> show wildfire last-device-registration all +--------------+---------------------+-------------+------------+----------+--------+ | Device ID | Last Registered | Device IP | SW Version | HW Model | Status | +--------------+---------------------+-------------+------------+----------+--------+ | 001606000114 | 2014-07-31 12:35:53 | 10.43.14.24 | 6.1.0-b14 | PA-200 | OK | +--------------+---------------------+-------------+------------+----------+--------+ admin@WF-500> show wildfire > analysis Show latest 30 > samples Show latest 30 > sessions Show latest 30 > uploads Show latest 30 latest analysis samples sessions uploads admin@WF-500> show wildfire sample-status sha256 equal 809bad2d3fbdf1c18ef47ba9c5a0feca691103f094bc8d7e0cbed480870fd78c Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 117 Référence des commandes du mode Opérationnel Utilisation de la CLI de l'appareil WF-500 Sample information: +---------------------+--------------------------------------------------------------+------------------+-----------+-----------+-------------------+ | Create Time | File Name | File Type | File Size | Malicious | Status | +---------------------+--------------------------------------------------------------+------------------+-----------+-----------+-------------------+ | 2014-08-04 11:49:41 | 25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf | Adobe Flash File | 64502 | No | analysis complete | +---------------------+--------------------------------------------------------------+------------------+-----------+-----------+-------------------+ Session information: +---------------------+---------------+----------+--------------+----------+--------------------------------------------------------------+--------------+-------+ -----------+-----------+ | Create Time | Src IP | Src Port | Dst IP | Dst Port | File | Device ID | App | Malicious | Status | +---------------------+---------------+----------+--------------+----------+--------------------------------------------------------------+--------------+-------+ -----------+-----------+ | 2014-08-04 11:49:41 | 10.10.10.50 | 80 | 192.168.2.10 | 64108 | 25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf | 001606000114 | flash | No | completed | +---------------------+---------------+----------+--------------+----------+--------------------------------------------------------------+--------------+-------+ -----------+-----------+ Analysis information: +---------------------+---------------------+---------------------+-----------+----------------------------------------------------------+-----------+ | Submit Time | Start Time | Finish Time | Malicious | VM Image | Status | +---------------------+---------------------+---------------------+-----------+----------------------------------------------------------+-----------+ | 2014-08-04 11:49:41 | 2014-08-04 11:49:41 | 2014-08-04 11:56:52 | No | Windows 7 x64 SP1, Adobe Reader 11, Flash 11, Office 2010 | completed | +---------------------+---------------------+---------------------+-----------+----------------------------------------------------------+-----------+ admin@WF-500> show wildfire statistics Last one hour statistics Total sessions submitted Samples submitted analyzed pending malicious benign error uploaded : : : : : : : : : 118 • Guide de l’administrateur WildFire 7.0 0 0 0 0 0 0 0 0 Palo Alto Networks Utilisation de la CLI de l'appareil WF-500 Last 24 hours statistics Total sessions submitted Samples submitted analyzed pending malicious benign error uploaded Référence des commandes du mode Opérationnel : : : : : : : : : 13 13 13 0 0 13 0 0 admin@WF-500> show wildfire status Connection info: Cloud WildFire : Status: Submit sample: Submit report: Selected VM: VM internet connection: VM network using Tor: Best server: Device registered: Service route IP address: Signature verification: Server selection: Through a proxy: s1.wildfire.paloaltonetworks.com Idle disabled disabled vm-5 disabled disabled s1.wildfire.paloaltonetworks.com yes 10.3.4.99 enable enable no Niveau de privilège requis superuser, superreader test wildfire registration Description Exécute un test pour vérifier l'état d'enregistrement d'un appareil WF-500 ou d'un pare-feu Palo Alto Networks sur un serveur WildFire. Si le test réussit, l'adresse IP ou le nom du serveur WildFire s'affiche. Un enregistrement est requis pour qu'un appareil WF-500 ou un pare-feu puisse transférer des fichiers vers le serveur WildFire. Syntaxe test { wildfire { registration; Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 119 Référence des commandes du mode Opérationnel Utilisation de la CLI de l'appareil WF-500 } } Options No additional options. Exemple de résultat Vous trouverez ci-dessous un résultat réussi sur un pare-feu pouvant communiquer avec un appareil WF-500. S'il s'agit d'un appareil WF-500 pointant vers le cloud WildFire de Palo Alto Networks, le nom du serveur de l'un des serveurs cloud s'affiche dans le champ select the best server:. Test wildfire wildfire registration: download server list: select the best server: successful successful ca-s1.wildfire.paloaltonetworks.com Niveau de privilège requis superuser, superreader 120 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Exemple WildFire Le scénario de l'exemple suivant récapitule le cycle de vie WildFire™ complet. Dans cet exemple, un représentant commercial de Palo Alto Networks télécharge un nouvel outil de vente informatique qu'un partenaire commercial a chargé sur le site Dropbox. Ce dernier a chargé, sans le savoir, une version infectée du fichier d'installation de cet outil de vente que le représentant commercial va ensuite télécharger. Cet exemple montre comment un pare-feu Palo Alto Networks, associé à WildFire, va détecter un logiciel malveillant au jour 0 téléchargé par un utilisateur final, même s'il s'agit de trafic crypté SSL. Lorsque WildFire identifie le logiciel malveillant, un log est envoyé au pare-feu. Celui-ci informe l'administrateur qui contacte alors l'utilisateur afin de supprimer le logiciel malveillant. WildFire génère ensuite une nouvelle signature pour le logiciel malveillant et les pare-feux disposant d'un abonnement de prévention des menaces ou WildFire téléchargent automatiquement la signature pour se protéger contre une exposition future. Bien que certains sites Web de partage de fichiers disposent d'une fonction antivirus contrôlant les fichiers une fois chargés, ils fournissent uniquement une protection contre les logiciels malveillants connus. Cet exemple utilise un site Web crypté SSL. Dans le cas présent, le décryptage est activé sur le pare-feu, y compris l'option de transfert de contenu crypté pour analyse. Pour activer l'option de transfert du contenu crypté au cloud Wildfire, reportez-vous à la section Transfert de fichiers pour analyse par WildFire. \ Flux de travail WildFire Step 1 Step 2 Le représentant commercial d'une société partenaire charge un fichier contenant un outil de vente nommé sales-tool.exe sur son compte Dropbox, puis envoie un e-mail contenant un lien vers ce fichier au représentant commercial de Palo Alto Networks. Ce dernier reçoit l'e-mail et clique sur ce lien de téléchargement qui ouvre le site Dropbox. Puis, il clique sur Télécharger pour enregistrer le fichier sur son bureau. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 121 Exemple WildFire Flux de travail WildFire (Continué) Step 3 Le pare-feu qui protège le représentant commercial de Palo Alto dispose d'une règle au profil d'analyse WildFire associée à une règle de politique de sécurité qui recherche des fichiers quelle que soit l'application utilisée pour télécharger ou charger un type de fichier pris en charge. Le pare-feu peut également être configuré pour transférer le type de fichier « email-link », qui permet au pare-feu d'extraire des liens HTTP/HTTPS contenus dans des courriers électroniques SMTP et POP3. Dès que le représentant commercial clique pour télécharger ce fichier, le pare-feu transfère le fichier sales-tool.exe vers WildFire, où le fichier est analysé afin de détecter tout logiciel malveillant de type « zero-day ». Bien que le représentant commercial utilise Dropbox, site doté d'un cryptage SSL, le pare-feu est configuré pour décrypter le trafic ; ainsi tout le trafic peut être inspecté. Les captures d'écran suivantes montrent la règle associée au profil d'analyse WildFire, la politique de sécurité configurée avec la règle associée au profil d'analyse WildFire jointe, ainsi que l'option permettant d'autoriser le transfert de contenu crypté. Step 4 À ce stade, WildFire a reçu le fichier et l'analyse par rapport à plus de 200 comportements malveillants différents. Vérification du transfert des fichiers pour vérifier que le pare-feu a bien transféré un fichier ou des liens d'email pour analyse WildFire. 122 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Exemple WildFire Flux de travail WildFire (Continué) Step 5 Dans un délai d'environ cinq minutes, WildFire termine l'analyse du fichier, puis renvoie un log WildFire au pare-feu avec les résultats de l'analyse. Dans cet exemple, le log WildFire indique que le fichier est malveillant. Step 6 Le fichier est configuré avec un profil de transfert de logs qui envoie des alertes WildFire à l'administrateur de sécurité lorsqu'un logiciel malveillant est détecté. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 123 Exemple WildFire Flux de travail WildFire (Continué) Step 7 L'administrateur de sécurité identifie l'utilisateur par son nom (si l'option User-ID est configurée) ou par son adresse IP si l'option User-ID n'est pas activée. À ce stade, l'administrateur peut fermer le réseau ou la connexion VPN que le représentant commercial utilise et contacte ensuite le groupe d'assistance informatique afin de contrôler et de nettoyer le système avec l'utilisateur. Grâce au rapport d'analyse détaillé WildFire, l'employé de l'assistance informatique peut déterminer si le système de l'utilisateur est infecté par le logiciel malveillant en observant les fichiers, les processus et les informations détaillées du registre figurant dans le rapport d'analyse WildFire. Si l'utilisateur exécute le logiciel malveillant, l'employé de l'assistance informatique peut essayer de nettoyer le système manuellement ou de créer une nouvelle image. Pour plus d'informations sur les champs d'un rapport WildFire, consultez la section Rapports d'analyse WildFire : aperçu de près. Figure : Vue partielle du rapport d'analyse WildFire en PDF Step 8 Maintenant que l'administrateur a identifié le logiciel malveillant et que le système de l'utilisateur est en cours de vérification, que faites-vous pour prévenir toute exposition future ? Réponse : Dans cet exemple, l'administrateur a défini un calendrier sur le pare-feu pour télécharger et installer des signatures WildFire toutes les 15 minutes et pour télécharger et installer quotidiennement des mises à jour antivirus. Moins d'une heure et demie après que le représentant commercial a téléchargé le fichier infecté, WildFire a identifié un logiciel malveillant au jour 0, généré une signature, l'a ajoutée à la base de données des signatures mises à jour WildFire fournie par Palo Alto Networks et le pare-feu a téléchargé et installé la nouvelle signature. Ce pare-feu et tous les autres pare-feux Palo Alto Networks configurés pour télécharger des signatures WildFire et antivirus sont désormais protégés contre ce nouveau logiciel malveillant. La capture d'écran suivante indique le calendrier des mises à jour WildFire : 124 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks Exemple WildFire Flux de travail WildFire (Continué) Tout ceci se produit bien avant que la majorité des fournisseurs d'antivirus ne soient informés de ce logiciel malveillant au jour 0. Dans cet exemple, en très peu de temps, le logiciel malveillant n'est plus considéré au jour 0 car Palo Alto Networks l'a déjà détecté et a déjà fourni une protection à ses clients pour prévenir toute exposition future. Palo Alto Networks Guide de l’administrateur WildFire 7.0 • 125 Exemple WildFire 126 • Guide de l’administrateur WildFire 7.0 Palo Alto Networks