WildFire Administrator`s Guide

Transcription

Palo Alto Networks
Guide de l'administrateur WildFire™
Version 7.0
Coordonnées de contact
Siège social de l'entreprise :
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
https://www.paloaltonetworks.fr/company/contact-us.html
À propos de ce guide
Le présent guide explique les tâches administratives requises pour utiliser et gérer la fonction WildFire de Palo Alto
Networks. Les sujets abordés sont : les informations relatives aux licences, la configuration de pare-feux pour transférer
des fichiers en vue de leur inspection, l'affichage de rapports et la méthode permettant de configurer et de gérer
l'appareil WF-500.

Pour des informations sur les capacités supplémentaires et pour les instructions pour la configuration des
fonctionnalités sur le pare-feu, consultez le site https://www.paloaltonetworks.com/documentation.

Pour accéder à la base de connaissances, aux forums de discussion et aux vidéos, consultez le site
https://live.paloaltonetworks.com.

Pour contacter le support, obtenir des informations sur les programmes de support ou gérer votre compte ou vos
périphériques, consultez le site https://support.paloaltonetworks.com.

Pour obtenir les dernières notes de publication, rendez-vous sur la page des téléchargements logiciels
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Pour nous communiquer vos remarques sur la documentation, écrivez-nous à l'adresse :
[email protected].
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2014–2015 Palo Alto Networks, Inc. Palo Alto Networks est une marque déposée de Palo Alto Networks. La liste de nos marques est
disponible sur le site http://www.paloaltonetworks.com/company/trademarks.html. Toutes les autres marques mentionnées dans le
présent document appartiennent à leur propriétaire respectif.
Date de révision : mai 17, 2016
2 • Guide de l’administrateur WildFire 7.0
Palo Alto Networks
Table des matières
Présentation de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
A propos de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Déploiements WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Cloud WildFire public. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Cloud WildFire privé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Cloud WildFire hybride . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Concepts de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Bac à sable virtuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Verdicts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Analyse du type de fichier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Analyse de liens d'e-mail WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Alertes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Journaux et génération de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Conditions d'abonnement à WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Recommandations pour le maintien des signatures à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Configuration de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
À propos de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Configuration de l'appareil WF-500. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Configuration de l'interface MV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Présentation de l'interface de machine virtuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Configuration de l'interface MV sur l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Connexion du pare-feu à l'interface MV de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Paramétrages des mises à jour de contenu WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Installation des mises à jour de contenu WF-500 directement à partir du serveur de mises à jour . . . 34
Installation des mises à jour de contenu WF-500 à partir d'un serveur SCP . . . . . . . . . . . . . . . . . . . . . 35
Activation de la génération de signatures et d'URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Mise à niveau de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Envoi des fichiers pour analyse WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
Transfert de fichiers pour analyse par WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Vérification des envois WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Test d'un échantillon de fichier malveillant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Vérification du transfert des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Chargement manuel de fichiers dans le portail WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Envoi des logiciels malveillants ou des rapports à partir de l'appareil WF-500. . . . . . . . . . . . . . . . . . . . . . . 54
Capacité de transfert de fichier de pare-feu par plateforme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Palo Alto Networks
Guide de l’administrateur WildFire 7.0 • 3
Table des matières
Surveillance de l'activité WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Utilisation du pare-feu pour surveiller l'activité WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des paramètres du journal des envois WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Surveillance des envois et des rapports d'analyse WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Paramétrage des alertes pour la journalisation des logiciels malveillants. . . . . . . . . . . . . . . . . . . . . . . .
58
58
60
63
Utilisation du portail WildFire pour surveiller l'activité WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des paramètres du portail WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ajout des utilisateurs du portail WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Affichage des rapports sur le portail WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65
65
66
67
Rapports d'analyse WildFire : aperçu de près . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Utilisation de l'API WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
À propos des abonnements à WildFire et des clés API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Méthodes d'envoi de fichiers de l'API WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Envoi d'un fichier au cloud WildFire à l'aide de la méthode Submit File . . . . . . . . . . . . . . . . . . . . . . . 75
Envoi d'un fichier à WildFire à l'aide de la méthode Submit URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Requête d'un rapport PDF ou XML WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Utilisation de l'API pour récupérer un échantillon de fichier malveillant pour le test . . . . . . . . . . . . . . . . . 78
Utilisation de l'API pour récupérer un échantillon ou une PCAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Utilisation de l'API WildFire sur un appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Génération de clés API sur l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion des clés API sur l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilisation de l'API WildFire sur un appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
81
81
82
83
Utilisation de la CLI de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Concepts de la CLI du logiciel de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Structure de la CLI du logiciel de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conventions des commandes de la CLI du logiciel de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . .
Messages des commandes de la CLI du logiciel de l'appareil WF-500 . . . . . . . . . . . . . . . . . . . . . . . . .
Symboles des options de commande. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Niveaux de privilèges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
86
86
87
87
89
Modes des commandes de la CLI de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Mode Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Mode Opérationnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Accès à la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Établissement d'une connexion de console directe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Établissement d'une connexion SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Utilisation de la CLI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Accès aux modes Opérationnel et Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Affichage des options de commandes de la CLI du logiciel de l'appareil WF-500 . . . . . . . . . . . . . . . .
Restriction du résultat de la commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Paramétrage du format de sortie des commandes de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . .
96
96
96
97
98
Référence des commandes du mode Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
set deviceconfig setting wildfire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
set deviceconfig system update-schedule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
set deviceconfig system vm-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Palo Alto Networks
Table des matières
Référence des commandes du mode Opérationnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
create wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
delete wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
delete wildfire-metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
edit wildfire api-key. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
load wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
request system raid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
request system wildfire-vm-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
request wf-content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
save wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
set wildfire portal-admin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
show system raid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
show wildfire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
test wildfire registration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Exemple WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Palo Alto Networks
Table des matières
Palo Alto Networks
Présentation de WildFire
WildFire™ assure la détection et la prévention de logiciels malveillants au jour 0 en combinant des analyses dans
un bac à sable, une détection basée sur une signature et un blocage de logiciels malveillants. WildFire étend les
fonctionnalités des pare-feux Palo Alto Networks de nouvelle génération pour identifier et bloquer les logiciels
malveillants ciblés et inconnus.

A propos de WildFire

Déploiements WildFire

Concepts de WildFire

Conditions d'abonnement à WildFire
Palo Alto Networks
Les logiciels malveillants modernes sont au centre de nombreuses attaques réseau parmi les plus sophistiquées
à l'heure actuelle et sont de plus en plus personnalisés de sorte à échapper aux les solutions de sécurité classiques.
Palo Alto Networks a développé une approche intégrée qui examine le cycle de vie d'un logiciel malveillant et
qui consiste à prévenir toute infection, identifier des logiciels malveillants au jour 0 (les logiciels malveillants non
détectés) ou des logiciels malveillants ciblés (ceux ciblant un secteur ou une entreprise spécifique), mais aussi
identifier et interrompre la progression d'infections actives.
Le moteur WildFire de Palo Alto Networks observe directement des logiciels malveillants au jour 0 et ciblés
dans un environnement virtuel à l'intérieur du système WildFire. La fonction WildFire utilise pleinement la
technologie App-ID de Palo Alto Networks en identifiant les transferts de fichiers dans l'ensemble des
applications et pas uniquement les pièces jointes d'e-mails ou les téléchargements de fichiers effectués à partir
d'un navigateur.
Pour plus d'informations sur la politique de confidentialité de Palo Alto Networks, reportez-vous à
https://live.paloaltonetworks.com/docs/DOC-2880.
La Flux décisionnel WildFire de haut niveau illustre le flux travail WildFire de base et la Flux
décisionnel WildFire détaillé décrit l'ensemble du cycle de vie WildFire à partir du moment où un utilisateur
télécharge un fichier malveillant jusqu'à ce que WildFire génère une signature qui sera utilisée par les pare-feux
Palo Alto Networks pour se protéger contre une exposition future au logiciel malveillant.
Le flux décisionnel WildFire de haut niveau décrit le flux de travail de téléchargement d'un fichier.
L'analyse d'un lien HTTP/HTTPS contenu dans un e-mail est très similaire, mais avec quelques
différences mineures. Pour plus d'informations, reportez-vous à la section Analyse de liens
d'e-mail WildFire.
Palo Alto Networks
Flux décisionnel WildFire de haut niveau
Palo Alto Networks
Flux décisionnel WildFire détaillé
Palo Alto Networks
Vous pouvez configurer un pare-feu Palo Alto Networks pour envoyer des fichiers inconnus pour analyse
WildFire à l'aide des types de déploiements WildFire suivants :

Cloud WildFire public

Cloud WildFire privé

Cloud WildFire hybride
Cloud WildFire public
Dans un déploiement de cloud WildFire public, un pare-feu Palo Alto Networks transfère des fichiers vers
l'environnement WildFire hébergé qui est détenu et géré par Palo Alto Networks. Lorsque WildFire détecte un
nouveau logiciel malveillant, il génère une nouvelle signature dans les 15 à 30 minutes qui suivent. Les pare-feux
abonnés à WildFire peuvent recevoir de nouvelles signatures dans un délai de 15 minutes ; les pare-feux
disposant d'un abonnement de prévention des menaces les recevront lors de la prochaine mise à jour des
signatures de l'antivirus au bout de 24 à 48 heures.
Les serveurs de cloud WildFire sont wildfire.paloaltonetworks.com pour le serveur du cloud WildFire hébergé
aux États-Unis et wildfire.paloaltonetworks.jp pour le cloud WildFire hébergé au Japon. Vous voudrez peut-être
que vos pare-feux utilisent le serveur japonais si vous ne souhaitez pas que les fichiers bénins soient transférés
au serveur américain. Cependant, le cloud japonais transfère les fichiers malveillants aux serveurs du cloud
américain pour qu'une signature soit générée et distribuée aux utilisateurs de WildFire en vue d'identifier et de
bloquer la menace. Si vos pare-feux sont situés au Japon, vous bénéficierez également d'un temps de réponse
plus court pour l'envoi d'exemples et la génération de rapports.
De multiples machines virtuelles sont exécutées sur le cloud WildFire pour représenter une variété de systèmes
d'exploitation et d'applications qui sont alors utilisés pour analyser le comportement d'échantillons de fichiers
transférés aux pare-feu Palo Alto Networks. Le cloud WildFire public prend également en charge l'analyse
multi-version, c'est-à-dire que le cloud WildFire public analyse les fichiers propres à une application, tels que les
documents Microsoft Office, les PDF et les fichiers multimédias, sur plusieurs versions de l'application afin de
détecter les logiciels malveillants qui ont été conçus pour ne cibler que des certaines versions des applications
client.
Cloud WildFire privé
Dans un déploiement de cloud privé Palo Alto Networks, les pare-feu Palo Alto Network transfèrent des fichiers
vers un appareil WF-500 qui est installé sur le réseau de votre entreprise et qui sert à l'hébergement d'un
emplacement d'analyse sur un cloud privé. Le cloud WildFire privé qui est hébergé sur un appareil WF-500 peut
recevoir et analyser des fichiers provenant d'un maximum de 100 pare-feu Palo Alto Networks.
Les fichiers bénins ou indésirables ne quittent jamais votre réseau puisque le cloud WildFire privé place tous les
fichiers localement dans son bac à sable. De plus, par défaut, le cloud privé n'envoie pas les logiciels malveillants
hors de votre réseau ; cependant, vous pouvez choisir de transférer automatique les logiciels malveillants au
cloud WildFire public. Le cloud WildFire public procède à une nouvelle analyse de l'échantillon, génère une
signature s'il s'agit d'un logiciel malveillant et distribue la signature aux pare-feu Palo Alto Networks à l'échelle
Palo Alto Networks
mondiale qui disposent d'une icence de protection contre les menaces ou d'un abonnement à WildFire.
Alternativement, vous pouvez procéder au Chargement manuel de fichiers dans le portail WildFire ou à
l'Utilisation de l'API WildFire pour envoyer les fichiers découverts dans le cloud privé pour une analyse plus
poussée et la distribution de la signature à l'ensemble des utilisateurs.
Si vous ne voulez pas que le cloud WildFire privé envoie les échantillons de logiciels malveillants à l'extérieur de
votre réseau, il est recommandé que vous activiez l'envoi du rapport de logiciels malveillants (plutôt que de
l'échantillon) par l'appareil au cloud WildFire public. Les rapports WildFire donnent des renseignements
statistiques qui facilitent l'évaluation par Palo Alto Networks de l'omniprésence et de la propagation des logiciels
malveillants Pour plus d'informations, reportez-vous à la section Envoi des logiciels malveillants ou des rapports
à partir de l'appareil WF-500.
Activation de la génération de signatures et d'URL sur l'appareil WF-500 pour générer localement des signatures
pour les logiciels malveillants qui ont été identifiés dans le cloud privé. Les signatures générées par l'appareil
WF-500 sont distribuées aux pare-feu connectés pour que ces derniers puissent bloquer efficacement le logiciel
malveillant la prochaine fois qu'il sera détecté.
Cloud WildFire hybride
Dans le cadre d'un déploiement de cloud WildFire hybride, un seul pare-feu peut transférer certains échantillons
du cloud WildFire public et d'autres échantillons à un cloud WildFire privé hébergé par un appareil WF-500.
Configurez les paramètres sur le pare-feu pour transférer les fichiers à un emplacement d'analyse WildFire (soit
sur le cloud public ou sur le cloud privé) selon le type de fichier, l'application et le sens de transmission du fichier
(chargement ou téléchargement). Un déploiement de cloud WildFire hybride offre la souplesse nécessaire pour
analyser des documents privés localement et dans votre réseau, tandis que le cloud WildFire public analyse des
fichiers provenant d'Internet. Par exemple, transférez les données sur les cartes de paiement (PCI) et les
renseignements personnels sur la santé exclusivement au cloud WildFire privé pour analyse, mais transférez les
fichiers PE (portable executable/exécutable portable) au cloud WildFire public pour analyse. Si le cloud
WildFire est déployé sous forme de cloud hybride, le transfert de fichiers vers le cloud public pour analyse vous
permet d'obtenir un verdict rapide relativement aux fichiers qui ont déjà été traités dans le cloud WildFire public
et libère de la capacité de l'appareil WF-500 pour qu'il traite du contenu de nature délicate. De plus, vous pouvez
transférer certains types de fichiers vers le cloud WildFire public qui ne sont pas actuellement pris en charge
pour analyse par l'appareil WF-500, tels que les fichiers Android Application Package (APK).
Pour configurer le cloud hybride, reportez-vous à la section Transfert de fichiers pour analyse par WildFire.
Palo Alto Networks

Bac à sable virtuel

Verdicts

Analyse du type de fichier

Analyse de liens d'e-mail WildFire

Signatures

Alertes

Journaux et génération de rapports
Bac à sable virtuel
WildFire exécute les fichiers suspects reçus dans un environnement virtuel et observe le comportement des
fichiers pour déterminer si ces derniers montrent des signes d'activités malveillantes, telles que la modification
des paramètres de sécurité du navigateur, l'injection de code dans d'autres processus, la modification de fichiers
dans le dossier système de Windows ou de domaines auxquels l'échantillon a accédé. Le cloud WildFire public
analyse également les fichiers sur plusieurs versions des application afin d'identifier les logiciels malveillants qui
ont été conçus pour ne cibler que certaines versions des applications client (le cloud WildFire privé ne prend
pas en charge l'analyse multi-version et n'analyse pas les fichiers propres à une application Une fois que le
moteur WildFire a terminé l'analyse des fichiers, il génère un rapport d'analyse détaillé récapitulant les
comportements observés et détermine automatiquement s'il s'agit d'un logiciel malveillant ou d'un fichier bénin
ou indésirable. De même, WildFire va extraire des liens de messages électroniques et consulte les liens pour
déterminer si la page Web correspondante présente une faille de sécurité quelconque. Si WildFire détecte un
comportement malveillant, il génère un rapport, envoie l'URL à PAN-DB et classe l'URL comme étant
malveillante.
WildFire inclut la prise en charge du bac à sable pour les environnements de système d'exploitation suivants :

Microsoft Windows XP 32 bits

Microsoft Windows 7 32 bits (pris en charge comme option de l'appareil WF-500 uniquement)

Microsoft Windows 7 64 bits
Verdicts
WildFire rend des verdicts afin d'identifier les échantillons qu'il analyse comme étant sûrs, malveillants ou
indésirables (les échantillons indésirables sont considérés comme dérangeants, mais pas malveillants) :

Bénin : l'échantillon est sûr et ne manifeste aucun comportement malveillant.

Indésirable : l'échantillon ne menace pas directement la sécurité, mais présente un comportement
dérangeant. Les logiciels indésirables comprennent généralement les logiciels publicitaires, les logiciels
espions et les objets BHO (Browser Helper Objects/objets de l'assistant du navigateur).
Palo Alto Networks

Malveillant : l'échantillon est malveillant en nature ou portée et menace la sécurité. Les échantillons
malveillants comprennent les virus, les vers, les chevaux de Troie, les outils d’accès à distance (RAT), les
outils de dissimulation d'activité et les réseaux de zombies. Dans le cas de fichiers identifiés comme étant
malveillants, WildFire génère et distribue une signature pour éviter toute exposition ultérieure à la menace.
Analyse du type de fichier
Vous configurez un profil d'analyse WildFire sur les pare-feu Palo Alto Networks afin de transférer les
échantillons pour analyse WildFire selon le type de fichier. Lorsqu'un utilisateur télécharge un échantillon de
fichier dans une session correspondant à la règle de sécurité à laquelle le profil d'analyse WildFire est associé, le
pare-feu procède à une vérification du hachage du fichier avec WildFire afin de déterminer si WildFire a déjà
analysé le fichier. Si le fichier est inconnu, le pare-feu le transfère à WildFire.
Le pare-feu peut transférer des fichiers pour analyse WildFire en fonction des types de fichiers suivants :

: fichiers Android Application Package (APK). Les fichiers APK ne sont pas pris en charge pour l'analyse
par le cloud WildFire privé via l'appareil WF-500.

email-link

flash

jar

ms-office

pe : fichiers PE (Portable Executable/exécutable portable). Les fichiers PE englobent les fichiers
exécutables, le code objet, les fichiers DLL et les fichiers FON (polices). Un abonnement n'est pas requis
pour transférer les fichiers PE pour une analyse WildFire, mais est requis pour tous les autres types de
fichiers pris en charge.

pdf
apk
: liens d'e-mail HTTP/HTTPS contenus dans des messages électroniques SMTP et POP3.
: applets Adobe Flash et contenu Flash intégré à des pages Web.
: applets Java (types de fichiers JAR/class)
: fichiers Microsoft Office, y compris les documents (DOC, DOCX, RTF), les classeurs (XLS,
XLSX), et les présentations PowerPoint (PPT, PPTX) ainsi que les documents XML (OOXML) Open
Office 2007+ .
: fichiers Portable Document Format (PDF).
Pour obtenir des précisions sur l'activation du pare-feu afin de transférer des échantillons vers WildFire selon le
type de fichiers, reportez-vous à la section Transfert de fichiers pour analyse par WildFire.
Analyse de liens d'e-mail WildFire
Un pare-feu Palo Alto Networks peut extraire des liens HTTP/HTTPS contenus dans les messages
électroniques SMTP et POP3 et transférer les liens vers le cloud WildFire public ou privé pour analyse. Activez
le transfert des liens inconnus contenus dans les messages électroniques en configurant un profil d'analyse
WildFire avec type de fichier email-link. Le pare-feu extrait uniquement les liens et les informations de session
associées (expéditeur, destinataire et objet) des messages électroniques qui traversent le pare-feu ; il ne reçoit,
stocke, transfère ni affiche les messages électroniques.
Palo Alto Networks
Lorsqu'il reçoit un lien d'un pare-feu, WildFire suit ce lien afin de déterminer si la page Web correspondante
présente une faille de sécurité quelconque. Si WildFire détermine que la page est bénigne ou indésirable, il ne
génère pas de journal. Toutefois, s'il détecte un comportement malveillant sur la page, le pare-feu renvoie un
verdict malveillant et :

Génère un rapport d'analyse détaillé et le consigne le rapport dans le journal des envois WildFire sur le
pare-feu. Le journal inclut les informations d'en-tête d'e-mail (expéditeur, destinataire et objet de l'e-mail)
afin que vous puissiez identifier le message et le supprimer du serveur de messagerie ou minimiser la menace
si l'e-mail a déjà été distribué ou ouvert.

Ajoute l'URL à PAN-DB et classe l'URL comme étant malveillante.
Le pare-feu transfère les liens d'e-mail à WildFire par lots de 100 ou toutes les deux minutes (selon la première
limite atteinte). Chaque chargement par lot sur WildFire est comptabilisé comme un chargement sur la capacité
de chargement par minute de la plateforme de pare-feu spécifique (Capacité de transfert de fichier de pare-feu
par plateforme).
Si un lien contenu dans un e-mail correspond à un fichier de téléchargement plutôt qu'à un URL, le pare-feu
transfère le fichier vers WildFire pour analyse seulement si le type de fichier correspondant est activé pour
l'analyse WildFire.
Pour obtenir des précisions sur l'activation du transfert des liens contenus dans les e-mails vers le cloud WildFire
sur le pare-feu, reportez-vous à la section Transfert de fichiers pour analyse par WildFire.
Signatures
Les avantages clés de cette fonction sont la détection de logiciels malveillants au jour 0 dans le trafic Web
(HTTP/HTTPS), les protocoles de messagerie (SMTP, IMAP et POP) et le trafic FTP, et la génération rapide
de signatures, permettant de prévenir toute infection future par l'ensemble des logiciels malveillants détectés.
WildFire génère automatiquement une signature en fonction des données utiles malveillantes de l'échantillon et
la teste pour l'exactitude et la sécurité. En raison de l'évolution rapide des logiciels malveillants, les signatures
que WildFire génère vont prendre en compte plusieurs de ses variantes. Lorsque WildFire détecte un nouveau
logiciel malveillant, il génère une nouvelle signature dans les 15 à 30 minutes qui suivent. Les pare-feux abonnés
à WildFire peuvent recevoir les nouvelles signatures dans les 15 minutes qui suivent. Si vous ne disposez pas
d'un abonnement WildFire, les signatures sont disponibles dans un délai de 24 à 48 heures, et sont intégrées à
la mise à jour antivirus destinée aux pare-feux abonnés de prévention des menaces.
Une fois le pare-feu télécharge et installe la nouvelle signature, le pare-feu supprimer tout fichier contenant ce
logiciel malveillant (ou l'une de ses variantes). Les informations regroupées par WildFire pendant l'analyse de
logiciels malveillants vont permettre de consolider d'autres fonctions de prévention des menaces, comme l'ajout
d'URL de logiciels malveillants dans PAN-DB, la génération de signatures DNS, de signatures antivirus et
antispyware. Palo Alto Networks développe aussi des signatures pour le trafic de commande et de contrôle qui
perturbent immédiatement toute communication d'un logiciel malveillant au sein du réseau. Pour plus
d'informations sur les signatures et les avantages d'un abonnement à WildFire, consultez la section Conditions
d'abonnement à WildFire.
Palo Alto Networks
Alertes
Activez le pare-feu pour qu'il envoie des avis instantanés lorsqu'il détecte des logiciels malveillants sur votre
réseau. Paramétrage des alertes pour la journalisation des logiciels malveillants qui seront envoyés sous forme
de pièces SNMP, messages Syslog ou notifications par courrier électronique. Les notifications d’alerte vous
permettant de rapidement identifier l'utilisateur qui a téléchargé le logiciel malveillant et le supprimer avant qu'il
ne cause des dommages importants ou qu'il ne se propage sur les ordinateurs d'autres utilisateurs. De plus,
chaque signature que WildFire génère est automatiquement propagée dans l'ensemble des pare-feux Palo Alto
Networks (avec un abonnement de prévention des menaces et/ou à WildFire), qui fournit une protection
automatique contre les logiciels malveillants détectés sur des réseaux du monde entier.
Journaux et génération de rapports
Vous pouvez effectuer la Surveillance de l'activité WildFire au moyen d'un pare-feu qui envoie des échantillons
pour analyse, du portail WildFire portal ou de l'API WildFire.
Pour chaque échantillon analysé par WildFire, WildFire génère un rapport d'analyse qui classe l'échantillon sous
la catégorie appropriée (logiciel malveillant, fichier indésirable ou fichier bénin) et expose de façon détaillée de
l'information sur l'échantillon ainsi que sur son comportement.
Les rapports d'analyse de WildFire sont accessibles sur le pare-feu qui a envoyé l'échantillon et sur le cloud
WildFire (public ou privé) qui a analysé l'échantillon :
Affichage des rapports sur les échantillons qui ont été envoyés au cloud WildFire public

Utilisation du pare-feu : tous les échantillons envoyés par un pare-feu pour analyse WildFire sont journalisés
sous forme d'entrées des journaux d'envois WildFire (Surveillance > Envois WildFire). Pour chaque envoi
WildFire, vous pouvez ouvrir une vue détaillée du journal afin de visualiser le rapport d'analyse WildFire qui
correspond à l'échantillon ou de télécharger le rapport au format PDF.

Utilisation du portail WildFire : surveillance de l'activité WildFire, y compris le rapport d'analyse WildFire
de chaque échantillon, qui peut également être téléchargé au format PDF. Si le cloud WildFire est déployé
sous forme de cloud public, le portail WildFire offre des précisions sur les échantillons envoyés vers le cloud
public par les pare-feu connectés et sur les échantillons qui sont manuellement chargés vers le portail.
Affichage des rapports sur les échantillons qui ont été envoyés au cloud WildFire privé

Utilisation du pare-feu : tous les échantillons envoyés par un pare-feu pour analyse WildFire sont journalisés
sous forme d'entrées des journaux d'envois WildFire (Surveillance > Envois WildFire). Pour chaque envoi
WildFire, vous pouvez ouvrir une vue détaillée du journal afin de visualiser le rapport d'analyse WildFire qui
correspond à l'échantillon ou de télécharger le rapport au format PDF.

Utilisation du portail WildFire : (seulement lorsque l'intelligence du cloud est activée sur l'appareil WF-500)
surveillance de l'activité WildFire, y compris le rapport d'analyse WildFire de chaque échantillon, qui peut
également être téléchargé au format PDF. Si le cloud WildFire est déployé sous forme de cloud privé, le
portail WildFire offre des précisions sur les échantillons qui sont manuellement chargés vers le portail et sur
les échantillons qui sont envoyés par un appareil WF-500 lorsque l'intelligence du cloud est activée.

Utilisation de l'API WildFire : extraction des rapports d'analyse WildFire à partir d'un appareil WF-500.
Palo Alto Networks
Les rapports d'analyse WildFire affichent des informations comportementales détaillées concernant
l'échantillon, des informations sur l'utilisateur ciblé, l'application contenant le fichier et toutes les URL
impliquées dans la transmission ou dans l'activité phone-home du fichier. Pour plus d'informations sur les
champs d'un rapport, consultez la section Rapports d'analyse WildFire : aperçu de près.
La capture d'écran suivante montre une partie d'un rapport d'analyse pour un fichier envoyé vers le cloud
WildFire, suivie d'une deuxième capture d'écran illustrant un rapport d'analyse WildFire d'un lien d'e-mail.
Palo Alto Networks
Palo Alto Networks
WildFire assure la détection et la prévention de logiciels malveillants au jour 0 en combinant des analyses dans
un bac à sable à la détection de logiciels malveillants basés sur les signatures. Aucun abonnement n'est requis
pour que WildFire analyse dans un bac à sable les fichiers envoyés depuis des pare-feux Palo Alto Networks vers
le cloud WildFire.
Pour que le pare-feu procède à la détection et au blocage des logiciels malveillants connus détectés par WildFire,
le pare-feu nécessite un abonnement de prévention des menaces et/ou WildFire. L'abonnement de prévention
des menaces permet au pare-feu de recevoir des mises à jour quotidiennes de signatures antivirus qui offrent
une couverture pour tous les échantillons de logiciels malveillants que WildFire détecte à l'échelle mondiale. Cet
abonnement permet également d'accéder aux mises à jour hebdomadaires du contenu qui fournissent une
nouvelle protection contre les vulnérabilités et des signatures antispyware.
Pour activer un appareil WF-500 pour l'analyse locale, vous ne devez installer qu'une licence de support. Celle-ci
permet à l'appareil de communiquer avec le serveur de mises à jour de Palo Alto Networks afin de télécharger
les images de système d'exploitation et les mises à jour de contenu quotidiennes. Les mises à jour de contenu
prennent en charge la capacité de génération de signatures sur l'appareil WF-500 local et de fournir à l'appareil
les toutes dernières informations sur les menaces afin de détecter précisément les logiciels malveillants et
d'améliorer la capacité de l'appareil à différencier les logiciels malveillants et bénins.
Pour pleinement profiter de tous les avantages liés à ce service WildFire, chaque pare-feu connecté au cloud
WildFire public ou privé doit disposer d'un abonnement à WildFire qui comprend les éléments suivants :

Mises à jour dynamiques de WildFire : fournissent de nouvelles signatures de logiciels malveillants sur
une base sub-horaire, configurables dans Périphérique > Mises à jour dynamiques. Dans les 15 à 30 minutes
après l'identification d'un logiciel malveillant par WildFire, ce dernier génère une nouvelle signature de
logiciel malveillant et la distribue via les mises à jour dynamiques WildFire que le pare-feu peut interroger
toutes les 15, 30 ou 60 minutes. Vous pouvez configurer le pare-feu pour qu'il exécute des actions spécifiques
sur des signatures de logiciels malveillants, différentes des actions habituellement appliquées aux signatures
antivirus dans le profil antivirus. Les signatures WildFire fournies dans la mise à jour dynamique incluent
celles générées pour les logiciels malveillants détectés dans les fichiers envoyés à WildFire par l'ensemble des
clients Palo Alto Networks et pas uniquement les échantillons de fichiers que vos pare-feux envoient à
WildFire.

Prise en charge des types de fichiers avancés : permet au pare-feu de transférer des échantillons pour
analyse WildFire selon le type de fichier (reportez-vous à la section Analyse du type de fichier) et de
configurer le pare-feu de sorte qu'il puisse extraire et transférer les liens contenus dans des messages
électroniques pour Analyse de liens d'e-mail WildFire WildFire.

API WildFire : permet un accès programmatique direct au service WildFire sur le cloud WildFire de Palo
Alto Networks ou un appareil WF-500. Utilisez l'API WildFire pour envoyer des fichiers pour analyse et
pour extraire les rapports d'analyse WildFire subséquents. L'API WildFire prend en charge jusqu'à 1 000
envois de fichiers et jusqu'à 10 000 requêtes par jour.
Seuls les pare-feux disposant d'un abonnement valide à WildFire peuvent transférer des fichiers vers un
appareil WF-500 en vue de leur analyse par le cloud privé.
Palo Alto Networks
Recommandations pour le maintien des signatures à jour
Recommandations pour le maintien des signatures à jour
Cette section décrit les recommandations visant à maintenir un pare-feu doté des abonnements de prévention
des menaces et WildFire à jour avec la dernière protection. Pour simplifier votre flux de travail, utilisez des
modèles Panorama pour appliquer des calendriers de mises à jour dynamiques à des pare-feux gérés, afin
d'assurer une cohérence entre tous les pare-feux et de simplifier la gestion des calendriers de mises à jour.
Ces directives fournissent deux options de calendrier : un calendrier minimum recommandé et un autre plus
agressif. Si vous choisissez l'approche plus agressive, le périphérique effectuera le téléchargement et l'installation
des mises à jour beaucoup plus souvent, dont certaines peuvent être très volumineuses (plus de 100 Mo pour
les mises à jour antivirus).
Vous pouvez échelonner les mises à jour automatiques en utilisant le champ Seuil (heures)
pour préciser le temps d'attente avant de procéder à une mise à jour du contenu.

Antivirus - De nouvelles mises à jour de contenu antivirus sont proposées chaque jour par Palo Alto
Networks. Pour obtenir leur contenu le plus récent, planifiez des mises à jour quotidiennes au minimum.
Dans un calendrier plus agressif, planifiez-les toutes les heures.

Applications et menaces - De nouveaux App-ID, une nouvelle protection contre les vulnérabilités et de
nouvelles signatures antispyware sont mis à disposition par Palo Alto Networks sous la forme de mises à
jour de contenu hebdomadaires (le mardi en général). Pour recevoir leur contenu le plus récent, planifiez
des mises à jour hebdomadaires au minimum. Dans un calendrier plus agressif, pour vous assurer que le
pare-feu reçoit le contenu le plus récent peu après sa publication (notamment les occasionnelles mises à
jour d'urgence de contenu hors calendrier), planifiez le pare-feu pour des téléchargements/installations
quotidiens.

WildFire - De nouvelles signatures antivirus WildFire sont publiées toutes les 15 minutes. Selon le
moment où WildFire détecte un nouveau logiciel malveillant pendant le cycle de mise à jour, une
protection est fournie sous la forme d'une signature WildFire 15 à 30 minutes après que WildFire l'a
identifié pour la première fois. Pour obtenir les signatures WildFire les plus récentes, planifiez des mises à
jour toutes les heures ou demi-heures. Dans un calendrier plus agressif, configurez le pare-feu pour qu'il
recherche les mises à jour toutes les 15 minutes.

WF privé : si la génération de signatures et de catégories d'URL (signatures antivirus, signatures DNS et
entrées d'URL pour PAN-DB) est configuré sur l'appareil WF-500, configurez le pare-feu pour qu'il
télécharge et installe les mises à jour à l'aide de la mise à jour dynamique WF privé. Dans la plupart des cas,
lorsque l'appareil reçoit un échantillon malveillant, il génère une signature dans les cinq minutes qui
suivent. Lors de la configuration du pare-feu pour la récupération de ces mises à jour, définissez le
calendrier pour un téléchargement et une installation une ou deux fois par heure. Dans un calendrier plus
agressif (recommandé), vous pouvez planifier le pare-feu pour qu'il télécharge et installe les mises à jour
toutes les 5 minutes. Si vous configurez vos pare-feux pour qu'ils récupèrent des mises à jour WF-Private,
il est vivement recommandé que les pare-feux téléchargent également des mises à jour de contenu de Palo
Alto Networks (antivirus, applications et menaces et WildFire) pour s'assurer que les pare-feux disposent
de la toute dernière protection. Ceci est important car, lorsque le stockage local de mises à jour WF-Private
de l'appareil est saturé, les nouvelles signatures/catégories d'URL remplacent les existantes, en
commençant par les plus anciennes. Pour plus d'informations sur la génération de signature locale,
reportez-vous à la section Activation de la génération de signatures et d'URL.
Palo Alto Networks
Configuration de l'appareil WF-500
Cette rubrique décrit comment configurer un appareil WF-500 de façon à y héberger un cloud WildFire privé
pour analyser les fichiers sur votre réseau. Les rubriques suivantes expliquent comment préparer l'appareil
WF-500 à recevoir les fichiers en vue de leur analyse, comment gérer l'appareil et comment activer l'appareil
pour qu'il génère localement des signatures de menace et des catégories d'URL.

À propos de l'appareil WF-500


Configuration de l'interface MV

Paramétrages des mises à jour de contenu WF-500

Activation de la génération de signatures et d'URL

Mise à niveau de l'appareil WF-500
Palo Alto Networks
L'appareil WF-500 fournit un cloud WildFire™ privé sur site vous permettant d'analyser des fichiers suspects
dans un environnement bac à sable, sans que le pare-feu n'envoie de fichiers en dehors du réseau. Si vous
souhaitez utiliser l'appareil WF-500 pour héberger un cloud WildFire privé, configurez le pare-feu pour qu'il
envoie des échantillons à l'appareil WF-500 pour leur analyse. L'appareil WF-500 place localement tous les
fichiers dans son bac à sable et les analyse afin de détecter tout comportement malveillant à l'aide du même
moteur que le cloud WildFire privé. En quelques minutes, le cloud privé renvoie les résultats de l'analyse journal
des envois WildFire du pare-feu.
L'appareil WF-500 possède une fonctionnalité d'intelligence du cloud que vous pouvez activer (elle est
désactivée par défaut) pour envoyer des logiciels malveillants avérés au cloud public afin de générer des
signatures. Vous pouvez également configurer cette fonctionnalité pour n'envoyer des rapports que sur les
logiciels malveillants, ce qui permet à Palo Alto Networks de collecter des statistiques sur les logiciels
malveillants. Il est recommandé de configurer l'appareil pour qu'il envoie des échantillons malveillants au cloud
WildFire public afin que des signatures soient générées et distribuées de façon à protéger l'ensemble des
utilisateurs mondiaux. Si vous ne souhaitez pas envoyer automatiquement tous les logiciels malveillants détectés
au cloud WildFire public pour la génération de signatures, vous pouvez les charger manuellement sur le portail
WildFire.
Vous pouvez également configurer l'appareil WF-500 afin qu'il génère des signatures localement ; les pare-feu
connectés peuvent alors récupérer les mises à jour directement de l'appareil. Pour plus d'informations sur la
configuration de la génération de signature locale et pour en savoir plus sur les types de mises à jour de contenu
que l'appareil peut proposer, reportez-vous à la section Activation de la génération de signatures et d'URL.
Configurer un maximum de 100 pare-feu Palo Alto Networks disposant d'un abonnement valide à WildFire
pour effectuer des transferts vers un appareil WF-500 unique.
L'appareil WF-500 dispose de deux interfaces :

MGT - Reçoit tous les fichiers transférés par les pare-feu et renvoie aux pare-feu des journaux détaillant les
résultats. Reportez-vous à la section Configuration de l'appareil WF-500.

Interface de la machine virtuelle (vm-interface) - Fournit un accès réseau aux systèmes de bac à
sable WildFire pour permettre aux échantillons de fichiers de communiquer avec Internet et à WildFire de
mieux analyser le comportement des échantillons. Lorsque l'interface MV est configurée, WildFire peut
observer les comportements malveillants qui ne se seraient pas manifestés sans accès réseau, tel que l'activité
phone-home. Toutefois, pour éviter que votre bac à sable ne fasse entrer des logiciels malveillants dans votre
réseau, configurez l'interface de la machine virtuelle sur un réseau isolé doté d'une connexion Internet. Vous
pouvez également activer l'option Tor pour masquer l'adresse IP publique utilisée par votre entreprise des
sites malveillants accessibles par l'échantillon. Pour plus d'informations sur l'interface MV, reportez-vous à
la section Configuration de l'interface MV.
Palo Alto Networks
Cette section décrit les différentes étapes requises pour intégrer un appareil WF-500 dans un réseau et procéder
à un paramétrage de base.
Avant de commencer :

L'appareil WF-500 doit être monté en rack et câblé. Reportez-vous au Guide de référence du matériel de l'appareil
WildFire.

Procurez-vous les informations nécessaires pour configurer la connectivité réseau sur le port MGT et l'interface de
machine virtuelle auprès de votre administrateur réseau (adresse IP, masque de sous-réseau, passerelle, nom d'hôte,
serveur DNS). Toutes les communications entre les pare-feu et l'appareil s'effectuent sur le port MGT, notamment
l'envoi de fichiers, la distribution de journaux WildFire et l'administration de l'appareil. Par conséquent, vérifiez que
les pare-feu sont raccordés au port MGT de l'appareil. L'appareil doit également pouvoir se connecter au site
updates.paloaltonetworks.com pour récupérer les mises à jour logicielles de son système d'exploitation.

Votre ordinateur doit être doté d'un câble de console ou d'un câble Ethernet afin que vous puissiez vous connecter
au périphérique pour la configuration initiale.
Step 1
1.
Connectez l'ordinateur de gestion à
l'appareil à l'aide du port MGT ou du port
de console et mettez l'appareil sous
tension.
Connectez-vous au port de console ou au port MGT. Les deux
se trouvent à l'arrière de l'appareil
• Port de console - Il s'agit d'un connecteur série mâle à
9 broches. Utilisez les paramètres suivants sur l'application de
la console : 9600-8-N-1. Connectez le câble fourni au port
série de l'ordinateur de gestion ou au convertisseur USB vers
Série.
• Port MGT - Il s'agit d'un port Ethernet RJ-45. Par défaut,
l'adresse IP du port MGT est 192.168.1.1. L'interface de
votre ordinateur de gestion doit se trouver sur le même
sous-réseau que le port MGT. Par exemple, paramétrez
l'adresse IP de l'ordinateur de gestion sur 192.168.1.5.
2.
Mettez l'appareil sous tension.
L'appareil est mis sous tension dès que vous branchez
l'alimentation à la première source d'alimentation et un
bip sonore d'avertissement retentit jusqu'à ce que vous
branchiez la seconde alimentation. Si l'appareil est déjà
branché et qu'il est arrêté, appuyez sur le bouton
d'alimentation situé à l'avant de l'appareil pour le mettre
sous tension.
Palo Alto Networks
Configuration de l'appareil WF-500 (Continué)
Step 2
Enregistrez l'appareil WF-500.
1.
Procurez-vous le numéro de série qui se trouve sur l'étiquette
S/N de l'appareil ou exécutez la commande suivante et
consultez le champ serial :
admin@WF-500> show system info
2.
Dans un navigateur, accédez au site de support de Palo Alto
Networks.
3.
Enregistrez le périphérique comme suit :
• S'il s'agit du premier périphérique Palo Alto Networks que
vous enregistrez et que vous ne disposez d'aucune
information de connexion, cliquez sur S'enregistrer à droite
de la page. Pour ce faire, entrez une adresse e-mail et le
numéro de série du périphérique. Lorsque vous y êtes invité,
configurez un nom d'utilisateur et un mot de passe pour
accéder à la communauté de support de Palo Alto Networks.
• Pour les comptes existants, connectez-vous et cliquez sur
Mes périphériques. Accédez à la section Enregistrer le
périphérique située en bas de l'écran, saisissez le numéro de
série du périphérique, votre ville et votre code postal, puis
cliquez sur Enregistrer le périphérique.
4.
Pour confirmer l'enregistrement de WildFire sur l'appareil
WF-500, connectez-vous à l'appareil à l'aide d'un client SSH ou
en utilisant le port de console. Saisissez un nom
d'utilisateur/mot de passe admin/admin. et saisissez la
commande suivante sur l'appareil `:
admin@WF-500> test wildfire registration
La sortie suivante indique que l'appareil est enregistré avec l'un
des serveurs du cloud WildFire de Palo Alto Networks.
Test wildfire
wildfire registration: successful
download server list: successful
select the best server:
cs-s1.wildfire.paloaltonetworks.com
Step 3
Réinitialisez le mot de passe admin.
1.
Définissez un nouveau mot de passe en exécutant la commande
suivante :
admin@WF-500# set password
2.
Saisissez l'ancien mot de passe, appuyez sur la touche Entrée et
confirmez le nouveau mot de passe. Vous n'avez pas à valider la
configuration car il s'agit d'une commande opérationnelle.
3.
Saisissez exit pour vous déconnecter, puis reconnectez-vous
pour vérifier que le nouveau mot de passe a bien été défini.
Palo Alto Networks
Step 4
Configurez les paramètres de l'interface
de gestion.
Cet exemple utilise les valeurs suivantes :
• Adresse IPv4 - 10.10.0.5/22
• Masque de sous-réseau 255.255.252.0
• Passerelle par défaut - 10.10.0.1
• Nom d'hôte - wildfire-corp1
• Serveur DNS - 10.0.0.246
1.
Connectez-vous à l'appareil à l'aide d'un client SSH ou en
utilisant le port de console et passez en mode Configuration :
admin@WF-500> configure
2.
Définissez les informations relatives à l'adresse IP :
admin@WF-500# set deviceconfig system ip-address
10.10.0.5 netmask 255.255.252.0 default-gateway
10.10.0.1 dns-setting servers primary 10.0.0.246
Configurez un serveur DNS secondaire en remplaçant
« primary » par « secondary » dans la commande
ci-dessus, en excluant les autres paramètres relatifs à
l'adresse IP. Par exemple :
admin@WF-500# set deviceconfig system
dns-setting servers secondary 10.0.0.247
3.
Définissez le nom d'hôte (wildfire-corp1, dans cet exemple) :
admin@WF-500# set deviceconfig system hostname
wildfire-corp1
4.
Validez la configuration pour activer la nouvelle configuration
de port de gestion (MGT) :
5.
Connectez le port de l'interface MGT à un commutateur réseau.
6.
Replacez l'ordinateur de gestion sur votre réseau d'entreprise, ou
sur n'importe quel réseau requis pour accéder à l'appareil sur le
réseau de gestion.
7.
Dans votre ordinateur de gestion, utilisez le client SSH pour
vous connecter à la nouvelle adresse IP ou nom d'hôte attribué
au port MGT de l'appareil. Dans cet exemple, l'adresse IP est
10.10.0.5.
1.
Passez en mode opérationnel :
2.
Recherchez et installez la licence WildFire :
admin@WF-500# commit
Step 5
Activez l'appareil à l'aide du code
d'autorisation WildFire que Palo Alto
Networks vous a envoyé.
admin@WF-500# exit
Même s'il fonctionnera sans code
d'authentification,
l'appareil WF-500 ne pourra pas 3.
récupérer de mises à jour
logicielles ou de contenu sans code
d'authentification valide.
Palo Alto Networks
admin@WF-500> request license fetch auth-code <code
d'authentification>
Vérifiez la licence :
admin@WF-500> request support check
Les informations sur le site et le contrat de support s'affichent.
Vérifiez que la date affichée est valide.
Step 6
Définissez manuellement la date, l'heure
et le fuseau horaire actuels ou
synchronisez l'horloge de l'appareil
WF-500 avec un serveur NTP (Network
Time Protocol/Protocole de
synchronisation de réseau).
Définition manuelle de la date, de l'heure et du fuseau horaire de
l'appareil WF-500
1.
Définissez la date et l'heure :
admin@WF-500> set clock date <AA/MM/JJ> time
<hh:mm:ss>
2.
Passez en mode Configuration :
3.
Définissez le fuseau horaire local :
admin@WF-500# set deviceconfig system timezone
<fuseau horaire>
L'horodatage qui va s'afficher sur le rapport détaillé
WildFire va utiliser le fuseau horaire défini sur l'appareil.
Si des administrateurs de plusieurs régions consulteront
les rapports, définissez le fuseau horaire sur UTC.
Synchronisation de l'horloge de l'appareil WF-500 avec un serveur
NTP (Network Time Protocol/Protocole de synchronisation de réseau)
1.
2.
Saisissez l'adresse IP du serveur NTP que vous souhaitez
utiliser pour synchroniser l'horloge de l'appareil WF-500.
admin@WF-500# set deviceconfig system ntp-servers
primary-ntp-server ntp-server-address <adresse du
serveur IP>
3.
(Facultatif) Saisissez l'adresse IP du serveur NTP (Network
Time Protocol/Protocole de synchronisation de réseau)
secondaire.
secondary-ntp-server ntp-server-address <adresse du
serveur IP>
L'appareil WF-500 n'accorde aucune priorité au serveur
NTP principal ou secondaire ; il est synchronisé avec l'un
ou l'autre des serveurs.
4.Configurez l'authentification du serveur NTP :
• Désactivez l'authentification du serveur NTP :
primary-ntp-server authentication-type none
• Activez l'échange de clés symétriques (secrets partagés) pour
authentifier les mises à jour de l'heure du serveur NTP :
primary-ntp-server authentication-type
symmetric-key
Procédez à la saisie de l'ID de la clé (de 1 à 65534),
choisissez l'algorithme à utiliser lors de
l'authentification NTP (MD5 ou SHA1), puis saisissez et
confirmez la clé d'authentification de l'algorithme
d'authentification.
• Utilisez la clé automatique (chiffrement à clé publique) pour
authentifier les mises à jour de l'heure du serveur NTP :
primary-ntp-server authentication-type autokey
Palo Alto Networks
Step 7
• Pour afficher une liste des machines virtuelles disponibles et
Choisissez l'image de machine virtuelle
déterminer laquelle représente votre environnement :
que l'appareil devra utiliser pour l'analyse
de fichiers.
admin@WF-500> show wildfire vm-images
L'image doit être basée sur les attributs
qui représentent le plus exactement
possible les logiciels installés sur les
ordinateurs de vos utilisateurs finaux.
Chaque image virtuelle contient
différentes versions de systèmes
d'exploitation et de logiciels, notamment
Windows XP ou Windows 7 32 ou
64 bits, et des versions spécifiques
d'Adobe Reader et Flash. Même si vous
configurez l'appareil pour utiliser une
configuration d'image de machine
virtuelle, l'appareil utilise plusieurs
instances de l'image afin d'améliorer les
performances.
• Affichez l'image de machine virtuelle actuelle en exécutant la
commande suivante et consultez le champ Selected VM :
admin@WF-500> show wildfire status
• Sélectionnez l'image de machine virtuelle que l'appareil utilisera
pour l'analyse de fichiers :
admin@WF-500# set deviceconfig setting wildfire
active-vm <numéro d'image de la machine virtuelle>
Par exemple, pour utiliser vm-1 :
active-vm vm-1
Continuez la configuration des paramètres facultatifs suivants de l'appareil WF-500 :
• Activez la fonctionnalité d'intelligence du cloud Envoi des échantillons malveillants vers le cloud WildFire public.
de l'appareil WF-500 afin d'envoyer
automatiquement les échantillons de logiciels
malveillants détectés dans le cloud WildFire privé
au cloud WildFire public. Le cloud WildFire
public analyse de nouveau l'échantillon et génère
une signature s'il est malveillant. La signature est
ajoutée aux mises à jour de signatures WildFire de
sorte qu'elle puisse être distribuée à l'ensemble
des utilisateurs mondiaux.
• Si vous ne souhaitez pas envoyer les échantillons Envoi des rapports d'analyse vers le cloud WildFire public.
de logiciels malveillants à l'extérieur du cloud
WildFire privé, envoyez plutôt les rapports
d'analyse des logiciels malveillants au cloud
WildFire public.
Si l'envoi des logiciels malvaillants au
cloud WildFire public n'est pas activé sur
l'appareil WF-500, il est recommandé
d'activer l'envoi des rapports d'analyse des
logiciels malveillants afin d'obtenir des
renseignement sur les menaces et
d'améliorer l'obtention de tels
renseignements.
Palo Alto Networks
Dans cet exemple, vous allez créer un compte super lecteur pour
l'utilisateur bsimpson :
Deux types de rôles peuvent être assignés : super 1. Passez en mode Configuration :
utilisateur et super lecteur. Le rôle super
utilisateur équivaut au compte admin et le rôle 2. Créez le compte utilisateur :
super lecteur dispose uniquement d'un accès en
admin@WF-500# set mgt-config users bsimpson <mot de
passe>
lecture.
3. Saisissez et confirmez un nouveau mot de passe.
• Configurez d'autres comptes utilisateurs pour
gérer l'appareil WF-500.
4.
Assignez le rôle super lecteur :
admin@WF-500# set mgt-config users bsimpson
permissions role-based superreader yes
• Configurez l'authentification RADIUS pour
l'accès administrateur.
1.
Créez un profil RADIUS à l'aide des options suivantes :
admin@WF-500# set shared server-profile radius <nom
du profil>
(Configurez le serveur RADIUS et d'autres attributs.)
2.
Créez un profil d'authentification :
admin@WF-500# set shared authentication-profile
<nom du profil> method radius server-profile <nom du
profil de serveur>
3.
Assignez le profil à un compte admin local :
admin@WF-500# set mgt-config users username
authentication-profile <nom du profil
d'authentification>
Seul le mot de passe peut être modifié pour le compte Admin du
portail WildFire et aucun compte Admin supplémentaire ne peut être
créé. Le nom d'utilisateur et le mot de passe par défaut est
L'admin du portail WildFire peut se servir du
admin/admin.
portail pour envoyer manuellement des
échantillons au cloud WildFire public pour 1. Pour modifier le mot de passe du compte Admin du portail
WildFire, procédez comme suit :
leur analyse et pour afficher les rapports
admin@WF-500>
set wildfire portal-admin password
d'analyse de ces échantillons (reportez-vous à
la section Chargement manuel de fichiers 2. Appuyez sur Entrée et confirmez le nouveau mot de passe.
dans le portail WildFire). Si
l'appareil WF-500 est activé pour procéder
automatiquement à l'Envoi des échantillons
malveillants vers le cloud WildFire public, les
rapports d'analyse de ces échantillons sont également
accessibles par l'entremise du portail WildFire.
• Définissez un mot de passe pour le compte
Admin du portail WildFire.
Étapes suivantes...
• Configuration de l'interface MV pour activer l'appareil WF-500
afin d'observer les comportements malveillants, où le fichier
en cours d'analyse cherche à accéder au réseau.
• Utilisation de l'API WildFire pour extraire les rapports d'analyse
WildFire des échantillons analysés dans un cloud WildFire privé.
• Si vous avez activé l'intelligence du cloud pour l'Envoi des
échantillons malveillants vers le cloud WildFire public pour analyse
approfondie, utilisez le portail WildFire pour afficher les rapports
des échantillons malveillants envoyés.
Palo Alto Networks
L'interface de la machine virtuelle (vm-interface) assure la connectivité réseau externe des machines virtuelles
bac à sable dans l'appareil WF-500 pour permettre d'observer des comportements malveillants dans lesquels le
fichier analysé tente d'accéder au réseau. Les sections suivantes décrivent l'interface MV et les étapes à suivre
pour sa configuration. Vous pouvez également activer la fonctionnalité Tor sur l'interface MV ; celle-ci masque
le trafic malveillant envoyé par l'appareil WF-500 via l'interface MV, de manière à ce que les sites malveillants
vers lesquels le trafic peut être envoyé ne puissent pas détecter votre adresse IP publique.
Cette section explique également les étapes à suivre pour connecter l'interface MV à un port dédié sur un
pare-feu Palo Alto Networks afin d'activer la connectivité Internet.

Présentation de l'interface de machine virtuelle

Configuration de l'interface MV sur l'appareil WF-500

Connexion du pare-feu à l'interface MV de l'appareil WF-500
Présentation de l'interface de machine virtuelle
L'interface MV (nommée 1 à l'arrière de l'appareil) est utilisée par WildFire pour améliorer les fonctionnalités
de détection des logiciels malveillants. L'interface permet à l'échantillon d'un fichier en cours d'exécution sur les
machines virtuelles WildFire de communiquer avec Internet et permet à WildFire de mieux analyser le
comportement de cet échantillon afin de déterminer s'il montre des caractéristiques propres à un logiciel
malveillant.
Bien qu'il soit recommandé d'activer l'interface MV, il est très important que vous ne la connectiez
pas à un réseau où n'importe lequel de vos serveurs/hôtes pourrait accéder, car les logiciels
malveillants qui s'exécutent dans les machines virtuelles WildFire peuvent éventuellement utiliser
cette interface pour se propager.
Cette connexion peut être une ligne ADSL dédiée ou une connexion réseau qui autorise
uniquement un accès direct à Internet depuis l'interface MV et qui limite tout accès à des serveurs
internes/hôtes clients.
Le schéma suivant illustre deux options permettant de connecter l'interface MV au réseau.
Palo Alto Networks
Exemple d'interface de machine virtuelle

Option 1 (recommandée) - Connectez l'interface MV à une interface dans une zone dédiée sur un pare-feu
dont la politique autorise uniquement l'accès à Internet. Cette politique est importante car les logiciels
malveillants qui s'exécutent dans les machines virtuelles WildFire peuvent éventuellement utiliser cette
interface pour se propager. Cette option est recommandée car les logs du pare-feu vont fournir une visibilité
sur n'importe quel trafic généré par l'interface MV.

Option 2 - Utilisez une connexion dédiée à un fournisseur Internet, comme une connexion ADSL, pour
connecter l'interface MV à Internet. Vérifiez que les serveurs/hôtes internes n'ont pas accès à cette
connexion. Bien qu'il s'agisse d'une solution simple, le trafic généré par le logiciel malveillant de l'interface
MV ne sera pas consigné à moins que vous placiez un pare-feu ou un outil de surveillance du trafic entre
l'appareil WF-500 et la connexion ADSL.
Configuration de l'interface MV sur l'appareil WF-500
Cette section explique les différentes étapes requises pour configurer l'interface MV sur l'appareil WF-500 en
utilisant la configuration de l'option 1 détaillée dans l'Exemple d'interface de machine virtuelle. Après avoir
configuré l'interface MV en utilisant cette option, vous devez également configurer une interface sur un pare-feu
Palo Alto Networks par lequel le trafic issu de l'interface MV sera acheminé, comme décrit dans la section
Connexion du pare-feu à l'interface MV de l'appareil WF-500.
Par défaut, l'interface MV comporte les paramètres suivants :

Adresse IP : 192.168.2.1
Palo Alto Networks

Masque réseau : 255.255.255.0

Passerelle par défaut : 192.168.2.254

DNS : 192.168.2.254
Si vous prévoyez d'activer cette interface, configurez-la avec les paramètres adaptés à votre réseau. Si vous ne
prévoyez pas d'utiliser cette interface, conservez les paramètres par défaut. Notez que cette interface doit
disposer de valeurs réseau configurées ou la configuration échouera.
Step 1
1.
Définissez les informations relatives à
l'adresse IP pour l'interface MV sur
l'appareil WF-500.
2.
Les paramètres suivants sont utilisés dans
cet exemple :
• Adresse IPv4 - 10.16.0.20/22
• Masque de sous-réseau - 255.255.252.0
• Passerelle par défaut - 10.16.0.1
• Serveur DNS - 10.0.0.246
L'interface MV ne peut pas se
trouver sur le même réseau que
l'interface de gestion (MGT).
Step 2
Activez l'interface MV.
1.
Définissez les informations relatives à l'adresse IP pour
l'interface MV :
admin@WF-500# set deviceconfig system vm-interface
ip-address 10.16.0.20 netmask 255.255.252.0
default-gateway 10.16.0.1 dns-server 10.0.0.246
Vous ne pouvez configurer qu'un seul serveur DNS sur
l'interface MV. Il est recommandé d'utiliser le serveur
DNS de votre ISP ou un service DNS ouvert.
Activez l'interface MV :
vm-network-enable yes
2.
Validez la configuration :
Step 3
Testez la connectivité de l'interface MV.
Exécutez une commande ping sur un système et spécifiez l'interface
MV comme la source. Par exemple, si l'adresse IP de l'interface MV
est 10.16.0.20, exécutez la commande suivante où ip-ou-nom-hôte est
l'adresse IP ou le nom d'hôte d'un serveur/réseau sur lequel la
commande ping est activée :
admin@WF-500> ping source 10.16.0.20 host
ip-ou-nom-hôte
Par exemple :
admin@WF-500> ping source 10.16.0.20 host 10.16.0.1
Step 4
(Facultatif) Activez le réseau Tor Lorsque Activez le réseau Tor :
1. admin@WF-500# set deviceconfig setting wildfire
cette option est activée, tout trafic
vm-network-use-tor
malveillant généré par les logiciels
2. Validez la configuration :
malveillants sur Internet est envoyé au
réseau Tor. Le réseau Tor masque votre
adresse IP publique, de manière à ce que
les sites malveillants ne puisse pas
déterminer la source du trafic.
Palo Alto Networks
Connexion du pare-feu à l'interface MV de l'appareil WF-500.
Connexion du pare-feu à l'interface MV de l'appareil WF-500
L'exemple de flux de travail suivant explique comment connecter l'interface MV à un port sur un pare-feu Palo
Alto Networks. Avant de connecter cette interface au pare-feu, une zone non approuvée du pare-feu doit déjà
être connectée à Internet. Dans cet exemple, vous configurez une nouvelle zone nommée wf-vm-zone qui
contiendra l'interface MV utilisée pour connecter l'interface MV sur l'appareil au pare-feu. La politique associée
à cette zone va uniquement autoriser les communications entre l'interface MV et la zone non approuvée.
Configuration du pare-feu afin de contrôler le trafic de l'interface MV de l'appareil WF-500
Step 1
Configurez l'interface du pare-feu auquel 1.
l'interface MV va se connecter et
paramétrez le routeur virtuel.
La zone wf-vm-zone ne doit
contenir que l'interface
(ethernet1/3 dans cet exemple)
utilisée pour connecter l'interface
MV sur l'appareil au pare-feu. Ceci
permet d'empêcher le trafic généré
par le logiciel malveillant de se
propager sur d'autres réseaux.
2.
Dans l'interface Web du pare-feu, sélectionnez Réseau >
Interfaces, puis sélectionnez une interface, par exemple :
Ethernet 1/3.
Dans la liste déroulante Type d'interface, sélectionnez
Couche 3.
3.
Dans l'onglet Configuration, cliquez sur la liste déroulante Zone
de sécurité, sélectionnez Nouvelle zone.
4.
Dans le champ Nom de la boîte de dialogue Zone, saisissez
wf-vm-zone, puis cliquez sur OK.
5.
Dans la liste déroulante Routeur virtuel, sélectionnez Par défaut.
6.
Pour assigner une adresse IP à l'interface, cliquez sur l'onglet
IPv4, puis sur Ajouter dans la section IP et saisissez l'adresse IP,
ainsi que le masque réseau à assigner à l'interface, par exemple :
10.16.0.0/22.
7.
Step 2
Créez une politique de sécurité sur le
pare-feu pour autoriser l'accès à Internet
depuis l'interface MV et bloquer
l'ensemble du trafic entrant. Dans cet
exemple, le nom de la politique est
WildFire VM Interface. Étant donné que
vous n'allez pas créer une politique de
sécurité entre la zone non approuvée et la
zone wf-vm-interface, l'ensemble du
trafic entrant est bloqué par défaut.
Pour enregistrer la configuration de l'interface, cliquez sur OK.
1.
Sélectionnez Politiques > Sécurité, puis cliquez sur Ajouter.
2.
Dans l'onglet Général, saisissez un Nom.
3.
Dans l'onglet Source , définissez la Zone source sur
wf-vm-zone.
4.
Dans l'onglet Destination, définissez la zone de destination sur
Non approuvée.
5.
Dans les onglets Application et Catégorie de service/URL,
conservez le paramètre par défaut Indifférent.
6.
Dans l'onglet Actions, définissez le Paramètre d'action sur
Autoriser.
7.
Sous Paramètre des journaux, cochez la case Se connecter à
la fin de la session.
Si vous craignez qu'une personne puisse ajouter
involontairement d'autres interfaces à la zone
wf-vm-zone, clonez la politique de sécurité de l'interface
MV WildFire puis, dans l'onglet Action de la règle clonée,
sélectionnez Refuser. Vérifiez que cette nouvelle
politique de sécurité s'affiche sous la politique de
l'interface MV WildFire. Ceci remplacera la règle
d'autorisation intra-zone implicite qui autorise les
communications entre les interfaces d'une même zone et
refuse/bloque toutes les communications intra-zone.
Palo Alto Networks
Configuration du pare-feu afin de contrôler le trafic de l'interface MV de l'appareil WF-500 (Continué)
Step 3
Connectez les câbles.
Connectez physiquement l'interface MV de l'appareil WF-500 au
port que vous avez configuré sur le pare-feu (Ethernet 1/3 dans cet
exemple) à l'aide d'un câble RJ-45 droit. L'interface MV correspond
au chiffre 1 à l'arrière de l'appareil.
Step 4
Vérifiez que cette interface transmet et
reçoit du trafic.
1.
Affichez les paramètres de l'interface MV :
admin@WF-500> show interface vm-interface
2.
Vérifiez que les valeurs des compteurs de réception et de
transmission augmentent. Vous pouvez exécuter la commande
suivante pour générer du trafic ping de l'interface MV vers un
périphérique externe :
admin@WF-500> ping source vm-interface-ip host
<adresse IP de la passerelle>
Par exemple :
admin@WF-500> ping source 10.16.0.20 host 10.16.0.1
Palo Alto Networks
Configurez les mises à jour de contenu quotidiennes sur l'appareil WF-500. Les mises à jour de contenu de
l'appareil WF-500 fournissent à l'appareil des renseignements sur les menaces, ce qui facilite la détection des
logiciels malveillants, améliore la capacité de l'appareil à différencier les logiciels malveillants et bénins et garantit
que l'appareil dispose des toutes dernières informations nécessaires à la génération de signatures.

Installation des mises à jour de contenu WF-500 directement à partir du serveur de mises à jour

Installation des mises à jour de contenu WF-500 à partir d'un serveur SCP
Installation des mises à jour de contenu WF-500 directement à partir du
serveur de mises à jour
Installation des mises à jour de contenu sur l'état des menaces directement à partir du serveur de mises à jour
Step 1
Vérifiez la connectivité entre l'appareil et 1.
le serveur de mises à jour, et identifiez la
mise à jour du contenu à installer.
2.
Connectez-vous à l'appareil WF-500 et exécutez la commande
suivante pour afficher la version du contenu actuelle :
admin@wf-500> show system info | match
wf-content-version
Vérifiez que l'appareil peut communiquer avec le serveur de mises à
jour de Palo Alto Networks et affichez les mises à jour disponibles :
admin@wf-500> request wf-content upgrade check
La commande interroge le serveur de mises à jour de Palo Alto
Networks, renvoie des informations sur les mises à jour
disponibles et identifie la version installée sur l'appareil.
Version Size Released on
Downloaded Installed
--------------------------------------------------------2-253
57MB 2014/09/20 20:00:08 PDT no
no
2-39
44MB 2014/02/12 14:04:27 PST yes
current
Si l'appareil ne peut pas se connecter au serveur de mises à jour, vous
devrez autoriser la connectivité entre l'appareil et le serveur de mises
à jour de Palo Alto Networks, ou télécharger et installer la mise à jour
à l'aide de SCP comme décrit dans la section Installation des mises
à jour de contenu WF-500 à partir d'un serveur SCP.
Step 2
Téléchargez et installez la dernière mise à 1.
jour du contenu.
2.
Téléchargez la dernière mise à jour du contenu :
admin@wf-500> request wf-content upgrade download latest
Affichez le statut du téléchargement :
admin@wf-500> show jobs all
Vous pouvez exécuter la commande show jobs pending pour
afficher les tâches en attente. Le résultat suivant montre que le
téléchargement (ID de tâche 5) est terminé (statut FIN) :
3.
Enqueued
ID Type
Status Result Completed
--------------------------------------------------------2014/04/22 03:42:20 5 Downld
FIN
OK
03:42:23
Une fois le téléchargement terminé, installez la mise à jour :
admin@wf-500> request wf-content upgrade install
version latest
Exécutez de nouveau la commande show jobs all pour
connaître le statut de l'installation.
Palo Alto Networks
Installation des mises à jour de contenu sur l'état des menaces directement à partir du serveur de mises à jour
Step 3
Vérifiez la mise à jour du contenu.
Exécutez la commande suivante et consultez le champ
wf-content-version :
admin@wf-500> show system info
Vous trouverez ci-dessous un exemple de résultat avec la version de
mise à jour du contenu 2-253 installée :
admin@wf-500> show system info
hostname: wf-500
ip-address: 10.5.164.245
Masque réseau : 255.255.255.0
default-gateway: 10.5.164.1
mac-address: 00:25:90:c3:ed:56
vm-interface-ip-address: 192.168.2.2
vm-interface-netmask: 255.255.255.0
vm-interface-default-gateway: 192.168.2.1
vm-interface-dns-server: 192.168.2.1
time: Mon Apr 21 09:59:07 2014
uptime: 17 days, 23:19:16
family: m
model: WF-500
serial: abcd3333
sw-version: 6.1.0
wf-content-version: 2-253
wfm-release-date: 2014/08/20 20:00:08
logdb-version: 6.1.2
platform-family: m
Step 4
(Facultatif) Programmez l'installation
1.
quotidienne ou hebdomadaire des mises à
jour de contenu.
Planifiez l'appareil pour qu'il télécharge et installe les mises à
jour du contenu :
update-schedule wf-content recurring [daily |
weekly] action [download-and-install |
download-only]
Par exemple, pour télécharger et installer les mises à jour chaque
jour à 8h du matin :
update-schedule wf-content recurring daily action
download-and-install at 08:00
2.
Validez la configuration.
Installation des mises à jour de contenu WF-500 à partir d'un serveur SCP
La procédure suivante décrit comment installer des mises à jour de contenu sur l'état des menaces sur un appareil
WF-500 qui n'a pas de connectivité directe avec le serveur de mises à jour de Palo Alto Networks. Vous aurez
besoin d'un serveur SCP (Secure Copy/copie sécurisée) pour stocker temporairement la mise à jour de contenu.
Installation des mises à jour de contenu sur l'état des menaces à partir d'un serveur SCP
Step 1
Récupérez le fichier de mise à jour du
contenu sur le serveur de mises à jour.
Palo Alto Networks
1.
Connectez-vous au site de support Palo Alto Networks et
cliquez sur Mises à jour dynamiques.
2.
Dans la section Appareil WF-500, recherchez la dernière mise à
jour de contenu de l'appareil WF-500 et téléchargez-la.
3.
Copiez le fichier de mise à jour du contenu sur un serveur SCP
et notez le nom du fichier et le chemin d'accès au répertoire.
Installation des mises à jour de contenu sur l'état des menaces à partir d'un serveur SCP (Continué)
Step 2
Installez la mise à jour du contenu sur
l'appareil WF-500.
1.
Connectez-vous à l'appareil WF-500 et téléchargez le fichier de
mise à jour du contenu à partir du serveur SCP :
admin@WF-500> scp import wf-content from
username@host:path
Par exemple :
admin@WF-500> scp import wf-content from
[email protected]:c:/updates/panup-all-wfmeta-2-253.
tgz
Si votre serveur SCP est exécuté sur un port non
standard ou si vous devez spécifiez l'adresse IP source,
vous pouvez également définir ces options dans la
commande scp import.
2.
Installez la mise à jour :
admin@WF-500> request wf-content upgrade install
file panup-all-wfmeta-2-253.tgz
Affichez le statut de l'installation :
admin@WF-500> show jobs all
Step 3
Vérifiez la mise à jour du contenu.
Vérifiez la version du contenu :
admin@wf-500> show system info | match
wf-content-version
Le résultat suivant indique la version 2-253 :
wf-content-version: 2-253
Palo Alto Networks
L'appareil WF-500 peut générer des signatures localement en fonction des échantillons reçus des pare-feu
connectés et de l'API WildFire, plutôt que d'envoyer les logiciels malveillants au cloud public pour la génération
des signatures. L'appareil peut générer les types de signatures suivants qui peuvent servir à bloquer les logiciels
malveillants ainsi que le trafic de commande et de contrôle associé :

Signatures antivirus : détectent et bloquent les fichiers malveillants. WildFire ajoute ces signatures aux
mises à jour du contenu WildFire et antivirus.

Signatures DNS : détectent et bloquent les domaines de rappel du trafic de commande et de contrôle
associé à un logiciel malveillant. WildFire ajoute ces signatures aux mises à jour du contenu WildFire et
antivirus.

Catégories d'URL : classent les domaines de rappel comme malveillants et mettent à jour la catégorie
d'URL dans PAN-DB.
Configurez les pare-feu pour qu'ils reçoivent les signatures générées par l'appareil WF-500 aux cinq minutes.
Vous pouvez également envoyer l'échantillon de logiciels malveillants au cloud WildFire public pour permettre
la distribution des signatures à l'ensemble des utilisateurs mondiaux via les mises à jour de contenu Palo Alto
Networks.
Si vous prévoyez de configurer l'appareil WF000 dans le cadre d'un déploiement de Cloud
WildFire hybride, vous devriez également permettre au pare-feu de recevoir les dernières
signatures distribuées par le cloud WildFire public.
Les étapes suivantes décrivent comment permettre à l'appareil WF-500 de générer des signatures et des
catégories d'URL et comment distribuer les signatures et les catégories aux pare-feu de votre réseau.
Permettre à l'appareil WF-500 de générer et de distribuer les signatures et les catégories d'URL
Avant de commencer, assurez-vous de procéder à la Paramétrages des mises à jour de contenu WF-500 pour que l'appareil
WF-500 reçoivent les renseignements sur les menaces les plus récents de Palo Alto Networks.
Step 1
Activez la génération de signatures et de
catégories d'URL.
1.
2.
Connectez-vous à l'appareil et saisissez configure pour passer
en mode Configuration.
Activez toutes les options de prévention des menaces :
signature-generation av yes dns yes url yes
3.
Validez la configuration :
Palo Alto Networks
Permettre à l'appareil WF-500 de générer et de distribuer les signatures et les catégories d'URL
Step 2
Programmez la réception des signatures
et des catégories d'URL générées par
l'appareil par les pare-feu connectés à
celui-ci.
Il est recommandé de configurer
vos pare-feu pour extraire les
mises à jour de contenu du cloud
WildFire public et de l'appareil
WF-500. Cette configuration
garantit que vos pare-feu reçoivent
des signatures en fonction des
menaces détectées dans le monde
entier en plus des signatures
générées par votre appareil local.
Pour de multiples pare-feu gérés par Panorama
Démarrez Panorama et sélectionnez Panorama > Déploiement de
périphérique > Mises à jour dynamiques, cliquez sur Calendriers,
puis sur Ajouter pour ajouter les mises à jour de contenu pour les
périphériques gérés.
Pour de plus amples renseignements sur l'utilisation de Panorama
pour configurer les pare-feu gérés de sorte qu'ils reçoivent les
signatures et les catégories d'URL d'un appareil WF-500,
reportez-vous à la section Planification des mises à jour de contenu
sur des périphériques à l'aide de Panorama.
Pour un seul pare-feu :
1.
Connectez-vous à l'interface Web du pare-feu et sélectionnez
Périphérique > Mises à jour dynamiques.
Pour les pare-feu configurés pour transférer des fichiers à un
appareil WF-500 (qu’il soit déployé sous forme de cloud privé
ou hybride), la section WF-Private s'affiche.
2.
Définissez le Calendrier du téléchargement et des mises à jour
de contenu à partir de l'appareil WF-500 et de leur installation
sur le pare-feu.
Pour de plus amples précisions sur l'établissement et la gestion des
mises à jour de contenu des pare-feu, reportez-vous à la section
Gestion des mises à jour du contenu.
Palo Alto Networks
Cette section explique comment mettre à niveau le système d'exploitation de l'appareil WF-500. Tout d'abord,
téléchargez et installez l'image MV invité de l'appareil WF-500 pour cette version. Les images MV peuvent
atteindre 4 Go. Vous devez donc les télécharger du serveur de mises à jour de Palo Alto Networks et les héberger
sur un serveur SCP (que vous fournissez). Utilisez ensuite le client SCP sur l'appareil pour télécharger le logiciel
et les images MV du serveur SCP avant de mettre à niveau l'appareil.
L'appareil ne peut utiliser qu'un seul environnement à la fois pour analyser des échantillons. Ainsi, après la mise
à niveau de l'appareil, consultez la liste des images MV disponibles et choisissez l'image correspondant le mieux
à votre environnement. Dans le cas de Windows 7, si votre environnement comporte des systèmes Windows 7
32 bits et Windows 7 64 bits, il est recommandé de choisir l'image Windows 7 64 bits. WildFire analysera donc
les fichiers PE 32 et 64 bits. Même si vous configurez l'appareil pour utiliser une configuration d'image de
machine virtuelle, pour améliorer les performances, l'appareil utilise plusieurs instances de l'image pour l'analyse
de fichiers.
Les fichiers MV peuvent atteindre 4 Go. Vérifiez donc que le logiciel de votre serveur SCP
(Secure Copy) prend en charge le transfert de fichiers de plus de 4 Go et que l'espace disponible
est suffisant pour stocker temporairement les fichiers.
Step 1
Téléchargez la version 7.0 du logiciel sur Connectez-vous à l'appareil WF-500 et téléchargez la version 7.0.0
du logiciel :
l'appareil WF-500.
Lorsque vous mettez à jour
l'appareil WF-500, vous ne pouvez
sauter de versions principales. Par
exemple, si vous souhaitez passer
de la version 6.0 à la version 7.0,
vous devez d'abord installez la
version 6.1.
Step 2
admin@WF-500> request system software download version
7.0.0
Pour vérifier l'état du téléchargement, utilisez la commande
suivante :
Téléchargez l'image MV 7.0 à un serveur 1.
SCP.
Sur le site support Palo Alto Networks, cliquez sur Mises à jour
logicielles.
2.
Dans la section Images MV invité, téléchargez l'image MV invité
7.0.0—WFWinXpGf_m-1.0.0-c6.xpgf—sur votre système
local.
3.
Déplacez le fichier sur votre serveur SCP et notez le nom du
fichier et le chemin d'accès au répertoire.
Palo Alto Networks
Mise à niveau de l'appareil WF-500 (Continué)
Step 3
Téléchargez l'image MV sur l'appareil
WF-500.
Téléchargez le fichier de l'image MV sur l'appareil WF-500 à partir
du serveur SCP en exécutant la commande suivante sur l'appareil :
admin@WF-500> scp import wildfire-vm-image from
<server>:/<path>/WFWinXpGf_m-1.0.0-c6.xpgf
Par exemple :
admin@WF-500> scp import wildfire-vm-image from
[email protected]:c:/root/WF-Elink-Image/WFWinXpGf_m-1.
0.0-c6xpgf
Le chemin d'accès SCP qui se trouve après l'adresse IP ou le
nom d'hôte varie en fonction du logiciel SCP que vous
utilisez. Pour Windows, le chemin d'accès est
c:/dossier/nom-du-fichier ou
//dossier/nom-du-fichier; pour les systèmes Unix/Mac,
le chemin d'accès est /dossier/nom-du-fichier ou
//dossier/nom-du-fichier.
Step 4
Installez l'image MV sur l'appareil
WF-500.
Exécutez la commande suivante pour installer l'image MV sur
l'appareil WF-500 :
admin@WF-500> request system wildfire-vm-image upgrade
install file WFWinXpGf__m-1.0.0_c6.xpgf
Step 5
Installez la version 7.0 du logiciel sur
l'appareil WF-500.
Installez l'image du système d'exploitation de l'appareil WF-500
(téléchargez à Step 1) en exécutant la commande suivante :
admin@WF-500> request system software install version
7.0.0
Step 6
Redémarrez l'appareil WF-500 et vérifiez 1.
que l'installation a réussi.
Confirmez que la mise à niveau est terminée. Exécutez la
commande suivante et consultez le type de tâche Install et
l'état FIN :
Enqueued
ID
Type
Status
Result Completed
---------------------------------------------------------2015/05/15 10:38:48
2
Downld
FIN
OK 10:39:08
2.
Redémarrez l'appareil :
admin@WF-500> request restart system
3.
Vérifiez que le champ sw-version indique 7.0 :
admin@WF-500> show system info | match sw-version
Palo Alto Networks
Step 7
(Facultatif) Activez l'environnement bac à 1.
sable de Windows 7 64 bits.
Affichez l'image de machine virtuelle active en exécutant la
commande suivante et consultez le champ Selected VM :
2.
Affichez la liste des images de machines virtuelles disponibles :
admin@WF-500> show wildfire vm-images
Le résultat suivant montre que vm-5 correspond à l'image
Windows 7 64 bits :
3.
vm-5
Windows 7 64 bits, Adobe Reader 11, Flash 11,
Office 2010. Prise en charge de PE, PDF, Office
2010 et version antérieure
Sélectionnez l'image à utiliser pour l'analyse :
active-vm <numéro d'image de la machine virtuelle>
Par exemple, pour utiliser vm-5, exécutez la commande
suivante :
active-vm vm-5
4.
Validez (commit) la configuration :
Step 8
Mettez à niveau les pare-feu qui sont
connectés à l'appareil.
Palo Alto Networks
Mettez à niveau les pare-feu vers PAN-OS 7.0.
Step 9
Activez le transfert pour analyse des
fichiers depuis le pare-feu vers l'appareil
WF-500.
1.
Cette étape est nécessaire pour
garantir que les paramètres
WildFire qui ont migré lors de la
mise à niveau sont configurés
correctement. Pendant la mise à
niveau vers PAN-OS 7.0, les
paramètres de transfert de fichier
migrent du profil d'interdiction
des fichiers vers le profil d'analyse
WildFire. Le nouveau profil
d'analyse WildFire permet au
pare-feu de prendre en charge un 2.
déploiement decloud WildFire
hybride, dans le cadre duquel les
fichiers peuvent être transférés
vers un cloud public ou un cloud privé
pour leur analyse.
Définissez le trafic à transférer vers WildFire pour analyse :
a. Sélectionnez Objets > Profils de sécurité > Analyse
WildFire , puis, pour chaque règle de profil, définissez le
paramètre de l'analyse sur cloud privé.
b. (Facultatif) Pour utiliser le cloud WildFire public afin
d'analyser certains fichiers (par exemple, les fichiers APK qui
ne sont pas pris en charge pour l'analyse par
l'appareil WF-500), ajoutez ou modifiez une règle associée au
profil d'analyse WildFire pour utiliser le cloud public comme
emplacement d'analyse. Le trafic correspondant aux règles
et dont l'emplacement d'analyse est configuré sur cloud
public sera transféré vers le cloud WildFire public pour
analyse.
Sélectionnez Périphérique > Configuration > WildFire et
configurez les emplacements WildFire vers lesquels le pare-feu
transfèrera les fichiers pour analyse :
a. Dans le champ Cloud WildFire privé, saisissez l'adresse IP
ou le nom de domaine complet d'un appareil WF-500.
b. Si le pare-feu était connecté à un apparel WF-500 avant la
mise à niveau, l'adresse IP ou le nom de domaine complet de
l'appareil WF-500 est automatique inscrit dans le champ
Cloud WildFire public. Remplissez ce champ selon l'option
choisie, c'est-à-dire soit analyser les fichiers uniquement au
moyen de l'appareil WF-500, soit analyser les fichiers au
moyen de l'appareil WF-500 et du cloud WildFire public :
– Pour continuer à transférer les fichiers uniquement vers
l'appareil WF-500, supprimez l'entrée du champ Cloud
WildFire public et laissez ce dernier vide.
– Pour permettre au pare-feu de transférer des fichiers vers
l'appareil WF-500 et le cloud WildFire public hébergé aux
États-Unis, saisissez wildfire.paloaltonetworks.com. Pour
utiliser le cloud japonais, saisissez
wildfire.paloaltonetworks.jp.
Transfert de fichiers pour analyse par WildFire.
Palo Alto Networks
Envoi des fichiers pour analyse
WildFire
Les rubriques suivantes décrivent comment envoyer des fichiers pour analyse WildFire™. Vous pouvez
configurer les pare-feu Palo Alto Networks pour qu'ils transfèrent automatiquement les fichiers inconnus au
cloud WildFire public ou à un cloud WildFire privé ; vous pouvez également envoyer des fichiers pour analyse
au moyen du portail WildFire. Les échantillons envoyés pour analyse WildFire reçoivent un verdict bénin,
indésirable ou malveillant ; un rapport d'analyse détaillé de chacun des échantillons est également généré.

Transfert de fichiers pour analyse par WildFire

Vérification des envois WildFire

Chargement manuel de fichiers dans le portail WildFire

Envoi des logiciels malveillants ou des rapports à partir de l'appareil WF-500

Capacité de transfert de fichier de pare-feu par plateforme
Palo Alto Networks
Envoi des fichiers pour analyse WildFire
Configurez les pare-feu Palo Alto Networks pour qu'ils transfèrent les fichiers ou les liens d'e-mail inconnus
pour leur analyse. Utilisez le profil d'analyse WildFire pour définir les fichiers qui doivent être transférés au cloud
WildFire (utilisez le cloud public ou un cloud privé), puis associez le profil à une règle de sécurité qui déclenchera
l'inspection des logiciels malveillants au jour 0.
Précisez le trafic à transférer pour analyse selon l'application utilisée, le type de fichier détecté, les liens contenus
dans les courriels ou le sens de transmission de l'échantillon (chargement, téléchargement ou les deux). Par
exemple, vous pouvez configurer le pare-feu pour qu'il transfère les fichiers PE (Portable
Executables/Exécutable portable) que les utilisateurs essaient de télécharger au cours d'une session de
navigation Web.
Si vous utilisez un appareil WF-500 pour héberger un cloud WildFire privé, vous pouvez étendre les ressources
d'analyses WildFire à un Cloud WildFire hybride, en configurant le pare-feu pour qu'il poursuive le transfert des
fichiers de nature délicate vers votre cloud WildFire privé pour analyse locale et qu'il transfère un nombre
inférieur de types de fichiers de nature délicate ou pris en charge vers le cloud WildFire public.
Configuration d'un pare-feu pour le transfert des fichiers et des liens d'e-mail vers WildFire
Avant de commencer :

S'il y a un autre pare-feu entre le pare-feu que vous configurez pour effectuer le transfert des fichiers vers le cloud
WildFire ou l'appareil WF-500, vérifiez que ce pare-feu autorise les ports suivants :
• Le cloud WildFire public utilise le port 443 pour les enregistrements et les envois de fichiers.
• L'appareil WF-500 utilise le port 443 pour les enregistrements et le port 10443 pour les envois de fichiers.

Vérifiez que le pare-feu dispose d'une licence de protection contre les menaces et d'un abonnement valide à WildFire
(Périphérique > Licences).

Vérifiez que les mises à jour de contenu sont planifiées et à jour. Sélectionnez Périphérique > Mises à jour
dynamiques, puis Vérifier maintenant pour vous assurer que le pare-feu dispose des mises à jour antivirus,
d'applications, de menaces et WildFire les plus récentes.

(Pare-feu des séries PA-7000 uniquement) Pour permettre à un pare-feu des séries PA-7000 de transférer des fichiers
et des liens d'email pour analyse WildFire, vous devez d'abord configurer un port de données sur un NPC comme
interface de type carte de journal.
Palo Alto Networks
Step 1
Configuration des paramètres WildFire.
1.
Les paramètres WildFire comprennent la
définition de l'emplacement d'analyse du 2.
cloud WildFire public et du cloud
WildFire privé et la possibilité d'activer la
génération de rapports pour les fichiers
bénins ou indésirables.
Sélectionnez Périphérique > Configuration > WildFire et
modifiez l'icône Modifier dans la section Paramètres généraux.
Entrez le cloud WildFire public et le cloud WildFire privé que
vous voulez utiliser pour l'analyse WildFire :
• Pour transférer les fichiers vers le cloud WildFire public
hébergé aux États-Unis, saisissez
wildfire.paloaltonetworks.com.
Pour transférer des fichiers vers le cloud WildFire
hébergé au Japon, saisissez
wildfire.paloaltonetworks.jp. Si vous êtes au
Japon, il se peut que vous rencontriez un temps de
réponse plus court si vous utilisez le cloud hébergé au
Japon pour l'envoi d'exemples et la génération de
rapports. Vous pouvez également utiliser le cloud
japonais si vous ne voulez pas que les fichiers bénins
ou indésirables soient transférés vers les serveurs de
cloud américains ; toutefois, si un fichier envoyé au
cloud japonais est considéré comme malveillant, ce
dernier continuera d'être transféré vers les serveurs
américains pour analyse et génération de signatures.
Panorama uniquement :
Si Panorama détecte la présence
d'une entrée du journal des envois
WildFire dont certains champs ne
sont pas remplis, Panorama peut
se connecter à WildFire pour
recueillir des renseignements sur
l'échantillon et générer les détails
de l'entrée de journal. Sélectionnez
Panorama > Configuration >
WildFire et entrez un Serveur
WildFire avec lequel Panorama
peut communiquer pour recueillir
des renseignements sur
l'échantillon (par défaut,
Panorama utilisera le cloud
WildFire public).
• Pour transférer des fichiers vers un cloud WildFire privé,
saisissez l'adresse IP ou le nom de domaine complet de
l'appareil WF-500.
• Laissez ces deux champs vides si vous ne prévoyez pas
d'utiliser ce cloud pour l'analyse de fichiers.
3.
(Facultatif) Modifiez les Limites de taille de fichier des fichiers
transférés depuis le pare-feu. Par exemple, si vous définissez PDF
sur 5 Mo, tout fichier PDF de plus de 5 Mo ne sera pas transféré.
4.
(Facultatif) Activez la production de rapports pour les fichiers
bénins et indésirables :
• Sélectionnez Rapporter les fichiers bénins pour permettre la
journalisation des fichiers qui reçoivent un verdict WildFire bénin.
• Sélectionnez Signaler des fichiers indésirables pour
permettre la journalisation des fichiers qui reçoivent un
verdict WildFire indésirable.
Pour afficher les journaux des fichiers qui reçoivent un
verdict de fichier bénin ou indésirable, sélectionnez
Surveillance > Envois WildFire.
5.
(Facultatif) Définissez les informations de session qui sont
enregistrées dans les rapports d'analyse de WildFire :
a. Modifiez les Paramètres d'informations de session.
b. Par défaut, toutes les informations de session sont affichées dans les
rapports d'analyse de WildFire. Décochez les cases correspondant à
des champs pour les supprimer des rapports d'analyse WildFire, puis
cliquez sur OK pour enregistrer les paramètres.
Palo Alto Networks
Step 2
Définissez le trafic à transférer vers
WildFire pour analyse.
1.
Si vous avez configuré un
2.
appareil WF-500, vous pouvez
utiliser, à la fois, le cloud privé et le
cloud public dans un déploiement
de cloud hybride. Analysez les
3.
fichiers sensibles localement sur
votre réseau, tandis que vous
envoyez tous les autres fichiers
inconnus au cloud WildFire public
pour analyse approfondie et un
renvoi de verdict rapide.
Sélectionnez Objets > Profils de sécurité > Analyse WildFire,
puis Ajouter un nouveau profil d'analyse WildFire et donnez au
profil un Nom descriptif.
Ajoutez une règle au profil pour définir le trafic à transférer vers
WildFire pour analyse et donnez à la règle un Nom descriptif, tel
quel analyse-PDF-locale.
Définissez une règle de profil à faire correspondre au trafic
inconnu pour le transfert des échantillons en vue de leur analyse
selon les éléments suivants :
• Applications : cette option permet le transfert des fichiers
pour analyse selon l'application utilisée.
• Types de fichiers : cette option permet le transfert des
fichiers pour analyse selon les types de fichiers, y compris les
liens contenus dans les messages électroniques. Par exemple,
sélectionnez PDF pour envoyer, pour analyse, des PDF
inconnus qui ont été détectés par le pare-feu.
• Sens : cette option permet le transfert des fichiers pour
analyse selon le sens de transmission du fichier (chargement,
téléchargement ou les deux). Par exemple, sélectionnez les
deux pour transférer tous les PDF inconnus pour qu'ils
soient analysés, peu importe le sens de transmission.
4.
Établissez l'emplacement de l'analyse où les fichiers qui
correspondent à la règle seront transférés.
• Sélectionnez cloud public pour envoyer au cloud WildFire
public les fichiers correspondant à la règle pour leur analyse.
• Sélectionnez cloud privé pour envoyer au cloud WildFire
privé les fichiers correspondant à la règle pour leur analyse.
Par exemple, pour analyser des PDF qui contiennent des
renseignements exclusifs sensibles sans envoyer ces documents
hors de votre réseau, établissez l'emplacement de l'Analyse à
cloud privé pour la règle intitulée analyse-PDF-local.
5.
6.
Par mesure de précaution, lorsqu'un cloud hybride
est déployé, les fichiers qui correspondent tant aux
règles établies pour le cloud privé qu'à celles établies
pour le cloud public sont transférés uniquement
vers le cloud privé.
(Facultatif) Continuez d'ajouter des règles au profil d'analyse
WildFire, au besoin. Par exemple, vous pourriez ajouter une
seconde règle au profil visant le transfert de fichiers de package
APK Android, PE (Portable Executable/exécutable portable)et
Flash vers le cloud WildFire public pour analyse.
Cliquez sur OK pour enregistrer le profil d'analyse WildFire.
Palo Alto Networks
Step 3
Step 4
Associez le profil d'analyse WildFire à une 1.
règle de politique de sécurité.
Sélectionnez Politiques > Sécurité et ajoutez ou modifiez une
règle de politique.
2.
Le trafic qui est autorisé par la règle de
politique de sécurité est évalué selon le
3.
profil d'analyse WildFire joint ; les
pare-feu transfèrent le trafic
correspondant au profil pour analyse par .
WildFire.
Dans la section Paramètres des profils, sélectionnez Profils en
tant que Type de profil et sélectionnez un profil d'Analyse
WildFire à joindre à la règle de politique
(Facultatif) Activer le pare-feu pour qu'il
transfère le trafic décrypté pour analyse
par WildFire.
Le trafic qui est décrypté par le pare-feu
est évalué en fonction de la politique de
sécurité et, s'il correspond au profil
d'analyse WildFire joint à une règle de
politique, il peut être transféré à WildFire,
qui l'analyse avant qu'il ne soit de nouveau
crypté.
Seul un super utilisateur peut
activer cette option.
Step 5
Validez la configuration.
Cliquez sur l'onglet Actions de la règle de politique.
Pour transférer le trafic décrypté pour analyse WildFire, le
décryptage doit d'abord être activité sur le pare-feu.
Sur un seul pare-feu :
4. Sélectionnez Périphérique > Configuration > Content-ID.
5.
Modifiez les options Filtrage d'URL et activez Autoriser le
transfert de contenu décrypté.
6.
Cliquez sur OK pour enregistrer les modifications.
Sur un pare-feu prenant en charge la fonction de systèmes virtuels
configurés :
Sélectionnez Périphérique > Systèmes virtuels, cliquez sur le
système virtuel à modifier et cochez la case Autoriser le transfert de
contenu décrypté.
Cliquez sur Valider pour appliquer les paramètres.
• Vérification des envois WildFire pour confirmer que le pare-feu
transfère correctement les fichiers pour analyse WildFire.
• (Appareil WF-500 uniquement.)Envoi des logiciels malveillants ou
des rapports à partir de l'appareil WF-500 Activez cette
fonctionnalité pour transférer automatiquement les logiciels
malveillants détectés dans votre cloud WildFire privé vers le cloud
WildFire public. Le cloud WildFire public analyse de nouveau
l'échantillon et génère une signature s'il est malveillant. La signature
est distribuée à l'ensemble des utilisateurs à l'échelle mondiale par
l'entremise des mises à jour de signatures WildFire.
• Effectuez la Surveillance de l'activité WildFire pour évaluer les
alertes et les informations données sur les échantillons
malveillants.
Palo Alto Networks
Testez votre configuration WildFire à l'aide des échantillons de fichier malveillant; vérifiez également que le
pare-feu transfère correctement les fichiers pour analyse WildFire.

Test d'un échantillon de fichier malveillant

Vérification du transfert des fichiers
Test d'un échantillon de fichier malveillant
Palo Alto Networks fournit un échantillon de fichier malveillant que vous pouvez utiliser pour tester une
configuration WildFire. Suivez les étapes décrites ci-dessous pour télécharger l'échantillon de fichier malveillant,
vérifier que le fichier est transféré pour analyse WildFire et afficher les résultats de l'analyse.
Utilisation d'un échantillon de fichier malveillant pour tester la configuration WildFire
Step 1
Téléchargez le fichier malveillant pour le test : https://wildfire.paloaltonetworks.com/publicapi/test/pe.
Le fichier d'essai est nommé wildfire-test-pe-file.exe, et chaque fichier d'essai comporte une valeur de hachage
SHA-256 unique.
Vous pouvez également faire l'Utilisation de l'API pour récupérer un échantillon de fichier
malveillant pour le test.
Step 2
Sur l'interface Web du pare-feu, sélectionnez Surveillance > Envois WildFire pour confirmer que le fichier a été
transféré pour analyse.
Il faut compter environ cinq minutes pour que les résultats de l'analyse du fichier s'affichent sur la page Envois
WildFire.
Le fichier d'essai recevra toujours un verdict de fichier malveillant.
Une fois le pare-feu configuré pour Transfert de fichiers pour analyse par WildFire, servez-vous des options
suivantes pour vérifier la connexion entre le pare-feu et le cloud WildFire public ou privé et pour surveiller le
transfert des fichiers.
Plusieurs des options qui permettent de vérifier qu'un pare-feu envoi des échantillons pour
analyse WildFire consistent en des commandes de la CLI ; pour une introduction à la CLI et des
renseignements sur son utilisation, reportez-vous au Guide de mise en route de la ligne de
commande PAN-OS.
Palo Alto Networks

Vérifiez que le pare-feu communique avec un Utilisez la commande test wildfire registration pour vérifier
ou plusieurs serveurs WildFire.
que le pare-feu est connecté au cloud WildFire privé, au cloud
WildFire public ou aux deux.
Voici un exemple de résultat obtenu à l'aide d'un pare-feu déployé
dans un Cloud WildFire privé :
Le résultat présenté confirme que le pare-feu est connecté au cloud
WildFire privé et qu'il n'est pas connecté au cloud WildFire public
(échec de l'enregistrement au cloud privé).
Si le pare-feu est configuré dans un Cloud WildFire hybride, vérifiez
que le pare-feu est bien enregistré auprès du cloud WildFire public et
du cloud WildFire privé et qu'il est connecté aux deux clouds.
Palo Alto Networks

Vérifiez l'état de la connexion entre le pare-feu Utilisez la commande show wildfire status pour :
et le cloud WildFire public ou le cloud WildFire • Vérifiez l'état du cloud WildFire public ou privé auquel le pare-feu
privé, ou les deux, y compris le nombre total de est connecté. L'état Idle indique que le cloud WildFire (public ou
fichiers que le pare-feu transfère pour analyse.
privé) est prêt à recevoir des fichiers pour analyse.
• Confirmez les limites de taille configurées pour les fichiers
transférés par le pare-feu (Périphérique > Configuration >
WildFire).
• Surveillez le transfert des fichiers, y compris le nombre total de
fichiers que le pare-feu transfère pour analyse WildFire. Si le
pare-feu est déployé sous forme de cloud hybride, le nombre de
fichiers qui sont transférés vers le cloud WildFire public et le cloud
WildFire privé s'affiche également.
Les exemples suivants illustrent le résultat de la commande show
wildfire status pour un pare-feu dans un déploiement de cloud
privé :
Pour afficher les informations sur les transferts uniquement pour le
cloud WildFire public ou le cloud WildFire privé, utilisez les
commandes suivantes :
• show wildfire status channel public
• show wildfire status channel private
Palo Alto Networks

Utilisez la commande show wildfire statistics pour confirmer les
Afficher les échantillons transférés par le
pare-feu selon le type de fichier (y compris les types de fichiers qui sont transférés vers le cloud WildFire public ou privé :
liens d'e-mail).
• La commande affiche le résultat d'un pare-feu en fonctionnement et
Utilisez cette option pour confirmer que indique les compteurs de chaque type de fichier que le pare-feu
transfère pour analyse WildFire. Si un champ de compteurs indiquent
les liens d'e-mail sont transférés pour
0, cela signifie que le pare-feu ne transfère pas ce type de fichier.
analyse WildFire, étant donné que seuls
les liens d'e-mail qui reçoivent un verdict • Confirmez que les liens d'e-mail sont transférés pour analyse en
d'échantillon malveillant sont consignés
vérifiant que les compteurs suivants n'indiquent pas zéro :
sous forme d'entrée du journal des
– FWD_CNT_APPENDED_BATCH : indique le nombre de liens
Envois WildFire sur le pare-feu, même si
d'e-mails ajoutés à un lot en attente de chargement sur
la journalisation des échantillons bénins
WildFire.
et indésirables est activée. Cela s'explique
par le nombre impressionnant d'entrées
– FWD_CNT_LOCAL_FILE : indique le nombre total de liens
au journal des Envois WildFire qui
d'e-mail chargés sur WildFire.
seraient consignées si les liens d'e-mail
bénins étaient consignés.

Vérifiez que le pare-feu a transféré un échantillon Exécutez les commandes de la CLI suivantes sur le pare-feu pour afficher
les échantillons que le pare-feu a transféré pour analyse WildFire :
donné et vérifiez l'état de cet échantillon.
Cette option peut être utile lors du
dépannage, pour :
• confirmer que les échantillons qui
n'ont pas encore reçu de verdict
WildFIre ont été correctement
transférés par le pare-feu. Étant donné
que les Envois WildFire ne sont
journalisés sur le pare-feu que lorsque
l'analyse WildFire est terminée et que
l'échantillon a reçu un verdict WildFire,
utilisez cette option pour vérifier que le
pare-feu a transféré un échantillon qui
fait actuellement l'objet d'une analyse
WildFire.
• Affichez tous les échantillons qu'a transmis le pare-feu au moyen
de la commande de la CLI suivante : debug wildfire
upload-log.
• N'affichez que les échantillons qui ont été transmis au cloud
WildFire public au moyen de la commande de la CLI suivante :
debug wildfire upload-log channel public.
• N'affichez que les échantillons qui ont été transmis au cloud
WildFire privé au moyen de la commande de la CLI suivante :
debug wildfire upload-log channel private.
Cet exemple montre le résultat que l'on obtient lorsque les trois
commandes présentées ci-dessus sont émises sur un pare-feu
déployé sous forme de cloud WildFire public :
• Suivez l'état d'un lien d'e-mail ou d'un
fichier unique qui était autorisé en vertu
de votre politique de sécurité, a été mis
en correspondance avec un profil
d'analyse WildFire, puis a été transféré
pour analyse WildFire.
• Vérifiez qu'un pare-feu déployé sous
forme de Cloud WildFire hybride
transfère les bons types de fichiers et de
liens e-mails vers le cloud WildFire
public ou vers un cloud WildFire privé.
Palo Alto Networks

Surveillez les échantillons qui ont été
À l'aide de l'interface Web du pare-feu, sélectionnez Surveillance >
correctement envoyés pour analyse WildFire. Journaux > Envois WildFire. Tous les fichiers transférés par un
pare-feu vers un cloud WildFire public ou privé pour analyse sont
journalisés à la page des Envois WildFire.
• Vérifiez le verdict WildFire d'un échantillon :
Par défaut, seuls les échantillons qui ont reçu un verdict de logiciel
malveillant sont affichés sous forme d'entrée du journal
desEnvois WildFire. Pour activer la journalisation des échantillons
bénins ou indésirables, sélectionnez Périphérique >
Configuration > WildFire > Signaler des fichiers
bénins/Signaler des fichiers indésirables.
Activer la journalisation des fichiers bénins pour vérifier
rapidement si le pare-feu transfère les fichiers et corriger le
problème, le cas échéant. Examinez les journaux d'Envois
WildFire pour vérifier que les fichiers sont envoyés pour
analyse et qu'ils reçoivent un verdict WildFire (dans le cas
présent, il s'agit d'un verdict de fichier bénin).
• Confirmez l'emplacement d'analyse d'un échantillon :
La colonne Cloud WildFire affiche l'emplacement vers lequel le
fichier a été transféré et où il a été analysé (cloud public ou cloud
privé). C'est une étape utile lors du déploiement d'un Cloud
WildFire hybride.
Palo Alto Networks
Tous les clients Palo Alto Networks qui possèdent un compte de support peuvent utiliser le portail WildFire de
Palo Alto Network pour envoyer manuellement des fichiers pour analyse WildFire.
Chargement d'échantillons dans le portail WildFire
Step 1
Step 2
Chargez manuellement des fichiers ou
des URL depuis votre réseau vers le
portail WildFire pour analyse.
1.
Si votre pare-feu transfère des fichiers vers le portail WildFire au
Japon, utilisez https://wildfire.paloaltonetworks.jp.
2.
Dans la barre de menus, cliquez sur Charger un échantillon,
puis cliquez sur Ajouter des fichiers.
3.
Cliquez sur Ouvrir le ficher pour lequel vous souhaitez recevoir
un verdict WildFire et un rapport d'analyse WildFire. Le nom du
fichier va s'afficher sous l'icône Ajouter des fichiers.
4.
Cliquez sur l'icône Démarrer à droite du fichier ou sur le
bouton Démarrer le chargement si plusieurs fichiers sont en
attente de chargement. Si le chargement du ou des fichier(s)
réussit, Réussite va s'afficher en regard de chaque fichier.
5.
Fermez la fenêtre contextuelle Informations sur le fichier
chargé.
Affichez les résultats d'analyse du fichier. 1.
Un délai d'environ cinq minutes est
nécessaire pour que WildFire analyse un
fichier.
Étant donné qu'un chargement
manuel n'est associé à aucun
pare-feu spécifique, les
chargements manuels apparaissent
séparément de vos pare-feux
enregistrés et n'affichent aucune
information de session dans les
rapports.
Palo Alto Networks
Connectez-vous au portail WildFire.
Actualisez la page du portail dans votre navigateur.
2.
Cliquez sur Manuel sous la colonne source pour afficher le
résultat du changement d'échantillon manuel.
3.
La page du rapport affiche une liste de tous les fichiers ayant été
chargés dans votre compte. Recherchez le fichier que vous avez
chargé et cliquez sur l'icône Détails située à gauche du champ de
la date.
Le portail affiche un rapport complet d'analyse du fichier qui
détaille le comportement observé du fichier. Si WildFire
identifie le fichier en tant que logiciel malveillant, il génère une
signature qui sera ensuite distribuée à l'ensemble des pare-feux
Palo Alto Networks configurés avec un abonnement WildFire
ou de prévention contre les menaces.
Envoi des logiciels malveillants ou des rapports à partir de l'appareil WF-500 Envoi des fichiers pour analyse WildFire
Envoi des logiciels malveillants ou des rapports à partir de
l'appareil WF-500
Activez la fonctionnalité d'intelligence du cloud de l'appareil WF-500 afin d'envoyer automatiquement les
échantillons de logiciels malveillants détectés dans le cloud WildFire privé au cloud WildFire public. Le cloud
WildFire public fait une analyse plus approfondie de l'échantillon malveillant et génère une signature pour
identifier l'échantillon. La signature est ensuite ajoutée aux mises à jour de signatures WildFire et distribuée à
l'ensemble des utilisateurs mondiaux pour empêcher toute exposition ultérieure à la menace. Si vous ne
souhaitez pas envoyer les échantillons malveillants à l'extérieur de votre réseau, vous pouvez plutôt choisir
d'envoyer seulement les rapports WildFire des échantillons malveillants qui ont été découverts sur votre réseau
afin de les ajouter aux statistiques WildFire et aux renseignements sur les menaces.
Autorisation d'un appareil WF-500 à envoyer les échantillons malveillants ou les rapports vers le cloud
WildFire public
Envoi des échantillons malveillants vers le cloud WildFire public
Step 1
À partir de l'appareil WF-500, exécutez les commandes de la CLI suivantes afin de permettre à l'appareil
d'envoyer automatiquement les échantillons malveillants vers le cloud WildFire public :
admin@WF-500# set deviceconfig setting wildfire cloud-intelligence submit-sample yes
Si la capture de paquet (PCAP) est activée sur le pare-feu qui a initialement envoyé l'échantillon pour
analyse par le cloud WildFire privé, la PCAP de l'échantillon malveillant sera également transférée vers le
cloud WildFire public.
Step 2
Accédez au portail WildFire pour afficher les rapports d'analyse des échantillons malveillants qui ont été
automatiquement envoyés vers le cloud WildFire public.
Envoi des rapports d'analyse vers le cloud WildFire public
Si l'Envoi des échantillons malveillants vers le cloud WildFire public est activée sur l'appareil WF-500, vous n'avez pas à
activer l'envoi de rapports vers le cloud public sur l'appareil. Lorsqu'un échantillon malveillant est envoyé au cloud
WildFire public, le cloud public génère un nouveau rapport d'analyse pour cet échantillon.
Si vous voulez que l'appareil WF-500 envoie automatiquement un rapports sur les échantillons malveillants vers le cloud
WildFire public (plutôt que l'échantillon malveillant lui-même), exécutez la commande de la CLI suivante sur l'appareil
WF-500 :
admin@WF-500# set deviceconfig setting wildfire cloud-intelligence submit-report yes
Vérification des paramètres de l'intelligence du cloud
Confirmez que l'intelligence du cloud est activée pour envoyer les échantillons malveillants ou les rapports sur les
échantillons malveillants vers le cloud WildFire public en exécutant la commande suivante :
Reportez-vous aux champs Submit sample et Submit report.
Palo Alto Networks
La capacité de transfert de fichier correspond au débit maximum par minute auquel chaque plateforme de
pare-feu Palo Alto Networks peut envoyer des fichiers vers le cloud WildFire ou un appareil WF-500 pour
analyse Si le pare-feu atteint la limite par minute, il met les échantillons restants en file d'attente.
La colonne Espace lecteur réservé du tableau ci-dessous indique la quantité d'espace du lecteur sur le pare-feu
réservée à la mise en file d'attente des fichiers. Si le pare-feu atteint la limite d'espace lecteur, il annule le transfert
de nouveaux fichiers vers WildFire jusqu'à ce que plus d'espace soit disponible dans la file d'attente.
La vitesse à laquelle le pare-feu peut transférer des fichiers vers WildFire dépend également de
la bande passante de la liaison de chargement vers les systèmes WildFire.
Plateforme
Nombre maximum de fichiers
par minute
Espace lecteur réservé
VM-100
5
100 Mo
VM-200
10
200 Mo
VM-300
20
200 Mo
PA-200
5
100 Mo
PA-500
10
200 Mo
PA-2000 Series
20
200 Mo
PA-3020
50
200 Mo
PA-3050/3060
50
500 Mo
PA-4020
20
200 Mo
PA-4050/4060
50
500 Mo
PA-5000 Series
50
500 Mo
PA-7000 Series
100
1 Go
Palo Alto Networks
Palo Alto Networks
Surveillance de l'activité WildFire
Selon le type de déploiement WildFire™ que vous avez sélectionné (cloud public, privé ou hybride), vous
pouvez afficher les échantillons envoyés à WildFire et les résultats d'analyse de chaque échantillon à l'aide du
portail WildFire, en accédant au pare-feu qui a envoyé l'échantillon (ou Panorama, si vous gérez centralement
de multiples pare-feu) ou à l'aide de l'API WildFire. Si Envoi des échantillons malveillants vers le cloud WildFire
public est activé sur l'appareil WF-500, les résultats d'analyse du logiciel malveillant envoyé au cloud public
peuvent également être visualisés sur le portail WildFire.
Une fois que WildFire a analysé un échantillon et rendu un verdict de fichier malveillant, indésirable ou bénin,
un rapport d'analyse détaillé est généré pour l'échantillon. Les rapports d'analyse WildFire qui sont visualisés sur
le pare-feu qui a envoyé l'échantillon comprennent également des informations sur la session au cours de
laquelle l'échantillon a été détecté. Pour les échantillons qui sont identifiés comme étant malveillants, le rapport
d'analyse WildFire donne des détails sur les signatures WildFire existantes qui pourraient être liées à ce logiciel
malveillant qui vient d'être identifié et des renseignements sur les attributs, le comportement et l'activité du
fichier qui ont indiqué que l'échantillon était malveillant.
Reportez-vous aux rubriques suivantes pour utiliser le portail WildFire ou un pare-feu connecté pour surveiller
les envois WildFire, pour afficher les rapports des échantillons analysés et pour définir des alertes et des avis
fondés sur les envois et les résultats d'envoi :

Utilisation du pare-feu pour surveiller l'activité WildFire

Utilisation du portail WildFire pour surveiller l'activité WildFire

Rapports d'analyse WildFire : aperçu de près
Palo Alto Networks
Les échantillons qui ont été transférés par le pare-feu sont consignés au journal des Envois WildFire en tant
qu'entrées. Un rapport d'analyse WildFire détaillé s'affiche dans la vue agrandie de chacune des entrées du
journal des Envois WildFire.

Configuration des paramètres du journal des envois WildFire

Surveillance des envois et des rapports d'analyse WildFire

Paramétrage des alertes pour la journalisation des logiciels malveillants
Configuration des paramètres du journal des envois WildFire
Activez les options suivantes pour les journaux Envois WildFire :

Activation de la journalisation des échantillons de fichiers bénins ou indésirables

Insertion des informations d'en-tête d'e-mail dans les journaux et rapports WildFire

Insertion des informations d'ID utilisateur dans les journaux et rapports WildFire
La journalisation des échantillons bénins et indésirables est désactivée par défaut. Les liens d'e-mail qui reçoivent
des verdicts bénins ou indésirables ne sont pas journalisés.
Step 1
Sélectionnez Périphérique > Configuration > WildFire, puis modifiez les Paramètres généraux.
Step 2
Sélectionnez Signaler des fichiers bénins ou Signaler des fichiers indésirables, puis cliquez sur OK pour
enregistrer les paramètres.
Palo Alto Networks
Utilisez les étapes suivantes pour inclure les informations d'en-tête d'e-mail (expéditeur, destinataire(s) et objet
de l'e-mail) dans les journaux et rapports WildFire.
Les informations de session sont transférées au cloud WildFire conjointement à l'échantillon et servent à la
production du rapport d'analyse WildFire. Ni le pare-feu, ni le cloud WildFire ne reçoit, ne stocke ou n'affiche
le contenu de l'e-mail.
Les informations de session peuvent vous permettre d'identifier et de corriger rapidement les
menaces détectées dans les e-mails, les pièces jointes ou les liens, y compris d'identifier les
destinataires ayant téléchargé du contenu malveillant ou accéder à un tel contenu.
Step 1
Sélectionnez Périphérique > Configuration > WildFire.
Step 2
Modifiez la section Paramètres d'informations de session et activez une ou plusieurs des options (Expéditeur de
l'e-mail, Destinataire de l'e-mail et Objet de l'e-mail).
Step 3
Cliquez sur OK pour enregistrer les paramètres.
Permettre au pare-feu de mettre en correspondance les informations d'ID utilisateur et les informations d'en-tête d'e-mail,
afin que l'ID utilisateur du destinataire ayant reçu une pièce jointe malveillante ou un courrier électronique contenant un
lien malveillant soit identifié en vue de créer une entrée de journal WildFire.
Step 1
Sélectionnez Périphérique > Identification utilisateur > Paramètres de mappage de groupe.
Step 2
Sélectionnez le profil de mappage de groupe souhaité pour le modifier.
Step 3
Dans l'onglet Profil de serveur, dans la section Domaines de messagerie, renseignez le champ Liste des
domaines :
• Attributs de messagerie : ce champ est automatiquement renseigné lorsque vous renseignez le champ Liste
des domaines et que vous cliquez sur OK. Les attributs dépendent du type de votre serveur LDAP (Sun/RFC,
Active Directory et Novell).
• Liste des domaines : saisissez la liste des domaines de messagerie de votre entreprise en les séparant par une
virgule (256 caractères maximum).
Palo Alto Networks
Lorsque les informations d'en-tête d'e-mail et les informations d'ID utilisateur sont mises en correspondance, le champ
ID utilisateur du destinataire de la section En-têtes d'e-mail de la vue détaillée du journal d'envois contient un lien vers
un centre de commande de l'application (ACC) filtré pour cet utilisateur ou groupe d'utilisateurs.
Surveillance des envois et des rapports d'analyse WildFire
Les échantillons que les pare-feu envoient pour analyse WildFire s'affichent en tant qu'entrées du journal des
Envois WildFire sur l'interface Web du pare-feu. Pour chaque entrée WildFire, vous pouvez ouvrir une vue élargie
du journal, dans laquelle apparaissent les détails du journal et le rapport d'analyse WildFire de l'échantillon.
Surveillance des envois et des rapports WildFire
Step 1
Transfert de fichiers pour analyse par WildFire.
Step 2
Configuration des paramètres du journal des envois WildFire.
Palo Alto Networks
Surveillance des envois et des rapports WildFire (Continué)
Step 3
Pour afficher les échantillons envoyés par un pare-feu à un cloud hybride, privé ou public, sélectionnez
Surveillance > Envois WildFire. Une fois l'analyse WildFire d'un échantillon terminée, les résultats sont
renvoyés au pare-feu qui a envoyé l'échantillon et sont accessibles dans les journaux des envois WildFire. La
colonne Verdict indique si l'échantillon est bénin, malveillant ou indésirable.
Palo Alto Networks
Surveillance des envois et des rapports WildFire (Continué)
Step 4
Pour toute entrée, sélectionnez l'icône Détails du log pour ouvrir une vue détaillée pour chaque entrée du
journal :
la vue détaillée du journal présente des informations sur le journal et le rapport d'analyse WildFire relatifs à l'entrée. Si la
capture de paquet (PCAP) est activée pour le pare-feu, les échantillons de PCAP s'affichent également.
Pour tous les échantillons, le rapport d'analyse WildFire affiche le fichier et les détails de la session. Pour les
échantillons de logiciels malveillants, le rapport d'analyse WildFire est élargi pour y inclure des détails sur le
comportement et les attributs du fichier qui indiquaient son caractère malveillant.
Step 5
(Facultatif) Téléchargez le PDF du rapport d'analyse WildFire.
Palo Alto Networks
Paramétrage des alertes pour la journalisation des logiciels malveillants
Vous pouvez configurer un pare-feu Palo Alto Networks afin d'envoyer une alerte lorsque WildFire identifie un
fichier ou un lien d'e-mail malveillant. Vous pouvez également configurer des alertes pour les fichiers bénins ou
indésirables, mais pas pour les liens d'e-mail bénins ou indésirables. Cet exemple décrit comment configurer une
alerte d'e-mail. Vous pouvez toutefois configurer également le transfert de logs pour établir des alertes qui seront
envoyées sous forme de messages Syslog, de pièges SNMP ou d'alertes Panorama.
Paramétrage des alertes par e-mail en cas de détection d'un logiciel malveillant
Step 1
Configurez un profil de serveur de
messagerie.
1.
Sélectionnez Périphérique > Profils de serveur > Messagerie.
2.
Cliquez sur Ajouter, puis donnez un nom au profil. Par exemple,
Profil-de-messagerie-WildFire.
3.
(Facultatif) Sélectionnez le système virtuel auquel ce profil
s'applique dans la liste déroulante Emplacement.
4.
Cliquez sur Ajouter pour ajouter une nouvelle entrée de serveur
de messagerie, puis saisissez les informations requises pour vous
connecter au serveur SMTP (Simple Mail Transport Protocol) et
envoyer un e-mail (un maximum de quatre serveurs de
messagerie peuvent être ajoutés au profil) :
• Serveur : nom identifiant le serveur de messagerie (1 à
31 caractères). Ce champ est un simple intitulé et ne doit pas
comporter le nom d'hôte d'un serveur SMTP existant.
• Nom complet : nom à afficher dans le champ De du courrier
électronique.
• De : adresse de messagerie à partir de laquelle les e-mails de
notification sont envoyés.
• À : adresse de messagerie vers laquelle les e-mails de
notification sont envoyés.
• Autre(s) destinataire(s) - Saisissez une adresse e-mail à
laquelle les notifications seront envoyées à un second
destinataire.
• Passerelle : adresse IP ou nom d'hôte de la passerelle SMTP
à utiliser pour envoyer les messages électroniques.
Step 2
5.
Cliquez sur OK pour enregistrer le profil de serveur.
6.
Cliquez sur Valider pour enregistrer les modifications de la
configuration active.
Testez le profil du serveur de messagerie. 1.
Palo Alto Networks
Sélectionnez Surveillance > Rapports PDF > Planificateur de
courrier électronique.
2.
Cliquez sur Ajouter et sélectionnez le nouveau profil de
messagerie dans la liste déroulante Profil de messagerie.
3.
Cliquez sur le bouton Envoyer un e-mail de test et un e-mail de
test doit être envoyé aux destinataires définis dans le profil de
messagerie.
Paramétrage des alertes par e-mail en cas de détection d'un logiciel malveillant (Continué)
Step 3
Configurez un profil de transfert de logs 1.
pour activer l'envoi des logs WildFire vers 2.
Panorama, un compte de messagerie,
SNMP et/ou un serveur syslog.
3.
Dans cet exemple, vous établirez l'envoi
par e-mail des journaux lorsqu'un
échantillon est déterminé comme étant
malveillant. Vous pouvez également
activer l'envoi des journaux de fichiers
bénins et indésirables, ce qui produira
plus d'activité lors du test.
Sélectionnez Objets > Transfert des logs.
Cliquez sur Ajouter et donnez un nom au profil. Par exemple,
Transfert des journaux WildFire.
Dans la section Paramètres WildFire, sélectionnez le profil de
messagerie dans la colonne Messagerie pour Malveillant
comme illustré dans la capture d'écran.
Pour transférer des journaux vers Panorama, cochez les
cases situées sous la colonne Panorama pour Bénin,
Indésirable ou Malveillant. Pour SNMP et Syslog, cliquez
sur la liste déroulante, choisissez le profil approprié ou
cliquez sur Nouveau pour configurer un nouveau profil.
4.
Step 4
Ajoutez le profil de transfert des journaux 1.
à une politique de sécurité utilisée pour le
transfert WildFire (avec un profil
2.
d'analyse WildFire associé).
Le profil d'analyse WildFire définit le
trafic que le pare-feu envoie pour analyse 3.
WildFire. Pour définir un profil d'analyse
WildFire et l'associer à une règle de
politique de sécurité, reportez-vous à la
section Transfert de fichiers pour analyse
par WildFire.
Cliquez sur OK pour enregistrer les modifications.
Sélectionnez Politiques > Sécurité et cliquez sur la politique
utilisée pour le transfert WildFire.
Dans l'onglet Actions de la section Paramètre des journaux,
sélectionnez le profil de Transfert des journaux que vous avez
configuré.
Cliquez sur OK pour enregistrer les modifications, puis sur
Valider pour valider la configuration.
Palo Alto Networks
Utilisation du portail WildFire pour surveiller
l'activité WildFire
Connectez-vous au portail WildFire de Palo Alto Networks à l'aide de vos informations d'identification du
support Palo Alto Networks ou de votre compte WildFire. Le portail affiche le tableau de bord, qui répertorie
les informations des rapports de synthèse de l'ensemble des pare-feu associés à un abonnement WildFire
spécifique ou à un compte de support. Pour chaque périphérique répertorié, le portail propose des statistiques
sur le nombre d'échantillons infectés par des logiciels malveillants, les échantillons bénins ayant été analysés et
le nombre de fichiers attendant d'être analysés. Votre compte du portail WildFire affiche des données sur chacun
des échantillons envoyés par les pare-feu de votre réseau qui sont connectés au cloud WildFire public ainsi que
des données sur les échantillons envoyés manuellement au portail. De plus, si vous avez autorisé un appareil
WF-500 à transférer les fichiers et logiciels malveillants vers le cloud WildFire public pour qu'une signature soit
générée et distribuée, les rapports de ces échantillons malveillants sont également accessibles sur le portail.
Reportez-vous aux sections suivantes pour obtenir de plus amples précisions sur l'utilisation du portail WildFire
pour surveiller l'activité WildFire :

Configuration des paramètres du portail WildFire

Ajout des utilisateurs du portail WildFire

Affichage des rapports sur le portail WildFire
Configuration des paramètres du portail WildFire
Cette section décrit les différents paramètres d'un compte du cloud WildFire pouvant être personnalisés, comme
le fuseau horaire et les notifications par e-mail dans chaque pare-feu connecté au compte. Vous pouvez
également supprimer les journaux du pare-feu stockés dans le cloud.
Personnalisation des paramètres du portail WildFire
Connectez-vous au cloud WildFire, puis sélectionnez Paramètres dans la barre de menus pour modifier le fuseau horaire,
la zone ainsi que les paramètres de la journalisation et des notifications.
• Configurez le fuseau horaire du compte du cloud Sélectionnez un fuseau horaire dans la liste déroulante Définir le
WildFire.
fuseau horaire, puis Mettre à jour le fuseau horaire pour
enregistrer la modification.
L'horodatage qui s'affiche sur les rapports d'analyse WildFire
est basé sur le fuseau horaire configuré pour le compte du
cloud WildFire.
• Supprimez les journaux WildFire de certains
pare-feu qui sont hébergés sur le cloud.
Palo Alto Networks
1.
Dans la liste déroulante Supprimer les rapports WildFire,
sélectionnez un pare-feu (par numéro de série), puis
sélectionnez Supprimer les rapports pour retirer les journaux
propres à ce pare-feu du portail WildFire. Cette action ne
supprime pas les journaux stockés sur le pare-feu.
2.
Cliquez sur OK pour confirmer la suppression.
Personnalisation des paramètres du portail WildFire
• Configurez les notifications par e-mail selon les 1.
verdicts d'analyse WildFire.
Dans la section Configuration des alertes, cochez la case
Malveillant, Indésirable ou Bénin pour recevoir des
notifications par e-mail en fonction des verdicts suivants :
• Pour recevoir des notifications selon les verdicts pour
l'ensemble des échantillons chargés sur le cloud WildFire,
cochez les cases de verdict qui se trouvent à la ligne intitulée
Tout.
• Pour recevoir des notifications selon les verdicts pour
l'ensemble des échantillons qui sont chargés manuellement
sur le cloud WildFire public au moyen du portail WildFire,
cochez les cases de verdict qui se trouvent à la ligne intitulée
Manuel.
• Sélectionnez les cases de verdict pour un ou plusieurs
numéros de série de pare-feu pour recevoir des avis selon les
verdicts pour les échantillons envoyés par ces pare-feu.
2.
Sélectionnez Mettre à jour la notification pour activer l'envoi
des notifications selon les verdicts à l'adresse e-mail associée à
votre compte de support.
Ajout des utilisateurs du portail WildFire
Les comptes du portail WildFire sont créés par un super utilisateur (le propriétaire enregistré d'un périphérique
Palo Alto Networks) afin que d'autres utilisateurs puissent se connecter au cloud WildFire et consulter les
données des périphériques auxquels le super utilisateur leur a autorisé l'accès. Un utilisateur WildFire peut être
un utilisateur associé à un compte Palo Alto Networks existant ou un utilisateur qui n'est pas associé à un compte
de support Palo Alto Networks, à qui vous pouvez accorder l'accès uniquement aux clouds WildFire public et
à un ensemble donné de données provenant des pare-feu.
Ajout de comptes utilisateur WildFire
Step 1
Sélectionnez le compte pour lequel vous
souhaitez ajouter des utilisateurs qui
peuvent accéder au portail WildFire.
1.
Connectez-vous au site de support de Palo Alto Networks.
2.
Sous Gérer un compte, cliquez sur Utilisateurs et comptes.
3.
Sélectionnez un compte ou un sous-compte existant.
Les utilisateurs du portail WildFire
peuvent visualiser les données de tous les
pare-feu associés au compte de support.
Palo Alto Networks
Ajout de comptes utilisateur WildFire (Continué)
Step 2
Ajoutez un utilisateur WildFire.
1.
Cliquez sur le bouton Ajouter un utilisateur WildFire.
2.
Saisissez l'adresse e-mail de l'utilisateur que vous souhaitez
ajouter.
Lors de l'ajout d'un utilisateur, la seule restriction est que
l'adresse e-mail ne doit pas provenir d'un compte e-mail
gratuit basé sur le Web (Gmail, Hotmail ou Yahoo). Si
une adresse e-mail est saisie pour un domaine qui n'est
pas pris en charge, une fenêtre d'avertissement
contextuelle s'affiche.
Step 3
Assignez des pare-feu au nouveau compte Sélectionnez le ou les pare-feu par numéro de série au(x)quel(s) vous
utilisateur et accédez au cloud WildFire. voulez autoriser l'accès et renseignez les détails facultatifs du compte.
Les utilisateurs titulaires d'un compte de support existant vont
recevoir un e-mail avec une liste des pare-feu permettant désormais
de consulter les rapports WildFire. Si un utilisateur ne dispose pas
d'un compte de support, le portail envoie un e-mail avec des
instructions indiquant comment accéder au portail et comment
configurer un nouveau mot de passe.
Le nouvel utilisateur peut désormais se connecter au cloud WildFire
et consulter les rapports WildFire des pare-feu dont l'accès lui a été
autorisé. Les utilisateurs peuvent également configurer l'envoi
d'alertes automatiques par e-mail pour ces périphériques concernant
les fichiers analysés. Il peut choisir de recevoir des rapports de
fichiers malveillants et/ou bénins.
Affichage des rapports sur le portail WildFire
Le portail WildFire affiche les rapports des échantillons qui sont envoyés du pare-feu, chargés manuellement ou
chargés à l'aide de l'API du pare-feu. Sélectionnez Rapports pour afficher les plus récents rapports des
échantillons analysés par le cloud WildFire. Pour chaque échantillon répertorié, l'entrée du rapport indique la
date et l'heure de réception de l'échantillon par le cloud, le numéro de série du pare-feu qui a envoyé le fichier,
le nom de fichier ou l'URL ainsi que le verdict rendu par WildFire (bénin, indésirable ou malveillant).
Utilisez l'option de recherche pour chercher des rapports selon le nom de fichier ou la valeur de hachage de
l'échantillon. Vous pouvez également restreindre les résultats affichés en n'affichant que les rapports des
échantillons envoyés par une Source donnée (afficher uniquement les résultats des échantillons envoyés
manuellement ou par un pare-feu donné) ou des échantillons qui ont reçu un Verdict WildFire particulier (tous
les verdicts, verdict bénin, verdict malveillant, verdict indésirable ou en attente).
Pour afficher un rapport dans le portail, cliquez sur l'icône Rapports située à gauche du nom du rapport. Pour
enregistrer le rapport détaillé, cliquez sur le bouton Télécharger au format PDF dans le coin supérieur droit de la
page du rapport. Pour plus de précisions sur les rapports d'analyse WildFire, reportez-vous à la section Rapports
d'analyse WildFire : aperçu de près.
Voici une liste des échantillons de fichiers envoyés par un pare-feu donné :
Palo Alto Networks
Palo Alto Networks
Accès aux rapports d'analyse WildFire sur le pare-feu, sur le portail WildFire et sur l'API WildFire.
Les rapports d'analyse WildFire affichent des informations détaillées sur l'échantillon ainsi que des informations
sur l'utilisateur ciblé, des informations d'en-tête d'e-mail (si activé), l'application contenant le fichier et toutes les
URL impliquées dans la transmission ou dans l'activité phone-home du fichier. Les rapports WildFire
contiennent quelques ou toutes les informations décrites dans le tableau suivant selon les informations de
session configurées sur le pare-feu ayant transféré le fichier et selon le comportement observé du fichier.
Lors de l'affichage du rapport WildFire d'un fichier chargé manuellement dans le portail WildFire
ou à l'aide de l'API WildFire, ce rapport ne fournit aucune information de session, car le trafic n'a
pas traversé le pare-feu. Par exemple, le rapport ne va pas afficher le pirate/source et la
victime/destination.
En-tête du rapport
Description
Informations sur le fichier
• Type de fichier - Flash, PE, PDF, APK, JAR/Class ou MS Office. Ce champ
correspond à l'URL nommée pour les rapports de lien d'e-mail HTTP/HTTPS
et affiche l'URL qui a été analysée.
• Signataire du fichier - Entité qui a signé le fichier à des fins d'authenticité.
• Valeur de hachage - Le hachage de fichier s'apparente à une empreinte qui
identifie de manière unique un fichier pour s'assurer qu'il n'a subi aucune
modification. Voici une liste des versions de hachage générées par WildFire pour
chaque fichier analysé :
• SHA-1 - Affiche la valeur SHA-1 du fichier.
• SHA-256 - Affiche la valeur SHA-256 du fichier.
• MD5 - Affiche les informations MD5 du fichier.
• Taille du fichier - Taille (en octets) du fichier analysé par WildFire.
• Horodatage de la première analyse - Si le système WildFire a analysé le fichier
précédemment, il s'agit de la date et de l'heure auxquelles il a été observé en
premier.
• Verdict - Affiche le verdict de l'analyse :
• Bénin - Le fichier est sûr et ne manifeste aucun comportement malveillant.
• Indésirable - Le fichier se comporte d'une façon similaire aux fichiers
malveillants, mais ne menace pas directement la sécurité. Il peut s'agir de
fichiers exécutables qui ont un comportement dérangeant, mais qui ne sont
pas de nature malveillante. Les logiciels publicitaires, les logiciels espions et
les objets BHO (Browser Helper Objects/objets de l'assistant du
navigateur) sont des exemples de logiciels indésirables
• Malveillant - WildFire a identifié le fichier comme étant un logiciel
malveillant et génère une signature pour le protéger contre toute exposition
future.
• Échantillon de fichier - Cliquez sur le lien Télécharger le fichier pour
télécharger l'échantillon de fichier sur votre système local. Notez que vous
pouvez uniquement télécharger des fichiers avec le verdict Malveillant, et non
Bénin.
Palo Alto Networks
En-tête du rapport
Description
État de la couverture
Cliquez sur le lien Total de virus pour afficher les informations de couverture
antivirus du point d'extrémité des échantillons qui ont déjà été identifiés par
d'autres fournisseurs. Si le fichier est inconnu des fournisseurs répertoriés, le
message Fichier introuvable s'affiche.
De plus, lorsque le rapport est affiché sur le pare-feu, des informations actualisées
sur cette signature et la couverture de filtrage des URL fournie par Palo Alto
Networks pour protéger contre la menace s'affichent également dans cette section.
Ces informations étant récupérées de manière dynamique, elles n'apparaissent pas
dans le rapport PDF.
La capture d'écran suivante illustre l'état de la couverture qui s'affiche après
l'affichage du rapport sur le pare-feu :
Les informations de couverture suivantes sont fournies pour les signatures actives :
• Type de couverture - Le type de protection proposée par Palo Alto Networks
(virus, DNS, WildFire ou URL malveillante).
• ID de signature - Un numéro d'ID unique attribué à chaque signature fournie
par Palo Alto Networks.
• Détail - Le nom connu du virus.
• Date de publication - La date à laquelle Palo Alto Networks a publié la
couverture de protection contre le logiciel malveillant.
• Version du contenu - Le numéro de version du contenu offrant une protection
contre le logiciel malveillant.
Information de session
Contient des informations de session selon que le trafic traverse ou non le pare-feu
ayant transféré l'échantillon. Pour définir les informations de session que WildFire
inclura dans les rapports, sélectionnez Périphérique > Configuration > WildFire >
Paramètres d'informations de session.
Les options suivantes sont disponibles :
• Adresse IP source
• Port source
• Adresse IP de destination
• Port de destination
• Système virtuel (si l'option Systèmes virtuels multiples est configurée sur le
pare-feu)
• Application
• Utilisateur (si l'option User-ID est configurée sur le pare-feu)
• URL
• Nom de fichier
• Expéditeur de l'e-mail
• Destinataire de l'e-mail
• Objet de l'e-mail
Palo Alto Networks
En-tête du rapport
Description
Analyse dynamique
Si un fichier présente un risque faible et si WildFire peut facilement déterminer qu'il
est sûr, seule une analyse statique est effectuée, au lieu d'une analyse dynamique.
Lorsqu'une analyse dynamique est effectuée, cette section contient des onglets
pour chaque environnement virtuel dans lequel l'échantillon a été exécuté lors de
son analyse dans le cloud WildFire. Par exemple, l'onglet Machine virtuelle 1 peut
disposer des attributs Windows XP, Adobe Reader 9.3.3 et Office 2003, tandis que
l'onglet Machine virtuelle 2 peut comporter Office 2007 en plus. Lorsqu'une
analyse dynamique complète est effectuée, le fichier est exécuté sur chaque machine
virtuelle et les résultats de chaque environnement peuvent être consultés en
cliquant sur l'un des onglets de machine virtuelle.
Sur l'appareil WildFire WF-500, une seule machine virtuelle est utilisée pour
l'analyse, que vous sélectionnez en fonction des attributs de
l'environnement virtuel qui correspondent le mieux à votre environnement
local. Par exemple, si la plupart des utilisateurs ont Windows 7 32 bits, cette
machine virtuelle doit être sélectionnée.
Palo Alto Networks
En-tête du rapport
Description
Récapitulatif comportemental
Chaque onglet de machine virtuelle récapitule le comportement de l'échantillon de
fichier dans l'environnement spécifique. Des exemples montrent si l'échantillon a
créé ou modifié des fichiers, démarré un processus, créé de nouveaux processus,
modifié le registre ou installé des objets BHO (Browser Helper Objects/objets de
l'assistant du navigateur).
La colonne Gravité indique la gravité de chaque comportement. Un niveau de
gravité faible est indiqué par une barre et plus la gravité est élevée, plus le nombre
de barres augmente. Ces informations sont également ajoutées aux sections
d'analyse dynamique et statique.
Voici une description des divers comportements analysés :
• Activité réseau - Indique l'activité réseau de l'échantillon, notamment l'accès à
d'autres hôtes sur le réseau, les requêtes DNS et l'activité phone-home. Un lien
est fourni pour télécharger la capture de paquets.
• Activité d'hôte (par processus) - Répertorie les activités exécutées sur l'hôte
comme les clés de registre qui ont été définies, modifiées ou supprimées.
• Activité de processus - Répertorie les fichiers qui ont démarré un processus
parent, le nom du processus et l'action exécutée par ce processus.
• Fichier - Répertorie les fichiers qui ont démarré des processus enfant, le nom
du processus et l'action exécutée par ce processus.
• Mutex - Si l'échantillon de fichier génère d'autres threads du programme, le nom
mutex et le processus parent sont journalisés dans ce champ.
• Chronologie des activités - Répertorie une liste détaillée de toutes les activités
de l'échantillon qui ont été enregistrées. Celle-ci permet de mieux comprendre la
séquence d'événements qui s'est produite lors de l'analyse.
Les informations de chronologie des activités sont uniquement disponibles
dans l'export PDF des rapports WildFire.
Envoyer malveillant
Utilisez cette option pour envoyer manuellement l'échantillon à Palo Alto Networks.
Le cloud WildFire va analyser de nouveau l'échantillon et générer une signature s'il
détermine qu'il est malveillant. Ceci est utile sur un appareil WF-500 sur lequel la
génération de signatures ou l'intelligence du cloud n'est pas activée, et qui est utilisé
pour transférer un logiciel malveillant depuis l'appareil sur le cloud WildFire.
Signaler un verdict incorrect
Cliquez sur ce lien pour envoyer l'échantillon à l'équipe de prévention des menaces de Palo
Alto Networks, si vous pensez que le verdict est un faux positif ou un faux négatif. L'équipe
de prévention des menaces effectuera une autre analyse de l'échantillon pour déterminer s'il
doit être reclassé. Si un échantillon malveillant est déterminé comme étant sûr, la signature
du fichier est désactivée dans la prochaine mise à jour de signature antivirus ; si un fichier
bénin est déterminé comme étant malveillant, une nouvelle signature est générée. Une fois la
recherche terminée, vous recevez un e-mail décrivant l'action exécutée.
Palo Alto Networks
Utilisation de l'API WildFire
L'API WildFire™ vous permet d'envoyer des tâches d'analyse de fichiers à WildFire et de rechercher des
données via une interface API XML simple qui est prise en charge sur le cloud public WildFire et pour l'appareil
WF-500. Reportez-vous aux sections suivantes pour obtenir de plus amples précisions sur l'utilisation de l'API
WildFire :

À propos des abonnements à WildFire et des clés API

Méthodes d'envoi de fichiers de l'API WildFire

Requête d'un rapport PDF ou XML WildFire

Utilisation de l'API pour récupérer un échantillon de fichier malveillant pour le test

Utilisation de l'API pour récupérer un échantillon ou une PCAP

Utilisation de l'API WildFire sur un appareil WF-500
Palo Alto Networks
La clé API de WildFire peut être activée, à condition qu'au moins un pare-feu Palo Alto Networks dispose d'un
abonnement WildFire actif enregistré chez le titulaire d'un compte appartenant à votre organisation. Vous
pouvez partager la même clé API au sein de votre organisation. La clé API s'affiche dans la section Mon compte
du portail Web WildFire, avec des statistiques, comme le nombre de chargements et de requêtes réalisés avec
cette clé. Elle doit être considérée comme étant secrète et ne doit pas être partagée en dehors des canaux
autorisés.
L'API WildFire utilise des requêtes HTTP standard pour envoyer et recevoir des données. Des appels API
peuvent être émis directement par des utilitaires de ligne de commande, comme cURL, ou en utilisant des
structures de scripts ou d'applications prenant en charge les services REST.
Les méthodes API sont hébergées sur le cloud WildFire et le protocole HTTPS (et non pas HTTP) est requis
pour protéger votre clé API et toutes les autres données échangées avec le service.
Une clé API WildFire autorise jusqu'à 1000 chargements d'échantillons et jusqu'à 10 000 requêtes de rapport
par jour.
Pour utiliser l'API WildFire sur un appareil WF-500, vous générez une clé API directement à partir de l'appareil
et vous utilisez l'adresse IP ou le nom de domaine complet de l'URL pour rechercher l'appareil. Toutes les
fonctions sont les mêmes que si vous utilisiez l'API sur le cloud WildFire public. Par exemple, l'URL pour
récupérer un rapport sur le cloud public WildFire est
https://wildfire.paloaltonetworks.com/publicapi/get/report. L'URL pour récupérer un rapport sur un
appareil WF-500 avec l'adresse IP 10.3.4.50 serait la suivante : https://10.3.4.50/publicapi/get/report. Pour un
exemple, reportez-vous à la section Utilisation de l'API WildFire sur un appareil WF-500.
Palo Alto Networks
Suivez les méthodes suivantes pour envoyer des fichiers dans WildFire :

Envoi d'un fichier au cloud WildFire à l'aide de la méthode Submit File

Envoi d'un fichier à WildFire à l'aide de la méthode Submit URL
Envoi d'un fichier au cloud WildFire à l'aide de la méthode Submit File
L'API WildFire peut servir à l'envoi de tous les types de fichiers pris en charge (pour connaître la liste des types
de fichiers pris en charge, reportez-vous à la section Analyse du type de fichier). Le fichier, ainsi que votre clé
API, sont requis lors de l'envoi à WildFire pour analyse. Le code retour de la méthode submit-file indique une
réussite ou une erreur. Si le code 200 OK est renvoyé, l'envoi a réussi et ses résultats peuvent normalement être
consultés au bout de cinq minutes.
Le tableau suivant décrit les attributs de l'API nécessaires pour envoyer des fichiers au cloud WildFire à l'aide
de la méthode Submit file :
URL
https://wildfire.paloaltonetworks.com/publicapi/submit/file
Méthode
POST
Paramètres
apikey
Votre clé API WildFire
fichier
Échantillon de fichier à analyser
200 OK
Indique la réussite et un rapport est renvoyé
401 Unauthorized
Clé API non valide
405 Method Not Allowed
Utilisation d'une méthode autre que POST
413 Request Entity Too Large
La taille de l'échantillon de fichier dépasse la limite
maximale
418 Unsupported File Type
Le type d'échantillon de fichier n'est pas pris en charge
419 Max Request Reached
Dépassement du nombre maximum de chargements
quotidiens
500
Erreur interne
513
Échec du chargement du fichier
Retour
Envoi d'un fichier à WildFire à l'aide de la méthode Submit URL
La méthode submit-url permet d'envoyer un fichier pour l'analyser via une URL. L'interface et la fonctionnalité
de cette méthode sont identiques à la méthode submit-file, sauf que le paramètre file est remplacé par le
paramètre url. Le paramètre url doit pointer vers un type de fichier pris en charge et accessible. Si le code 200
OK est renvoyé, l'envoi a réussi et ses résultats peuvent généralement être consultés au bout de cinq minutes.
Palo Alto Networks
Le tableau suivant décrit les attributs de l'API nécessaires pour envoyer des fichiers au cloud WildFire à l'aide
d'une URL :
URL
https://wildfire.paloaltonetworks.com/publicapi/submit/url
Méthode
POST
Paramètres
apikey
URL
L'URL du fichier à analyser. L'URL doit contenir le nom
du fichier, par exemple
http://paloaltonetworks.com/folder1/my-file.pdf.
200 OK
401 Unauthorized
Clé API non valide
413 Request Entity Too Large
La taille de l'échantillon de fichier dépasse la limite
maximale
418 Unsupported File Type
Le type d'échantillon de fichier n'est pas pris en charge
419 Max Request Reached
Dépassement du nombre maximum de chargements
quotidiens
422
Erreur de téléchargement d'URL
500
Erreur interne
Retour
Exemples de code pour l'envoi de fichiers
La commande cURL suivante illustre l'envoi d'un fichier à WildFire à l'aide de la méthode submit file :
curl –k -F apikey=yourAPIkey -F file=@local-file-path
https://wildfire.paloaltonetworks.com/publicapi/submit/file
L'exemple de code shell suivant illustre un script simple permettant d'envoyer un fichier à l'API WildFire pour
analyse. La clé API est fournie en tant que premier paramètre et le chemin d'accès au fichier est le second
paramètre :
#manual upload sample to WildFire with APIKEY
#Parameter 1: APIKEY
#Parameter 2: location of the file
key=$1
file=$2
/usr/bin/curl -i -k -F apikey=$key -F file=@$file
https://wildfire.paloaltonetworks.com/submit/file
La commande cURL suivante illustre l'envoi d'un fichier à WildFire à l'aide de la méthode submit URL :
curl –k -F apikey=yourAPIkey -F url=URL
https://wildfire.paloaltonetworks.com/publicapi/submit/url
Palo Alto Networks
La méthode get report permet d'obtenir les résultats d'analyse d'un rapport XML ou PDF d'un échantillon
donné. Utilisez le hachage MD5 ou SHA-256 de l'échantillon de fichier comme demande de recherche.
Le tableau suivant décrit les attributs de l'API nécessaires pour obtenir des rapports :
URL
https://wildfire.paloaltonetworks.com/publicapi/get/report
Méthode
POST
Paramètres
hash
La valeur MD5 ou SHA-256 de l'échantillon
apikey
format
Format de rapport : PDF ou XML
200 OK
401 Unauthorized
Clé API non valide
404 Not Acceptable
Le rapport est introuvable
419
Quota de demande de rapport dépassé
420
Arguments insuffisants
421
Arguments non valides
500
Erreur interne
Retour
Exemple de requête d'un rapport PDF ou XML à l'aide de l'API
La commande cURL suivante illustre la requête d'un rapport PDF à l'aide du hachage MD5 d'un échantillon
donné :
curl –k -F hash=1234556 -F format=pdf -F apikey=yourAPIkey
Pour récupérer la version XML du rapport, remplacez format=pdf par format=xml. Par
exemple :
curl -k -F hash=1234556 -F format=xml -F apikey=yourAPIkey
Palo Alto Networks
Utilisation de l'API pour récupérer un échantillon de fichier malveillant pour le test
Utilisation de l'API pour récupérer un échantillon de fichier
malveillant pour le test
Cette section décrit la syntaxe de l'API permettant de récupérer un échantillon de fichier malveillant, qui peut
être utilisé pour tester le traitement des échantillons WildFire du début à la fin.
Pour plus d'informations sur l'échantillon de fichier, consultez la section Test d'un échantillon de fichier
malveillant.
Pour récupérer le fichier à l'aide de l'API :
API : GET https://wildfire.paloaltonetworks.com/publicapi/test/pe
Ceci renvoie un fichier de test ; chaque appel de l'API renvoie un fichier similaire, mais avec une valeur SHA256
différente.
Si vous rencontrez des problèmes lors de la récupération du fichier, une erreur interne au serveur (500) est
renvoyée.
Pour récupérer le fichier de test à l'aide d'une commande cURL :
curl –k https://wildfire.paloaltonetworks.com/publicapi/test/pe
Palo Alto Networks
Utilisation de l'API pour récupérer un échantillon ou une
PCAP

Utilisation de l'API pour récupérer un échantillon

Utilisation de l'API pour récupérer une capture de paquets (PCAP)
Utilisation de l'API pour récupérer un échantillon
Utilisez la méthode get-sample pour récupérer un échantillon spécifique. Vous pouvez utiliser le hachage MD5
ou SHA-256 de l'échantillon de fichier comme demande de recherche.
URL
https://wildfire.paloaltonetworks.com/publicapi/get/sample
Méthode
POST
Paramètres
hash
apikey
200 OK
Indique la réussite et un échantillon est renvoyé
401 Unauthorized
Clé API non valide
403 Forbidden
Autorisation refusée
404 Not Acceptable
L'échantillon est introuvable
419
Quota de demande d'échantillon
dépassé
420
421
500
Erreur interne
Retour
Exemple de requête d'API pour Get-sample
La commande cURL suivante illustre la requête d'un échantillon à l'aide du hachage MD5 de l'échantillon :
curl -k -F hash=md5hash -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/sample
Utilisation de l'API pour récupérer une capture de paquets (PCAP)
La méthode get-pcap permet d'obtenir un PCAP enregistré pendant l'analyse d'un échantillon donné. Utilisez le
hachage MD5 ou SHA-256 de l'échantillon de fichier comme demande de recherche. Vous pouvez éventuellement
définir la plateforme du PCAP souhaité afin de spécifier le PCAP à renvoyer. Si aucune plateforme n'est spécifiée,
la méthode renvoie un PCAP d'une session dont le résultat a été Logiciel malveillant.
Palo Alto Networks
Les échantillons chargés avant août 2014 ne garantissent pas le renvoi d'une PCAP si aucun
paramètre de plateforme n'est spécifié.
Le tableau suivant décrit les paramètres de plateforme disponibles :
ID de plateforme
Description
1
Windows XP, Adobe Reader 9.3.3, Office 2003
2
Windows XP, Adobe Reader 9.4.0, Flash 10, Office 2007
3
Windows XP, Adobe Reader 11, Flash 11, Office 2010
4
Windows 7 32 bits, Adobe Reader 11, Flash 11, Office 2010
5
Windows 7 64 bits, Adobe Reader 11, Flash 11, Office 2010.
201
Android 2.3, API 10, avd2.3.1
Le tableau suivant décrit les attributs de l'API nécessaires pour obtenir des PCAP :
URL
https://wildfire.paloaltonetworks.com/publicapi/get/pcap
Méthode
POST
Paramètres
hash
apikey
platform*
Environnement d'analyse cible
200 OK
Indique la réussite et un PCAP est renvoyé
401 Unauthorized
Clé API non valide
403 Forbidden
Autorisation refusée
404 Not Acceptable
Le PCAP est introuvable
419
Request sample quota exceeded
420
421
500
Erreur interne
Retour
* Paramètre facultatif
Exemple de requête d'API pour Get-PCAP
La commande cURL suivante illustre la requête d'un PCAP à l'aide du hachage MD5 de l'échantillon :
curl -k -F hash=md5hash -F apikey=yourAPIkey -F platform=targetPlatform
https://wildfire.paloaltonetworks.com/publicapi/get/pcap
Palo Alto Networks
Pour utiliser l'API XML WildFire sur un appareil WF-500, vous devez tout d'abord générer une clé API sur
l'appareil et l'utiliser sur l'ordinateur hôte exécutant les fonctions de l'API. L'URL utilisée pour rechercher
l'appareil est basée sur l'adresse IP ou le nom de domaine complet de l'appareil. Lorsque les clés sont générées
et que vous disposez de l'URL pour rechercher l'appareil, vous pouvez exécuter les mêmes fonctions de l'API
que celles prises en charge sur le cloud WildFire.
Les rubriques suivantes décrivent comment gérer les clés API sur l'appareil et proposent un exemple d'utilisation
de l'API WildFire pour envoyer des échantillons de fichier à l'appareil.

Génération de clés API sur l'appareil WF-500

Gestion des clés API sur l'appareil WF-500

Génération de clés API sur l'appareil WF-500
Génération d'une clé API
Step 1
Générez une nouvelle clé API sur
l'appareil WF-500. L'appareil prend en
charge jusqu'à 100 clés API.
Il est recommandé de supprimer
l'option valeur-clé à ce stade. Le
pare-feu génèrera une clé
automatiquement. Si vous
saisissez une clé manuellement,
l'option valeur-clé doit être
composée de caractères (a-z) ou
chiffres (0-9) 64 bits que vous
choisissez de manière aléatoire.
1.
Connectez-vous à la CLI de l'appareil WF-500.
2.
Générez la clé API selon l'une des méthodes suivantes :
• Générez une clé automatiquement :
admin@WF-500> create wildfire api-key name nom-clé
Par exemple, pour créer une clé nommée ma-clé-api:
admin@WF-500> create wildfire api-key name
ma-clé-api
• Pour générer une clé manuellement (où valeur-clé est une clé
64 bits) :
ma-clé-api key
valeur-clé
Par exemple :
ma-clé-api key
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F45
5F142494BC43D4A1
Step 2
Affichez les clés API que vous avez
générées.
Affichez toutes les clés API :
admin@WF-500> show wildfire api-key all
Cette commande affiche également la date de génération et de la
dernière utilisation de la clé.
Dans cet exemple, l'appareil a généré la clé suivante avec le nom
ma-clé-api :
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F1424
94BC43D4A1
Palo Alto Networks
Gestion des clés API sur l'appareil WF-500
Cette section décrit des commandes utiles que vous pouvez utiliser pour gérer des clés API WildFire sur
l'appareil et décrit comment exporter et importer les clés. Par exemple, vous pouvez souhaiter exporter toutes
vos clés à des fins de sauvegarde ou pour simplifier l'accès aux clés à partir des systèmes qui utiliseront l'API
pour exécuter diverses fonctions sur l'appareil.
Gestion des clés API
Désactivez ou activez une clé API :
[disable | enable] key clé-api
Par exemple, pour désactiver la clé API utilisée dans cet exemple :
admin@WF-500> edit wildfire api-key status
admin@WF-500> edit wildfire api-key status disable key
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F142494BC43D4A1
Dans la commande ci-dessus, vous pouvez saisir les premiers chiffres uniques de la clé et appuyez sur la touche
Tabulation pour saisir les chiffres restants.
Supprimez une clé API :
admin@WF-500> delete wildfire api-key key clé-api
Par exemple :
admin@WF-500> delete wildfire api-key key
377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F142494BC43D4A1
Utilisez les commandes suivantes pour importer ou exporter des clés API à partir de l'appareil à l'aide de SCP (Secure
Copy) :
• Enregistrez toutes les clés API dans un fichier pour les préparer pour l'exportation :
admin@WF-500# save wildfire api-key to
nom-fichier
Par exemple :
admin@WF-500> save wildfire api-key to my-api-keys
Pour sécuriser la clé API (à l'aide de SCP) sur un serveur SCP :
admin@WF-500> scp export wildfire-api-keys to nom-utilisateur@hôte:chemin
Par exemple :
admin@WF-500> scp export wildfire-api-keys to [email protected]:c:/scp/
Vous pouvez également importer la clé d'un serveur SCP :
admin@WF-500> scp import wildfire-api-keys from [email protected]:c:/scp/my-api-keys
• Une fois les clés API importées, vous devez les charger :
admin@WF-500# load wildfire api-key mode [merge | replace] from my-api-keys
Si vous n'utilisez pas l'option mode, le comportement par défaut fusionnera les nouvelles clés. Pour remplacer toutes les
clés API sur l'appareil, utilisez l'option replace. Par exemple, pour remplacer toutes les clés, saisissez la commande :
admin@WF-500# load wildfire api-key mode replace from my-api-keys
• Vérifiez que les clés ont été chargées :
admin@WF-500> show wildfire api-keys all
Palo Alto Networks
Le flux de travail suivant décrit comment utiliser l'API WildFire pour envoyer un échantillon de fichier à un
appareil WF-500 pour analyse. Lorsque vous aurez compris les concepts de base illustrés dans ce flux de travail,
utilisez l'une des fonctions d'API disponibles sur le cloud WildFire. Les fonctions sont identiques, mais en ce
qui concerne l'appareil WF-500, vous utiliserez la clé API générée sur l'appareil et l'URL de l'appareil.
Ce flux de travail requiert un ordinateur hôte sur lequel l'outil de ligne de commande cURL est
installé. Vous enverrez ensuite des fichiers de l'ordinateur d'hôte à l'appareil WF-500 à l'aide de
la syntaxe d'URL.
Utilisation de l'API WildFire pour envoyer un échantillon de fichier
Step 1
Générez une clé API WildFire pour l'ordinateur hôte qui exécutera les fonctions d'API sur l'appareil WF-500.
Pour plus de détails, reportez-vous à la section Génération de clés API sur l'appareil WF-500.
1. Accédez à la CLI sur l'appareil WF-500 et générez une clé API :
ma-clé-api
2. Affichez les clés API :
admin@WF-500> show wildfire api-key all
3. Assurez-vous que l'état de la clé est Activé, puis sélectionnez et copiez la clé. La capture d'écran suivante
illustre un exemple de clé API nommée ma-clé-api.
Palo Alto Networks
Utilisation de l'API WildFire pour envoyer un échantillon de fichier (Continué)
Step 2
À l'aide de la nouvelle clé API que vous avez générée, envoyez un échantillon de fichier à l'appareil WF-500.
1. Placez un échantillon de fichier dans un dossier accessible depuis l'ordinateur hôte sur lequel l'outil de ligne
de commande cURL est installé, et notez le chemin d'accès à l'échantillon de fichier.
2. Envoyez le fichier à l'aide d'une commande cURL :
curl -k -F apikey=votre-clé-API -F file=@local-file-path --remote-name
https://IP-appareil-WF/publicapi/submit/file
La syntaxe varie en fonction de l'hôte utilisé. Les exemples suivants illustrent la syntaxe avec un hôte Linux
et un hôte Windows.
À partir d'un hôte Linux :
curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F
[email protected] --remote-name https://10.3.4.99/publicapi/submit/file
À partir d'un hôte Windows (la seule différence est le chemin d'accès au fichier qui suit lesymbole @) :
curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F
file=@c://scp/test-wf-api.docx --remote-name https://10.3.4.99/publicapi/submit/file
3. Vérifiez que l'API a bien envoyé le fichier à l'appareil WF-500. Pour voir une liste des derniers échantillons
envoyés à l'appareil :
admin@WF-500> show wildfire latest samples
La capture d'écran suivante illustre que l'échantillon de fichier test-wf-api.docx a bien été envoyé à
l'appareil :
Si l'échantillon de fichier n'apparaît pas sur l'appareil, vérifiez la connectivité entre l'ordinateur hôte et l'appareil, et que le
chemin d'accès au dossier/fichier est correct. Vous pouvez également exécuter la commande show wildfire status
(l'état doit être Idle) et la commande show wildfire statistics pour vérifier que l'appareil est prêt pour l'analyse des
fichiers. Pour plus d'informations sur la résolution des problèmes, reportez-vous au Guide de l'administrateur Palo Alto
Networks WildFire..
Palo Alto Networks
Utilisation de la CLI de l'appareil
WF-500
Cette section décrit les commandes de la CLI spécifiques au logiciel de l'appareil WildFire™. Toutes les autres
commandes, telles que la configuration des interfaces, la validation de la configuration et la définition des
informations système, sont identiques à celles de PAN-OS et sont également affichées dans la hiérarchie. Pour
plus d'informations sur les commandes PAN-OS, reportez-vous au Guide de mise en route de la ligne de
commande PAN-OS.

Concepts de la CLI du logiciel de l'appareil WF-500

Modes des commandes de la CLI de WildFire

Accès à la CLI

Utilisation de la CLI

Référence des commandes du mode Configuration

Référence des commandes du mode Opérationnel
Palo Alto Networks
Utilisation de la CLI de l'appareil WF-500
Cette section présente et décrit l'utilisation de l'interface de ligne de commande (CLI) du logiciel de l'appareil
WildFire :

Structure de la CLI du logiciel de l'appareil WF-500

Conventions des commandes de la CLI du logiciel de l'appareil WF-500

Messages des commandes de la CLI du logiciel de l'appareil WF-500

Symboles des options de commande

Niveaux de privilèges
Structure de la CLI du logiciel de l'appareil WF-500
La CLI du logiciel de l'appareil WF-500 vous permet de gérer l'appareil. La CLI est la seule interface de l'appareil.
Celle-ci vous permet non seulement d'afficher les informations d'état et de configuration, mais aussi de modifier
la configuration de l'appareil. Accédez à la CLI du logiciel de l'appareil WF-500 via SSH ou directement à l'aide
du port de la console.
La CLI du logiciel de l'appareil WF-500 fonctionne en deux modes :

Mode Opérationnel : affichez l'état du système, parcourez la CLI du logiciel de l'appareil WF-500 et passez
en mode Configuration.

Mode Configuration : affichez et modifiez la hiérarchie de configuration.
Conventions des commandes de la CLI du logiciel de l'appareil WF-500
L'invite de commande de base incorpore le nom d'utilisateur et le nom d'hôte de l'appareil :
username@hostname>
Exemple :
admin@WF-500>
Lorsque vous passez en mode Configuration, l'invite passe de > à #:
username@hostname>(mode Opérationnel)
username@hostname> configure
Entering configuration mode
[edit]
username@hostname# (mode Configuration)
En mode Configuration, le contexte hiérarchique actuel est affiché par la bannière [edit...] présentée entre
crochets lorsqu'une commande est émise.
Palo Alto Networks
Messages des commandes de la CLI du logiciel de l'appareil WF-500
Des messages peuvent s'afficher lors de l'émission d'une commande. Ces messages fournissent des informations
contextuelles et peuvent vous aider à corriger les commandes non valides. Dans les exemples suivants, le
message s'affiche en gras.
Exemple : Commande inconnue
username@hostname# application-group
Unknown command: application-group
[edit network]
username@hostname#
Exemple : Changement de modes
username@hostname# exit
Exiting configuration mode
username@hostname>
Exemple : Syntaxe non valide
username@hostname> debug 17
Unrecognized command
Invalid syntax.
username@hostname>
La CLI vérifie la syntaxe de chaque commande. Si la syntaxe est correcte, elle exécute la commande et les
modifications apportées de la hiérarchie candidate sont enregistrées. Si la syntaxe est incorrecte, un message de
syntaxe non valide s'affiche, comme dans l'exemple suivant :
username@hostname# set deviceconfig setting wildfire cloud-intelligence
submit-sample yes
Unrecognized command
Invalid syntax.
[edit]
username@hostname#
Symboles des options de commande
Le symbole précédant une option peut fournir des informations supplémentaires sur la syntaxe de la commande.
Symbole
Description
*
Cette option est obligatoire.
>
Des options imbriquées supplémentaires sont disponibles pour cette
commande.
+
Des options imbriquées supplémentaires sont disponibles pour cette
commande à ce niveau.
|
Une option permettant de préciser une valeur d'exception ou une valeur
de correspondance est disponible pour restreindre la commande.
Palo Alto Networks
Symbole
Description
““
Bien que les guillemets doubles ne soient pas le symbole d'une option de
commande, ils doivent être utilisés lors de la saisie d'expressions
multimots dans les commandes de la CLI. Par exemple, pour créer un
groupe d'adresses nommé Test Group et pour ajouter l'utilisateur nommé
user1 à ce groupe, vous devez encadrer de guillemets le nom du groupe
comme suit :
set address-group Test Group user1.
Si vous n'encadrez pas de guillemets le nom du groupe, la CLI interprète
le mot Test comme le nom du groupe et Group comme le nom
d'utilisateur. L'erreur suivante s'affiche alors : “test is not a valid name” .
Un guillemet simple ne serait également pas valide dans cet
exemple.
Les exemples suivants indiquent comment ces symboles sont utilisés.
Exemple : Dans la commande suivante, le mot-clé from est obligatoire :
username@hostname> scp import configuration ?
+ remote-port
SSH port number on remote host
* from
Source (username@host:path)
username@hostname> scp import configuration
Exemple : This command output shows options designated with + and >.
username@hostname# set rulebase security rules rule1 ?
+ action
action
+ application
application
+ destination
destination
+ disabled
disabled
+ from
from
+ log-end
log-end
+ log-setting
log-setting
+ log-start
log-start
+ negate-destination
negate-destination
+ negate-source
negate-source
+ schedule
schedule
+ service
service
+ source
source
+ to
to
> profiles
profiles
<Enter>
Finish input
[edit]
username@hostname# set rulebase security rules rule1
Chaque option désignée par + peut être ajoutée à la commande.
Le mot-clé profiles (avec >) dispose d'options supplémentaires :
username@hostname# set rulebase security rules rule1 profiles ?
Palo Alto Networks
+
+
+
+
virus
Help string for virus
spyware
Help string for spyware
vulnerability
Help string for vulnerability
group
Help string for group
<Enter>
Finish input
[edit]
username@hostname# set rulebase security rules rule1 profiles
Niveaux de privilèges
Les niveaux de privilèges déterminent les commandes que l'utilisateur est autorisé à exécuter et les informations
qu'il est autorisé à afficher.
Niveau
Description
Super lecteur
Dispose d'un accès en lecture seule à l'appareil.
Super utilisateur
Dispose d'un accès en lecture/écriture à l'appareil.
Palo Alto Networks
Cette section décrit les modes utilisés pour interagir avec la CLI du logiciel de l'appareil WF-500 :

Mode Configuration

Mode Opérationnel
Mode Configuration
La saisie de commandes en mode Configuration modifie la configuration candidate. La configuration candidate
modifiée est stockée dans la mémoire de l'appareil et conservée pendant l'exécution de l'appareil.
Chaque commande de configuration implique une action et peut inclure des mots-clés, options et valeurs.
Cette section décrit le mode Configuration et la hiérarchie de configuration.

Utilisation des commandes du mode Configuration

Hiérarchie de configuration

Navigation dans la hiérarchie
Utilisation des commandes du mode Configuration
Les commandes suivantes vous permettent de stocker et d'appliquer les modifications apportées à la
configuration :

save : enregistre la configuration candidate dans la mémoire non volatile sur l'appareil. La configuration
enregistrée est conservée jusqu'à ce qu'elle soit remplacée par les commandes save suivantes. Veuillez noter
que cette commande n'active pas la configuration.

commit : applique la configuration candidate à l'appareil. Une configuration validée devient la
configuration active du périphérique.

set : modifie une valeur dans la configuration candidate.

load : affecte la dernière configuration enregistrée ou une configuration spécifiée comme configuration
candidate.
Si vous quittez le mode Configuration sans émettre la commande save ou commit, les
modifications apportées à la configuration peuvent être perdues si l'appareil n'est plus alimenté.
Palo Alto Networks
La gestion d'une configuration candidate et la séparation des étapes d'enregistrement et de validation confèrent
d'importants avantages par rapport aux architectures CLI classiques :

La distinction entre les concepts d'enregistrement et de validation permet d'effectuer plusieurs
modifications simultanément et de réduire la vulnérabilité du système.

Les commandes peuvent être facilement adaptées pour des fonctions similaires. Par exemple, lors de la
configuration de deux interfaces Ethernet, chacune disposant d'une adresse IP différente, vous pouvez
modifier la configuration de la première interface, copier la commande, modifier uniquement l'interface et
l'adresse IP, puis appliquer les modifications à la seconde interface.

La structure de la commande est toujours cohérente.
Comme la configuration candidate est toujours unique, toutes les modifications autorisées apportées à celle-ci
sont cohérentes.
Hiérarchie de configuration
La configuration de l'appareil est organisée hiérarchiquement. La commande show vous permet d'afficher une
partie du niveau hiérarchique actif. Saisissez show pour afficher la hiérarchie complète, et show avec des
mots-clés pour afficher une partie de la hiérarchie. Par exemple, lorsque vous exécutez la commande show à
partir du niveau supérieur du mode Configuration, toute la configuration s'affiche. Lorsque vous exécutez la
commande edit mgt-config et que vous saisissez show, ou si vous exécutez show mgt-config, seule la
partie mgt-config de la hiérarchie s'affiche.
Palo Alto Networks
Chemins d'accès à la hiérarchie
Lors de la saisie de commandes, le chemin d'accès à la hiérarchie est comme suit :
Par exemple, la commande suivante affecte le serveur DNS principal 10.0.0.246 à l'appareil :
[edit]
username@hostname# set deviceconfig system dns-setting servers primary
10.0.0.246
Cette commande génère un nouvel élément dans la hiérarchie et dans le résultat de la commande show
suivante :
[edit]
username@hostname# show deviceconfig system dns-settings
dns-setting {
servers {
primary 10.0.0.246
}
}
[edit]
username@hostname#
Palo Alto Networks
Navigation dans la hiérarchie
La bannière [edit...] présentée sous la ligne d'invite de commande du mode Configuration affiche le contexte
hiérarchique actif.
[edit]
indique que le contexte relatif est le niveau supérieur de la hiérarchie, tandis que
[edit deviceconfig]
indique que le contexte relatif est le niveau deviceconfig.
Les commandes répertoriées ci-dessous vous permettent de parcourir la hiérarchie de configuration.
Niveau
Description
edit
Définit le contexte de la configuration dans la hiérarchie de commande.
up
Passe le contexte au niveau supérieur suivant de la hiérarchie.
top
Passe le contexte au niveau le plus élevé de la hiérarchie.
La commande set émise après l'utilisation des commandes up et top est exécutée à partir du
nouveau contexte.
Palo Alto Networks
Mode Opérationnel
Lors de la connexion initiale au périphérique, la CLI du logiciel de l'appareil WF-500 s'ouvre en mode
Opérationnel. Les commandes du mode Opérationnel impliquent des actions qui sont immédiatement
exécutées. Celles-ci n'affectent pas la configuration et ne doivent pas être enregistrées ni validées.
Les commandes du mode Opérationnel sont de plusieurs types :

Accès réseau : accédez à un autre hôte. SSH est pris en charge.

Surveillance et dépannage : effectuez des tâches de diagnostic et d'analyse. Les commandes sont les
suivantes : debug et ping.

Commandes d'affichage : affichez ou effacez les informations actives. Les commandes sont les suivantes :
clear et show.

Commandes de navigation dans la CLI du logiciel de l'appareil WF-500 : passez en mode
Configuration ou quittez la CLI du logiciel de l'appareil WF-500. Les commandes sont les suivantes :
configure, exit et quit.

Commandes système : émettez des requêtes au niveau du système ou redémarrez. Les commandes sont
les suivantes : set et request.
Palo Alto Networks
Accès à la CLI
Accès à la CLI
Cette section décrit l'accès et l'utilisation de la CLI du logiciel de l'appareil WF-500 :

Établissement d'une connexion de console directe

Établissement d'une connexion SSH
Établissement d'une connexion de console directe
Utilisez les paramètres suivants pour une connexion de console directe :

Débit de données : 9600

Bits de données : 8

Parité : aucune

Bits d'arrêt : 1

Contrôle de flux : aucun
Établissement d'une connexion SSH
Pour accéder à la CLI du logiciel de l'appareil WF-500 :
Lancement de la CLI WildFire
1.
Utilisez le logiciel d'émulation de terminal pour établir une connexion de console SSH
avec l'appareil WF-500.
2.
Saisissez le nom d'utilisateur de l'administrateur. La valeur par défaut est admin.
3.
Saisissez le mot de passe de l'administrateur. La valeur par défaut est admin.
La CLI du logiciel de l'appareil WF-500 s'ouvre en mode Opérationnel et l'invite
d'interface de ligne de commande s'affiche :
username@hostname>
Palo Alto Networks

Accès aux modes Opérationnel et Configuration

Affichage des options de commandes de la CLI du logiciel de l'appareil WF-500

Restriction du résultat de la commande

Paramétrage du format de sortie des commandes de configuration
Accès aux modes Opérationnel et Configuration
Lors de la connexion, la CLI du logiciel de l'appareil WF-500 s'ouvre en mode Opérationnel. Vous pouvez
basculer entre les modes Opérationnel et Configuration à tout moment.

Pour passer du mode Opérationnel au mode Configuration, utilisez la commande configure :
username@hostname> configure
Entering configuration mode
[edit]
username@hostname#

Pour quitter le mode Configuration et revenir en mode Opérationnel, utilisez la commande quit ou exit :
username@hostname# quit
Exiting configuration mode
username@hostname>
Pour passer du mode Configuration au mode Opérationnel, utilisez la commande run. Par exemple, pour
afficher les ressources système en mode Configuration, utilisez la commande run show system
resources.
Affichage des options de commandes de la CLI du logiciel de l'appareil
WF-500
Utilisez ? (ou Meta-H) pour afficher une liste des options de commande, en fonction du contexte :

Pour afficher une liste des commandes opérationnelles, saisissez ? dans l'invite de commande.
username@hostname> ?
clear
Clear runtime parameters
configure
Manipulate software configuration information
debug
Debug and diagnose
exit
Exit this session
grep
Searches file for lines containing a pattern match
less
Examine debug file content
ping
Ping hosts and networks
quit
Exit this session
request
Make system-level requests
scp
Use ssh to copy file to another host
set
Set operational parameters
Palo Alto Networks
show
Show operational parameters
ssh
Start a secure shell to another host
tail
Print the last 10 lines of debug file content
username@hostname>

Pour afficher les options disponibles pour une commande spécifique, saisissez la commande suivie de ?.
Exemple :
username@hostname> ping ?
+ bypass-routing
Bypass routing table, use specified interface
+ count
Number of requests to send (1..2000000000 packets)
+ do-not-fragment
Don't fragment echo request packets (IPv4)
+ inet
Force to IPv4 destination
+ interface
Source interface (multicast, all-ones, unrouted packets)
+ interval
Delay between requests (seconds)
+ no-resolve
Don't attempt to print addresses symbolically
+ pattern
Hexadecimal fill pattern
+ record-route
Record and report packet's path (IPv4)
+ size
Size of request packets (0..65468 bytes)
+ source
Source address of echo request
+ tos
IP type-of-service value (0..255)
+ ttl
IP time-to-live value (IPv6 hop-limit value) (0..255 hops)
+ verbose
Display detailed output
+ wait
Delay after sending last packet (seconds)
<host>
Hostname or IP address of remote host
Restriction du résultat de la commande
Certaines commandes opérationnelles incluent une option permettant de restreindre le résultat affiché. Pour
restreindre le résultat, saisissez le symbole de barre verticale suivi de except ou match et de la valeur à exclure
ou inclure :
Exemple :
Le résultat suivant est pour la commande show system info :
username@hostname> show system info
hostname: WF-500
ip-address: 192.168.2.20
netmask: 255.255.255.0
default-gateway: 192.168.2.1
mac-address: 00:25:90:95:84:76
vm-interface-ip-address: 10.16.0.20
vm-interface-netmask: 255.255.252.0
vm-interface-default-gateway: 10.16.0.1
vm-interface-dns-server: 10.0.0.247
time: Mon Apr 15 13:31:39 2013
uptime: 0 days, 0:02:35
family: m
model: WF-500
serial: 009707000118
sw-version: 5.1.0
Palo Alto Networks
logdb-version: 5.0.2
platform-family: m
username@hostname>
L'exemple suivant affiche uniquement les informations de modèle de système :
username@hostname> show system info | match model
model: WF-500
username@hostname>
Paramétrage du format de sortie des commandes de configuration
Modifiez le format de sortie des commandes de configuration à l'aide de la commande set cli
config-output-format en mode Opérationnel. Les options sont les suivantes : Format par défaut, JSON
(JavaScript Object Notation), Définir le format et Format XML. Le format par défaut est un format
hiérarchique dans lequel les sections de configuration sont présentées une par ligne et entre accolades.
Palo Alto Networks
Cette section contient des informations de référence sur les commandes du mode Configuration suivantes qui
sont spécifiques au logiciel de l'appareil WF-500. Toutes les autres commandes du logiciel de l'appareil WF-500
sont identiques à celles de PAN-OS, comme décrit dans le Guide de mise en route de la ligne de commande
PAN-OS 7.0.

set deviceconfig setting wildfire

set deviceconfig system update-schedule

set deviceconfig system vm-interface
set deviceconfig setting wildfire
Description
Configurez des paramètres WildFire sur l'appareil WF-500. Vous pouvez configurer le transfert de fichiers
malveillants, définir le serveur de cloud qui reçoit les fichiers infectés et activer ou désactiver l'interface
vm-interface.
Emplacement de la hiérarchie
set deviceconfig settings
Syntaxe
wildfire {
active-vm;
cloud-server <value>;
vm-network-enable {no | yes};
vm-network-use-tor {enable | disable};
cloud-intelligence {
submit-report {no | yes};
submit-sample {no | yes};
signature-generation {
av {no | yes};
dns {no | yes};
url {no | yes};
{
{
{
Palo Alto Networks
Options
+ active-vm — Sélectionnez l'environnement de machine virtuelle que WildFire utilisera
pour l'analyse d'échantillon. Chaque MV dispose d'une configuration différente comme
Windows XP, des versions Flash, Adobe Reader, etc. Pour afficher la MV sélectionnée,
exécutez la commande show wildfire status en mode Opérationnel. admin@WF-500> show
wildfire status et consultez le champ Machine virtuelle sélectionnée. Pour afficher
les informations sur l'environnement MV, exécutez la commande suivante :
admin@WF-500> show wildfire vm-images.
+ cloud-server — Nom d'hôte du serveur du cloud auquel l'appareil transfèrera les
échantillons/rapports malveillants pour nouvelle analyse. Le serveur du cloud par
défaut est wildfire-public-cloud. Pour configurer le transfert, exécutez la commande
suivante : set deviceconfig setting wildfire cloud-intelligence.
+ vm-network-enable — Activez ou désactivez le réseau vm-network. Lorsqu'il est activé,
les échantillons de fichiers exécutés dans le bac à sable de la machine virtuel ont
accès à Internet. Ceci permet à WildFire de mieux analyser le comportement du logiciel
malveillant afin de rechercher des informations comme l'activité du téléphone
personnel.
+ vm-network-use-tor — Activez ou désactivez le réseau Tor pour l'interface
vm-interface. Lorsque cette option est activée, tout trafic malveillant provenant des
systèmes de bac à sable de l'appareil WF-500 lors de l'analyse d'échantillon est envoyé
via le réseau Tor. Le réseau Tor masque votre adresse IP publique, de manière à ce que
les sites malveillants ne puissent pas déterminer la source du trafic.
+ cloud-intelligence — Configurez l'appareil afin qu'il envoie des rapports aux
échantillons WildFire au cloud WildFire de Palo Alto Networks. L'option d'envoi de
rapport permet d'envoyer des rapports pour des échantillons malveillants au cloud à des
fins de statistiques. L'option d'envoi d'échantillon permet d'envoyer des échantillons
malveillants au cloud. Si l'option submit-sample est activée, vous n'avez pas besoin
d'activer l'option submit-report car l'échantillon est analysé de nouveau dans le
cloud, et un nouveau rapport et une signature sont générés si l'échantillon est
malveillant.
+ signature-generation — Activez l'appareil pour qu'il génère des signatures
localement, supprimant ainsi la nécessité d'envoyer des données au cloud public pour
bloquer le contenu malveillant. L'appareil WF-500 analysera les fichiers qui lui sont
transférés par les pare-feu Palo Alto Networks ou l'API WildFire, et générera des
signatures antivirus et DNS qui bloquent les fichiers malveillants ainsi que le trafic
de commande et de contrôle associé. Lorsque l'appareil détecte une URL malveillante, il
l'envoie à PAN-DB qui la classe dans une catégorie de logiciel malveillant.
Exemple de résultat
Vous trouverez ci-dessous un exemple de résultat des paramètres WildFire.
admin@WF-500# show deviceconfig setting wildfire
wildfire {
active-vm vm-5;
cloud-intelligence {
submit-sample yes;
submit-report no;
}
cloud-server wildfire-public-cloud;
signature-generation {
av yes;
dns yes;
Palo Alto Networks
url yes;
}
}
Niveau de privilège requis

superuser, deviceadmin
Description
Planifiez les mises à jour de contenu sur un appareil WF-500. Ces mises à jour de contenu fournissent à l'appareil
les toutes dernières informations sur les menaces afin de détecter précisément les logiciels malveillants et
d'améliorer la capacité de l'appareil à différencier les logiciels malveillants et bénins.
Syntaxe
wf-content recurring {
daily at <valeur> action {download-and-install | download-only};
weekly {
action {download-and-install | download-only};
at <valeur>;
day-of-week {friday | monday | saturday | sunday | thursday | tuesday | wednesday};
}
}
Options
> wf-content — Mises à jour de contenu WF-500
> daily — Planifier une mise à jour chaque jour
+ action — Spécifiez l'action à exécuter. Vous pouvez planifier l'appareil pour qu'il
télécharge et installe la mise à jour ou qu'il la télécharge seulement et que vous
l'installiez ensuite manuellement
+ at — Spécification de l'heure hh:mm (ex : 20:10)
> hourly — Planifier une mise à jour chaque heure
Palo Alto Networks
+ at — Minutes après l'heure
> weekly — Planifier une mise à jour chaque semaine
+ at — Spécification de l'heure hh:mm (ex : 20:10)
+ day-of-week — Jour de la semaine (Friday, Monday, Saturday, Sunday, Thursday,
Tuesday, Wednesday)
admin@WF-500# show
update-schedule {
wf-content {
recurring {
weekly {
at 19:00;
action download-and-install;
day-of-week friday;
}
}
}
}
set deviceconfig system vm-interface
Description
L'interface vm-interface est utilisée par les logiciels malveillants exécutés sur le bac à sable de la machine virtuel
de l'appareil WF-500 pour accéder à Internet. L'activation de ce port est recommandée car elle permet à
WildFire de mieux identifier l'activité malveillante si le logiciel malveillant accède à Internet pour une activité
phone-home ou autre. Il est important que cette interface dispose d'une connexion isolée à Internet. Pour plus
d'informations, voir Configuration de l'interface MV.
Une fois que l'interface vm-interface est configurée, activez-la en exécutant la commande suivante :
set deviceconfig setting wildfire vm-network-enable yes
set deviceconfig system
Palo Alto Networks
Syntaxe
set vm-interface {
default-gateway <ip_address>;
dns-server <ip_address>;
ip-address <ip_address>;
link-state;
mtu;
netmask <ip_address>;
speed-duplex;
{
Options
admin@WF-500# set vm-interface
+ default-gateway — Passerelle par défaut pour l'interface MV
+ dns-server — Serveur DNS par défaut pour l'interface MV
+ ip-address — Adresse IP de l'interface MV
+ link-state — Définir si l'état de la liaison est ascendant ou descendant
+ mtu — Unité de transmission maximale pour l'interface MV
+ netmask — Masque réseau IP de l'interface MV
+ speed-duplex — Vitesse et duplex pour l'interface MV
Vous trouverez ci-dessous une interface vm-interface configurée.
vm-interface {
ip-address 10.16.0.20;
netmask 255.255.252.0;
default-gateway 10.16.0.1;
dns-server 10.0.0.246;
}
Palo Alto Networks
Cette section contient des informations de référence sur les commandes du mode Opérationnel suivantes qui
sont spécifiques au logiciel de l'appareil WF-500. Toutes les autres commandes du logiciel de l'appareil WF-500
sont identiques à celles de PAN-OS. Pour plus d'informations sur ces commandes, reportez-vous au Guide de
mise en route de la ligne de commande PAN-OS 7.0.

create wildfire api-key

delete wildfire api-key

delete wildfire-metadata

edit wildfire api-key

load wildfire api-key

request system raid

request system wildfire-vm-image

request wf-content

save wildfire api-key

set wildfire portal-admin

show system raid

show wildfire

test wildfire registration
create wildfire api-key
Description
Générez des clés API sur un appareil WF-500 que vous utiliserez sur un système externe pour envoyer des
échantillons à l'appareil, rechercher des rapports ou récupérer des échantillons et des captures de paquets
(PCAP) de l'appareil.
Syntaxe
create {
wildfire {
api-key {
key <value>;
name <value>;
{
{
{
Palo Alto Networks
Options
+ key — Créez une clé API en saisissant manuellement une valeur de clé. La valeur doit
être composée de caractères (a-z) ou chiffres (0-9) 64 bits. Si vous ne précisez pas
l'option key, l'appareil génère automatiquement une clé.
+ name — (Facultatif) Donnez un nom à la clé API. Le nom de clé API est simplement
utilisé pour étiqueter les clés afin de simplifier l'identification des clés affectées
à des utilisations spécifiques et n'a aucun effet sur la fonctionnalité de la clé.
La sortie suivante montre que l'appareil comporte trois clés API et qu'une clé est nommée ma-clé-api.
+------------------------------------------------------------------+---------------+---------+---------------------+---------------------+
| Apikey
| Name
| Status | Create Time
| Last Used Time
|
+------------------------------------------------------------------+---------------+---------+---------------------+---------------------+
| C625DE87CBFB6EF0B1A8183A74AB5B61287F7F63B6E14E2FFC704AABF5640D62 | ma-clé-api
| Enabled | 2014-06-24 16:38:50 |
|
| D414CC910E93E9E05942A5E6F94DA36777B444543E71761CF5E9ACFA547F7D6F |
| Enabled | 2014-06-25 09:05:30 | 2014-06-26 14:49:35 |
| 73585ACAFEC0109CB65EB944B8DFC0B341B9B73A6FA7F43AA9862CAD47D0884C |
| Enabled | 04/08/2014 17:00:42 |
|
+------------------------------------------------------------------+---------------+---------+---------------------+---------------------+
delete wildfire api-key
Description
Supprimez une clé API de l'appareil WF-500. Les systèmes configurés pour utiliser l'API afin d'exécuter des
fonctions d'API sur l'appareil ne pourront plus accéder à l'appareil lorsque vous supprimez la clé.
Syntaxe
delete {
wildfire {
api-key {
key <value>;
{
{
{
Palo Alto Networks
Options
+ key <valeur> — La valeur de la clé que vous souhaitez supprimer. Pour afficher la
liste des clés API, exécutez la commande suivante : admin@WF-500> show wildfire
api-keys all
admin@WF-500> delete wildfire api-key key
A0418F8EADABA4C78CD3106D71147321462C5AA085B2979136447B1EC334655A
APIKey A0418F8EADABA4C78CD3106D71147321462C5AA085B2979136447B1EC334655A
deleted
delete wildfire-metadata
Description
Supprimez des mises à jour de contenu sur l'appareil WF-500. Pour plus d'informations sur les mises à jour de
contenu et sur leur installation, reportez-vous à la section request wf-content.
Syntaxe
delete {
wildfire-metadata update <valeur>;
{
Options
+ update <valeur> — Définissez la mise à jour de contenu que vous souhaitez supprimer.
Le résultat suivant montre la suppression d'une mise à jour nommée
panup-all-wfmeta-2-181.candidate.tgz.
admin@WF-500> delete wildfire-metadata update panup-all-wfmeta-2-181.candidate.tgz
Palo Alto Networks
successfully removed panup-all-wfmeta-2-181.candidate.tgz
edit wildfire api-key
Description
Modifiez un nom de clé API ou l'état de la clé (activée/désactivée) sur un appareil WF-500.
Syntaxe
edit {
wildfire {
api-key [name | status] key <valeur>;
{
{
Options
+ name — Renommer une clé API
+ status — Activer ou désactiver une clé API
* key — Spécifier la clé à modifier
La valeur de clé est requise dans cette commande. Par exemple, pour renommer la clé stu en stu-key1,
saisissez la commande suivante :
Dans la commande suivante, vous n'avez pas besoin de saisir l'ancien nom de clé ; saisissez
simplement le nouveau.
admin@WF-500> edit wildfire api-key name stu-key1 key
B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288
Pour désactiver la clé stu-key1, saisissez la commande suivante :
admin@WF-500> edit wildfire api-key status disable key
B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288
Exemple de résultat montre que la clé stu-key1 est désactivée :
Palo Alto Networks
+------------------------------------------------------------------+----------+----------+--------------------+---------------------+
| Apikey
| Name
| Status
| Create Time
|
Last Used Time
|
+------------------------------------------------------------------+----------+----------+--------------------+---------------------+
|
| B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288 | stu-key1 | Disabled | 2014-08-21 07:23:34 |
|
+------------------------------------------------------------------+----------+----------+--------------------+---------------------+
load wildfire api-key
Description
Après l'importation de clés API sur l'appareil WF-500, vous devez utiliser la commande load pour que les clés
puissent être utilisées. Utilisez cette commande pour remplacer toutes les clés API existantes. Vous pouvez
également fusionner les clés du fichier importé avec la base de données de clés existante.
Syntaxe
load {
wildfire {
from <valeur> mode [merge | replace];
{
{
Options
* from — Spécifiez le nom du fichier de clés API que vous souhaitez importer. Les
fichiers de clés portent l'extension .keys. Par exemple, mes-clés-api.keys. Pour
afficher la liste des clés pouvant être importées, saisissez la commande suivante :
admin@WF-500> load wildfire api-key from ?
+ mode — (Facultatif) Passez en mode d'importation (merge/replace). Par exemple, pour
remplacer la base de données de clés sur l'appareil par le contenu du nouveau fichier de
clés, saisissez la commande suivante :
admin@WF-500> load wildfire api-key mode replace from mes-clés-api.keys
Si vous ne spécifiez pas l'option mode, l'action par défaut fusionnera les nouvelles clés.
Palo Alto Networks
request system raid
Description
Cette option vous permet de gérer les paires RAID installées sur l'appareil WF-500. L'appareil WF-500 est
fourni avec quatre lecteurs ; ces derniers se trouvent dans les quatre premières baies de lecteur (A1, A2, B1 et
B2). Les lecteurs A1 et A2 sont une paire RAID 1, et les lecteurs B1 et B3 sont une seconde paire RAID 1.
request system
Syntaxe
raid {
remove <value>;
OR...
copy {
from <value>;
to <value>;
}
OR...
add {
Options
> add
> copy
> remove
Add a drive into the corresponding RAID Disk Pair
Copy and migrate from one drive to other drive in the bay
drive to remove from RAID Disk Pair
Le résultat suivant indique un appareil WF-500 doté d'un RAID correctement configuré.
admin@WF-500> show system raid
Disk Pair A
Disk id A1
Disk id A2
Palo Alto Networks
Available
Present
Present
Disk Pair B
Disk id B1
Disk id B2
Available
Present
Present
request system wildfire-vm-image
Procédez à des mises à niveau sur les images de bac à sable de machine virtuelle (MV) de l'appareil WF-500
utilisées pour analyser les fichiers. Pour récupérer de nouvelles images MV du serveur de mises à jour de Palo
Alto Networks, vous devez tout d'abord télécharger l'image manuellement, l'héberger sur un serveur SCP, puis
récupérer l'image sur l'appareil à l'aide du client SCP. Une fois l'image téléchargée sur l'appareil, vous pouvez
l'installer à l'aide de cette commande.
request system
Syntaxe
request {
system {
wildfire-vm-image {
upgrade install file <valeur>;
}
}
}
Options
> wildfire-vm-image — Installez des images de machine virtuelle (MV).
+ upgrade install file — Procédez à une mise à niveau vers l'image MV. Après l'option
file, saisissez ? pour afficher la liste des images MV disponibles. Par exemple,
exécutez la commande suivante pour répertorier les images disponibles :
admin@WF-500> request system wildfire-vm-image upgrade install file ?
Pour obtenir la liste des images MV disponibles, exécutez la commande suivante :
admin@WF-500> request system wildfire-vm-image upgrade install file ?
Palo Alto Networks
Pour installer une image MV (Windows 7 64 bits dans cet exemple), exécutez la commande suivante :
admin@WF-500> request system wildfire-vm-image upgrade install file
WFWin7_64Base_m-1.0.0_64base
request wf-content
Procédez à des mises à jour de contenu sur un appareil WF-500. Ces mises à jour de contenu fournissent à
l'appareil les toutes dernières informations sur les menaces afin de détecter précisément les logiciels malveillants
et d'améliorer la capacité de l'appareil à différencier les logiciels malveillants et bénins. Pour planifier l'installation
automatique des mises à jour de contenu, reportez-vous à la section set deviceconfig system update-schedule et
à la section delete wildfire-metadata pour la suppression de mises à jour de contenu sur l'appareil WF-500.
request
Syntaxe
request wf-content
{
downgrade install {previous | <valeur>};
upgrade
{
check
download latest
info
install {
file <nom du fichier>
version latest;
}
}
}
Options
> downgrade — Installer une version de contenu précédente Utilisez l'option previous
pour installer le package de contenu précédemment installé ou saisissez une valeur de
mise à niveau antérieure vers un numéro de package de contenu spécifique.
> upgrade — Exécuter des fonctions de mise à niveau de contenu
Palo Alto Networks
> check — Obtenir des informations sur les packages de contenu disponibles sur le
serveur de mises à jour de Palo Alto Networks
> download — Télécharger un package de contenu
> info — Afficher des informations sur les packages de contenu disponibles
> install — Installer un package de contenu
> file — Spécifier le nom du fichier contenant le package de contenu
> version — Télécharger ou mettre à niveau en fonction du numéro de version du package
de contenu
Pour obtenir la liste des mises à jour de contenu disponibles, exécutez la commande suivante :
admin@WF-500> request wf-content upgrade check
Version
Size
Released on Downloaded Installed
------------------------------------------------------------------------2-217
58MB 2014/07/29 13:04:55 PDT
yes
current
2-188
58MB 2014/07/01 13:04:48 PDT
yes
previous
2-221
59MB 2014/08/02 13:04:55 PDT
no
no
save wildfire api-key
Description
Utilisez la commande save pour enregistrer toutes les clés API sur l'appareil WF-500 dans un fichier. Vous
pouvez ensuite exporter le fichier de clés à des fins de sauvegarde ou pour modifier les clés par lot. Pour plus
de détails sur l'utilisation de l'API WildFire sur un appareil WF-500, reportez-vous à la section À propos des
abonnements à WildFire et des clés API.
save
Syntaxe
save {
wildfire {
api-key to <valeur>;
Palo Alto Networks
{
{
Options
* to — Entrez le nom du fichier d'exportation de clé. Par exemple, pour exporter toutes
les clés API sur le WF-500 dans un fichier nommé mes-clés-wf, saisissez la commande
suivante :
admin@WF-500> save wildfire api-key to mes-clés-wf
set wildfire portal-admin
Description
Définit le mot de passe du compte d'administrateur qu'un administrateur utilisera pour afficher les rapports
d'analyse WildFire générés par un appareil WF-500. Le nom du compte (admin) et le mot de passe sont requis
lors de l'affichage du rapport sur le pare-feu ou à partir de Panorama dans Surveillance > Envois WildFire >
Afficher le rapport WildFire. Le nom d'utilisateur et le mot de passe par défaut est admin/admin.
Le compte Admin du portail est le seul compte que vous pouvez configurer sur l'appareil pour
afficher les rapports à partir de l'appareil ou du Panorama. Vous ne pouvez pas créer de
nouveaux comptes ou renommer le compte. Ce compte Admin est différent de celui utilisé pour
gérer l'appareil.
set wildfire
Syntaxe
set {
wildfire {
portal-admin {
password <value>;
}
}
Palo Alto Networks
Vous trouverez ci-dessous le résultat de cette commande.
admin@WF-500> set wildfire portal-admin password
Enter password:
Confirm password:
show system raid
Description
Affichez la configuration RAID de l'appareil. L'appareil WF-500 est fourni avec quatre lecteurs ; ces derniers se
trouvent dans les quatre premières baies de lecteur (A1, A2, B1 et B2). Les lecteurs A1 et A2 sont une paire
RAID 1, et les lecteurs B1 et B3 sont une seconde paire RAID 1.
show system
Syntaxe
raid {
detail;
{
Options
No additional options.
Vous trouverez ci-dessous la configuration RAID sur un appareil WF-500 fonctionnel.
admin@WF-500> show system raid detail
Disk Pair A
Status
Available
clean
Palo Alto Networks
Disk id A1
model
size
partition_1
partition_2
Disk id A2
model
size
partition_1
partition_2
Disk Pair B
Status
Disk id B1
model
size
partition_1
partition_2
Disk id B2
model
size
partition_1
partition_2
Present
:
:
:
:
ST91000640NS
953869 MB
active sync
active sync
:
:
:
:
ST91000640NS
953869 MB
active sync
active sync
Present
Available
clean
Present
:
:
:
:
ST91000640NS
953869 MB
active sync
active sync
:
:
:
:
ST91000640NS
953869 MB
active sync
active sync
Present
superuser, superreader
show wildfire
Description
Affiche diverses informations sur l'appareil WF-500 comme les clés API disponibles, les informations
d'enregistrement, l'activité, les derniers échantillons analysés par l'appareil, et la machine virtuelle sélectionnée
pour effectuer l'analyse.
show wildfire
Syntaxe
api-keys
all {
details;
Palo Alto Networks
}
key <value>;
}
last-device-registration all |
latest {
analysis {
filter malicious|benign;
sort-by SHA256|Submit Time|Start Time|Finish Time|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
samples {
sort-by SHA256|Create Time|File Name|File Type|File Size|Malicious|Status;
limit 1-20000;
days 1-7;
}
OR...
sessions {
sort-by SHA256|Create Time|Src IP|Src Port|Dst Ip|Dst Port|File|Device
ID|App|Malicious|Status;
limit 1-20000;
days 1-7;
}
OR...
uploads {
sort-by SHA256|Create Time|Finish Time|Status;
limit 1-20000;
days 1-7;
}
sample-status {
sha256 {
equal <value>;
}
}
statistics days <1-31>;
status |
vm-images |
}
Options
admin@WF-500> show wildfire
Palo Alto Networks
> api-keys — Affichez des détails sur les clés API générées sur l'appareil WF-500. Vous
pouvez afficher l'heure de dernière utilisation de la clé, le nom de la clé, l'état
(activée ou désactivée), et la date/heure de génération de la clé.
> last-device-registration — Affichez la liste des dernières activités
d'enregistrement.
> latest — Affichez les 30 dernières activités, ce qui inclut les 30 dernières
activités d'analyse, les 30 derniers fichier analysés, les informations de session sur
les fichiers analysés, et les fichiers chargés sur le serveur du cloud public.
> sample-status — Affichez l'état de l'échantillon WildFire. Saisissez la valeur SHA ou
MD5 du fichier pour afficher l'état de l'analyse actuelle.
> statistics — Affichez des statistiques WildFire de base.
> status — Affichez l'état de l'appareil ainsi que des informations de configuration
comme la machine virtuelle (MV) utilisée pour l'analyse de l'échantillon, si des
échantillons/rapports sont envoyés ou non au cloud, le réseau vm-network, et des
informations d'enregistrement.
> vm-images — Affichez les attributs des images de machine virtuelle disponibles
utilisées pour l'analyse de l'échantillon. Pour afficher l'image active actuellement,
exécutez la commande suivante : admin@WF-500> show wildfire status et consultez le
champ Machine virtuelle sélectionnée.
Vous trouverez ci-dessous le résultat de cette commande.
+------------------------------------------------------------------+----------------+--------+---------------------+---------------------+
| Apikey
| Name
|
Status | Create Time
| Last Used Time
|
+------------------------------------------------------------------+----------------+--------+---------------------+---------------------+
| C625DE87CBFB6EF0B1A8183A74AB5B61287F7F63B6E14E2FFC704AABF5640D62 | my-api-key-stu |
Enabled | 2014-06-24 16:38:50 |
|
| D414CC910E93E9E05942A5E6F94DA36777B444543E71761CF5E9ACFA547F7D6F |
|
Enabled | 2014-06-25 09:05:30 | 2014-06-26 14:49:35 |
+------------------------------------------------------------------+----------------+--------+---------------------+---------------------+
admin@WF-500> show wildfire last-device-registration all
+--------------+---------------------+-------------+------------+----------+--------+
| Device ID
| Last Registered
| Device IP
| SW Version | HW Model | Status |
+--------------+---------------------+-------------+------------+----------+--------+
| 001606000114 | 2014-07-31 12:35:53 | 10.43.14.24 | 6.1.0-b14 | PA-200
| OK
|
+--------------+---------------------+-------------+------------+----------+--------+
admin@WF-500> show wildfire
> analysis
Show latest 30
> samples
Show latest 30
> sessions
Show latest 30
> uploads
Show latest 30
latest
analysis
samples
sessions
uploads
admin@WF-500> show wildfire sample-status sha256 equal
809bad2d3fbdf1c18ef47ba9c5a0feca691103f094bc8d7e0cbed480870fd78c
Palo Alto Networks
Sample information:
+---------------------+--------------------------------------------------------------+------------------+-----------+-----------+-------------------+
| Create Time
| File Name
|
File Type
| File Size | Malicious | Status
|
+---------------------+--------------------------------------------------------------+------------------+-----------+-----------+-------------------+
| 2014-08-04 11:49:41 | 25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf |
Adobe Flash File | 64502
| No
| analysis complete |
+---------------------+--------------------------------------------------------------+------------------+-----------+-----------+-------------------+
Session information:
+---------------------+---------------+----------+--------------+----------+--------------------------------------------------------------+--------------+-------+
-----------+-----------+
| Create Time
| Src IP
| Src Port | Dst IP
| Dst Port | File
| Device ID
| App
|
Malicious | Status
|
+---------------------+---------------+----------+--------------+----------+--------------------------------------------------------------+--------------+-------+
-----------+-----------+
| 2014-08-04 11:49:41 | 10.10.10.50 | 80
| 192.168.2.10 | 64108
|
25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf | 001606000114 | flash |
No
| completed |
+---------------------+---------------+----------+--------------+----------+--------------------------------------------------------------+--------------+-------+
-----------+-----------+
Analysis information:
+---------------------+---------------------+---------------------+-----------+----------------------------------------------------------+-----------+
| Submit Time
| Start Time
| Finish Time
| Malicious | VM Image
| Status
|
+---------------------+---------------------+---------------------+-----------+----------------------------------------------------------+-----------+
| 2014-08-04 11:49:41 | 2014-08-04 11:49:41 | 2014-08-04 11:56:52 | No
| Windows
7 x64 SP1, Adobe Reader 11, Flash 11, Office 2010 | completed |
+---------------------+---------------------+---------------------+-----------+----------------------------------------------------------+-----------+
admin@WF-500> show wildfire statistics
Last one hour statistics
Total sessions submitted
Samples submitted
analyzed
pending
malicious
benign
error
uploaded
:
:
:
:
:
:
:
:
:
0
0
0
0
0
0
0
0
Palo Alto Networks
Last 24 hours statistics
Total sessions submitted
Samples submitted
analyzed
pending
malicious
benign
error
uploaded
:
:
:
:
:
:
:
:
:
13
13
13
0
0
13
0
0
Connection info:
Cloud WildFire :
Status:
Submit sample:
Submit report:
Selected VM:
VM internet connection:
VM network using Tor:
Best server:
Device registered:
Service route IP address:
Signature verification:
Server selection:
Through a proxy:
s1.wildfire.paloaltonetworks.com
Idle
disabled
disabled
vm-5
disabled
disabled
s1.wildfire.paloaltonetworks.com
yes
10.3.4.99
enable
enable
no
test wildfire registration
Description
Exécute un test pour vérifier l'état d'enregistrement d'un appareil WF-500 ou d'un pare-feu Palo Alto Networks
sur un serveur WildFire. Si le test réussit, l'adresse IP ou le nom du serveur WildFire s'affiche. Un
enregistrement est requis pour qu'un appareil WF-500 ou un pare-feu puisse transférer des fichiers vers le
serveur WildFire.
Syntaxe
test {
wildfire {
registration;
Palo Alto Networks
}
}
Options
No additional options.
Vous trouverez ci-dessous un résultat réussi sur un pare-feu pouvant communiquer avec un appareil WF-500.
S'il s'agit d'un appareil WF-500 pointant vers le cloud WildFire de Palo Alto Networks, le nom du serveur de
l'un des serveurs cloud s'affiche dans le champ select the best server:.
Test wildfire
wildfire registration:
download server list:
select the best server:
successful
successful
ca-s1.wildfire.paloaltonetworks.com
Palo Alto Networks
Exemple WildFire
Le scénario de l'exemple suivant récapitule le cycle de vie WildFire™ complet. Dans cet exemple, un
représentant commercial de Palo Alto Networks télécharge un nouvel outil de vente informatique qu'un
partenaire commercial a chargé sur le site Dropbox. Ce dernier a chargé, sans le savoir, une version infectée du
fichier d'installation de cet outil de vente que le représentant commercial va ensuite télécharger.
Cet exemple montre comment un pare-feu Palo Alto Networks, associé à WildFire, va détecter un logiciel
malveillant au jour 0 téléchargé par un utilisateur final, même s'il s'agit de trafic crypté SSL. Lorsque WildFire
identifie le logiciel malveillant, un log est envoyé au pare-feu. Celui-ci informe l'administrateur qui contacte alors
l'utilisateur afin de supprimer le logiciel malveillant. WildFire génère ensuite une nouvelle signature pour le
logiciel malveillant et les pare-feux disposant d'un abonnement de prévention des menaces ou WildFire
téléchargent automatiquement la signature pour se protéger contre une exposition future. Bien que certains sites
Web de partage de fichiers disposent d'une fonction antivirus contrôlant les fichiers une fois chargés, ils
fournissent uniquement une protection contre les logiciels malveillants connus.
Cet exemple utilise un site Web crypté SSL. Dans le cas présent, le décryptage est activé sur le
pare-feu, y compris l'option de transfert de contenu crypté pour analyse. Pour activer l'option de
transfert du contenu crypté au cloud Wildfire, reportez-vous à la section Transfert de fichiers pour
analyse par WildFire.
\
Flux de travail WildFire
Step 1
Step 2
Le représentant commercial d'une société partenaire charge un fichier contenant un outil de vente nommé
sales-tool.exe sur son compte Dropbox, puis envoie un e-mail contenant un lien vers ce fichier au représentant
commercial de Palo Alto Networks.
Ce dernier reçoit l'e-mail et clique sur ce lien de téléchargement qui ouvre le site Dropbox. Puis, il clique sur
Télécharger pour enregistrer le fichier sur son bureau.
Palo Alto Networks
Exemple WildFire
Flux de travail WildFire (Continué)
Step 3
Le pare-feu qui protège le représentant commercial de Palo Alto dispose d'une règle au profil d'analyse WildFire
associée à une règle de politique de sécurité qui recherche des fichiers quelle que soit l'application utilisée pour
télécharger ou charger un type de fichier pris en charge. Le pare-feu peut également être configuré pour
transférer le type de fichier « email-link », qui permet au pare-feu d'extraire des liens HTTP/HTTPS contenus
dans des courriers électroniques SMTP et POP3. Dès que le représentant commercial clique pour télécharger
ce fichier, le pare-feu transfère le fichier sales-tool.exe vers WildFire, où le fichier est analysé afin de détecter tout
logiciel malveillant de type « zero-day ». Bien que le représentant commercial utilise Dropbox, site doté d'un
cryptage SSL, le pare-feu est configuré pour décrypter le trafic ; ainsi tout le trafic peut être inspecté. Les
captures d'écran suivantes montrent la règle associée au profil d'analyse WildFire, la politique de sécurité
configurée avec la règle associée au profil d'analyse WildFire jointe, ainsi que l'option permettant d'autoriser le
transfert de contenu crypté.
Step 4
À ce stade, WildFire a reçu le fichier et l'analyse par rapport à plus de 200 comportements malveillants différents.
Vérification du transfert des fichiers pour vérifier que le pare-feu a bien transféré un fichier ou des liens d'email
pour analyse WildFire.
Palo Alto Networks
Exemple WildFire
Step 5
Dans un délai d'environ cinq minutes, WildFire termine l'analyse du fichier, puis renvoie un log WildFire au
pare-feu avec les résultats de l'analyse. Dans cet exemple, le log WildFire indique que le fichier est malveillant.
Step 6
Le fichier est configuré avec un profil de transfert de logs qui envoie des alertes WildFire à l'administrateur de
sécurité lorsqu'un logiciel malveillant est détecté.
Palo Alto Networks
Exemple WildFire
Step 7
L'administrateur de sécurité identifie l'utilisateur par son nom (si l'option User-ID est configurée) ou par son
adresse IP si l'option User-ID n'est pas activée. À ce stade, l'administrateur peut fermer le réseau ou la connexion
VPN que le représentant commercial utilise et contacte ensuite le groupe d'assistance informatique afin de
contrôler et de nettoyer le système avec l'utilisateur.
Grâce au rapport d'analyse détaillé WildFire, l'employé de l'assistance informatique peut déterminer si le système de
l'utilisateur est infecté par le logiciel malveillant en observant les fichiers, les processus et les informations détaillées du
registre figurant dans le rapport d'analyse WildFire. Si l'utilisateur exécute le logiciel malveillant, l'employé de
l'assistance informatique peut essayer de nettoyer le système manuellement ou de créer une nouvelle image.
Pour plus d'informations sur les champs d'un rapport WildFire, consultez la section Rapports d'analyse
WildFire : aperçu de près.
Figure : Vue partielle du rapport d'analyse WildFire en PDF
Step 8
Maintenant que l'administrateur a identifié le logiciel malveillant et que le système de l'utilisateur est en cours de
vérification, que faites-vous pour prévenir toute exposition future ? Réponse : Dans cet exemple, l'administrateur
a défini un calendrier sur le pare-feu pour télécharger et installer des signatures WildFire toutes les 15 minutes et
pour télécharger et installer quotidiennement des mises à jour antivirus. Moins d'une heure et demie après que le
représentant commercial a téléchargé le fichier infecté, WildFire a identifié un logiciel malveillant au jour 0, généré
une signature, l'a ajoutée à la base de données des signatures mises à jour WildFire fournie par Palo Alto Networks
et le pare-feu a téléchargé et installé la nouvelle signature. Ce pare-feu et tous les autres pare-feux Palo Alto
Networks configurés pour télécharger des signatures WildFire et antivirus sont désormais protégés contre ce
nouveau logiciel malveillant. La capture d'écran suivante indique le calendrier des mises à jour WildFire :
Palo Alto Networks
Exemple WildFire
Tout ceci se produit bien avant que la majorité des fournisseurs d'antivirus ne soient informés de ce logiciel
malveillant au jour 0. Dans cet exemple, en très peu de temps, le logiciel malveillant n'est plus considéré au jour
0 car Palo Alto Networks l'a déjà détecté et a déjà fourni une protection à ses clients pour prévenir toute
exposition future.
Palo Alto Networks
Exemple WildFire
Palo Alto Networks

WildFire Administrator`s Guide

Transcription

Documents pareils

Installation et configuration du serveur d`application Apache Tomcat

Entretien avec Aviv de l`Ã©quipe de Wildfire Games

Série VM - Palo Alto Networks

PA-500 - Palo Alto Networks

081103_S_EuroLocks (Page 1)

français - Palo Alto Networks

WildFire™

Pro/ENGINEER Wildfire 4.0 Tryout Edition FR - PDS

FREDDY GARANJOUD Né le 15 septembre 1990