※記事の内容はPAN-OS6.1.xが対象です
パロアルトネットワークス次世代ファイアウォールの機能の1つに、「WildFIre」というサンドボックス型の未知マルウェア検知機能があります。
デフォルトのアップロード先
解析対象のファイル形式などを設定し、該当するファイルが通信に含まれていた場合にファイルをクラウドサーバにアップロードします。
アップロード先のクラウドサーバの設定はデフォルトでは、「wildfire-public-cloud」になっています。
[Device]>[セットアップ]>[WildFire]
「wildfire-public-cloud」の場合、下記ロケーションから最も遅延が少ないサーバが選出されます。
- 日本
- アメリカ
- ヨーロッパ
- シンガポール
UP先を国内企業のデータセンターに変更する
上記はAmazon AWS上のサーバとなり、ユーザによっては国内企業のデータセンターに送りたい場合もあると思います。
アップロード先のサーバは以下の設定で変更可能です。
[Device]>[セットアップ]>[WildFire]
”WildFIreサーバ”の値を「wildfire.paloaltonetworks.jp」に変更し、Commitします。
この設定で、国内企業のデータセンターにファイルをアップロードすることが可能になります。
設定変更後の確認
設定後、正しく動作するかを確認します。
WildFireの動作を確認するには、以下のファイルを使うと便利です。
リンク先にアクセスすると、"wildfire-test-pe-file.exe"がダウンロードされます。
このファイルはテスト用のファイルで、必ずWildFireにアップロードされます。
(判定は"malicious"となります)
以下の画像は、設定変更前と後のWildFireログです。
下が設定変更前、上が設定変更後です。
変更後、「wildfire.paloaltonetworks.jp」に正常にアップロードされたことが確認できます。
次世代ファイアウォールのログ解析ツールをOSSで提供しています。
