Palo Alto Networks Guide de l administrateur WildFire. Logiciel de l appliance WildFire 5.1

Transcription

1 Palo Alto Networks Guide de l administrateur WildFire Logiciel de l appliance WildFire 5.1

2 Informations de contact Siège social : Palo Alto Networks 3300 Olcott Street Santa Clara, CA À propos de ce guide Le présent guide explique les tâches administratives requises pour utiliser et gérer la fonction WildFire de Palo Alto Networks. Les sujets abordés sont : les informations relatives aux licences, la configuration de pare-feux pour transférer des fichiers en vue de leur inspection, l affichage de rapports et la méthode permettant de configurer et de gérer l Appliance WildFire WF-500. Pour plus d informations, consultez les sources suivantes : Guide de l administrateur de Palo Alto Networks Pour obtenir plus d informations sur des fonctions supplémentaires et des instructions relatives à la configuration des fonctionnalités du pare-feu Pour accéder à la base de connaissances, aux documentations complètes, aux forums de discussions et aux vidéos. Pour contacter le support, obtenir des informations sur les programmes de support ou gérer votre compte ou vos périphériques. Pour nous faire part de vos commentaires concernant le présent document, contactez-nous à l adresse suivante : documentation@paloaltonetoworks.com Palo Alto Networks, Inc , Palo Alto Networks. Tous droits réservés. Palo Alto Networks, PAN-OS et Panorama sont des marques commerciales de Palo Alto Networks, Inc. Toutes les autres marques commerciales sont la propriété de leurs détenteurs respectifs. Réf A ii

3 Table des matières Présentation de WildFire À propos de WildFire Fonctionnement de WildFire Contenu des rapports WildFire Marche à suivre en cas de détection d un logiciel malveillant Déploiements disponibles Avantages de l abonnement à WildFire Analyse de fichiers à l aide de l appliance WildFire WF À propos de l appliance WildFire WF Configuration de l appliance WildFire WF Avant de commencer Exécution de la configuration initiale Vérification de la configuration de l appliance WildFire WF Paramétrage de l interface de la machine virtuelle Mise à jour du logiciel de l appliance WildFire WF Transfert de fichiers vers l appliance WildFire WF Meilleures pratiques pour les mises à jour dynamiques Vérification des paramètres WildFire sur le pare-feu Analyse de fichiers à l aide du cloud WildFire Transfert de fichiers vers le cloud WildFire Meilleures pratiques pour les mises à jour dynamiques Vérification des paramètres WildFire sur le pare-feu Chargement de fichiers dans le portail du cloud WildFire Chargement de fichiers à l aide de l API WildFire Surveillance, suivi et prévention des logiciels malveillants sur votre réseau À propos des journaux WildFire Surveillance des envois à l aide du cloud WildFire Personnalisation des paramètres du portail WildFire Comptes utilisateur du portail WildFire Ajout de comptes utilisateur WildFire Affichage des rapports WildFire Contenu des rapports WildFire Paramétrage des alertes en cas de détection d un logiciel malveillant WildFire en action Guide de l'administrateur WildFire iii

4 Table des matières Référentiel de la CLI du logiciel de l appliance WildFire À propos du logiciel de l appliance WildFire À propos de la structure de la CLI du logiciel de l appliance WildFire Accès à la CLI Établissement d une connexion de console directe Établissement d une connexion SSH Utilisation des commandes de la CLI du logiciel de l appliance WildFire Modes des commandes de la CLI À propos du mode Configuration À propos du mode Opérationnel Paramétrage du format de sortie des commandes de configuration Commandes du mode Configuration Commandes du mode Opérationnel iv Guide de l'administrateur WildFire

5 1 Présentation de WildFire Ce chapitre présente la fonction WildFire, notamment les déploiements supportés, les conditions d abonnement et une description des différentes étapes à suivre en cas de détection d un logiciel malveillant dans votre environnement. Il se compose des sections suivantes : À propos de WildFire Fonctionnement de WildFire Contenu des rapports WildFire Marche à suivre en cas de détection d'un logiciel malveillant Déploiements disponibles Avantages de l'abonnement à WildFire Guide de l'administrateur WildFire 1

6 À propos de WildFire Présentation de WildFire À propos de WildFire Les logiciels malveillants modernes sont au centre de nombreuses attaques réseau parmi les plus sophistiquées à l heure actuelle et sont de plus en plus personnalisés de sorte à échapper aux les solutions de sécurité classiques. Palo Alto Networks a développé une approche intégrée qui examine le cycle de vie d un logiciel malveillant et qui consiste à prévenir toute infection, identifier des logiciels malveillants au jour 0 (c est-à-dire ceux qui n ont pas été précédemment identifiés par d autres fournisseurs d antivirus) ou des logiciels malveillants ciblés (ceux ciblant un secteur ou une entreprise spécifique), mais aussi identifier et interrompre la progression d infections actives. Le moteur WildFire de Palo Alto Networks observe directement des logiciels malveillants au jour 0 et ciblés dans un environnement virtuel à l intérieur du système WildFire. La fonction WildFire utilise pleinement la technologie App-ID de Palo Alto Networks en identifiant les transferts de fichiers dans l ensemble des applications et pas uniquement les pièces jointes d s ou les téléchargements de fichiers effectués à partir d un navigateur. Les avantages clés de cette fonction sont la détection de logiciels malveillants au jour 0 et la génération rapide de signatures, permettant de prévenir toute infection future par l ensemble des logiciels malveillants détectés. Le pare-feu peut émettre une alerte instantanée dès qu un logiciel malveillant est détecté sur votre réseau en envoyant des alertes par , des alertes syslog ou des TRAPs SNMP. Vous pouvez alors rapidement identifier l utilisateur qui a téléchargé le logiciel malveillant et le supprimer avant qu il ne cause des dommages importants ou qu il ne se propage sur les ordinateurs d autres utilisateurs. De plus, chaque signature que WildFire génère est automatiquement propagée dans l ensemble des pare-feux Palo Alto Networks (avec un abonnement de prévention des menaces et/ou à WildFire), qui fournit une protection automatique contre les logiciels malveillants, même s ils n ont pas été identifiés dans votre réseau. Palo Alto Networks est actuellement en train de détecter et de générer des signatures hebdomadaires pour des milliers de logiciels malveillants au jour 0 et leur nombre ne cesse d augmenter. Fonctionnement de WildFire Pour que votre pare-feu soit configuré pour utiliser WildFire, vous devez configurer un profil de blocage des fichiers afin d envoyer des fichiers à WildFire en paramétrant l action Forward (Transférer) sur le type de fichier Win32 PE (Portable Executable). Sinon, l action Continue-and-forward (Continuer-et-transférer) peut être sélectionnée pour inviter l utilisateur à faire un choix avant de télécharger un fichier sur HTTP. Étant donné que le paramètre WildFire est configuré à l aide d un profil de blocage des fichiers, qui est ensuite associé à la politique d un pare-feu, vous disposez d un contrôle très granulaire des conditions d envoi de fichiers à WildFire. Par exemple, vous pouvez choisir de transférer uniquement les pièces jointes d un basé sur le Web ou uniquement depuis des sites Web appartenant à certaines catégories d URL. Chaque fois qu un fichier est transféré dans une session correspondant à une règle de sécurité dotée d un profil de transfert, le pare-feu vérifie avec WildFire s il s agit d un nouveau fichier. Si tel est le cas, le pare-feu transfère automatiquement le fichier vers WildFire, qu il soit compressé dans un fichier ZIP ou hébergé sur un site HTTP compressé. Le pare-feu peut également être configuré pour transférer des fichiers dans des sessions SSL déchiffrées. Lorsque WildFire reçoit un fichier, il l analyse dans son bac à sable virtuel pour déterminer si ce fichier montre des signes de comportements malicieux, modifie les paramètres de sécurité du navigateur, injecte un code dans d autres processus, modifie des fichiers dans le dossier système de Windows ou affiche des domaines que l échantillon pourrait avoir visité. Une fois que le moteur WildFire a terminé son analyse, il génère un rapport de preuves détaillées récapitulant les activités de l échantillon sur l hôte et le réseau, puis il détermine automatiquement s il s agit d un logiciel malveillant ou d un fichier bénin. 2 Guide de l'administrateur WildFire

7 Présentation de WildFire À propos de WildFire De plus, lorsque le moteur WildFire identifie un échantillon comme étant un logiciel malveillant, il le transmet au générateur de signatures de WildFire qui génère automatiquement une signature basée sur la charge utile de l échantillon de logiciel malveillant et teste son exactitude et sa sûreté. En raison de l évolution rapide des logiciels malveillants, les signatures que WildFire génère vont prendre en compte plusieurs de ses variantes. Ces nouvelles signatures vont ensuite être distribuées, dans un délai de 30 à 60 minutes, à l ensemble des pare-feux Palo Alto Networks abonnés à WildFire ou le jour suivant dans le cadre de la mise à jour antivirus des pare-feux disposant uniquement d un abonnement de prévention des menaces. Une fois le pare-feu mis à jour avec les nouvelles signatures, tout fichier contenant ce logiciel malveillant ou l une de ses variantes sera automatiquement supprimé. Les informations regroupées par WildFire pendant l analyse de logiciels malveillants vont également permettre de consolider d autres fonctions de prévention des menaces, comme les catégories d URL PAN-DB des logiciels malveillants, les signatures DNS, l antivirus et les signatures antispyware. Palo Alto Networks développe aussi des signatures pour le trafic de commande et de contrôle qui perturbent immédiatement toute communication d un logiciel malveillant au sein du réseau. Pour plus d informations sur les signatures et les avantages d un abonnement à WildFire, consultez la section «Avantages de l'abonnement à WildFire» à la page 5. Le schéma ci-dessous illustre un flux de travail WildFire : Guide de l'administrateur WildFire 3

8 À propos de WildFire Présentation de WildFire Contenu des rapports WildFire Pour chaque fichier que WildFire analyse, un rapport comportemental détaillé est généré quelques minutes après avoir l envoi du fichier. Selon la méthode d envoi du fichier à WildFire et les abonnements actifs sur le pare-feu, ces rapports sont disponibles dans les journaux WildFire du pare-feu, dans le portail WildFire ( ou via des requêtes de l API WildFire. Les rapports affichent des informations comportementales détaillées concernant le fichier, des informations sur l utilisateur ciblé, l application contenant le fichier et toutes les URL impliquées dans la transmission ou dans l activité phone-home du fichier. Pour plus d informations sur l accès aux rapports et les descriptions des champs d un rapport, consultez la section «Affichage des rapports WildFire» à la page 58. Marche à suivre en cas de détection d un logiciel malveillant Lors de la détection d un logiciel malveillant sur votre réseau, vous devez agir vite pour éviter sa propagation dans d autres systèmes. Pour veiller à l émission d alertes immédiates dès qu un logiciel malveillant est détecté sur votre réseau, configurez vos pare-feux pour qu ils envoient des notifications par , des pièges SNMP et/ou des fichiers syslog dès que WildFire détermine la présence d un logiciel malveillant dans un fichier transféré à partir d un pare-feu. Ainsi, vous pouvez rapidement consulter le rapport d analyse WildFire et identifier l utilisateur ayant téléchargé un logiciel malveillant, déterminer si l utilisateur a exécuté un fichier infecté et évaluer si le logiciel malveillant a essayé de se propager sur d autres hôtes du réseau. Si vous déterminez que l utilisateur a exécuté le fichier, vous pouvez rapidement déconnecter l ordinateur du réseau afin d éviter la propagation du logiciel malveillant et appliquer la marche à suivre en cas d incident et des processus correctifs, le cas échéant. Pour plus d informations sur les rapports WildFire et pour consulter un exemple de WildFire en action, consultez la section «Surveillance, suivi et prévention des logiciels malveillants sur votre réseau» à la page 51. Déploiements disponibles Les pare-feux Palo Alto Networks de dernière génération prennent en charge les déploiements de WildFire suivants : Cloud WildFire de Palo Alto Networks : Dans ce déploiement, le pare-feu transfère des fichiers vers l environnement WildFire hébergé dont Palo Alto Networks est le propriétaire et le gestionnaire. Lorsque WildFire détecte un nouveau logiciel malveillant, il génère une nouvelle signature dans l heure qui suit. Les pare-feux abonnés à WildFire peuvent recevoir de nouvelles signatures dans un délai compris entre 30 et 60 minutes ; les pare-feux disposant uniquement d un abonnement de prévention des menaces peuvent les recevoir lors de la prochaine mise à jour des signatures de l antivirus au bout de 24 à 48 heures. Pour plus d informations, consultez la section «Avantages de l'abonnement à WildFire» à la page 5. Appliance WildFire : Dans ce déploiement, vous installez l appliance WildFire WF-500 sur votre réseau d entreprise et configurez vos pare-feux pour qu ils y transfèrent des fichiers au lieu de les transférer vers le cloud WildFire de Palo Alto Networks (par défaut). Ce déploiement évite au pare-feu d envoyer des fichiers hors de votre réseau pour analyse. Par défaut, l appliance n envoie aucun fichier hors de votre réseau, à moins que vous n activiez explicitement la fonction d envoi automatique qui va automatiquement transférer un logiciel malveillant détecté dans le cloud WildFire de Palo Alto Networks où les fichiers sont analysés pour générer des signatures antivirus. Ces signatures sont ensuite distribuées à l ensemble des pare-feux Palo Alto Networks disposant d un abonnement de prévention des menaces et/ou à WildFire. Une seule appliance WildFire peut recevoir et analyser des fichiers provenant d un maximum de 100 pare-feux Palo Alto Networks. 4 Guide de l'administrateur WildFire

9 Présentation de WildFire À propos de WildFire Les principales différences entre le cloud WildFire de Palo Alto Networks et l appliance WildFire sont les suivantes : L appliance WildFire permet d analyser sur site un logiciel malveillant dans un bac à sable, ainsi les fichiers bénins ne quittent jamais le réseau du client. Par défaut, elle ne transfère aucun fichier vers le cloud WildFire et, par conséquent, aucune signature n est générée en cas de détection d un logiciel malveillant. Pour générer des signatures WildFire lorsqu un logiciel malveillant est détecté sur votre réseau, vous pouvez activer la fonction d envoi automatique de l appliance. Une fois cette option activée, l appliance envoie tous les logiciels malveillants détectés au cloud WildFire pour y générer des signatures. L API WildFire, disponible pour tout abonnement à WildFire, est à la disposition de tous les abonnés à WildFire et peut être utilisée avec le cloud public, mais pas avec l appliance WF-500. Il est possible d envoyer manuellement des échantillons sur le cloud public via le portail Web (wildfire.paloaltonetworks.com), mais il n existe aucun portail Web local pour l appliance WF-500. Avantages de l abonnement à WildFire WildFire assure la détection et la prévention de logiciels malveillants au jour 0 en combinant des analyses dans un bac à sable à la détection et au blocage de logiciels malveillants basés sur les signatures. Pour améliorer la visibilité dans un logiciel malveillant au jour 0 avec WildFire, il suffit de configurer un profil de blocage des fichiers pour que le pare-feu transfère des échantillons vers WildFire pour les analyser. Aucun abonnement n est requis pour que WildFire analyse dans un bac à sable les fichiers envoyés depuis des pare-feux Palo Alto Networks vers le cloud WildFire. Pour détecter et bloquer un logiciel malveillant connu suite à sa détection par WildFire, vous devez disposer d un abonnement de prévention des menaces et/ou à WildFire. L abonnement de prévention des menaces permet au pare-feu de recevoir des mises à jour quotidiennes de signatures antivirus qui protègent tous les clients bénéficiant de cet abonnement de tous les échantillons de logiciels malveillants que WildFire détecte dans le monde entier. Cet abonnement permet également d accéder aux mises à jour hebdomadaires du contenu qui fournissent une nouvelle protection contre les vulnérabilités et des signatures antispyware. Pour pleinement profiter de tous les avantages liés à ce service WildFire, chaque pare-feu doit disposer d un abonnement à WildFire dont les avantages sont les suivants : Mises à jour dynamiques de WildFire Fournissent de nouvelles signatures de logiciels malveillants sur une base sub-horaire, configurables dans Device > Dynamic Updates (Périphérique > Mises à jour dynamiques). L heure suivant la détection d un nouveau logiciel malveillant, WildFire crée une nouvelle signature de logiciel malveillant et la distribue via les mises à jour dynamiques WildFire que le pare-feu peut interroger toutes les 15, 30 ou 60 minutes. Vous pouvez configurer le pare-feu pour qu il applique des actions spécifiques sur des signatures de logiciels malveillants, différentes des actions habituellement appliquées aux signatures antivirus dans le profil antivirus. Les signatures WildFire fournies dans la mise à jour dynamique Guide de l'administrateur WildFire 5

10 À propos de WildFire Présentation de WildFire incluent celles générées pour les logiciels malveillants détectés dans les fichiers envoyés à WildFire par l ensemble des clients Palo Alto Networks et pas uniquement les échantillons de fichiers que vos pare-feux envoient à WildFire. Environ 30 à 60 minutes sont nécessaires pour générer une signature WildFire suite à la détection d un logiciel malveillant et pour la mettre à disposition des abonnés WildFire. Les pare-feux abonnés à WildFire peuvent rechercher de nouvelles signatures de logiciels malveillants toutes les 15, 30 ou 60 minutes. Par exemple, si le pare-feu est paramétré pour rechercher des mises à jour de signatures WildFire toutes les 30 minutes, il risque de ne pas recevoir de signature pour l un des fichiers que vous avez envoyé suite à sa découverte avant le second intervalle de recherche, en raison du délai requis pour générer une signature. Si le pare-feu dispose uniquement d un abonnement de prévention des menaces, il va continuer à recevoir les signatures générées par WildFire une fois qu elles auront été regroupées dans les mises à jour antivirus, qui se déroulent toutes les 24 à 48 heures. Pour les fichiers analysés par une Appliance WildFire WF-500, des signatures peuvent uniquement être générées pour les logiciels malveillants détectés sur votre réseau, à condition d avoir explicitement activé la fonction d envoi automatique (à moins qu un même logiciel malveillant n ait été observé par un autre client et que le même échantillon ait été envoyé au cloud public de WildFire). Lors de l activation de l envoi automatique, l appliance va transférer tous les logiciels malveillants détectés vers le cloud WildFire de Palo Alto Networks où ils vont être utilisés pour générer une signature antivirus afin de détecter et de bloquer les instances futures de ces logiciels malveillants. Journaux WildFire intégrés Lorsque WildFire termine l analyse d un fichier, il renvoie un journal WildFire au pare-feu ayant envoyé ce fichier. Ces journaux peuvent être consultés dans Monitor > Logs > WildFire (Surveillance > Journaux > WildFire) et permettent d accéder directement au rapport d analyse complet du système WildFire en cliquant sur le bouton View WildFire Report (Afficher le rapport WildFire). Les données du journal WildFire étant sur le pare-feu, les journaux de menaces deviennent exploitables et vous pouvez ainsi configurer les paramètres SNMP, syslog, les alertes par , mais aussi les transferts vers Panorama. Si vous n êtes pas abonné à WildFire, les journaux WildFire sont uniquement accessibles via le portail Web de WildFire à l adresse suivante : wildfire.paloaltonetworks.com. API WildFire L abonnement à WildFire permet d accéder à l API WildFire, qui fournit un accès programmatique direct au service WildFire sur le cloud WildFire de Palo Alto Networks. Vous pouvez utiliser l API WildFire pour envoyer des fichiers au cloud WildFire et récupérer des rapports pour les fichiers envoyés. L API WildFire prend en charge jusqu à 100 envois de fichiers et jusqu à requêtes par jour. Notez que vous ne pouvez pas utiliser l API WildFire pour envoyer des fichiers à l appliance WildFire. Appliance WildFire Seuls les pare-feux disposant d un abonnement valide à WildFire peuvent transférer des fichiers vers une appliance WildFire en vue de leur analyse. Les pare-feux uniquement dotés d un abonnement de prévention des menaces peuvent transférer des fichiers vers le cloud WildFire, mais pas vers une appliance WildFire. 6 Guide de l'administrateur WildFire

11 2 Analyse de fichiers à l aide de l appliance WildFire WF-500 Ce chapitre présente l appliance WF-500 WildFire et explique comment configurer et gérer l appliance pour la préparer à recevoir des fichiers en vue de leur analyse. Il décrit également les différentes étapes de configuration d un pare-feu Palo Alto Networks pour transférer des fichiers vers une appliance WildFire afin de procéder à leur analyse. À propos de l'appliance WildFire WF-500 Configuration de l'appliance WildFire WF-500 Transfert de fichiers vers l'appliance WildFire WF-500 Guide de l'administrateur WildFire 7

12 À propos de l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500 À propos de l appliance WildFire WF-500 L appliance WildFire WF-500 fournit un cloud WildFire privé sur site vous permettant d analyser des fichiers suspects dans un environnement bac à sable, sans devoir les envoyer en dehors du réseau. Pour utiliser une appliance WF-500 à la place d un cloud WildFire public, configurez le paramètre du cloud WildFire sur le pare-feu afin qu il pointe vers votre appliance WF-500 au lieu du paramètre default-cloud (cloud-par-défaut). L appliance WF-500 place localement tous les fichiers dans son bac à sable et les analyse afin de détecter tout comportement malicieux utilisant le même moteur que le système du cloud WildFire public. En quelques minutes, l appliance renvoie les résultats de l analyse au pare-feu dans le journal WildFire. Par défaut, l appliance WF-500 n envoie aucun fichier au cloud WildFire de Palo Alto Networks. Toutefois, les logiciels malicieux doivent être envoyés au cloud WildFire public afin de recevoir des signatures antivirus pour ceux identifiés par l appliance. Cette dernière dispose d une fonction d envoi automatique qui lui permet d envoyer uniquement des logiciels malveillants avérés au cloud public afin de générer des signatures. Ces signatures sont ensuite distribuées à l ensemble des clients recevant des mises à jour WildFire et de signatures antivirus de Palo Alto Networks. Vous pouvez configurer jusqu à 100 pare-feux Palo Alto Networks pour effectuer des transferts vers une appliance WildFire unique ; chaque pare-feu doit disposer d un abonnement valide à WildFire pour transférer des fichiers vers une appliance WildFire. L appliance WildFire dispose de deux interfaces : MGT Reçoit tous les fichiers transférés par les pare-feux et renvoie aux pare-feux des journaux détaillant les résultats. Virtual Machine Interface (vm-interface) Fournit un accès réseau aux bacs à sables d analyse afin que WildFire puisse mieux analyser le comportement des fichiers en cours d exécution dans son bac à sable car elle permet d observer certains comportements malicieux qui seraient indétectables sans un accès réseau, comme une activité phone-home. Toutefois, pour éviter que votre bac à sable ne fasse entrer des logiciels malveillants dans votre réseau, vous devez veiller à configurer cette interface sur un réseau isolé doté d une connexion Internet pour permettre à des logiciels malveillants en cours d exécution sur des machines virtuelles de communiquer via Internet. Pour plus d informations sur cette interface, consultez la section «Paramétrage de l'interface de la machine virtuelle» à la page 17. Vous devez configurer cette interface avant de pouvoir valider toute modification apportée à l appliance. 8 Guide de l'administrateur WildFire

13 Analyse de fichiers à l aide de l appliance WildFire WF-500 Configuration de l appliance WildFire WF-500 Configuration de l appliance WildFire WF-500 Cette section décrit les différentes étapes requises pour configurer une appliance WildFire sur un réseau et explique comment configurer un pare-feu Palo Alto Networks pour y transférer des fichiers en vue de leur analyse. Cette section contient les rubriques suivantes : Avant de commencer Exécution de la configuration initiale Vérification de la configuration de l'appliance WildFire WF-500 Paramétrage de l'interface de la machine virtuelle Mise à jour du logiciel de l'appliance WildFire WF-500 Avant de commencer L appliance WF-500 doit être montée en rack et câblée. Consultez le «Guide de référence du matériel de l appliance WildFire WF-500». Procurez-vous les informations nécessaires pour configurer la connectivité réseau sur le port MGT et l interface de machine virtuelle auprès de votre administrateur réseau (adresse IP, masque de sous-réseau, passerelle, nom d hôte, serveur DNS). Toutes les communications entre les pare-feux et l appliance s effectuent sur le port MGT, notamment l envoi de fichiers, la distribution de journaux WildFire et l administration de l appliance. Par conséquent, vérifiez que les pare-feux sont raccordés au port MGT de l appliance. L appliance doit également pouvoir se connecter au site updates.paloaltonetworks.com pour récupérer les mises à jour logicielles de son système d exploitation. Votre ordinateur doit être doté d un câble de console ou d un câble Ethernet afin que vous puissiez vous connecter au périphérique pour la configuration initiale. Guide de l'administrateur WildFire 9

14 Configuration de l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500 Exécution de la configuration initiale Cette section décrit les différentes étapes requises pour installer une appliance WildFire WF-500 sur un réseau et procéder à un paramétrage de base. INTÉGRATION D UNE APPLIANCE WILDFIRE DANS UN RÉSEAU Étape 1 Exécutez les différentes tâches de la section «Avant de commencer» à la page 9. Le périphérique est monté sur rack. Les informations relatives aux adresses IP sont prêtes (interface MGT et adresse IP de l interface de la machine virtuelle, masque de sous-réseau, nom d hôte, serveur DNS). L ordinateur de gestion est connecté au port MGT sur l appliance ou le port de console. Étape 2 Enregistrez l appliance WildFire. 1. Procurez-vous le numéro de série qui se trouve sur l étiquette S/N de l appliance ou exécutez la commande de la CLI suivante : admin@wf-500> show system info 2. Dans un navigateur, accédez à l adresse : 3. Enregistrez le périphérique comme suit : S il s agit du premier périphérique Palo Alto Networks que vous enregistrez et que vous ne disposez d aucune information de connexion, cliquez sur Register (S enregistrer) à droite de la page. Pour ce faire, entrez une adresse et le numéro de série du périphérique. Lorsque vous y êtes invité, créez un nom d utilisateur et un mot de passe pour pouvoir accéder à la communauté de support de Palo Alto Networks. Pour les comptes existants, connectez-vous et cliquez sur My Devices (Mes périphériques). Accédez à la section Register Device (Enregistrer le périphérique) située en bas de l écran, saisissez le numéro de série du périphérique, votre ville et votre code postal, puis cliquez sur Register Device (Enregistrer le périphérique). 10 Guide de l'administrateur WildFire

15 Analyse de fichiers à l aide de l appliance WildFire WF-500 Configuration de l appliance WildFire WF-500 INTÉGRATION D UNE APPLIANCE WILDFIRE DANS UN RÉSEAU (SUITE) Étape 3 Connectez l ordinateur de gestion à l appliance à l aide du port MGT ou du port de console et mettez l appliance sous tension. 1. Connectez-vous au port de console ou au port MGT. Les deux se trouvent à l arrière de l appliance Port de console Il s agit d un connecteur série mâle à 9 broches. Utilisez les paramètres suivants sur l application de la console : N-1. Connectez le câble fourni au port série de l ordinateur de gestion ou au convertisseur USB vers Série. Port MGT Il s agit d un port Ethernet RJ-45. Par défaut, l adresse IP du port MGT est L interface de votre ordinateur de gestion doit se trouver sur le même sous-réseau que le port MGT. Par exemple, paramétrez l adresse IP de l ordinateur de gestion sur Mettez l appliance sous tension. Remarque L appliance se mettra sous tension dès que la première source d alimentation sera sous tension. Un bip d avertissement va retentir jusqu à ce que les deux sources d alimentation soient connectées. Si l appliance est déjà branchée et qu elle est arrêtée, appuyez sur le bouton d alimentation situé à l avant de l appliance pour la mettre sous tension. Étape 4 Réinitialisez le mot de passe admin. 1. Connectez-vous à l appliance à l aide d un client SSH ou en utilisant le port de console. Saisissez le nom d utilisateur/mot de passe admin/admin. 2. Définissez un nouveau mot de passe en exécutant la commande suivante : admin@wf-500# set password Saisissez l ancien mot de passe, appuyez sur la touche Enter (Entrée) et confirmez le nouveau mot de passe. Vous n avez pas à valider la configuration car il s agit d une commande opérationnelle. 3. Saisissez exit pour vous déconnecter, puis reconnectez-vous pour vérifier que le nouveau mot de passe a bien été défini. Guide de l'administrateur WildFire 11

16 Configuration de l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500 INTÉGRATION D UNE APPLIANCE WILDFIRE DANS UN RÉSEAU (SUITE) Étape 5 Définissez les informations relatives à l adresse IP de l interface MGT, ainsi que le nom d hôte de l appliance. Tous les pare-feux qui enverront des fichiers à l appliance WF-500 vont utiliser le port MGT, veillez donc à ce que cette interface soit accessible depuis ces pare-feux. Cet exemple utilise les valeurs suivantes : Adresse IPv /22 Masque de sous-réseau Passerelle par défaut Nom d hôte wildfire-corp1 Serveur DNS Étape 6 (Facultatif) Configurez d autres comptes utilisateurs pour gérer l appliance WildFire. Deux rôles peuvent être assignés : Superuser (super utilisateur) et Superreader (super lecteur). Le rôle Superuser (super utilisateur) équivaut au compte Admin et le rôle Superreader (super lecteur) dispose uniquement d un accès en lecture seule. 1. Connectez-vous à l appliance à l aide d un client SSH ou en utilisant le port de console et passez en mode Configuration (Configuration) : admin@wf-500> configure 2. Définissez les informations relatives à l adresse IP : admin@wf-500# set deviceconfig system ip-address netmask default-gateway dns-setting servers primary Remarque Un serveur DNS secondaire peut être configuré en remplaçant «primary» par «secondary» dans la commande ci-dessus, en excluant les autres paramètres relatifs à l adresse IP. Par exemple : admin@wf-500# set deviceconfig system dns-setting servers secondary Définissez le nom d hôte (wildfire-corp1, dans cet exemple) : admin@wf-500# set deviceconfig system hostname wildfire-corp1 4. Validez la configuration pour activer la nouvelle configuration de port de gestion (MGT) : admin@wf-500# commit 5. Connectez le port de l interface MGT à un commutateur réseau. 6. Replacez l ordinateur de gestion sur votre réseau d entreprise, ou sur n importe quel réseau requis pour accéder à l appliance sur le réseau de gestion. 7. Dans l ordinateur de gestion, connectez-vous à la nouvelle adresse IP ou nom d hôte du port MGT de l appliance à l aide d un client SSH. Dans cet exemple, la nouvelle adresse IP est Dans cet exemple, nous allons créer un compte Superreader (super lecteur) pour l utilisateur bsimpson : 1. Passez en mode Configuration (Configuration) en exécutant la commande suivante : admin@wf-500> configure 2. Pour créer un compte utilisateur, saisissez la commande suivante : admin@wf-500# set mgt-config users bsimpson password 3. Saisissez et confirmez un nouveau mot de passe. 4. Pour assigner le rôle Superreader (super lecteur), saisissez la commande suivante, puis appuyez sur Enter (Entrée). admin@wf-500# set mgt-config users bsimpson permissions role-based superreader yes 12 Guide de l'administrateur WildFire

17 Analyse de fichiers à l aide de l appliance WildFire WF-500 Configuration de l appliance WildFire WF-500 INTÉGRATION D UNE APPLIANCE WILDFIRE DANS UN RÉSEAU (SUITE) Étape 7 Activez l appliance à l aide du code d autorisation WildFire que Palo Alto Networks vous a envoyé. Remarque L appliance WF-500 fonctionnera sans code d authentification, mais les nouvelles mises à jour logicielles ne peuvent pas être installées sans code d authentification valide. 1. Passez en mode Operational (Opérationnel) pour exécuter les commandes suivantes : admin@wf-500> exit 2. Recherchez et installez la licence WildFire : admin@wf-500> request license fetch auth-code code-auth 3. Appuyez sur Enter (Entrée) pour rechercher et installer la licence. 4. Vérifiez la licence : admin@wf-500> request license info Une licence active doit afficher une date ultérieure à la date actuelle. Étape 8 Définissez la date/heure actuelles et le fuseau horaire. Étape 9 (Facultatif) Configurez l envoi automatique pour que l appliance WildFire puisse transférer des fichiers contenant des logiciels malveillants vers le cloud WildFire de Palo Alto Networks. Le système cloud WildFire va ensuite générer des signatures, qui seront distribuées via les mises à jour WildFire et les signatures antivirus. Remarque Cette option est désactivée par défaut. 1. Définissez la date et l heure : admin@wf-500> set clock date AA/MM/JJ time hh:mm:ss 2. Passez en mode Configuration (Configuration) : admin@wf-500> configure 3. Définissez le fuseau horaire local : admin@wf-500# set deviceconfig system timezone fuseau_horaire Remarque L horodatage qui va s afficher sur le rapport détaillé WildFire va utiliser le fuseau horaire défini sur l appliance. Si plusieurs personnes consultent ces rapports, vous pouvez définir le fuseau horaire sur UTC. 1. Pour activer l envoi automatique, exécutez la commande suivante : admin@wf-500# set deviceconfig setting wildfire auto-submit yes 2. Pour confirmer ce paramètre, exécutez la commande suivante en mode Operational (Opérationnel) : admin@wf-500> show wildfire status Guide de l'administrateur WildFire 13

18 Configuration de l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500 INTÉGRATION D UNE APPLIANCE WILDFIRE DANS UN RÉSEAU (SUITE) Étape 10 Définissez un mot de passe pour le compte Admin du portail. Ce compte permet d accéder aux rapports WildFire à partir d un pare-feu. Le nom d utilisateur et le mot de passe par défaut est admin/admin. Remarque Le compte Admin du portail est le seul compte permettant de consulter les rapports à partir des journaux. Seul le mot de passe peut être modifié pour ce compte et aucun compte supplémentaire ne peut être créé. Ce compte Admin est différent de celui utilisé pour gérer l appliance. Pour modifier le mot de passe du compte Admin du portail WildFire, procédez comme suit : 1. admin@wf-500# set wildfire portal-admin password 2. Appuyez sur Enter (Entrée) et confirmez le nouveau mot de passe. Rubriques connexes : Pour vérifier la configuration de l appliance WF-500, consultez la section «Vérification de la configuration de l'appliance WildFire WF-500» à la page 15. Pour commencer à transférer des fichiers à partir d un pare-feu, consultez la section «Transfert de fichiers vers l'appliance WildFire WF-500» à la page 25. Pour mettre à jour le logiciel de l appliance WildFire, consultez la section «Mise à jour du logiciel de l'appliance WildFire WF-500» à la page 23. Pour configurer l interface de la machine virtuelle que l appliance utilise dans le cadre de son analyse de logiciels malveillants, consultez la section «Paramétrage de l'interface de la machine virtuelle» à la page Guide de l'administrateur WildFire

19 Analyse de fichiers à l aide de l appliance WildFire WF-500 Configuration de l appliance WildFire WF-500 Vérification de la configuration de l appliance WildFire WF-500 Cette section explique les différentes étapes requises pour vérifier la configuration de l appliance WildFire afin de s assurer qu elle est prête à recevoir des fichiers envoyés par un pare-feu Palo Alto Networks. Pour plus d informations sur les commandes de la CLI référencées dans ce flux de travail, consultez la section «Référentiel de la CLI du logiciel de l'appliance WildFire» à la page 69. VÉRIFICATION DE LA CONFIGURATION DE L APPLIANCE WILDFIRE Étape 1. Vérifiez que l appliance est enregistrée et que son abonnement est activé. 1. Démarrez une session SSH dans l interface MGT de l appliance. 2. À l aide de la CLI, saisissez la commande suivante : admin@wf-500> request license info Vérifiez que la licence est valide et que la valeur du champ Expired : affiche no. Par exemple : Feature: Premium Description: 24x7 phone support; advanced replacement hardware service Serial: Issued: February 11, 2013 Expires: February 11, 2016 Expired?: no 3. Pour les appliances dont l envoi automatique est activé, vérifiez que l appliance WildFire peut communiquer avec le cloud WildFire de Palo Alto Networks en saisissant la commande suivante : admin@wf-500> test wildfire registration La sortie suivante indique que l appliance est enregistrée avec l un des serveurs du cloud WildFire de Palo Alto Networks. Si l envoi automatique est activé, les fichiers infectés par des logiciels malveillants seront envoyés à ce serveur. Test wildfire wildfire registration: successful download server list: successful select the best server: cs-s1.wildfire.paloaltonetworks.com Remarque L appliance va uniquement transférer des fichiers vers le cloud WildFire à condition que l envoi automatique soit activé. Pour plus d informations sur l activation de l envoi automatique, suivez les étapes requises dans la section «Exécution de la configuration initiale» à la page 10. Guide de l'administrateur WildFire 15

20 Configuration de l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500 VÉRIFICATION DE LA CONFIGURATION DE L APPLIANCE WILDFIRE (SUITE) Étape 2 Vérifiez le statut du serveur WildFire sur l appliance. 1. La commande suivante affiche le statut de WildFire : admin@wf-500> show wildfire status Vous trouverez ci-dessous un exemple de sortie : Connection info: Wildfire cloud: wildfire-public-cloud Status: Idle Auto-Submit: enabled VM internet connection: disabled Best server: Device registered: yes Service route IP address: Signature verification: enable Server selection: enable Through a proxy: no Dans cet exemple, auto-submit est activé, ce qui signifie que les fichiers identifiés comme étant des logiciels malveillants vont être transférés vers le cloud WildFire de Palo Alto Networks. Des signatures peuvent être générées pour prévenir tout risque d exposition future à des logiciels malveillants. Le statut Idle indique que l appliance est prête à recevoir des fichiers. Device registered affiche yes, ce qui signifie que l appliance est enregistrée avec le système cloud WildFire. 2. Pour vérifier que les pare-feux envoient des fichiers à l appliance et que cette dernière envoie ces fichiers au cloud WildFire pour générer des signatures (à condition que l envoi automatique soit activé), saisissez la commande suivante : admin@wf-500> show wildfire statistics days 7 Last one hour statistics: Total sessions submitted : 0 Samples submitted : 0 Samples analyzed : 0 Samples pending : 0 Samples (malicious) : 0 Samples (benign) : 0 Samples (error) : 0 Malware sent to cloud : 0 Last 7 days statistics: Total sessions submitted : 66 Samples submitted : 34 Samples analyzed : 34 Samples pending : 0 Samples (malicious) : 2 Samples (benign) : 32 Samples (error) : 0 Malware sent to cloud : 0 3. Pour consultez des statistiques plus granulaires, saisissez la commande suivante : admin@wf-500> show wildfire latest [analysis samples sessions uploads] Par exemple, pour afficher des détails concernant les 30 derniers résultats de l analyse, saisissez la commande suivante : admin@wf-500> show wildfire latest analysis 16 Guide de l'administrateur WildFire

21 Analyse de fichiers à l aide de l appliance WildFire WF-500 Configuration de l appliance WildFire WF-500 VÉRIFICATION DE LA CONFIGURATION DE L APPLIANCE WILDFIRE (SUITE) Étape 3 Vérifiez que les pare-feux configurés pour transférer des fichiers ont été correctement enregistrés avec l appliance WildFire. 1. Pour afficher une liste des pare-feux qui ont été enregistrés avec l appliance, saisissez la commande suivante : admin@wf-500> show wildfire last-device-registration all La sortie doit afficher les informations suivantes pour chaque pare-feu enregistré pour envoyer des fichiers à l appliance : numéro de série du pare-feu, date d enregistrement, adresse IP, version logicielle, modèle matériel et statut. Si aucun pare-feu n apparaît dans la liste, il peut y avoir des problèmes de connectivité réseau entre les pare-feux et l appliance. Vérifiez le réseau pour confirmer que les pare-feux et l appliance WildFire peuvent communiquer entre eux. Procédez à des tests Ping depuis l appliance jusqu à l adresse de la passerelle ou jusqu à l un des pare-feux configurés pour effectuer des transferts vers l appliance. Par exemple, si l un des pare-feux se trouve à l adresse IP , les réponses vont s afficher lorsque l appliance va exécuter la commande de la CLI suivante : admin@wf-500> ping host Paramétrage de l interface de la machine virtuelle L interface de la machine virtuelle assure une connectivité réseau externe aux machines virtuelles bac à sable dans l appliance WF-500. Les sections suivantes décrivent l interface de la machine virtuelle (vm-interface) et les étapes à suivre pour sa configuration. Elles expliquent également les étapes à suivre pour connecter l interface à un port dédié sur un pare-feu Palo Alto Networks afin d activer la connectivité Internet. Description de l'interface de la machine virtuelle Configuration de l'interface de la machine virtuelle Configuration du pare-feu afin de contrôler le trafic de l'interface de la machine virtuelle Guide de l'administrateur WildFire 17

22 Configuration de l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500 Description de l interface de la machine virtuelle Une fois configurée et activée, l interface vm-interface (nommée 1 à l arrière de l appliance) dispose de fonctionnalités de détection améliorées des logiciels malveillants. Cette interface permet à l échantillon d un fichier en cours d exécution sur les machines virtuelles WildFire de communiquer avec Internet et permet à WildFire de mieux analyser le comportement de cet échantillon afin de déterminer s il montre des caractéristiques propres à un logiciel malveillant. Attention Bien que nous recommandions l activation de l interface vm-interface, il est très important qu elle ne soit pas connectée à un réseau où n importe lequel de vos serveurs/hôtes pourrait accéder, car les logiciels malveillants qui s exécutent dans les machines virtuelles WildFire peuvent éventuellement utiliser cette interface pour se propager. Cette connexion peut être une ligne ADSL dédiée ou une connexion réseau qui autorise uniquement un accès direct à Internet depuis l interface vm-interface et qui limite tout accès à des serveurs internes/hôtes clients. Le schéma suivant illustre deux options permettant de connecter l interface vm-interface au réseau. Internet Option 2 Port Ethernet 1 de l interface vm-interface avecune adresse IP publique directement connectée à Internet et isolée de l ensemble de vos serveurs/hôtes internes. Zone WildFire Zone non approuvée Pare-feu de l entreprise Zone approuvée Option 1 Port Ethernet 1 de l interface vm-interface /22 L interface se connecte à une zone WildFire sur votre pare-feu à l aide d une politique Internet et ne peut accéder à aucun de vos serveurs/hôtes internes. Port de l interface MGT /22 Reçoit des fichiers transférés depuis le pare-feu de l entreprise et transfère les logiciels malveillants vers le cloud WildFire, à condition que l envoi automatiquesoit activé. Appliance WildFire 18 Guide de l'administrateur WildFire

23 Analyse de fichiers à l aide de l appliance WildFire WF-500 Configuration de l appliance WildFire WF-500 Option 1 (recommandée) : L interface vm-interface est connectée à une interface dans une zone dédiée sur un pare-feu dont la politique autorise uniquement l accès à Internet. Cette politique est importante car les logiciels malveillants qui s exécutent dans les machines virtuelles WildFire peuvent éventuellement utiliser cette interface pour se propager. Cette option est recommandée car les journaux du pare-feu vont fournir une visibilité dans n importe quel trafic généré par l interface vm-interface. Option 2 : Utilisez une connexion dédiée à un fournisseur Internet, comme une connexion ADSL, pour connecter l interface vm-interface à Internet. Vérifiez que les serveurs/hôtes internes n ont pas accès à cette connexion. Bien qu il s agisse d une solution simple, le trafic que génère l interface vm-interface ne sera pas consigné à moins qu un pare-feu ou un outil de surveillance du trafic ne soit placé entre l appliance WildFire et la connexion ADSL. Configuration de l interface de la machine virtuelle Cette section explique les différentes étapes requises pour configurer l interface vm-interface sur l appliance WildFire en utilisant la configuration de l option 1 détaillée dans le flux de travail précédent. Après avoir configuré l interface vm-interface en utilisant cette option, vous devez également configurer une interface sur un pare-feu Palo Alto Networks par lequel le trafic issu de l interface vm-interface sera acheminé, comme décrit dans la section «Configuration du pare-feu afin de contrôler le trafic de l'interface de la machine virtuelle» à la page 21. Par défaut, cette interface est configurée à l aide des paramètres suivants : Adresse IP : Masque réseau : Passerelle par défaut : DNS : Si vous prévoyez d activer cette interface, configurez-la avec les paramètres adaptés à votre réseau. Si vous ne prévoyez pas d utiliser cette interface, conservez les paramètres par défaut. La suppression de la configuration va entraîner des échecs de validation. Guide de l'administrateur WildFire 19

24 Configuration de l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500. CONFIGURATION DE L INTERFACE DE LA MACHINE VIRTUELLE Étape 1 Définissez les informations relatives à l adresse IP pour l interface vm-interface sur l appliance WildFire. Les informations suivantes vont être utilisées dans cet exemple : Adresse IPv /22 Masque de sous-réseau Passerelle par défaut Serveur DNS Remarque L interface vm-interface ne peut pas se trouver sur le même réseau que l interface de gestion (MGT). 1. Passez en mode Configuration (Configuration) en saisissant la commande de la CLI suivante : admin@wf-500> configure 2. Définissez les informations relatives à l adresse IP pour l interface vm-interface : admin@wf-500# set deviceconfig system vm-interface ip-address netmask default-gateway dns-server Remarque Seul un serveur DNS peut être assigné à l interface vm-interface. Il est recommandé d utiliser le serveur DNS de votre ISP ou un service DNS ouvert. Étape 2 Activez l interface vm-interface. 1. Pour activer l interface vm-interface : admin@wf-500# set deviceconfig setting wildfire vm-network-enable yes 2. Validez la configuration : admin@wf-500# commit Étape 3 Passez à la section suivante pour configurer l interface du pare-feu à laquelle l interface vm-interface va se connecter. Consultez la section «Configuration du pare-feu afin de contrôler le trafic de l'interface de la machine virtuelle» à la page Guide de l'administrateur WildFire

25 Analyse de fichiers à l aide de l appliance WildFire WF-500 Configuration de l appliance WildFire WF-500 Configuration du pare-feu afin de contrôler le trafic de l interface de la machine virtuelle L exemple de flux de travail suivant explique comment connecter l interface vm-interface à un port sur un pare-feu Palo Alto Networks. Avant de connecter cette interface au pare-feu, une zone non approuvée du pare-feu doit déjà être connectée à Internet. Dans cet exemple, une nouvelle zone nommée wf-vm-zone est configurée pour connecter l interface vm-interface de l appliance au pare-feu. La politique associée à cette zone va uniquement autoriser les communications entre l interface vm-interface et la zone non approuvée. CONFIGURATION DE L INTERFACE DU PARE-FEU POUR LE RÉSEAU DE LA MACHINE VIRTUELLE Étape 1 Configurez l interface du pare-feu auquel l interface vm-interface va se connecter et paramétrez le routeur virtuel. Remarque La zone wf-vm-zone configurée dans cette étape doit uniquement être utilisée pour connecter l interface-mv entre l appliance et le pare-feu. N ajoutez aucune autre interface à cette zone car le trafic intra-zone sera activé par défaut, ce qui permettra alors au trafic de l interface vm-interface d accéder à un réseau autre qu Internet. Étape 2 Créez une politique de sécurité sur le pare-feu pour autoriser l accès à Internet depuis l interface vm-interface et bloquer l ensemble du trafic entrant. Dans cet exemple, le nom de la politique est WildFire VM Interface (Interface MV WildFire). Étant donné que nous n allons pas créer une politique de sécurité entre la zone non approuvée et la zone wf-vm-interface, l ensemble du trafic entrant est bloqué par défaut. 1. Dans l interface Web du pare-feu, sélectionnez Network > Interfaces (Réseau > Interfaces), puis sélectionnez une interface, par exemple : Ethernet1/3. 2. Sélectionnez Interface Type Layer3 (Type d interface de couche3). 3. Dans l onglet Config (Configuration), cliquez sur la liste déroulante Security zone (Zone de sécurité), sélectionnez New zone (Nouvelle zone). 4. Dans le champ Name (Nom) de la boîte de dialogue Zone (Zone), saisissez wf-vm-zone, puis cliquez sur OK. 5. Dans la liste déroulante Virtual Router (Routeur virtuel), sélectionnez default (par défaut). 6. Pour assigner une adresse IP à l interface, cliquez sur l onglet IPv4, puis sur Add (Ajouter) dans la section IP et saisissez l adresse IP, ainsi que le masque réseau à assigner à l interface, par exemple : / Pour enregistrer la configuration de l interface, cliquez sur OK. 1. Sélectionnez Policies > Security (Politiques > Sécurité), puis cliquez sur Add (Ajouter). 2. Dans la zone Name (Nom) de l onglet General (Général), saisissez WildFire VM Interface (Interface MV WildFire). 3. Dans l onglet Source (Source), définissez Source Zone (Zone source) pour wf-vm-interface. 4. Dans l onglet Destination (Destination), définissez Destination Zone (Zone de destination) sur Untrust (Non approuvée). 5. Dans les onglets Application (Application) et Service/ URL Category (Catégorie de service/url), conservez le paramètre par défaut Any (Indifférent). 6. Dans l onglet Actions (Actions), définissez Action Setting (Paramètre d action) sur Allow (Autoriser). 7. Sous Log Setting (Paramètre des journaux), cochez la case Log at Session End (Se connecter à la fin de la session). Remarque Si vous craignez qu une personne ajoute involontairement d autres interfaces à la zone wf-vm-zone, clonez la politique de sécurité de l interface MV WildFire, puis dans l onglet Action (Action) de la règle clonée, sélectionnez Deny (Refuser). Vérifiez que cette nouvelle politique de sécurité s affiche sous la politique de l interface MV WildFire. La règle d autorisation intra-zone implicite va alors autoriser l écrasement des communications entre les interfaces d une même zone et refuser/bloquer toutes les communications intra-zone. Guide de l'administrateur WildFire 21

26 Configuration de l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500 CONFIGURATION DE L INTERFACE DU PARE-FEU POUR LE RÉSEAU DE LA MACHINE VIRTUELLE (SUITE) Étape 3 Connectez les câbles. Étape 4 Vérifiez que cette interface transmet et reçoit du trafic. Connectez physiquement l interface vm-interface de l appliance WildFire au port que vous avez configuré sur le pare-feu (Ethernet 1/3, dans cet exemple) à l aide d un câble RJ-45 droit. L interface vm-interface affiche le chiffre 1 à l arrière de l appliance. 1. Dans le mode Operational (Opérationnel) de la CLI de l appliance WildFire, exécutez la commande suivante : admin@wf-500> show interface vm-interface 2. Tous les compteurs de l interface s affichent. Vérifiez que les valeurs des compteurs de réception et de transmission ont augmenté. Pour générer un trafic Ping, exécutez la commande suivante : admin@wf-500> ping source ip-interface-mv host ip-passerelle Par exemple : admin@wf-500> ping source host Guide de l'administrateur WildFire

27 Analyse de fichiers à l aide de l appliance WildFire WF-500 Configuration de l appliance WildFire WF-500 Mise à jour du logiciel de l appliance WildFire WF-500 Cette section explique les différentes étapes à suivre pour mettre à jour le logiciel de l appliance WildFire sur une appliance WildFire WF-500. Les mises à jour logicielles contiennent les fonctions et correctifs de bugs du logiciel les plus récents. L appliance peut être mise à niveau via le serveur de mises à jour de Palo Alto Networks ou en téléchargeant et en installant manuellement les mises à jour (consultez la section «Mise à jour manuelle du logiciel» à la page 24). Pour plus d informations sur une version logicielle spécifique, consultez la note de version correspondante. MISE À JOUR DU LOGICIEL DE L APPLIANCE WILDFIRE WF-500 Étape 1 Affichez la version logicielle actuellement installée sur l appliance WildFire et vérifiez s il existe une nouvelle version disponible. Étape 2 Téléchargez et installez une nouvelle version du logiciel de l appliance WildFire. 1. Saisissez la commande suivante et vérifiez le champ sw-version : admin@wf-500> show system info 2. Saisissez la commande suivante pour afficher les versions les plus récentes : admin@wf-500> request system software check Remarque Si l appliance ne peut pas contacter le serveur de mises à jour de Palo Alto Networks, vérifiez s il dispose d une licence et que le DNS effectue correctement des résolutions. Vous pouvez également tester l appliance en envoyant une requête ping au serveur de mises à jour Palo Alto Networks pour vous assurer qu il est accessible. Exécutez la commande de la CLI suivante : admin@wf-500> ping host updates.paloaltonetworks.com 1. Pour installer une nouvelle version du logiciel, utilisez la commande suivante : admin@wf-500> request system software download file nom_de_fichier Par exemple : admin@wf-500> request system software download file WildFire_m Saisissez la commande suivante pour vérifier que le téléchargement du fichier s est terminé : admin@wf-500> show jobs pending ou admin@wf-500> show jobs all 3. Une fois le fichier téléchargé, installez-le en saisissant la commande suivante : admin@wf-500> request system software install file nom_de_fichier Par exemple : admin@wf-500> request system software install file WildFire_m Guide de l'administrateur WildFire 23

28 Configuration de l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500 MISE À JOUR DU LOGICIEL DE L APPLIANCE WILDFIRE WF-500 (SUITE) Étape 3 Une fois la nouvelle version installée, redémarrez l appliance. 1. Surveillez le statut des mises à niveau en saisissant la commande suivante : admin@wf-500> show jobs pending 2. Une fois la mise à niveau terminée, redémarrez l appliance en saisissant la commande suivante : admin@wf-500> request restart system 3. Une fois le redémarrage effectué, vérifiez que la nouvelle version est installée en exécutant la commande de la CLI suivante, puis vérifiez le champ sw-version : admin@wf-500> show system info Mise à jour manuelle du logiciel Si l appliance WildFire ne dispose d aucune connectivité réseau aux serveurs de mises à jour de Palo Alto Networks, vous pouvez manuellement mettre le logiciel à niveau. 1. Visitez le site à l adresse suivante : et dans la section Manage Devices (Gérer les périphériques), cliquez sur Software Updates (Mises à jour logicielles). 2. Téléchargez le fichier image du logiciel de l appliance WildFire à installer sur un ordinateur exécutant le logiciel du serveur SCP. 3. Importez l image du logiciel depuis le serveur SCP. scp import software from nom_utilisateur@adresse_ip/nom_dossier fichier_image Par exemple : admin@wf-500> scp import software from user1@ :/tmp/wildfire_m Installez le fichier image : admin@wf-500> request system software install file nom_fichier_image 5. Une fois la mise à niveau terminée, redémarrez l appliance : admin@wf-500> request restart system 6. Une fois le redémarrage effectué, vérifiez que la nouvelle version est installée en saisissant la commande de la CLI suivante, puis vérifiez le champ sw-version : admin@wf-500> show system info 24 Guide de l'administrateur WildFire

29 Analyse de fichiers à l aide de l appliance WildFire WF-500 Transfert de fichiers vers l appliance WildFire WF-500 Transfert de fichiers vers l appliance WildFire WF-500 Cette section explique les différentes étapes requises pour paramétrer un pare-feu Palo Alto Networks afin de commencer à transférer des fichiers vers une appliance WildFire WF-500 et explique aussi comment vérifier la configuration de l appliance. Bien que le pare-feu puisse effectuer des transferts vers une appliance WildFire (abonnement à WildFire requis) ou vers le cloud WildFire, vérifiez que l ensemble de vos pare-feux pointent vers le même système WildFire pour une meilleure visibilité. Pour les pare-feux gérés par Panorama, simplifiez l administration de WildFire en utilisant des modèles Panorama afin d appliquer des informations relatives au serveur WildFire, la taille de fichier autorisée et les paramètres des informations de session aux pare-feux. Utilisez les groupes de périphériques Panorama pour configurer et appliquer des profils de blocage de fichiers et des règles de politique de sécurité. Panorama peut uniquement pointer vers un système WildFire (appliance ou cloud). S il existe un pare-feu entre le pare-feu qui transfère des fichiers vers WildFire et le cloud WildFire ou l appliance WildFire, vérifiez que le pare-feu du milieu dispose des ports nécessaires autorisés. Cloud Wildfire : Utilise le port 443 pour les enregistrements et les envois de fichiers. Appliance WildFire : Utilise le port 443 pour les enregistrements et le port pour les envois de fichiers. Suivez les étapes suivantes pour chaque pare-feu qui va transférer des fichiers vers l appliance WildFire : CONFIGURATION DES TRANSFERTS VERS L APPLIANCE WILDFIRE WF-500 Étape 1 Vérifiez que le pare-feu est abonné à WildFire et que les mises à jour dynamiques sont planifiées et à jour. 1. Allez dans Device > Licenses (Périphérique > Licences) et vérifiez qu un abonnement valide à WildFire et de prévention des menaces est bien installé sur le pare-feu. 2. Allez dans Device > Dynamic Updates (Périphérique > Mises à jour dynamiques) et cliquez sur Check Now (Vérifier maintenant) pour vous assurer que le pare-feu dispose des mises à jour d antivirus, d applications, de menaces et WildFire les plus récentes. 3. Si des mises à jour ne sont pas planifiées, planifiez-les dès maintenant. Veillez à échelonner les calendriers de mises à jour car une seule mise à jour peut être réalisée à la fois. Pour connaître les paramètres recommandés, consultez la section «Meilleures pratiques pour les mises à jour dynamiques» à la page 29. Guide de l'administrateur WildFire 25

30 Transfert de fichiers vers l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500 CONFIGURATION DES TRANSFERTS VERS L APPLIANCE WILDFIRE WF-500 (SUITE) Étape 2 Définissez le serveur WildFire vers lequel le pare-feu va transférer des fichiers en vue de leur analyse. 1. Allez dans Device > Setup > WildFire (Périphérique > Paramétrage > WildFire). 2. Cliquez sur l icône Edit (Modifier) General Settings (Paramètres généraux). 3. Dans le champ WildFire Server (Serveur WildFire), saisissez l adresse IP ou FQDN de l appliance WildFire WF-500. Remarque Le meilleur moyen de rétablir la valeur par défaut du paramètre du champ WildFire Server (Serveur Wildfire) est de supprimer le champ et de cliquer sur OK. Cette manipulation vous permet de vous assurer que la valeur correcte est ajoutée. De plus, lorsque vous utilisez l appliance WildFire, vérifiez que disable-server-select est désactivé, sinon le pare-feu ne pourra pas envoyer de fichiers à l appliance. Exécutez la commande suivante et confirmez que disable-server-select est désactivé : admin@pa-200# show deviceconfig setting wildfire Par défaut, cette option est désactivée ; par conséquent, elle ne s affiche pas dans la configuration, à moins que vous ne l ayez activée ou désactivée. Vous pouvez également vérifier votre configuration active en exécutant la commande : admin@pa-200# show config running match wildfire Tous les paramètres WildFire s affichent alors. 26 Guide de l'administrateur WildFire

31 Analyse de fichiers à l aide de l appliance WildFire WF-500 Transfert de fichiers vers l appliance WildFire WF-500 CONFIGURATION DES TRANSFERTS VERS L APPLIANCE WILDFIRE WF-500 (SUITE) Étape 3 Configurez le profil de blocage des fichiers pour définir les applications et les types de fichiers qui vont déclencher un transfert vers WildFire. Remarque Si vous choisissez PE dans la colonne File Types (Types de fichiers) du profil des objets pour sélectionner une catégorie de type de fichier, n ajoutez aucun type de fichier individuel appartenant à cette catégorie, sinon vous trouverez des entrées redondantes dans les journaux de filtrage des données. Par exemple, si vous sélectionnez PE, ne sélectionnez pas exe, car il fait partie de la catégorie PE. Ceci s applique également au type de fichier zip, car les types de fichiers compressés pris en charge sont automatiquement envoyés à WildFire. Le choix d une catégorie, au lieu d un type de fichier individuel, garantit également que lors de l ajout de la prise en charge d un nouveau type de fichier à une catégorie donnée, elle est automatiquement intégrée au profil de blocage des fichiers. Si vous sélectionnez Any (Indifférent), tous les types de fichiers pris en charge vont être transférés vers WildFire. 1. Allez dans Objects > Security Profiles > File Blocking (Objets > Profils de sécurité > Blocage des fichiers). 2. Cliquez sur Add (Ajouter) pour ajouter un nouveau profil, puis saisissez un Name (Nom) et une Description (Description). 3. Cliquez sur Add (Ajouter) dans la fenêtre File Blocking Profile (Profil de blocage des fichiers), puis cliquez une nouvelle fois sur Add (Ajouter). Cliquez dans le champ Names (Noms) et saisissez le nom d une règle. 4. Sélectionnez les Applications (Applications) qui vont correspondre à ce profil. Par exemple, en sélectionnant web-browsing (navigation-web)comme application, le profil va correspondre à tout trafic d application identifié en tant que navigation Web. 5. Dans le champ File Type (Type de fichier), sélectionnez les types de fichiers qui vont déclencher l action de transfert. Sélectionnez Any (Indifférent) pour transférer tous les types de fichiers pris en charge par WildFire ou sélectionnez PE pour transférer uniquement les fichiers PE (Portable Executable). 6. Dans le champ Direction (Sens), sélectionnez Upload (Charger), Download (Télécharger) ou Both (Les deux). Si vous sélectionnez Both (Les deux), les transferts vont être déclenchés dès qu un utilisateur essaiera de charger ou de télécharger un fichier. 7. Définissez une Action (Action) de la façon suivante (sélectionnez Forward (Transférer) pour cet exemple) : Forward (Transférer) Le pare-feu va automatiquement transférer vers WildFire tout fichier correspondant à ce profil pour l analyser, mais aussi le distribuer à l utilisateur. Continue-and-forward (Continuer-et-transférer) L utilisateur est invité à cliquer sur Continue (Continuer) avant le téléchargement, puis le fichier est transféré vers WildFire. Étant donné que cette action exige que l utilisateur interagisse avec un navigateur Web, elle est uniquement prise en charge pour les applications de navigation Web. Remarque Lorsque vous utilisez Continue-and-forward (Continuer-et-transférer), vérifiez qu un profil de gestion est joint à l interface d entrée (celle qui reçoit le trafic en premier pour vos utilisateurs) afin d autoriser des pages de réponse. Pour configurer un profil de gestion, sélectionnez Network > Network Profiles > Interface Mgmt (Réseau > Profils réseau > Gestion de l interface) et cochez la case Response Pages (Pages de réponse). Joignez le profil de gestion dans l onglet Advanced (Avancé) pour la configuration de l interface d entrée. 8. Cliquez sur OK pour enregistrer les modifications. Guide de l'administrateur WildFire 27

32 Transfert de fichiers vers l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500 CONFIGURATION DES TRANSFERTS VERS L APPLIANCE WILDFIRE WF-500 (SUITE) Étape 4 Pour transférer des fichiers de sites Web vers WildFire utilisant le chiffrement SSL, activez le transfert du contenu déchiffré. Pour plus d informations sur la configuration du déchiffrement, consultez le Guide de mise en route de Palo Alto Networks. Remarque Seul un super utilisateur peut activer cette option. Étape 5 Joignez le profil de blocage des fichiers à une politique de sécurité. Étape 6 (Facultatif) Modifiez la taille de fichier maximale que le pare-feu peut charger sur WildFire. Étape 7 (Facultatif) Modifiez les options de session qui définissent les informations de session à enregistrer dans les rapports d analyse de WildFire. 1. Allez dans Device > Setup > Content-ID (Périphérique > Paramétrage > ID de contenu). 2. Cliquez sur l icône Edit (Modifier) des options URL Filtering (Filtrage d URL) et activez Allow Forwarding of Decrypted Content (Autoriser le transfert du contenu déchiffré). 3. Cliquez sur OK pour enregistrer les modifications. Remarque Si le pare-feu dispose de plusieurs systèmes virtuels, vous devez activer cette option avec un VSYS. Dans ce cas, allez dans Device > Virtual Systems (Périphérique > Systèmes virtuels), cliquez sur le système virtuel à modifier et cochez la case Allow Forwarding of Decrypted Content (Autoriser le transfert du contenu déchiffré). 1. Allez dans Policies > Security (Politiques > Sécurité). 2. Cliquez sur Add (Ajouter) pour créer une nouvelle politique pour les zones auxquelles vous appliquez le transfert WildFire ou sélectionnez une politique de sécurité existante. 3. Dans l onglet Actions (Actions), sélectionnez le profil File Blocking (Blocage des fichiers) dans la liste déroulante. Remarque Si aucun profil n est joint à cette règle de sécurité, sélectionnez Profiles (Profils) dans la liste déroulante Profile Type (Type de profil) pour pouvoir sélectionner un profil de blocage des fichiers. 1. Allez dans Device > Setup > WildFire (Périphérique > Paramétrage > WildFire). 2. Cliquez sur l icône Edit (Modifier) General Settings (Paramètres généraux). 3. Dans le champ Maximum File Size (MB) (Taille de fichier maximale (Mo)), saisissez la taille de fichier maximale des fichiers envoyés à WildFire pour analyse (taille comprise entre 1 et 10 Mo ; 2 Mo par défaut). 1. Cliquez sur l icône Edit (Modifier) Session Information Settings (Paramètres des informations de session). 2. Par défaut, tous les éléments d information de session vont s afficher dans les rapports. Décochez les cases correspondant à des champs pour les supprimer des rapports d analyse WildFire. 3. Cliquez sur OK pour enregistrer les modifications. 28 Guide de l'administrateur WildFire

33 Analyse de fichiers à l aide de l appliance WildFire WF-500 Transfert de fichiers vers l appliance WildFire WF-500 CONFIGURATION DES TRANSFERTS VERS L APPLIANCE WILDFIRE WF-500 (SUITE) Étape 8 Validez la configuration. Cliquez sur Commit (Valider) pour appliquer les paramètres. Lors de l évaluation de la politique de sécurité, tous les fichiers répondant aux critères définis dans la politique de blocage des fichiers vont être transférés vers WildFire pour être analysés. Pour plus d informations sur la consultation des rapports de fichiers ayant été analysés, consultez la section «Surveillance, suivi et prévention des logiciels malveillants sur votre réseau» à la page 51. Pour plus d informations sur la vérification de la configuration, consultez la section «Vérification des paramètres WildFire sur le pare-feu» à la page 30. Meilleures pratiques pour les mises à jour dynamiques La liste à puces suivante répertorie les meilleures pratiques appliquées aux mises à jour dynamiques sur un pare-feu classique utilisant WildFire et doté d un abonnement à WildFire et de prévention des menaces. Pour simplifier votre flux de travail, utilisez des modèles Panorama pour appliquer des calendriers de mises à jour dynamiques à des pare-feux gérés, afin d assurer une cohérence entre tous les pare-feux et de simplifier la gestion des calendriers de mises à jour. Ces directives fournissent deux options de calendrier : un calendrier minimum recommandé et un autre plus agressif. Si vous choisissez l approche plus agressive, le périphérique va effectuer des mises à jour plus souvent, dont certaines peuvent être très volumineuses (plus de 100 Mo pour les mises à jour d antivirus). Les cas d erreurs sont également rares. Par conséquent, attendez que les mises à jour soient disponibles depuis plusieurs heures avant de procéder à toute nouvelle installation de mise à jour. Le champ Threshold (Hours) (Seuil (Heures)) permet d indiquer la durée d attente avant de procéder à une mise à jour du contenu. Antivirus De nouvelles mises à jour du contenu antivirus sont disponibles quotidiennement. Pour obtenir leur contenu le plus récent, planifiez des mises à jour quotidiennes au minimum. Dans un calendrier plus agressif, planifiez-les toutes les heures. Applications et menaces De nouveaux App-ID, une nouvelle protection contre les vulnérabilités et de nouvelles signatures antispyware sont disponibles sous la forme de mises à jour de contenu hebdomadaires (le mardi en général). Pour recevoir leur contenu le plus récent, planifiez des mises à jour hebdomadaires au minimum. Dans un calendrier plus agressif, pour vous assurer que le pare-feu reçoit le contenu le plus récent peu après sa mise à disposition (notamment les occasionnelles mises à jour d urgence du contenu hors calendrier), planifiez des mises à jour quotidiennes. WildFire De nouvelles signatures antivirus WildFire sont publiées toutes les 30 minutes. Selon le moment où un nouveau logiciel malveillant a été identifié pendant le cycle de mise à jour, une protection est fournie sous la forme d une signature WildFire 30 à 60 minutes après que WildFire l a identifié pour la première fois. Pour obtenir les signatures WildFire les plus récentes, planifiez des mises à jour toutes les heures ou demi-heures. Dans un calendrier plus agressif, vous pouvez planifier le pare-feu pour qu il vérifie les mises à jour toutes les 15 minutes. Guide de l'administrateur WildFire 29

34 Transfert de fichiers vers l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500 Bien que les mises à jour WildFire puissent interférer avec la mise à jour d un antivirus ou de signatures de menaces, elles doivent être correctement installées car elles sont beaucoup plus petites que les mises à jour d antivirus/application et de signatures de menaces classiques. Chaque mise à jour WildFire contient des signatures générées au cours des sept derniers jours, délai au bout duquel elles sont regroupées dans les mises à jours de signatures antivirus toutes les 24 à 48 heures. Vérification des paramètres WildFire sur le pare-feu Cette section explique les différentes étapes requises pour vérifier la configuration WildFire sur le pare-feu. VÉRIFICATION DE LA CONFIGURATION WILDFIRE SUR LE PARE-FEU Étape 1 Vérifiez les abonnements à WildFire et de prévention des menaces, ainsi que l enregistrement de WildFire. Remarque Le pare-feu doit être abonné à WildFire pour transférer des fichiers vers une appliance WildFire. 1. Allez dans Device > Licenses (Périphérique > Licences) et vérifiez qu un abonnement valide à WildFire et de prévention des menaces est bien installé. Si des licences valides ne sont pas installées, allez dans la section License Management (Gestion des licences) et cliquez sur Retrieve license keys from the license server (Récupérer les clés de licence auprès du serveur de licences). 2. Pour vous assurer que le pare-feu peut communiquer avec un système WildFire afin de pouvoir y transférer des fichiers en vue de leur analyse, exécutez la commande de la CLI suivante : admin@pa-200> test wildfire registration Dans la sortie suivante, le pare-feu pointe vers une appliance WildFire. Si le pare-feu pointe vers le cloud WildFire, il va afficher le nom d hôte de l un des systèmes WildFire dans le cloud WildFire. Test wildfire wildfire registration: successful download server list: successful select the best server: : Si vous avez encore des problèmes avec les licences, contactez votre revendeur ou un ingénieur système Palo Alto Networks pour vérifier chaque licence et obtenir un nouveau code d autorisation, le cas échéant. 30 Guide de l'administrateur WildFire

35 Analyse de fichiers à l aide de l appliance WildFire WF-500 Transfert de fichiers vers l appliance WildFire WF-500 VÉRIFICATION DE LA CONFIGURATION WILDFIRE SUR LE PARE-FEU (SUITE) Étape 2 Vérifiez que le pare-feu envoie des fichiers au système WildFire adéquat. 1. Pour déterminer l emplacement vers lequel le pare-feu transfère des fichiers (vers le cloud WildFire de Palo Alto Networks ou vers une appliance WildFire), allez dans Device > Setup > WildFire (Périphérique > Paramétrage > WildFire). 2. Cliquez sur le bouton de modification General Settings (Paramètres généraux). 3. Si le pare-feu transfère des fichiers vers le cloud WildFire, ce champ doit afficher default-cloud (cloud-par-défaut). S il transfère des fichiers vers une appliance WildFire, l adresse IP ou le nom FQDN de l appliance WildFire s affiche. Dans Panorama, le nom du cloud par défaut est wildfire-public-cloud (cloud-wildfire-public). Remarque Si vous avez changé la valeur de ce champ, mais que vous voulez rétablir le paramètre default-cloud (cloud-par-défaut), effacez le champ WildFire Server (Serveur WildFire) et cliquez sur OK. Le champ va alors être réinitialisé à sa valeur par défaut. Lorsque vous utilisez l appliance WildFire, vérifiez que disable-server-select est désactivé, sinon l appliance ne pourra pas recevoir de fichiers envoyés par le pare-feu. Vérifiez que le paramètre suivant est défini sur no (non) : admin@pa-200# set deviceconfig setting wildfire disable-server-select Étape 3 Contrôlez les journaux. 1. Allez dans Monitor > Logs > Data Filtering (Surveillance > Journaux > Filtrage des données). 2. Vérifiez que les fichiers sont transférés vers WildFire en consultant la colonne Action (Action) : Forward : s affiche si le profil de blocage des fichiers et la politique de sécurité ont correctement transféré un fichier. Wildfire-upload-success : s affiche si un fichier a été envoyé à WildFire. Cela signifie que le fichier n est pas signé par un signataire de fichiers approuvé et que WildFire ne l a pas encore analysé. Wildfire-upload-skip : s affiche pour tous les fichiers identifiés comme pouvant être envoyés à WildFire par un profil de blocage de fichiers/une politique de sécurité, mais n a pas eu besoin d être analysée par WildFire car elle l a déjà été. Dans ce cas, l action Forward (Transférer) s affiche dans le journal de filtrage des données parce qu elle est valide, mais qu elle n a pas été envoyée à WildFire ni analysée, car elle a déjà été envoyée au cloud WildFire à partir d un autre session, probablement d un autre pare-feu. 3. Affichez les journaux WildFire (abonnement requis) en sélectionnant Monitor > Logs > WildFire (Surveillance > Journaux > WildFire). Si des journaux WildFire sont disponibles, le pare-feu transfère correctement les fichiers vers WildFire et WildFire renvoie les résultats d analyse des fichiers. Remarque Pour plus d informations sur les journaux liés à WildFire, consultez la section «À propos des journaux WildFire» à la page 52. Guide de l'administrateur WildFire 31

36 Transfert de fichiers vers l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500 VÉRIFICATION DE LA CONFIGURATION WILDFIRE SUR LE PARE-FEU (SUITE) Étape 4 Vérifiez la politique de blocage des fichiers. 1. Allez dans Objects > Security Profiles > File Blocking (Objets > Profils de sécurité > Blocage des fichiers) et cliquez sur le profil de blocage des fichiers pour la modifier. 2. Vérifiez que l action est définie sur Forward (Transférer) ou Continue-and-forward (Continuer-et-transférer). Si elle est définie sur Continue-and-forward (Continuer-et-transférer), seul le trafic http/https va être transféré car il s agit du seul type de trafic qui invite l utilisateur à cliquer sur Continue (Continuer). Étape 5 Vérifiez la politique de sécurité. 1. Allez dans Policies > Security (Politiques > Sécurité) et cliquez sur la règle de politique de sécurité déclenchant le transfert de fichiers vers WildFire. 2. Cliquez sur l onglet Actions (Actions) et vérifiez que la politique de blocage des fichiers est sélectionnée dans la liste déroulante File Blocking (Blocage des fichiers). 32 Guide de l'administrateur WildFire

37 Analyse de fichiers à l aide de l appliance WildFire WF-500 Transfert de fichiers vers l appliance WildFire WF-500 VÉRIFICATION DE LA CONFIGURATION WILDFIRE SUR LE PARE-FEU (SUITE) Étape 6 Vérifiez le statut de WildFire. Exécutez les commandes de la CLI suivantes pour vérifier le statut de WildFire et la hausse des statistiques : Vérifiez le statut de WildFire. admin@pa-200> show wildfire status Lors du transfert de fichiers vers le cloud WildFire, la sortie doit afficher ce qui suit : Connection info: Wildfire cloud: default cloud Status: Idle Best server: ca-s1.wildfire.paloaltonetworks.com Device registered: yes Valid wildfire license: yes Service route IP address: Signature verification: enable Server selection: enable Through a proxy: no Forwarding info: file size limit (MB): 2 file idle time out (second): 90 total file forwarded: 0 forwarding rate (per minute): 0 concurrent files: 0 Remarque Si le pare-feu transfère des fichiers vers une appliance WildFire, le champ Wildfire cloud: va afficher l adresse IP ou le nom d hôte de l appliance et Best server: ne va afficher aucune valeur. Utilisez la commande suivante pour vérifier les statistiques afin de déterminer si les valeurs ont augmenté : admin@pa-200> show wildfire statistics La sortie suivante correspond à un pare-feu en état de marche. Si aucune valeur ne s affiche, le pare-feu ne transfère pas de fichiers. Total msg rcvd: 8819 Total bytes rcvd: Total msg read: 8684 Total bytes read: Total msg lost by read: 135 DP receiver reset count: 2 Total file count: 42 CANCEL_FILE_DUP 31 CANCEL_FILESIZE_LIMIT 2 DROP_NO_MATCH_FILE 135 FWD_CNT_LOCAL_FILE 9 FWD_CNT_LOCAL_DUP 30 FWD_CNT_REMOTE_FILE 9 FWD_CNT_REMOTE_DUP_CLEAN 24 FWD_CNT_REMOTE_DUP_TBD 3 FWD_CNT_CACHE_SYNC 1 FWD_ERR_CONN_FAIL LOG_ERR_REPORT_CACHE_NOMATCH 47 Service connection reset cnt: 1 data_buf_meter 0% msg_buf_meter 0% ctrl_msg_buf_meter 0% fbf_buf_meter 0% Guide de l'administrateur WildFire 33

38 Transfert de fichiers vers l appliance WildFire WF-500 Analyse de fichiers à l aide de l appliance WildFire WF-500 VÉRIFICATION DE LA CONFIGURATION WILDFIRE SUR LE PARE-FEU (SUITE) Étape 7 Vérifiez le statut des mises à jour dynamiques et des calendriers. Pour vérifier si le pare-feu reçoit automatiquement des signatures générées par WildFire. 1. Allez dans Device > Dynamic Updates (Périphérique > Mises à jour dynamiques). 2. Vérifiez que l antivirus, les applications, les menaces et WildFire disposent des mises à jour les plus récentes et qu un calendrier est défini pour chaque élément. Échelonnez les calendriers de mises à jour, car une seule mise à jour peut être réalisée à la fois. 3. Cliquez sur Check Now (Vérifier maintenant) affiché en bas des fenêtres pour vérifier si de nouvelles mises à jour sont disponibles, ce qui confirme également que le pare-feu peut communiquer avec updates.paloaltonetworks.com. Si le pare-feu ne dispose d aucune connectivité avec le serveur de mises à jour, téléchargez les mises à jour directement sur le site de Palo Alto Networks. Connectez-vous à et dans la section Manage Devices (Gérer les périphériques), cliquez sur Dynamic Updates (Mises à jour dynamiques) pour afficher les mises à jour disponibles. Pour plus d informations sur les mises à jour dynamiques, consultez la section Gestion des mises à jour du contenu dans le Guide de mise en route de Palo Alto Networks. 34 Guide de l'administrateur WildFire

39 3 Analyse de fichiers à l aide du cloud WildFire Ce chapitre explique les différentes étapes requises pour commencer à charger des fichiers sur le cloud WildFire de Palo Alto Networks afin de les analyser directement depuis le pare-feu, manuellement depuis le portail ou programmatiquement via l API WildFire. Il se compose des sections suivantes : Transfert de fichiers vers le cloud WildFire Chargement de fichiers dans le portail du cloud WildFire Chargement de fichiers à l'aide de l'api WildFire Guide de l'administrateur WildFire 35

40 Transfert de fichiers vers le cloud WildFire Analyse de fichiers à l aide du cloud WildFire Transfert de fichiers vers le cloud WildFire Pour qu un pare-feu envoie automatiquement des fichiers inconnus à WildFire, configurez un profil de blocage des fichiers avec l action Forward (Transférer) ou Continue-and-forward (Continuer-et-transférer), puis joignez-le à une ou plusieurs règles de sécurité qui vont inspecter les logiciels malveillants au jour 0. Par exemple, vous pouvez configurer une politique avec un profil de blocage des fichiers qui déclenche, au niveau du pare-feu, le transfert de tous les fichiers.exe que les utilisateurs essaient de télécharger au cours d une session de navigation Web. Le transfert de fichiers à chiffrement SSL est également pris en charge, à condition que le déchiffrement SSL soit configuré sur le pare-feu et que l option de transfert des fichiers chiffrés soit activée. S il existe un pare-feu entre le pare-feu qui transfère des fichiers vers WildFire et le cloud WildFire ou l appliance WildFire, vérifiez que le pare-feu du milieu dispose des ports nécessaires autorisés. Cloud WildFire : Utilise le port 443 pour les enregistrements et les envois de fichiers. Appliance WildFire : Utilise le port 443 pour les enregistrements et le port pour les envois de fichiers. Suivez les étapes suivantes pour chaque pare-feu qui va transférer des fichiers vers WildFire : CONFIGURATION D UN PROFIL DE BLOCAGE DES FICHIERS AVEC AJOUT D UN PROFIL DE SÉCURITÉ Étape 1 Vérifiez que le pare-feu dispose d un abonnement valide à WildFire et de prévention des menaces et que les mises à jour dynamiques sont planifiées et à jour. Remarque Bien qu un pare-feu puisse transférer des fichiers vers WildFire sans y être abonné, les journaux WildFire ne seront pas disponibles sur le pare-feu et le pare-feu ne va pas recevoir les mises à jour de signatures de logiciels malveillants WildFire sur une base sub-horaire. Pour plus d informations sur les abonnements, consultez la section «Avantages de l'abonnement à WildFire» à la page Allez dans Device > Licenses (Périphérique > Licences) et vérifiez que le pare-feu dispose d un abonnement valide à WildFire et de prévention des menaces. 2. Allez dans Device > Dynamic Updates (Périphérique > Mises à jour dynamiques) et cliquez sur Check Now (Vérifier maintenant) pour vous assurer que le pare-feu dispose des mises à jour d antivirus, d applications, de menaces et WildFire les plus récentes. 3. Si des mises à jour ne sont pas planifiées, planifiez-les dès maintenant. Veillez à échelonner les calendriers de mises à jour, car une seule mise à jour peut être réalisée à la fois. Pour connaître les paramètres recommandés, consultez la section «Meilleures pratiques pour les mises à jour dynamiques» à la page Guide de l'administrateur WildFire

41 Analyse de fichiers à l aide du cloud WildFire Transfert de fichiers vers le cloud WildFire CONFIGURATION D UN PROFIL DE BLOCAGE DES FICHIERS AVEC AJOUT D UN PROFIL DE SÉCURITÉ (SUITE) Étape 2 Configurez le profil de blocage des fichiers afin de définir les applications et les types de fichiers qui vont déclencher un transfert vers WildFire. Remarque Si vous choisissez PE dans la colonne File Types (Types de fichiers) du profil des objets pour sélectionner une catégorie de type de fichier, n ajoutez aucun type de fichier individuel appartenant à cette catégorie, sinon vous trouverez des entrées redondantes dans les journaux de filtrage des données. Par exemple, si vous sélectionnez PE, ne sélectionnez pas exe, car il fait partie de la catégorie PE. Ceci s applique également au type de fichier zip, car les types de fichiers compressés pris en charge sont automatiquement envoyés à WildFire. Le choix d une catégorie, au lieu d un type de fichier individuel, garantit également que lors de l ajout de la prise en charge d un nouveau type de fichier à une catégorie donnée, elle est automatiquement intégrée au profil de blocage des fichiers. Si vous sélectionnez Any (Indifférent), tous les types de fichiers pris en charge vont être transférés vers WildFire. 1. Allez dans Objects > Security Profiles > File Blocking (Objets > Profils de sécurité > Blocage des fichiers). 2. Cliquez sur (Add) Ajouter pour ajouter un nouveau profil, puis saisissez un Name (Nom) et une Description (Description). 3. Cliquez sur Add (Ajouter) dans la fenêtre File Blocking Profile (Profil de blocage des fichiers), puis cliquez une nouvelle fois sur Add (Ajouter). Cliquez dans le champ Names (Noms) et saisissez le nom d une règle. 4. Sélectionnez les Applications (Applications) qui vont correspondre à ce profil. Par exemple, si vous sélectionnez l application web-browsing (navigation-web), le profil va faire correspondre tout trafic de l application identifiée en tant que web-browsing (navigation-web). 5. Dans le champ File Type (Type de fichier), sélectionnez les types de fichiers qui vont déclencher l action de transfert. Sélectionnez Any (Indifférent) pour transférer tous les types de fichiers pris en charge par WildFire ou sélectionnez PE (PE) pour transférer uniquement les fichiers PE (Portable Executable). 6. Dans le champ Direction (Sens), sélectionnez Upload (Charger), Download (Télécharger) ou Both (Les deux). L option Both (Les deux) va déclencher un transfert dès qu un utilisateur essaie de charger ou de télécharger un fichier. 7. Définissez une Action (Action) de la manière suivante : Forward (Transférer) Le pare-feu va automatiquement transférer vers WildFire tout fichier correspondant à ce profil pour l analyser, mais aussi le distribuer à l utilisateur. Continue-and-forward (Continuer-et-transférer) L utilisateur est invité à cliquer sur Continue (Continuer) avant le téléchargement et le fichier est transféré vers WildFire. Étant donné que cette action exige que l utilisateur interagisse avec un navigateur Web, seules les applications de navigation Web peuvent la prendre en charge. Remarque Lorsque vous utilisez l action Continue-and-forward (Continuer-et-transférer), vérifiez qu un profil de gestion autorisant des pages de réponse est joint à l interface d entrée (celle qui reçoit le trafic en premier pour vos utilisateurs). Pour configurer un profil de gestion, sélectionnez Network > Network Profiles > Interface Mgmt (Réseau > Profils réseau > Gestion de l interface) et cochez la case Response Pages (Pages de réponse). Pour configurer l interface d entrée, joignez le profil de gestion dans l onglet Advanced (Avancé). 8. Cliquez sur OK pour enregistrer les modifications. Guide de l'administrateur WildFire 37

42 Transfert de fichiers vers le cloud WildFire Analyse de fichiers à l aide du cloud WildFire CONFIGURATION D UN PROFIL DE BLOCAGE DES FICHIERS AVEC AJOUT D UN PROFIL DE SÉCURITÉ (SUITE) Étape 3 Pour transférer des fichiers de sites Web vers WildFire en utilisant le chiffrement SSL, activez le transfert du contenu déchiffré. Pour plus d informations sur la configuration du déchiffrement, consultez le Guide de mise en route de Palo Alto Networks. Remarque Seul un super utilisateur peut activer cette option. Étape 4 Joignez le profil de blocage des fichiers à une politique de sécurité. Étape 5 (Facultatif) Modifiez la taille de fichier maximale pouvant être chargée sur WildFire. Étape 6 (Facultatif) Modifiez les options de session qui définissent les informations de session à enregistrer dans les rapports d analyse de WildFire. 1. Allez dans Device > Setup > Content-ID (Périphérique > Paramétrage > ID de contenu). 2. Cliquez sur l icône Edit (Modifier) des options URL Filtering (Filtrage des URL) et activez Allow Forwarding of Decrypted Content (Autoriser le transfert du contenu déchiffré). 3. Cliquez sur OK pour enregistrer les modifications. Remarque Si le pare-feu dispose de plusieurs systèmes virtuels, vous devez activer cette option avec un VSYS. Dans ce cas, allez dans Device > Virtual Systems (Périphérique > Systèmes virtuels), cliquez sur le système virtuel à modifier et cochez la case Allow Forwarding of Decrypted Content (Autoriser le transfert du contenu déchiffré). 1. Allez dans Policies > Security (Politiques > Sécurité). 2. Cliquez sur Add (Ajouter) afin de créer une nouvelle politique pour les zones auxquelles le transfert WildFire est appliqué ou sélectionnez une politique de sécurité existante. 3. Dans l onglet Actions (Actions), sélectionnez le profil File Blocking (Blocage des fichiers) dans la liste déroulante. Remarque Si aucun profil n est joint à cette règle de sécurité, sélectionnez Profiles (Profils) dans la liste déroulante Profile Type (Type de profil) pour pouvoir sélectionner un profil de blocage des fichiers. 1. Allez dans Device > Setup > WildFire (Périphérique > Paramétrage > WildFire). 2. Cliquez sur l icône Edit (Modifier) General Settings (Paramètres généraux). 3. Dans le champ Maximum File Size (MB) (Taille de fichier maximale (Mo)), saisissez la taille de fichier maximale des fichiers qui vont être envoyés à WildFire pour analyse (taille comprise entre 1 et 10 Mo ; 2 Mo par défaut). 1. Cliquez sur l icône Edit (Modifier) Session Information Settings (Paramètres des informations de session). 2. Par défaut, tous les éléments d information de session vont s afficher dans les rapports. Décochez les cases correspondant à des champs pour les supprimer des rapports d analyse WildFire. 3. Cliquez sur OK pour enregistrer les modifications. 38 Guide de l'administrateur WildFire

43 Analyse de fichiers à l aide du cloud WildFire Transfert de fichiers vers le cloud WildFire CONFIGURATION D UN PROFIL DE BLOCAGE DES FICHIERS AVEC AJOUT D UN PROFIL DE SÉCURITÉ (SUITE) Étape 7 Validez la configuration. Cliquez sur Commit (Valider) pour appliquer les paramètres. Lors de l évaluation de la politique de sécurité, tous les fichiers répondant aux critères définis dans la politique de blocage des fichiers vont être transférés vers WildFire pour être analysés. Pour plus d informations sur la consultation des rapports de fichiers ayant été analysés, consultez la section «Surveillance, suivi et prévention des logiciels malveillants sur votre réseau» à la page 51. Pour plus d informations sur la vérification de la configuration, consultez la section «Vérification des paramètres WildFire sur le pare-feu» à la page 40. Meilleures pratiques pour les mises à jour dynamiques La liste à puces suivante répertorie les meilleures pratiques appliquées aux mises à jour dynamiques sur un pare-feu classique utilisant WildFire et doté d un abonnement à WildFire et de prévention des menaces. Pour simplifier votre flux de travail, utilisez des modèles Panorama pour appliquer des calendriers de mises à jour dynamiques à des pare-feux gérés, afin d assurer une cohérence entre tous les pare-feux et de simplifier la gestion des calendriers de mises à jour. Ces directives fournissent deux options de calendrier : un calendrier minimum recommandé et un autre plus agressif. Si vous choisissez l approche plus agressive, le périphérique va effectuer des mises à jour plus souvent, dont certaines peuvent être très volumineuses (plus de 100 Mo pour les mises à jour d antivirus). Les cas d erreurs sont également rares. Par conséquent, attendez que les mises à jour soient disponibles depuis plusieurs heures avant de procéder à toute nouvelle installation de mise à jour. Le champ Threshold (Hours) (Seuil (Heures)) permet d indiquer la durée d attente avant de procéder à une mise à jour du contenu. Antivirus De nouvelles mises à jour du contenu antivirus sont disponibles quotidiennement. Pour obtenir leur contenu le plus récent, planifiez des mises à jour quotidiennes au minimum. Dans un calendrier plus agressif, planifiez-les toutes les heures. Applications et menaces De nouveaux App-ID, une nouvelle protection contre les vulnérabilités et de nouvelles signatures antispyware sont disponibles sous la forme de mises à jour de contenu hebdomadaires (le mardi en général). Pour recevoir leur contenu le plus récent, planifiez des mises à jour hebdomadaires au minimum. Dans un calendrier plus agressif, pour vous assurer que le pare-feu reçoit le contenu le plus récent peu après sa mise à disposition (notamment les occasionnelles mises à jour d urgence du contenu hors calendrier), planifiez des mises à jour quotidiennes. WildFire De nouvelles signatures antivirus WildFire sont publiées toutes les 30 minutes. Selon le moment où un nouveau logiciel malveillant a été identifié pendant le cycle de mise à jour, une protection est fournie sous la forme d une signature WildFire 30 à 60 minutes après que WildFire l a identifié pour la première fois. Pour obtenir les signatures WildFire les plus récentes, planifiez des mises à jour toutes les heures ou demi-heures. Dans un calendrier plus agressif, vous pouvez configurer le pare-feu pour qu il vérifie les mises à jour toutes les 15 minutes. Guide de l'administrateur WildFire 39

44 Transfert de fichiers vers le cloud WildFire Analyse de fichiers à l aide du cloud WildFire Vérification des paramètres WildFire sur le pare-feu Cette section explique les différentes étapes requises pour vérifier la configuration WildFire sur le pare-feu. VÉRIFICATION DE LA CONFIGURATION WILDFIRE SUR LE PARE-FEU Étape 1 Vérifiez l installation des abonnements à WildFire et de prévention des menaces, ainsi que l enregistrement de WildFire. 1. Allez dans Device > Licenses (Périphérique > Licences) et vérifiez qu un abonnement valide à WildFire et de prévention des menaces est bien installé. Si des licences valides ne sont pas installées, allez dans la section License Management (Gestion des licences) et cliquez sur Retrieve license keys from the license server (Récupérer les clés de licence auprès du serveur de licences). 2. Pour vous assurer que le pare-feu peut communiquer avec un système WildFire, afin de pouvoir y transférer des fichiers en vue de leur analyse, exécutez la commande de la CLI suivante : admin@pa-200> test wildfire registration Dans la sortie suivante, le pare-feu pointe vers le cloud WildFire. Si le pare-feu pointe vers une appliance WildFire, il va afficher le nom de son hôte ou l adresse IP de l appliance. Test wildfire wildfire registration: successful download server list: successful select the best server: ca-s1.wildfire 3. Si vous avez encore des problèmes avec les licences, contactez votre revendeur ou un ingénieur système Palo Alto Networks pour vérifier chaque licence et obtenir un nouveau code d autorisation, le cas échéant. 40 Guide de l'administrateur WildFire

45 Analyse de fichiers à l aide du cloud WildFire Transfert de fichiers vers le cloud WildFire VÉRIFICATION DE LA CONFIGURATION WILDFIRE SUR LE PARE-FEU (SUITE) Étape 2 Vérifiez que le pare-feu envoie des fichiers au système WildFire adéquat. 1. Pour déterminer l emplacement vers lequel le pare-feu transfère des fichiers (vers le cloud WildFire de Palo Alto Networks ou vers une appliance WildFire), allez dans Device > Setup > WildFire (Périphérique > Paramétrage > WildFire). 2. Cliquez sur le bouton Edit (Modifier) General Settings (Paramètres généraux). 3. Si le pare-feu transfère des fichiers vers le cloud WildFire, ce champ doit afficher default-cloud (cloud-par-défaut). S il transfère des fichiers vers une appliance WildFire, l adresse IP ou le nom FQDN de l appliance WildFire s affiche. Dans Panorama, le nom du cloud par défaut est wildfire-public-cloud (cloud-wildfire-public). Remarque Si vous avez changé la valeur de ce champ, mais que vous voulez rétablir le paramètre default-cloud (cloud-par-défaut), effacez le champ WildFire Server (Serveur WildFire) et cliquez sur OK. Le champ va alors être réinitialisé à sa valeur par défaut. Si ce champ n autorise aucune modification, vérifiez que le paramètre suivant est défini sur no (non) : admin@pa-200# set deviceconfig setting wildfire disable-server-select Guide de l'administrateur WildFire 41

46 Transfert de fichiers vers le cloud WildFire Analyse de fichiers à l aide du cloud WildFire VÉRIFICATION DE LA CONFIGURATION WILDFIRE SUR LE PARE-FEU (SUITE) Étape 3 Contrôlez les journaux. 1. Allez dans Monitor > Logs > Data Filtering (Surveillance > Journaux > Filtrage des données). 2. Vérifiez que les fichiers sont transférés vers WildFire en consultant la colonne Action (Action) : Forward : s affiche si le profil de blocage des fichiers et la politique de sécurité ont correctement transféré un fichier. Wildfire-upload-success : s affiche si un fichier a été envoyé à WildFire. Cela signifie que le fichier n est pas signé par un signataire de fichiers approuvé et que WildFire ne l a pas encore analysé. Wildfire-upload-skip : s affiche pour tous les fichiers identifiés comme pouvant être envoyés à WildFire par un profil de blocage de fichiers/une politique de sécurité, mais n a pas eu besoin d être analysée par WildFire car elle l a déjà été. Dans ce cas, l action Forward (Transférer) s affiche dans le journal de filtrage des données parce qu elle est valide, mais qu elle n a pas été envoyée à WildFire ni analysée, car elle a déjà été envoyée au cloud WildFire à partir d un autre session, probablement d un autre pare-feu. 3. Affichez les journaux WildFire (abonnement requis) en sélectionnant Monitor > Logs > WildFire (Surveillance > Journaux > WildFire). Si des journaux WildFire sont disponibles, le pare-feu transfère correctement les fichiers vers WildFire et WildFire renvoie les résultats d analyse des fichiers. Remarque Pour plus d informations sur les journaux liés à WildFire, consultez la section «À propos des journaux WildFire» à la page 52. Étape 4 Vérifiez la politique de blocage des fichiers. 1. Allez dans Objects > Security Profiles > File Blocking (Objets > Profils de sécurité > Blocage des fichiers) et cliquez sur le profil de blocage des fichiers pour la modifier. 2. Vérifiez que l action est définie sur Forward (Transférer) ou Continue-and-forward (Continuer-et-transférer). Si elle est définie sur Continue-and-forward (Continuer-et-transférer), seul le trafic http/https va être transféré, car il s agit du seul type de trafic qui invite l utilisateur à cliquer sur Continue (Continuer). Étape 5 Vérifiez la politique de sécurité. 1. Allez dans Policies > Security (Politiques > Sécurité) et cliquez sur la règle de politique de sécurité déclenchant le transfert de fichiers vers WildFire. 2. Cliquez sur l onglet Actions (Actions) et vérifiez que la politique de blocage des fichiers est sélectionnée dans la liste déroulante File Blocking (Blocage des fichiers). 42 Guide de l'administrateur WildFire

47 Analyse de fichiers à l aide du cloud WildFire Transfert de fichiers vers le cloud WildFire VÉRIFICATION DE LA CONFIGURATION WILDFIRE SUR LE PARE-FEU (SUITE) Étape 6 Vérifiez le statut de WildFire. Exécutez les commandes de la CLI suivantes pour vérifier le statut de WildFire et la hausse des statistiques : Vérifiez le statut de WildFire : admin@pa-200> show wildfire status Lors du transfert de fichiers vers le cloud WildFire, la sortie doit afficher ce qui suit : Connection info: Wildfire cloud: default cloud Statut : Idle Best server: ca-s1.wildfire.paloaltonetworks.com Device registered: yes Valid wildfire license: yes Service route IP address: Signature verification: enable Server selection: enable Through a proxy: no Forwarding info: file size limit (MB): 2 file idle time out (second): 90 total file forwarded: 0 forwarding rate (per minute): 0 concurrent files: 0 Remarque Si le pare-feu transfère des fichiers vers une appliance WildFire, le champ Wildfire cloud: va afficher l adresse IP ou le nom d hôte de l appliance et Best server: ne va afficher aucune valeur. Utilisez la commande suivante pour vérifier les statistiques afin de déterminer si les valeurs ont augmenté : admin@pa-200> show wildfire statistics La sortie suivante correspond à un pare-feu en état de marche. Si aucune valeur ne s affiche, le pare-feu ne transfère pas de fichiers. Total msg rcvd: 8819 Total bytes rcvd: Total msg read: 8684 Total bytes read: Total msg lost by read: 135 DP receiver reset count: 2 Total file count: 42 CANCEL_FILE_DUP 31 CANCEL_FILESIZE_LIMIT 2 DROP_NO_MATCH_FILE 135 FWD_CNT_LOCAL_FILE 9 FWD_CNT_LOCAL_DUP 30 FWD_CNT_REMOTE_FILE 9 FWD_CNT_REMOTE_DUP_CLEAN 24 FWD_CNT_REMOTE_DUP_TBD 3 FWD_CNT_CACHE_SYNC 1 FWD_ERR_CONN_FAIL LOG_ERR_REPORT_CACHE_NOMATCH 47 Service connection reset cnt: 1 data_buf_meter 0% msg_buf_meter 0% ctrl_msg_buf_meter 0% fbf_buf_meter 0% Guide de l'administrateur WildFire 43

48 Transfert de fichiers vers le cloud WildFire Analyse de fichiers à l aide du cloud WildFire VÉRIFICATION DE LA CONFIGURATION WILDFIRE SUR LE PARE-FEU (SUITE) Étape 7 Vérifiez le statut des mises à jour dynamiques et des calendriers. Pour vérifier que le pare-feu reçoit automatiquement des signatures générées par WildFire. 1. Allez dans Device > Dynamic Updates (Périphérique > Mises à jour dynamiques). 2. Vérifiez que l antivirus, les applications, les menaces et WildFire disposent des mises à jour les plus récentes et qu un calendrier est défini pour chaque élément. Échelonnez les calendriers de mises à jour, car une seule mise à jour peut être réalisée à la fois. 3. Cliquez sur Check Now (Vérifier maintenant) affiché en bas des fenêtres pour vérifier si de nouvelles mises à jour sont disponibles, ce qui confirme également que le pare-feu peut communiquer avec le site updates.paloaltonetworks.com. Si le pare-feu ne dispose d aucune connectivité avec le serveur de mises à jour, téléchargez les mises à jour directement sur le site de Palo Alto Networks. Connectez-vous à et dans la section Manage Devices (Gérer les périphériques), cliquez sur Dynamic Updates (Mises à jour dynamiques) pour afficher les mises à jour disponibles. Pour plus d informations sur les mises à jour dynamiques, consultez la section Gestion des mises à jour du contenu du Guide de mise en route de Palo Alto Networks. 44 Guide de l'administrateur WildFire

49 Analyse de fichiers à l aide du cloud WildFire Chargement de fichiers dans le portail du cloud WildFire Chargement de fichiers dans le portail du cloud WildFire Tous les clients Palo Alto Networks disposant d un compte de support peuvent manuellement charger des fichiers dans le portail WildFire de Palo Alto Networks en vue de leur analyse. Le portail WildFire prend en charge le chargement manuel de fichiers Win32 PE dont le volume maximal est de 10 Mo. La procédure suivante explique les différentes étapes à suivre pour charger des fichiers manuellement : CHARGEMENT MANUEL DANS WILDFIRE Étape 1 Chargez un fichier que WildFire doit analyser. 1. Accédez au site Web à l adresse suivante : et connectez-vous. 2. Cliquez sur le bouton Upload File (Charger un fichier) situé en haut à droite de la page et cliquez sur Choose File (Sélectionner un fichier). 3. Accédez au fichier, sélectionnez-le, puis cliquez sur Open (Ouvrir). Le nom du fichier va s afficher en regard de Choose File (Sélectionner un fichier). 4. Cliquez sur le bouton Upload (Charger) pour charger le fichier dans WildFire. Si le fichier a été correctement chargé, une fenêtre contextuelle Uploaded File Information (Informations sur le fichier chargé) semblable à la suivante s affiche : 5. Fermez la fenêtre contextuelle Uploaded File Information (Informations sur le fichier chargé). Guide de l'administrateur WildFire 45

50 Chargement de fichiers dans le portail du cloud WildFire Analyse de fichiers à l aide du cloud WildFire CHARGEMENT MANUEL DANS WILDFIRE Étape 2 Affichez les résultats de l analyse. Un délai d environ cinq minutes est nécessaire pour que WildFire analyse un fichier. Remarque Étant donné qu un chargement manuel n est associé à aucun pare-feu spécifique, les chargements manuels vont apparaître séparément de vos pare-feux enregistrés. 1. Actualisez la page du portail dans votre navigateur. 2. Un élément Manual (Manuel) s affiche dans la liste Device (Périphérique) de la page de votre portail et les résultats Malware (Logiciel malveillant) ou Benign (Fichier bénin) de l analyse s affichent également. Cliquez sur le terme Manual (Manuel). 3. La page du rapport affiche une liste de tous les fichiers ayant été chargés dans votre compte. Recherchez le fichier chargé et cliquez sur l icône Details (Détails) située à gauche du champ de la date. Le portail affiche un rapport complet concernant l analyse du fichier en détaillant le comportement du fichier observé, notamment l utilisateur ciblé, l application contenant le logiciel malveillant, ainsi que toutes les URL impliquées dans la transmission ou dans l activité phone-home de l échantillon. Si WildFire identifie le fichier en tant que logiciel malveillant, il génère une signature qui sera distribuée à l ensemble des pare-feux Palo Alto Networks configurés pour la prévention des menaces. Les pare-feux abonnés à WildFire peuvent télécharger ces signatures sur une base sub-horaire. 46 Guide de l'administrateur WildFire

51 Analyse de fichiers à l aide du cloud WildFire Chargement de fichiers à l aide de l API WildFire Chargement de fichiers à l aide de l API WildFire Grâce à l API WildFire, vous pouvez programmatiquement envoyer des tâches d analyse de fichiers au cloud WildFire et interroger le système pour obtenir des données de rapport via une simple interface API RESTful. Cette section contient les rubriques suivantes : À propos des abonnements à WildFire et des clés API Utilisation de l'api WildFire Méthodes d'envoi à l'aide de l'api WildFire Consultation d'un rapport XML WildFire Exemples de code pour l'envoi et la consultation À propos des abonnements à WildFire et des clés API La clé API de WildFire peut être activée, à condition qu au moins un pare-feu Palo Alto Networks dispose d un abonnement WildFire actif enregistré chez le titulaire d un compte appartenant à votre organisation. Vous pouvez partager la même clé API au sein de votre organisation. La clé API s affiche dans la section My Account (Mon compte) du portail Web WildFire, avec des statistiques, comme le nombre de chargements et de requêtes réalisés avec cette clé. Elle doit être considérée comme étant secrète et ne doit pas être partagée en dehors des canaux autorisés. Utilisation de l API WildFire L API WildFire est une API RESTful qui utilise des requêtes HTTP standard pour envoyer et recevoir des données. Des utilitaires de ligne de commande, comme curl, peuvent directement émettre des appels API ou en utilisant des structures de scripts ou d applications prenant en charge les services RESTful. Les méthodes API sont hébergées à l adresse suivante : et le protocole HTTPS (et non pas HTTP) est requis pour protéger votre clé API et toutes les autres données échangées avec le service. Une clé API WildFire autorise jusqu à 100 chargements d échantillons et jusqu à requêtes de rapport par jour. Méthodes d envoi à l aide de l API WildFire Suivez les méthodes suivantes pour envoyer des fichiers dans WildFire : Envoi d'un fichier au cloud WildFire à l'aide de la méthode Submit File Envoi d'un fichier à WildFire à l'aide de la méthode Submit URL Guide de l'administrateur WildFire 47

52 Chargement de fichiers à l aide de l API WildFire Analyse de fichiers à l aide du cloud WildFire Envoi d un fichier au cloud WildFire à l aide de la méthode Submit File L API WildFire prend en charge les fichiers exécutables Win32. Le fichier et votre clé API sont requis lors de l envoi afin que WildFire puisse ouvrir le fichier dans un environnement bac à sable et l analyser pour identifier d éventuels comportements malicieux. Le code retour de la méthode submit-file indique une réussite ou une erreur. Si le code 200 OK est renvoyé, l envoi a réussi et ses résultats peuvent généralement être consultés au bout de cinq minutes. URL Méthode POST Paramètres file Échantillon de fichier à analyser apikey Votre clé API WildFire Retour 200 OK Réussite ;WildFire va traiter l envoi 401 Unauthorized Clé API non valide 402 Payment Required La clé API est arrivée à expiration 403 Forbidden La clé API a été révoquée 405 Method Not Allowed Utilisation d une méthode autre que POST 406 Not Acceptable Erreur de clé API 413 Request Entity Too Large La taille de l échantillon de fichier dépasse la limite maximale de 10 Mo 418 Unsupported File Type Le type d échantillon de fichier n est pas pris en charge 419 Max Request Reached Dépassement du nombre maximum de chargements quotidiens Envoi d un fichier à WildFire à l aide de la méthode Submit URL La méthode submit-url permet d envoyer un fichier pour l analyser via une URL. L interface et la fonctionnalité de cette méthode sont identiques à la méthode submit-file, sauf que le paramètre file est remplacé par le paramètre url. Le paramètre url doit pointer vers un type de fichier pris en charge et accessible (fichiers exécutables Win32). Si le code 200 OK est renvoyé, l envoi a réussi et ses résultats peuvent généralement être consultés au bout de cinq minutes. URL Méthode POST Paramètres url Échantillon de fichier à analyser apikey Votre clé API WildFire 48 Guide de l'administrateur WildFire

53 Analyse de fichiers à l aide du cloud WildFire Chargement de fichiers à l aide de l API WildFire Retour 200 OK Réussite ;WildFire va traiter l envoi 401 Unauthorized Clé API non valide 402 Payment Required La clé API est arrivée à expiration 403 Forbidden La clé API a été révoquée 405 Method Not Allowed Utilisation d une méthode autre que POST 406 Not Acceptable Erreur de clé API 413 Request Entity Too Large La taille de l échantillon de fichier dépasse la limite maximale de 10 Mo 418 Unsupported File Type Le type d échantillon de fichier n est pas pris en charge 419 Max Request Reached Dépassement du nombre maximum de chargements quotidiens Consultation d un rapport XML WildFire La méthode get-report-xml permet de consulter les résultats d analyse du rapport XML d un échantillon donné. Utilisez le hachage MD5 ou SHA-256 de l échantillon de fichier comme demande de recherche. URL Méthode POST Paramètres md5 Hachage MD5 du rapport consulté ou hachage sha256 comme affiché dans la ligne suivante. sha256 apikey Hachage SHA-256 du rapport consulté Votre clé API WildFire Retour 200 OK Réussite ;WildFire va traiter l envoi 401 Unauthorized Clé API non valide 404 Not Acceptable Le rapport est introuvable 405 Method Not Allowed Utilisation d une méthode autre que POST Guide de l'administrateur WildFire 49

54 Chargement de fichiers à l aide de l API WildFire Analyse de fichiers à l aide du cloud WildFire Les rapports peuvent également être récupérés dans le cloud WildFire selon le numéro de série (device_id) du pare-feu ayant transféré le fichier et l ID de rapport (tid). La valeur tid se trouve dans un fichier CSV, un syslog ou l export de l API d un journal des menaces. URL Méthode POST Paramètres device_id Numéro de série du pare-feu ayant transféré un fichier vers WildFire. report_id format L ID de rapport (tid) se trouve dans un fichier CSV, un syslog ou l export de l API d un journal des menaces. XML Retour 200 OK Réussite ;WildFire va traiter l envoi 401 Unauthorized Clé API non valide 404 Not Acceptable Le rapport est introuvable 405 Method Not Allowed Utilisation d une méthode autre que POST Exemples de code pour l envoi et la consultation L exemple de code shell suivant illustre un script simple permettant d envoyer un fichier à l API WildFire pour analyse. La clé API est fournie en tant que premier paramètre et le chemin d accès au fichier est le second paramètre : #manual upload sample to WildFire with APIKEY #Parameter 1: APIKEY #Parameter 2: location of the file key=$1 file=$2 /usr/bin/curl -i -k -F apikey=$key -F file=@$file La commande curl suivante illustre la requête d un rapport XML à l aide du hachage MD5 d un échantillon donné : curl -i -k -F md5=[md5 HASH] -F apikey=[api KEY] -F La commande curl suivante illustre la requête d un rapport XML à l aide de device_id et de report_id d un échantillon donné : curl -i -k -F device_id=[serial NUMBER] -F report_id=[tid FROM LOG] -F format=xml 50 Guide de l'administrateur WildFire

55 4 Surveillance, suivi et prévention des logiciels malveillants sur votre réseau Ce chapitre décrit le système de création de rapports et de journalisation de WildFire et explique aux administrateurs comment utiliser ces informations pour effectuer un suivi des menaces et identifier les utilisateurs ayant été la cible de logiciels malveillants. À propos des journaux WildFire Surveillance des envois à l'aide du cloud WildFire Personnalisation des paramètres du portail WildFire Comptes utilisateur du portail WildFire Affichage des rapports WildFire Paramétrage des alertes en cas de détection d'un logiciel malveillant WildFire en action Guide de l'administrateur WildFire 51

56 À propos des journaux WildFire Surveillance, suivi et prévention des logiciels malveillants sur votre réseau À propos des journaux WildFire Chaque pare-feu configuré pour transférer des fichiers vers WildFire va consigner l action Forward (Transférer) dans les journaux de filtrage des données et les résultats vont être renvoyés au pare-feu et apparaître dans les journaux WildFire (abonnement à WildFire requis) une fois les fichiers analysés par WildFire. Le rapport d analyse détaillé de chaque fichier est disponible dans le journal WildFire détaillé en cliquant sur le bouton View WildFire Report (Afficher le rapport WildFire). Ce rapport est ensuite extrait de l appliance ou du cloud WildFire. Si aucun abonnement WildFire n est installé et que le pare-feu transfère des fichiers vers le cloud WildFire, le rapport d analyse peut être consulté dans le portail WildFire à l adresse suivante : Si vos pare-feux transfèrent des fichiers vers une appliance WildFire pour analyse, les résultats du journal peuvent uniquement être consultés dans le pare-feu ; il n existe aucun accès direct à l appliance depuis le portail Web. Journaux d action de transfert Les journaux de filtrage des données qui se trouvent dans Monitor > Logs > Data Filtering (Surveillance > Journaux > Filtrage des données) affichent les fichiers qui ont été bloqués/transférés en fonction du profil de blocage des fichiers. Pour déterminer les fichiers qui ont été transférés vers WildFire, recherchez les valeurs suivantes dans la colonne Action (Action) du journal : Journal wildfire-upload-success wildfire-upload-skip Description Le fichier a été envoyé au cloud. Cela signifie que le fichier n est pas signé par un signataire de fichiers approuvé et qu il n a pas encore été analysé par WildFire. S affiche pour tous les fichiers identifiés comme pouvant être envoyés à WildFire par un profil de blocage de fichiers/une politique de sécurité, mais n a pas eu besoin d être analysée par WildFire car elle l a déjà été. Dans ce cas, l action Forward (Transférer) s affiche dans le journal de filtrage des données parce qu elle est valide, mais qu elle n a pas été envoyée à WildFire ni analysée, car elle a déjà été envoyée au cloud WildFire à partir d un autre session, probablement d un autre pare-feu. Si la journalisation des fichiers bénins est activée, wildfire-upload-skip va également s afficher pour les fichiers bénins déjà connus et dont aucun fichier ne doit être envoyé au cloud pour analyse. La journalisation des fichiers bénins est activée à partir de la CLI en exécutant la commande set deviceconfig setting wildfire report-benign-file. 52 Guide de l'administrateur WildFire

57 Surveillance, suivi et prévention des logiciels malveillants sur votre réseau À propos des journaux WildFire Journaux WildFire Les résultats de l analyse des fichiers analysés par WildFire sont renvoyés aux journaux du pare-feu (abonnement à WildFire requis) une fois l analyse terminée. Ces journaux sont écrits dans le pare-feu ayant transféré des fichiers dans Monitor > Logs > WildFire (Surveillance > Journaux > WildFire). Si des journaux sont transférés du pare-feu vers Panorama, ils sont écrits dans le serveur Panorama dans Monitor > Logs > WildFire Submissions (Surveillance > Journaux > Envois WildFire). La colonne Category (Catégorie) des journaux WildFire va afficher benign (bénin) pour un fichier sûr ou malicious (malicieux) pour un fichier contenant un code malicieux d après WildFire. Si un fichier a été déterminé comme étant malicieux, le générateur de signatures de WildFire va générer une signature. Si vous utilisez une appliance WildFire, l envoi automatique doit être activé sur l appliance afin que les fichiers infectés par des logiciels malveillants soient envoyés au cloud WildFire pour y générer des signatures. Pour afficher le rapport détaillé d un fichier ayant été analysé par WildFire, identifiez l entrée dans le journal WildFire, cliquez sur l icône située à gauche de l entrée de journal pour afficher les détails du journal, puis cliquez sur le bouton View WildFire Report (Afficher le rapport WildFire). Une invite de connexion va s afficher pour pouvoir accéder au rapport et une fois les informations d identification correctes saisies, le rapport est extrait du système WildFire et s affiche dans votre navigateur. Pour plus d informations sur les comptes du portail permettant d accéder au cloud WildFire, consultez la section «Comptes utilisateur du portail WildFire» à la page 56. Pour plus d informations sur le compte admin permettant d extraire des rapports d une appliance WildFire, consultez la section «Exécution de la configuration initiale» à la page 10 et l étape décrivant le compte portal-admin (portail-admin). Guide de l'administrateur WildFire 53

58 Surveillance des envois à l aide du cloud WildFire Surveillance, suivi et prévention des logiciels malveillants sur votre réseau Surveillance des envois à l aide du cloud WildFire Accédez au cloud WildFire de Palo Alto Networks à l adresse suivante : puis connectez-vous à l aide de vos informations d identification du support Palo Alto Networks ou de votre compte WildFire. Le portail affiche le tableau de bord, qui répertorie les informations des rapports de synthèse de l ensemble des pare-feux associés à un abonnement WildFire spécifique ou à un compte de support (ainsi que tous les fichiers chargés manuellement). Pour chaque périphérique, des statistiques vont afficher le nombre de fichiers infectés par des logiciels malveillants, les fichiers bénins ayant été analysés et le nombre de fichiers attendant d être analysés. La date et l heure, auxquelles le pare-feu a été enregistré pour la première fois avec le portail pour commencer à transférer des fichiers vers WildFire, s affichent également. Pour plus d informations sur la configuration de comptes WildFire supplémentaires pour passer en revue les informations des rapports, consultez la section «Comptes utilisateur du portail WildFire» à la page Guide de l'administrateur WildFire

59 Surveillance, suivi et prévention des logiciels malveillants sur votre réseau Surveillance des envois à l aide du cloud WildFire Personnalisation des paramètres du portail WildFire Cette section décrit les différents paramètres d un compte du portail pouvant être personnalisés, comme le fuseau horaire et les notifications par dans chaque pare-feu. Vous pouvez également supprimer des journaux dans chaque pare-feu qui transfère des fichiers vers le cloud WildFire. PARAMÈTRES DU PORTAIL WILDFIRE Étape 1 Configurez le fuseau horaire d un compte du portail. Étape 2 Supprimez les journaux WildFire de pare-feux spécifiques. Tous les journaux et notifications vont alors être supprimés du pare-feu sélectionné. Étape 3 Configurez les notifications par qui vont être générées selon les résultats des fichiers soumis à WildFire. 1. Accédez au portail à l adresse suivante : puis connectez-vous à l aide de vos informations d identification du support Palo Alto Networks ou de votre compte utilisateur WildFire. 2. Cliquez sur le lien Settings (Paramètres) situé en haut à droite de la fenêtre du portail. 3. Sélectionnez le fuseau horaire dans la liste déroulante, puis cliquez sur Update Time Zone (Mettre à jour le fuseau horaire) pour enregistrer la modification. Remarque L horodatage qui va s afficher sur le rapport détaillé WildFire va utiliser le fuseau horaire défini sur votre compte de portail. 4. Cliquez sur le lien Settings (Paramètres) une nouvelle fois pour revenir à la page des paramètres. 1. Dans la liste déroulante Delete WildFire Logs (Supprimer les journaux WildFire), sélectionnez le pare-feu (par numéro de série). 2. Cliquez sur le bouton Delete Logs (Supprimer les journaux). 3. Cliquez sur OK pour confirmer la suppression. 1. Dans la page des paramètres du portail, repérez la section Notifications (Notifications par ). Un tableau va s afficher avec les en-têtes de colonnes Device (Périphérique), Malware (Logiciel malveillant) et Benign (Fichier bénin). 2. L élément de la première ligne va afficher Manual (Manuel). Sélectionnez Malware (Logiciel malveillant) et/ou Benign (Fichier bénin) afin de recevoir une notification pour les fichiers manuellement chargés dans le cloud WildFire ou envoyés via l API WildFire. Pour recevoir des notifications relatives aux pare-feux effectuant des transferts vers le cloud WildFire, cochez la case Malware (Logiciel malveillant) et/ou Benign (Fichier bénin) située en regard de chaque pare-feu. Remarque Cochez les cases situées directement sous les en-têtes de colonnes Malware (Logiciel malveillant) et Benign (Fichier bénin) pour sélectionner toutes les cases des périphériques répertoriés. Guide de l'administrateur WildFire 55

60 Comptes utilisateur du portail WildFire Surveillance, suivi et prévention des logiciels malveillants sur votre réseau Comptes utilisateur du portail WildFire Les comptes du portail WildFire sont créés par un super utilisateur (ou le propriétaire enregistré d un périphérique Palo Alto Networks) afin que d autres utilisateurs puissent se connecter au portail Web WildFire et consulter les données WildFire des périphériques auxquels le super utilisateur ou le propriétaire enregistré aura spécialement autorisé l accès. Un super utilisateur est une personne ayant enregistré un pare-feu Palo Alto Networks et qui est titulaire du compte de support principal d un ou de plusieurs périphériques. Un utilisateur WildFire peut être un utilisateur du site de support existant appartenant à n importe quel compte (notamment un sous-compte, un compte parent ou tout autre compte du système) ou ne pas être titulaire d un compte de support Palo Alto Networks et être uniquement autorisé à accéder au portail WildFire et à un ensemble de pare-feux spécifiques. Ajout de comptes utilisateur WildFire Cette section explique les différentes étapes requises pour ajouter des comptes WildFire au cloud WildFire. AJOUT DE COMPTES UTILISATEUR WILDFIRE Étape 1 Accédez à la section de gestion des utilisateurs et des comptes du site de support et sélectionnez un compte. 1. Connectez-vous à l adresse suivante : 2. Sous Manage Account (Gérer un compte), cliquez sur Users and Accounts (Utilisateurs et comptes). 3. Sélectionnez un compte ou un sous-compte existant. Étape 2 Ajoutez un utilisateur WildFire. 1. Cliquez sur le bouton Add WildFire User (Ajouter un utilisateur WildFire). 2. Saisissez l adresse de l utilisateur destinataire que vous souhaitez ajouter. Remarque Il peut s agir d un utilisateur du site de support existant appartenant à n importe quel compte (notamment un sous-compte, un compte parent, un compte Palo Alto Networks ou n importe quel autre compte du système) ainsi que de n importe quelle adresse non associée à un compte de support. La seule restriction étant que l adresse ne doit pas provenir d un compte gratuit basé sur le Web (Gmail, Hotmail, Yahoo, etc.). Si une adresse est saisie pour un domaine qui n est pas pris en charge, une fenêtre contextuelle affiche un avertissement. 56 Guide de l'administrateur WildFire

61 Surveillance, suivi et prévention des logiciels malveillants sur votre réseau Comptes utilisateur du portail WildFire AJOUT DE COMPTES UTILISATEUR WILDFIRE (SUITE) Étape 3 Assignez des pare-feux au nouveau compte utilisateur et accédez au portail WildFire. 1. Sélectionnez un ou plusieurs pare-feux par numéro de série au(x)quel(s) vous voulez autoriser l accès et renseignez les détails facultatifs du compte. 2. Un est ensuite envoyé à l utilisateur. Les utilisateurs titulaires d un compte de support existant vont recevoir un avec une liste des pare-feux permettant désormais de consulter les rapports WildFire. Si un utilisateur ne dispose pas d un compte de support, un va être envoyé avec des instructions indiquant comment accéder au portail et comment configurer un nouveau mot de passe. 3. L utilisateur peut désormais se connecter à et consulter les rapports WildFire des pare-feux dont l accès leur a été autorisé. L utilisateur peut également configurer l envoi d alertes automatiques par pour ces périphériques concernant les fichiers analysés. Il peut choisir de recevoir des rapports de fichiers malicieux et/ou bénins. Guide de l'administrateur WildFire 57

62 Affichage des rapports WildFire Surveillance, suivi et prévention des logiciels malveillants sur votre réseau Affichage des rapports WildFire La principale méthode utilisée pour afficher des rapports WildFire envoyés au cloud WildFire ou à une appliance WildFire consiste à accéder au pare-feu ayant transféré un fichier vers WildFire, puis à cliquer sur l onglet Monitor (Surveillance) pour afficher les journaux WildFire. Cliquez sur l icône Log Detail (Détails du journal) située à gauche de l entrée du journal WildFire pour afficher plus de détails sur la session, puis cliquez sur l icône View WildFire Reports (Afficher les rapports WildFire) pour afficher le rapport d analyse détaillé de WildFire. Si le pare-feu transfère des journaux vers Panorama, ces journaux peuvent être affichés dans Panorama dans la même zone. Lors de l envoi de fichiers vers le portail WildFire (par transfert via un pare-feu, chargement manuel ou l API WildFire), il est possible d accéder aux rapports depuis le pare-feu, mais aussi depuis le portail WildFire. Pour accéder aux rapports depuis le portail, connectez-vous à l adresse suivante : puis cliquez sur le bouton Reports (Rapports) situé en haut de la page du portail WildFire. Une liste s affiche avec la date de réception du fichier, le numéro de série du pare-feu ayant transféré ce fichier (ou la mention Manual (Manuel) si le fichier a été chargé manuellement ou à l aide de l API WildFire) et le nom de fichier ou une URL. Des options de recherche sont également disponibles en haut de la page et des contrôles de pagination sont inclus. Pour afficher un rapport dans le portail, cliquez sur l icône Reports (Rapports) située à gauche du nom du rapport. Pour imprimer un rapport détaillé, utilisez l option Print (Imprimer) du navigateur. Vous trouverez ci-dessous l échantillon d un rapport : Contenu des rapports WildFire Les rapports affichent des informations comportementales détaillées concernant l exécution d un fichier dans le système WildFire, ainsi que des informations sur l utilisateur ciblé, l application contenant le fichier, mais aussi toutes les URL impliquées dans la transmission ou dans l activité phone-home du fichier. Le tableau suivant explique chaque section affichée dans un rapport d analyse WildFire classique. L organisation du rapport peut varier selon la version du logiciel installé sur l appliance WildFire ou si des rapports sont affichés dans le cloud WildFire. Ce rapport contient quelques ou toutes les informations suivantes selon les informations de session définies sur le pare-feu ayant transféré le fichier et selon le comportement observé. 58 Guide de l'administrateur WildFire

63 Surveillance, suivi et prévention des logiciels malveillants sur votre réseau Affichage des rapports WildFire Lors de l affichage du rapport WildFire d un fichier manuellement chargé dans le portail WildFire ou à l aide de l API WildFire, ce rapport ne va afficher aucune information de session car il n a pas été transféré par un pare-feu. Par exemple, le rapport ne va pas afficher le pirate/source et la victime/destination. En-tête du rapport File Information (Informations sur le fichier) Session Information (Informations sur la session) Behavioral Summary (Récapitulatif comportemental) Network Activity (Activité du réseau) Description SHA-256 Affiche les informations SHA du fichier. Les informations SHA s apparentent à une empreinte qui identifie de manière unique un fichier pour s assurer qu il n a subi aucune modification. Si ces informations sont comparées au fichier source d origine et qu elles diffèrent, alors le fichier a été quelque peu modifié. Antivirus Coverage (Protection antivirus) Cliquez sur ce lien pour voir si le fichier a été précédemment identifié. Le site va alors s afficher et contient des informations sur plusieurs fournisseurs d antivirus et indique s ils protègent le fichier infecté. Si le fichier est inconnu des fournisseurs répertoriés, le message File not found (Fichier introuvable) s affiche. Verdict (Verdict) Affiche le verdict de l analyse : Benign (Fichier bénin) Le fichier est sûr et n a pas le comportement d un logiciel malveillant. Malware (Logiciel malveillant) WildFire a identifié le fichier comme étant un logiciel malveillant et va générer une signature pour le protéger contre toute exposition future. Si une appliance WildFire a analysé le fichier et que l envoi automatique est désactivé, le fichier ne sera pas transféré vers le cloud WildFire et aucune signature ne sera donc générée. Affiche des informations relatives à la session qui vont apparaître dans les rapports WildFire. Les paramètres de ces options sont définis sur le pare-feu qui envoie l échantillon de fichier à WildFire et qui est configuré dans l onglet Device > Setup > WildFire (Périphérique > Paramétrage > WildFire) de la section Session Information Settings (Paramètres des informations de session). Vous trouverez ci-dessous une liste des options disponibles : Source IP (IP source) Source Port (Port source) Destination IP (IP de destination) Destination Port (Port de destination) Virtual System (Système virtuel) (si des vsys multiples sont configurés sur le pare-feu) Application (Application) User (Utilisateur) (si User-ID (ID-utilisateur) est configuré sur le pare-feu) URL (URL) Filename (Nom de fichier) Détaille les différents comportements d un fichier. Des exemples montrent s il a créé ou modifié des fichiers, démarré un processus, créé de nouveaux processus, modifié le registre ou installé des objets BHO (Browser Helper Objects). Affiche l activité du réseau générée par l échantillon, comme l accès à d autres hôtes sur le réseau et l activité phone-home. Guide de l'administrateur WildFire 59

64 Affichage des rapports WildFire Surveillance, suivi et prévention des logiciels malveillants sur votre réseau En-tête du rapport Host Activity (Activité de l hôte) Process (Processus) File (Fichier) Description Répertorie toutes les clés de registre qui ont été définies, modifiées ou supprimées. Répertorie les fichiers qui ont démarré un processus parent, le nom du processus et l action exécutée par ce processus. Répertorie les fichiers qui ont démarré des processus enfant, le nom du processus et l action exécutée par ce processus. 60 Guide de l'administrateur WildFire

65 Surveillance, suivi et prévention des logiciels malveillants sur votre réseau Paramétrage des alertes en cas de détection d un logiciel malveillant Paramétrage des alertes en cas de détection d un logiciel malveillant Cette section explique les différentes étapes requises pour configurer un pare-feu Palo Alto Networks afin d envoyer une alerte chaque fois que WildFire renvoie un journal de menaces au pare-feu en indiquant qu un logiciel malveillant a été détecté. Cet exemple explique comment configurer une alerte par . Pour configurer la journalisation syslog, des pièges SNMP et/ou le transfert de journaux vers Panorama, vérifiez que le pare-feu est configuré avec les informations du serveur SNMP et que Panorama gère le pare-feu. Panorama, syslog ou SNMP peuvent ensuite être sélectionnés avec un comme décrit dans les étapes suivantes : Pour plus d informations sur les alertes et le transfert de journaux, consultez la section Guide de mise en route de Palo Alto Networks, ainsi que les sections «Paramétrage des alertes par », «Définition des serveurs Syslog» et «Paramétrage des destinations d un piège SNMP». PARAMÉTRAGE DES ALERTES PAR EN CAS DE DÉTECTION D UN LOGICIEL MALVEILLANT Étape 1. Configurez un profil de serveur de messagerie si aucun n est configuré. 1. Allez dans Device > Server Profiles > (Périphérique > Profils de serveur > Messagerie). 2. Cliquez sur Add (Ajouter), puis donnez un Name (Nom) au profil. Par exemple, WildFire- -Profile (Profil-messagerie-WildFire). 3. (Facultatif) Sélectionnez le système virtuel auquel ce profil s applique dans la liste déroulante Location (Emplacement). 4. Cliquez sur Add (Ajouter) pour ajouter une nouvelle entrée de serveur de messagerie, puis saisissez les informations requises pour vous connecter au serveur SMTP (Simple Mail Transport Protocol) et envoyer un (un maximum de quatre serveurs de messagerie peuvent être ajoutés au profil) : Server (Serveur) Nom identifiant le serveur de messagerie (entre 1 et 31 caractères). Ce champ est un simple intitulé et ne doit pas afficher le nom d hôte d un serveur SMTP existant. Display Name (Nom d affichage) Nom qui s affiche dans le champ From (De) de l . From (De) Adresse de laquelle les s de notification seront envoyés. To (À) Adresse à laquelle les s de notification seront envoyés. Additional Recipient(s) (Autre(s) destinataire(s)) Saisissez une adresse à laquelle les notifications seront envoyées à un second destinataire. Gateway (Passerelle) Adresse IP ou nom d hôte de la passerelle SMTP à utiliser pour envoyer des s. 5. Cliquez sur OK pour enregistrer le profil du serveur. 6. Cliquez sur Commit (Valider) pour enregistrer les modifications de la configuration active. Étape 2 Testez le profil du serveur de messagerie. 1. Allez dans Monitor > PDF Reports > Scheduler (Surveillance > Rapports au format PDF > Planificateur de messagerie). 2. Cliquez sur Add (Ajouter) et sélectionnez le nouveau profil de messagerie dans la liste déroulante Profile (Profil de messagerie). 3. Cliquez sur le bouton de messagerie Send test (Envoyer un test) et un test doit être envoyé aux destinataires définis dans le profil de messagerie. Guide de l'administrateur WildFire 61

66 Paramétrage des alertes en cas de détection d un logiciel malveillant Surveillance, suivi et prévention des logiciels malveillants sur votre réseau PARAMÉTRAGE DES ALERTES PAR EN CAS DE DÉTECTION D UN LOGICIEL MALVEILLANT (SUITE) Étape 3 Configurez un profil de transfert des journaux. Il détermine le trafic surveillé et le niveau de gravité qui va déclencher une notification d alerte. 1. Allez dans Objects > Log Forwarding (Objets > Transfert des journaux). 2. Cliquez sur Add (Ajouter) et donnez un nom au profil. Par exemple, WildFire-Log-Forwarding (Transfert-Journal-WildFire). 3. Dans la section Threat Settings (Paramètres des menaces), sélectionnez le profil de messagerie dans la colonne (Messagerie) pour indiquer un niveau de gravité Medium (Moyenne). La raison pour laquelle une gravité moyenne est utilisée ici est que la gravité des journaux de logiciels malveillants WildFire est Medium (Moyenne). Pour émettre une alerte dans les journaux de fichiers bénins WildFire, sélectionnez la gravité Informational (Informations). 4. Cliquez sur OK pour enregistrer les modifications. Étape 4 Appliquez le profil de transfert des journaux au profil de sécurité contenant le profil de blocage des fichiers. Remarque Si le pare-feu est géré par Panorama, cochez la case Panorama située à droite de la gravité Medium (Moyenne) pour activer le transfert de journaux vers Panorama. Si un serveur SNMP est configuré, sélectionnez le serveur dans la liste déroulante SNMP Trap (Trap SNMP) située à droite de la gravité Medium (Moyenne) pour transférer des pièges vers le serveur SNMP. 1. Allez dans Policies > Security (Politiques > Sécurité) et cliquez sur la politique utilisée pour le transfert WildFire. 2. Dans l onglet Actions (Actions) de la section Log Setting (Paramètre des journaux), cliquez sur la liste déroulante Log Forwarding (Transfert des journaux) et sélectionnez le nouveau profil de transfert des journaux. Dans cet exemple, le nom du profil est WildFire-Log-Forwarding (Transfert-journal-WildFire). 3. Cliquez sur OK pour enregistrer les modifications, puis sur Commit (Valider) pour valider la configuration. Des alertes par doivent désormais être reçues pour les journaux des menaces et WildFire avec une gravité moyenne. 62 Guide de l'administrateur WildFire

67 Surveillance, suivi et prévention des logiciels malveillants sur votre réseau WildFire en action WildFire en action Le scénario de l exemple suivant récapitule le cycle de vie WildFire complet. Dans cet exemple, une représentante commerciale de Palo Alto Networks télécharge un nouvel outil de vente informatique qu un partenaire commercial a chargé sur le site Dropbox. Ce dernier a chargé, sans le savoir, une version infectée du fichier d installation de cet outil de vente que la représentante commerciale va ensuite télécharger. Cet exemple montre comment le pare-feu Palo Alto Networks, associé à WildFire, va détecter un logiciel malveillant au jour 0 téléchargé par vos utilisateurs, même dans le cas d un trafic à chiffrement SSL. Une fois le logiciel malveillant identifié, l administrateur est informé, l utilisatrice ayant téléchargé le fichier est contactée et une nouvelle signature pour prévenir toute exposition future de ce logiciel malveillant est automatiquement téléchargée par le pare-feu. Bien que certains sites Web de partage de fichiers disposent d une fonction antivirus contrôlant les fichiers une fois chargés, ils fournissent uniquement une protection contre les logiciels malveillants «connus». Pour plus d informations sur la configuration de WildFire, consultez la section «Transfert de fichiers vers le cloud WildFire» à la page 36 ou «Transfert de fichiers vers l'appliance WildFire WF-500» à la page 25. Cet exemple utilise un site Web à chiffrement SSL, le déchiffrage doit donc être configuré sur le pare-feu et l option Allow forwarding of decrypted content (Autoriser le transfert du contenu déchiffré) doit être activée. Pour plus d informations sur la configuration du déchiffrement, consultez le Guide de mise en route de Palo Alto Networks. Pour plus d informations sur l activation du transfert de données déchiffrées, consultez la section «Transfert de fichiers vers le cloud WildFire» à la page 36 ou «Transfert de fichiers vers l'appliance WildFire WF-500» à la page 25. EXEMPLE DE SCÉNARIO WILDFIRE Étape 1. Le représentant commercial d une société partenaire charge un fichier contenant un outil de vente nommé sales-tool.exe sur son compte Dropbox, puis envoie un à la représentante commerciale de Palo Alto Networks contenant un lien vers ce fichier. Étape 2 Cette dernière reçoit l et clique sur ce lien de téléchargement qui ouvre le site Dropbox. Puis, elle clique sur Download (Télécharger) et le fichier est enregistré sur son bureau. Guide de l'administrateur WildFire 63

68 WildFire en action Surveillance, suivi et prévention des logiciels malveillants sur votre réseau EXEMPLE DE SCÉNARIO WILDFIRE (suite) Étape 3 Le pare-feu qui la protège dispose d un profil de blocage des fichiers associé à une politique de sécurité qui recherche des fichiers quelle que soit l application utilisée pour télécharger ou charger un type de fichier PE (Portable Executable). Dès que la représentante commerciale clique pour télécharger ce fichier, la politique du pare-feu transfère également le fichier sales-tool.exe vers WildFire pour analyse. Bien que la représentante commerciale utilise DropBox, site doté d un chiffrage SSL, le pare-feu est configuré pour le déchiffrage, tout le trafic peut alors être inspecté et les fichiers transférés vers WildFire. Les captures d écran suivantes montrent le profil de blocage des fichiers, la politique de sécurité configurée avec le profil de blocage des fichiers, ainsi que l option permettant d autoriser le transfert du contenu chiffré. 64 Guide de l'administrateur WildFire

69 Surveillance, suivi et prévention des logiciels malveillants sur votre réseau WildFire en action EXEMPLE DE SCÉNARIO WILDFIRE (suite) Étape 4 À ce stade, WildFire a reçu le fichier et l analyse par rapport à plus de 100 comportements malicieux différents. Pour vérifier que le fichier a été correctement transféré, allez dans Monitor > Logs > Data Filtering (Surveillance > Journaux > Filtrage des données) dans le pare-feu. Étape 5 Dans un délai d environ cinq minutes, WildFire termine l analyse du fichier, puis renvoie un journal WildFire au pare-feu avec les résultats de l analyse. Dans cet exemple, le journal WildFire indique que le fichier est malicieux. Étape 6 Un profil de transfert des journaux qui envoie des alertes par en cas de menaces moyennes est également configuré, ainsi l administrateur de sécurité reçoit immédiatement un concernant le logiciel malveillant que la représentante commerciale a téléchargé. Guide de l'administrateur WildFire 65

70 WildFire en action Surveillance, suivi et prévention des logiciels malveillants sur votre réseau EXEMPLE DE SCÉNARIO WILDFIRE (suite) Étape 7 L administrateur de sécurité identifie l utilisatrice par son nom si User-ID (ID-utilisateur) est configuré ou par son adresse IP si User-ID (ID-utilisateur) n est pas activé. À ce stade, l administrateur peut fermer le réseau ou la connexion VPN que la représentante commerciale utilise et va ensuite contacter le groupe d assistance informatique afin de contrôler et de nettoyer le système avec l utilisatrice. Grâce au rapport d analyse détaillé WildFire, l employé de l assistance informatique peut vérifier si le logiciel malveillant a été exécuté sur le système en observant les fichiers, les processus et les informations détaillées du registre figurant dans le rapport d analyse. En cas d exécution du logiciel malveillant, l employé de l assistance informatique peut essayer de nettoyer le système manuellement ou de créer une nouvelle image. Pour plus d informations sur les champs d un rapport WildFire, consultez la section «Contenu des rapports WildFire» à la page 58. Vue partielle d un rapport d analyse WildFire 66 Guide de l'administrateur WildFire

71 Surveillance, suivi et prévention des logiciels malveillants sur votre réseau WildFire en action EXEMPLE DE SCÉNARIO WILDFIRE (suite) Étape 8 Maintenant que le logiciel malveillant a été identifié et que le système de l utilisatrice est en cours de vérification, que faites-vous pour prévenir toute exposition future? Réponse : Dans cet exemple, l administrateur a défini un calendrier sur le pare-feu pour télécharger et installer des signatures WildFire toutes les 15 minutes et pour télécharger et installer quotidiennement des mises à jour antivirus. Moins d une heure et demie après que la représentante commerciale a téléchargé le fichier infecté, WildFire a identifié un logiciel malveillant au jour 0, généré une signature, l a ajoutée à la base de données des signatures mises à jour WildFire fournie par Palo Alto Networks et le pare-feu a téléchargé la nouvelle signature. Ce pare-feu et tous les autres pare-feux Palo Alto Networks configurés pour télécharger des signatures WildFire protègent désormais les utilisateurs de ce nouveau logiciel malveillant. Tout ceci se produit bien avant que la majorité des fournisseurs d antivirus ne soient informés de ce logiciel malveillant au jour 0. Dans cet exemple, le logiciel malveillant n est plus considéré au jour 0 car Palo Alto Networks est informé de son existence et a déjà fourni une protection à ses clients. Guide de l'administrateur WildFire 67