34. Función de análisis de incendios forestales en Palo Alto Firewal

 

   En este video vamos a entender sobre incendios forestales. Hasta el momento hemos discutido sobre el perfil de antivirus, todos los perfiles que hemos visto funcionan en función a firmas.

Para poder trabajar con esta licencia de WildFire, necesitamos tener una.

Para entender un poco, supongamos que el usuario que esta en la zona interior esta tratando de conectarse a cualquier destino en internet

Supongamos el siguiente escenario donde el usuario sale a internet a un x servidor y ese servidor x esta infectado, el trafico que vuelve a nuestra zona interna corre riesgo de ser infectada.

Pero Gracias A palo Alto cuando vuelve el trafico de retorno del servidor x infectado PA analizara el tráfico ya que tiene una gran base de datos con firmas para la detección de virus, ransomware, spyware, Pero que pasa si el tráfico del servidor x vuelve infectado con un zero day?

PA ademas de contar con una gran base de datos tiene un módulo en la nube utilizado para el descubrimiento de Zero day.

1. tráfico que va al servidor x

2.   tráfico de retorno infectado

3. análisis que hace el PA al base de datos, en caso de no encontrar una firma reconocida lo envía al módulo.

Para habilitar esto vamos a Device / Setup / Content-ID y vamos a habilitar una opción que nos permite reenviar el contenido desencriptado al módulo o portal que se llama Allow Fordwarding of decrypted content

Cuando lo habilitemos nos aparecera la siguiente ventana donde nos aseguraremos que este habilitado.

Ahora lo que tenemos q hacer es el Device / Wildefire y vamos a tocar en la tuerca para ver la configuración.

La WireFire Public Cloud es donde se enviaran los datos para analizarlos por PA

y las demás opciones marcadas es para generar informes de grayware

Le damos OK 

En Session information Setting aquí tendremos todas los informes o casos que vamos a enviar para escanear. Además todas estas informaciones que se comparten con el portal 

La información que le enviaremos estará compuesta por los siguientes:

Y hora lo que debemos hacer es validar de excluir la dirección cloud del portal que analizara si el tráfico retorna infectado.

Vamos a Device / SSL Descryption Exclusion, buscamos wild

Si vemos, tendremos dos opciones, también podrán observar que hay una columna que dice from Descryption que deforma predeterminada están seleccionadas porque esta excluidas del descifrado

La exclusión debe estar habilitada para que esto funcione, esto es un requisito obligatorio.

 El WildFire Analysis que usaremos se encuntra en Onjects y solo utilizaremos el perfil de default 

Este perfil para recordar lo que hace es analizar el tráfico de retorno, si detecta una anomalía o firma que no puede reconocer los envía al portar de análisis Cloud como podrán ver es para todas las aplicaciones y todos los tipos de archivos.

Aqui no hacemos nada, solo utilizaremos el que ya tiene PA

Ahora vamos a Nuestra policy de seguridad Security-Policy-1 para agregar este perfil.

Ok, ahora guardemos y hagamos un Gran commit

Luego que termine volvemos ala pc User 1 y usando nuestro portal de archivos de prueba de analisis de Wil, podremos descargar archivos

Ahora accedemos a google o Mozila

Vamos a buscar los siguiente: wildfire test file download y accederemos al siguiente site.

y descargaremos el siguiente archivo.

Dele clic alguno de esos.

Si ustedes validan bien, vera que nunca se termina de descargar.

Ahora si vamos al monitor

Algo importante es que lo datos no aparecerán rápido ya que PA lo esta mandando a analizar en el portal Cloud.