Palo Alto Networks. Guía del administrador de WildFire Versión 6.1

Palo Alto Networks Guía del administrador de WildFire Versión 6.1

Información de contacto Sede de la empresa: Palo Alto Networks 4401 Great America Parkway Santa Clara, CA 95054 http://www.paloaltonetworks.com/contact/contact/ Acerca de esta guía Esta guía describe las tareas administrativas necesarias para utilizar y mantener la función Palo Alto Networks WildFire. Los temas tratados incluyen información de licencias, la configuración de cortafuegos para reenviar archivos para su inspección, la visualización de informes y cómo configurar y gestionar el Dispositivo WF-500 WildFire. Consulte las siguientes fuentes para obtener más información: Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el cortafuegos, consulte https://www.paloaltonetworks.com/documentation. Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consulte https://live.paloaltonetworks.com. Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com. Para leer las notas sobre la última versión, vaya la página de descarga de software en https://support.paloaltonetworks.com/updates/softwareupdates. Para enviar sus comentarios sobre la documentación, diríjase a: documentation@paloaltonetworks.com. Palo Alto Networks www.paloaltonetworks.com 2014 Palo Alto Networks. Todos los derechos reservados. Palo Alto Networks y PAN-OS son marcas comerciales registradas de Palo Alto Networks, Inc. Fecha de revisión: abril 27, 2015 ii

Contenido Descripción general de WildFire...................................1 Acerca de WildFire....................................................................... 2 Conceptos de WildFire.................................................................... 5 Reenvío de archivos y enlaces de correo electrónico........................................ 5 Tipos de archivos admitidos............................................................ 5 Espacios aislados virtuales de WildFire................................................... 6 Firmas de WildFire................................................................... 6 Análisis de enlaces de correo electrónico de WildFire....................................... 7 Alertas de WildFire................................................................... 8 Generación de logs e informes de WildFire............................................... 8 Muestras de prueba de malware........................................................ 10 Implementaciones de WildFire............................................................ 11 Requisitos para la suscripción a WildFire.................................................... 13 Prácticas recomendadas para mantener las firmas actualizadas................................... 15 Referencia: capacidad de reenvío de archivos del cortafuegos según la plataforma................... 16 Análisis de archivos del dispositivo WF-500.........................17 Acerca del dispositivo WF-500............................................................ 18 Configuración del dispositivo WF-500...................................................... 19 Requisitos para la configuración del dispositivo WF-500.................................... 19 Integración del dispositivo WF-500 en una red........................................... 20 Verificación de la configuración del dispositivo WF-500.................................... 25 Configuración de la interfaz VM en el dispositivo WF-500...................................... 28 Descripción general de la interfaz de máquina virtual...................................... 28 Configuración de la interfaz VM en el dispositivo WF-500.................................. 29 Configuración del cortafuegos para controlar el tráfico de la interfaz VM de WF-500............ 31 Gestión de actualizaciones de contenido en el dispositivo WF-500............................... 33 Instalación directa de actualizaciones de contenido desde el servidor de actualizaciones........... 33 Instalación de actualizaciones de contenido desde un servidor habilitado para SCP.............. 35 Reenvío de archivos a un dispositivo WF-500................................................ 36 Configuración de un cortafuegos para reenviar muestras a un dispositivo WF-500............... 36 Comprobación del reenvío a un dispositivo WF-500....................................... 40 Generación de firmas/url en un dispositivo WF-500......................................... 45 Habilitación de la generación firmas/url en el dispositivo WF-500.......................... 45 Configuración del cortafuegos para recuperar actualizaciones de un dispositivo WF-500.......... 46 Actualización del dispositivo WF-500 y habilitación de la compatibilidad con Windows 7 de 64 bits.... 48 Guía del administrador de GlobalProtect iii

Análisis de archivo de la nube de WildFire.......................... 51 Reenvío de muestras a la nube de WildFire.................................................. 52 Verificación del reenvío a la nube de WildFire................................................ 56 Carga de archivos mediante el portal de la nube de WildFire.................................... 61 Elaboración de informes de WildFire.............................. 63 Logs de WildFire....................................................................... 64 Habilitación de información de encabezados de correo electrónico en logs de WildFire.............. 66 Supervisión de envíos con el portal de WildFire.............................................. 68 Personalización de la configuración del portal de WildFire...................................... 69 Adición de cuentas de usuario del portal de WildFire.......................................... 70 Visualización de informes de WildFire...................................................... 72 Contenido del informe de WildFire........................................................ 73 Configuración de alertas para el malware detectado........................................... 78 WildFire en acción...................................................................... 81 API de WildFire............................................... 87 Acerca de las suscripciones a WildFire y las claves de API...................................... 88 Uso de la API de WildFire................................................................ 89 Métodos de envío de archivos de la API de WildFire.......................................... 90 Envío de un archivo a la nube de WildFire mediante el método de envío de archivos............ 90 Envío de un archivo a WildFire mediante el método de envío de URL........................ 90 Consulta de un informe PDF o XML de WildFire............................................ 92 Uso de la API para recuperar un archivo de prueba de malware de muestra........................ 93 Uso de la API para recuperar un archivo de muestra o PCAP............................... 93 Uso de la API de WildFire en un dispositivo WF-500.......................................... 96 Generación de claves de API en el dispositivo WildFire.................................... 96 Gestión de claves de API en el dispositivo WildFire....................................... 97 Uso de la API de WildFire en un dispositivo WildFire..................................... 98 Referencia de la CLI del software del dispositivo WildFire............. 101 Conceptos de la CLI del software del dispositivo WildFire..................................... 102 Estructura de la CLI del software del dispositivo WildFire................................. 102 Convenciones de comandos de la CLI del software del dispositivo WildFire.................. 102 Mensajes de comandos de la CLI del dispositivo WildFire................................. 103 Símbolos de opciones de comandos................................................... 103 Niveles de privilegio................................................................ 105 Modos de comando de la CLI de WildFire................................................. 106 Modo de configuración............................................................. 106 Modo de operación................................................................ 110 Acceso a la CLI....................................................................... 111 Establecimiento de una conexión directa con la consola................................... 111 Establecimiento de una conexión de SSH.............................................. 111 iv Guía del administrador de WildFire

Uso de la CLI......................................................................... 111 Acceso a los modos de operación y configuración........................................ 112 Mostrar opciones de comandos de la CLI del software del dispositivo WildFire................ 112 Restricción de resultados de comandos................................................. 113 Establecimiento del formato de salida para comandos de configuración...................... 114 Referencia de comandos del modo de configuración.......................................... 115 set deviceconfig setting wildfire....................................................... 115 set deviceconfig system update-schedule................................................ 117 set deviceconfig system vm-interface................................................... 118 Referencia de comandos del modo de operación............................................. 120 create wildfire api-key............................................................... 120 delete wildfire api-key............................................................... 121 delete wildfire-metadata............................................................. 122 edit wildfire api-key................................................................. 123 load wildfire api-key................................................................ 124 request system raid................................................................. 125 request system wildfire-vm-image..................................................... 126 request wf-content................................................................. 127 save wildfire api-key................................................................ 128 set wildfire portal-admin............................................................. 129 show system raid................................................................... 130 show wildfire...................................................................... 131 test wildfire registration............................................................. 135 Guía del administrador de WildFire v

vi Guía del administrador de WildFire

Descripción general de WildFire WildFire ofrece detección y prevención de malware de día cero mediante una combinación de detección de malware basada en firmas, espacios aislados y bloqueo del malware. WildFire amplía las capacidades de los cortafuegos de próxima generación de Palo Alto Networks para identificar y bloquear el malware de destino y desconocido. En los siguientes temas se describen el sistema WildFire y cómo integrarlo en su entorno: Acerca de WildFire Conceptos de WildFire Implementaciones de WildFire Requisitos para la suscripción a WildFire Prácticas recomendadas para mantener las firmas actualizadas Referencia: capacidad de reenvío de archivos del cortafuegos según la plataforma Guía del administrador de WildFire 1

Acerca de WildFire Descripción general de WildFire Acerca de WildFire El malware moderno es el eje de la mayoría de los ataques a la red más sofisticados de la actualidad, y cada vez se personaliza más para burlar las soluciones de seguridad tradicionales. Palo Alto Networks ha desarrollado un enfoque integrado que permite controlar todo el ciclo de vida del malware, lo que incluye la prevención de infecciones, la identificación de malware de día cero (malware no detectado) o malware específico (dirigido a un sector o una corporación concretos), así como la localización y eliminación de infecciones activas. El motor de WildFire de Palo Alto Networks expone el malware específico y de día cero mediante la observación directa en un entorno virtual en el sistema WildFire. La funcionalidad WildFire hace, además, un uso extensivo de la tecnología App-ID de Palo Alto Networks identificando las transferencias de archivos en todas las aplicaciones, no solo en los archivos adjuntos del correo electrónico o en las descargas de archivos del explorador. Para obtener información sobre la política de privacidad del sistema WildFire de Palo Alto Networks, consulte https://live.paloaltonetworks.com/docs/doc-2880. En la Ilustración: Flujo de trabajo de decisiones de WildFire de alto nivel se muestra el flujo de trabajo básico de WildFire y en la Ilustración: Flujo de decisiones de WildFire detallado se describe el ciclo de vida completo de WildFire desde el momento en el que un usuario descarga un archivo malintencionado hasta el momento en el que WildFire genera una firma que utilizarán los cortafuegos de Palo Alto Networks como medida de protección frente a la futura exposición al malware. En el flujo de trabajo de decisiones de WildFire de alto nivel se describe el flujo de trabajo para la descarga de un archivo. El análisis de un enlace HTTP/HTTPS incluido en un mensaje de correo electrónico es muy similar, pero hay algunas ligeras diferencias. Para obtener información detallada sobre el análisis de vínculos de correo electrónico, consulte Análisis de enlaces de correo electrónico de WildFire. 2 Guía del administrador de WildFire

Descripción general de WildFire Acerca de WildFire Ilustración: Flujo de trabajo de decisiones de WildFire de alto nivel Guía del administrador de WildFire 3

Acerca de WildFire Descripción general de WildFire Ilustración: Flujo de decisiones de WildFire detallado 4 Guía del administrador de WildFire

Descripción general de WildFire Conceptos de WildFire Conceptos de WildFire Reenvío de archivos y enlaces de correo electrónico Tipos de archivos admitidos Espacios aislados virtuales de WildFire Firmas de WildFire Análisis de enlaces de correo electrónico de WildFire Alertas de WildFire Generación de logs e informes de WildFire Muestras de prueba de malware Reenvío de archivos y enlaces de correo electrónico Con la solución integrada entre WildFire y los cortafuegos de Palo Alto Networks, puede configurar el cortafuegos con un perfil de bloqueo de archivos y adjuntarlo a una regla de la política de seguridad que indique al cortafuegos que reenvíe automáticamente las muestras al sistema WildFire para el análisis de amenazas. Las muestras pueden ser tipos de archivos específicos o enlaces HTTP/HTTPS incluidos en mensajes SMTP o POP3. Si un usuario descarga una muestra de archivo en una sesión que coincide con la regla de seguridad, el cortafuegos realiza una comprobación del hash de archivo con WildFire para determinar si WildFire ha analizado previamente la muestra. Si el archivo es nuevo, se reenvía para su análisis incluso si se incluye en un archivo ZIP o en HTTP comprimido. En el caso de un enlace de correo electrónico, el cortafuegos extrae los enlaces HTTP/HTTPS de los mensajes de correo electrónico SMTP y POP3 que coinciden con la política de reenvío y reenvía el enlace a WildFire (consulte Análisis de enlaces de correo electrónico de WildFire. Además, puede configurar el cortafuegos para que reenvíe los archivos en sesiones de SSL cifradas si la función de descifrado SSL está habilitada. Para obtener información sobre la configuración del reenvío, consulte Reenvío de archivos a un dispositivo WF-500 o Reenvío de muestras a la nube de WildFire. Tipos de archivos admitidos WildFire puede analizar los siguientes tipos de archivos: Enlace de correo electrónico: Enlaces de correo electrónico HTTP/HTTPS incluidos en mensajes de correo electrónico SMTP y POP3. Observe que el cortafuegos solo extrae enlaces e información de sesión asociada (emisor, receptor y asunto) de los mensajes de correo electrónico que atraviesan el cortafuegos; no recibe, almacena, reenvía ni ve el mensaje de correo electrónico. El dispositivo WF-500 no es compatible con el análisis de enlaces de correo electrónico. Flash: Applets de Adobe Flash y contenido de Flash insertado en páginas web. APK: Paquete de aplicaciones para Android. No es compatible con el dispositivo WF-500. PDF: Portable Document Format. Guía del administrador de WildFire 5

Conceptos de WildFire Descripción general de WildFire JAR: Applet de Java (tipos de archivos JAR/de clase). El dispositivo WF-500 analiza el contenido de Java, pero no genera firmas para las muestras malintencionadas. Debe descargar la muestra del log de envío de WildFire y cargarla en la nube de WildFire para la generación de firmas. PE: Archivo portable ejecutable que incluye archivos ejecutables, código de objeto, DLL, FON (fuentes), etc. MS Office: Archivos de Microsoft Office, como documentos (doc, docx, rtf), libros (xls, xlsx) y PowerPoint (ppt, pptx). A partir de la actualización de contenido 450, WildFire puede generar firmas de antivirus para documentos de Office Open XML (OOXML) 2007+ para determinar si el contenido es malintencionado y proporcionar las firmas mediante WildFire y las actualizaciones de antivirus, lo que permite que el cortafuegos genere una alerta o bloquee el contenido malintencionado de estos tipos de archivos. No se requiere una suscripción a WildFire en el cortafuegos para el reenvío de los tipos de archivos PE a WildFire para su análisis, pero sí se requiere para analizar los demás tipos de archivos admitidos. Espacios aislados virtuales de WildFire WildFire ejecuta los archivos sospechosos que recibe en un entorno virtual y observa su comportamiento para determinar si muestran signos de actividades malintencionadas, como cambios en la configuración de seguridad del explorador, introducción de código en otros procesos, modificación de archivos de las carpetas del sistema Windows o dominios a los que la muestra ha intentado acceder. Cuando el motor de WildFire completa el análisis, genera un informe experto detallado que resume los comportamientos observados y asigna un veredicto para indicar si se trata de malware o no. De forma similar, WildFire extrae los enlaces HTTP/HTTPS de los mensajes de correo electrónico SMTP y POP3, y visita los enlaces para determinar si las páginas web correspondientes contienen vulnerabilidades de seguridad. Si WildFire detecta un comportamiento malintencionado, genera un informe, envía la dirección URL a PAN-DB y clasifica la dirección URL como malware. Tenga en cuenta que WildFire no genera logs para enlaces de correo electrónico benignos. WildFire ofrece compatibilidad con espacios aislados para los siguientes sistemas operativos: Microsoft Windows XP de 32 bits Microsoft Windows 7 de 32 bits Microsoft Windows 7 de 64 bits Firmas de WildFire Las ventajas clave de la función WildFire de Palo Alto Networks son que permite detectar malware de día cero en el tráfico web (HTTP/HTTPS), los protocolos de correo electrónico (SMTP, IMAP y POP) y el tráfico FTP, y permite generar firmas rápidamente como método de protección frente a futuras infecciones por el malware detectado. WildFire genera automáticamente una firma basada en la carga útil de malware de la muestra y comprueba su precisión y seguridad. Dado que el malware evoluciona rápidamente, las firmas que genera WildFire cubrirán diversas variantes de este. Cuando WildFire detecta nuevo malware, genera nuevas firmas en 15-30 minutos. Los cortafuegos equipados con una suscripción a WildFire pueden recibir las nuevas firmas en 15 minutos. Si no tiene una suscripción a WildFire, las firmas estarán disponibles en un plazo de 24-48 horas como parte de la actualización de antivirus de los cortafuegos con una suscripción a Threat Prevention. 6 Guía del administrador de WildFire

Descripción general de WildFire Conceptos de WildFire En cuanto el cortafuegos descarga e instala la nueva firma, todos los archivos que contienen el malware (o una variante de este) son eliminados automáticamente por el cortafuegos. La información recopilada por WildFire durante el análisis del malware también se utiliza para reforzar otras funciones de Threat Prevention, como la adición de direcciones URL de malware a PAN-DB y la generación de firmas DNS y de antivirus y antispyware. Palo Alto Networks también desarrolla firmas para el tráfico de comandos y control, lo que permite la interrupción inmediata de la comunicación de cualquier tipo de malware en la red. Si desea más información sobre las ventajas de tener una suscripción de WildFire, consulte Requisitos para la suscripción a WildFire. Análisis de enlaces de correo electrónico de WildFire El cortafuegos no reenvía los archivos a WildFire para el análisis de amenazas únicamente, sino que también extrae los enlaces HTTP/HTTPS incluidos en los mensajes de correo electrónico SMTP y POP3 y reenvía estos enlaces a la nube de WildFire para su análisis. Esta función no es compatible con el dispositivo WF-500. Para habilitar esta función, configure el cortafuegos para que reenvíe el tipo de archivo de enlace de correo electrónico. Observe que el cortafuegos solo extrae enlaces e información de sesión asociada (emisor, receptor y asunto) de los mensajes de correo electrónico que atraviesan el cortafuegos; no recibe, almacena, reenvía ni ve el mensaje de correo electrónico. Después de recibir un enlace de correo electrónico de un cortafuegos, WildFire visita los enlaces para determinar si la página web correspondiente alberga alguna explotación. Si WildFire determina que la página es benigna, no genera un log. Sin embargo, si detecta un comportamiento malintencionado en la página, confirma la existencia de actividad malintencionada y: Genera un informe de análisis detallado y lo incluye en el log de envío de WildFire en el cortafuegos que ha reenviado los enlaces. Este log incluye ahora la información del encabezado del mensaje de correo electrónico (remitente, destinatario y asunto del mensaje de correo electrónico) para que pueda identificar el mensaje y eliminarlo del servidor de correo o hacer un seguimiento del destinatario y mitigar la amenaza si el mensaje de correo electrónico ya se ha entregado o abierto. Añade la dirección URL a PAN-DB y la clasifica como malware. Tenga en cuenta que si el enlace se corresponde con la descarga de un archivo, WildFire no analiza el archivo. No obstante, el cortafuegos reenvía el archivo correspondiente a WildFire para su análisis si el usuario final hace clic en el enlace para descargarlo siempre que el tipo de archivo correspondiente esté habilitado para el reenvío. El cortafuegos reenvía los enlaces de correo electrónico en lotes de 100 o cada dos minutos (la opción más rápida). Cada lote cargado en WildFire se corresponde con una carga según la capacidad de carga por minuto de la plataforma del cortafuegos (Referencia: capacidad de reenvío de archivos del cortafuegos según la plataforma). Para determinar si el cortafuegos está reenviando enlaces de correo electrónico, ejecute el siguiente comando en el cortafuegos configurado para el reenvío a WildFire: admin@pa-200> show wildfire statistics Consulte la sección del contador file type: email-link debajo de Counters for file forwarding. Cuando los enlaces de correo electrónico se reenvían, el valor de los siguientes contadores aumenta: FWD_CNT_APPENDED_BATCH: Indica el número de enlaces de correo electrónico añadidos a un lote en espera para cargarse en WildFire. FWD_CNT_LOCAL_FILE: Indica el número total de enlaces de correo electrónico cargados en WildFire. Guía del administrador de WildFire 7

Conceptos de WildFire Descripción general de WildFire Para asegurarse de aprovechar al máximo las ventajas de esta función, confirme lo siguiente en cada cortafuegos que reenvíe muestras a WildFire: Hay una suscripción a WildFire válida instalada. Las actualizaciones de contenido de WildFire se han configurado para su descarga e instalación frecuentes (cada 15 minutos como mínimo). PAN-DB es el proveedor de filtrado de URL activo. Alertas de WildFire El cortafuegos puede generar una notificación instantánea siempre que detecte malware en la red mediante el envío de alertas por correo electrónico, mensajes de Syslog o capturas de SNMP. Esto permite identificar rápidamente qué usuario ha descargado el malware y eliminarlo antes de que provoque daños graves o se propague a otros usuarios. Además, cada firma generada por WildFire se propaga automáticamente a todos los cortafuegos de Palo Alto Networks protegidos con suscripciones a Threat Prevention o WildFire, lo que ofrece una protección automática frente al malware detectado en redes de todo el mundo. Generación de logs e informes de WildFire Para cada muestra analizada por WildFire, este sistema genera un informe del comportamiento detallado unos minutos después del envío de la muestra. Estos informes están disponibles en el log de envío de WildFire del cortafuegos, el portal de WildFire o mediante consultas a la API de WildFire. Los informes muestran información detallada del comportamiento de la muestra e información sobre el usuario de destino, la aplicación que ha entregado el archivo y todas las direcciones URL involucradas en la entrega o en la actividad de llamadas a casa del archivo. Si desea más información sobre cómo acceder a los informes y a las descripciones de los campos de los informes, consulte Visualización de informes de WildFire. En la siguiente captura de pantalla se muestra parte del informe de una muestra para el análisis de un archivo. A continuación, se incluye una captura de pantalla del informe de análisis de un enlace de correo electrónico. 8 Guía del administrador de WildFire

Descripción general de WildFire Conceptos de WildFire Guía del administrador de WildFire 9

Conceptos de WildFire Descripción general de WildFire Muestras de prueba de malware Palo Alto Networks proporciona un sistema de malware de muestra que puede utilizar para probar la configuración de WildFire. Antes de descargar el archivo para probar la configuración, asegúrese de configurar el cortafuegos según los procedimientos descritos en Reenvío de archivos a un dispositivo WF-500 o Reenvío de muestras a la nube de WildFire. A continuación se indica información sobre el archivo de prueba: Cada vez que accede a la dirección URL de prueba, el servidor genera un archivo único llamado wildfire-test-pe-file.exe e inicia una descarga. Cada archivo de prueba tiene además un valor de hash SHA-256 único. El resultado del archivo siempre será que es malintencionado. Aunque WildFire genera una firma para el archivo de prueba, esta firma se deshabilita y no se distribuye al servidor de actualizaciones de Palo Alto Networks. Si la generación de firmas está habilitada en un dispositivo WF-500, este no genera ninguna firma para el archivo de prueba. Para acceder al archivo de prueba de malware, seleccione el siguiente enlace y cópielo y péguelo en un explorador: http://wildfire.paloaltonetworks.com/publicapi/test/pe. Si ha habilitado el descifrado en el cortafuegos, puede acceder a la versión cifrada del sitio si sustituye HTTP por HTTPS. Después de descargar el archivo, consulte el log Filtrado de datos del cortafuegos para determinar si el archivo se ha reenviado y, después de unos cinco minutos, busque los resultados en el log Envío de WildFire. Para obtener información sobre cómo comprobar la configuración de WildFire, consulte Comprobación del reenvío a un dispositivo WF-500 y Verificación del reenvío a la nube de WildFire. Para obtener información sobre las pruebas de la API de WildFire, consulte Uso de la API para recuperar un archivo de prueba de malware de muestra. 10 Guía del administrador de WildFire

Descripción general de WildFire Implementaciones de WildFire Implementaciones de WildFire El cortafuegos de próxima generación de Palo Alto Networks admite las siguientes implementaciones de WildFire: Nube de WildFire: En esta implementación, un cortafuegos de Palo Alto Networks reenvía los archivos al entorno de WildFire alojado, que pertenece y es mantenido por Palo Alto Networks. Cuando WildFire detecta nuevo malware, genera nuevas firmas en 15-30 minutos. Los cortafuegos equipados con una suscripción a WildFire pueden recibir las nuevas firmas en 15 minutos. Los cortafuegos con solamente una suscripción a Threat Prevention pueden recibir las nuevas firmas en la siguiente actualización de firmas de antivirus en 24-48 horas. Los servidores de nube de WildFire disponibles son wildfire-public-cloud para la nube de WildFire alojada en EE. UU. y wildfire.paloaltonetworks.jp para la nube de WildFire alojada en Japón. Es posible que desee utilizar el servidor de Japón si no desea que se envíen archivos buenos a los servidores de nube de EE. UU. Si se envía un archivo a la nube de Japón y WildFire determina que es malintencionado, la nube de Japón lo reenvía a los servidores de nube de EE. UU., donde WildFire lo vuelve a analizar para confirmar si es malintencionado. Si los cortafuegos se encuentran en Japón, observará una respuesta más rápida en el caso del envío de muestras y la generación de informes. Dispositivo WildFire: En esta implementación, debe instalar un dispositivo WF-500 en su red corporativa y configurar los cortafuegos de Palo Alto Networks para reenviar los archivos al dispositivo en lugar de a la nube de WildFire de Palo Alto Networks (opción predeterminada). Esta implementación impide que el cortafuegos tenga que enviar archivos fuera de la red para su análisis. De forma predeterminada, el dispositivo no envía ningún archivo fuera de la red a menos que habilite explícitamente la función de envío de muestras a inteligencia de la nube. Esta función permite que el dispositivo reenvíe el malware detectado a la nube de WildFire de Palo Alto Networks, donde se analizan los archivos y se generan firmas para las muestras malintencionadas. A continuación, los servidores de actualización proporcionan estas firmas a todos los cortafuegos de Palo Alto Networks suscritos a Threat Prevention o WildFire. El dispositivo se puede configurar además para generar firmas localmente según las muestras que recibe de los cortafuegos conectados o mediante el envío de las muestras con la API XML de WildFire. Para obtener más información, consulte Generación de firmas/url en un dispositivo WF-500. Un único dispositivo WildFire puede recibir y analizar archivos de hasta 100 cortafuegos de Palo Alto Networks. A continuación se describen las diferencias principales entre las implementaciones de la nube de WildFire y el dispositivo WildFire: El dispositivo WildFire habilita la creación de un espacio aislado local para el malware de modo que los archivos buenos nunca salgan de su red. De forma predeterminada, el dispositivo WildFire no reenvía ningún archivo a la nube de WildFire, pero puede configurar la opción de inteligencia de la nube en el dispositivo para reenviar las muestras malintencionadas o los informes sobre muestras malintencionadas a Palo Alto Networks. Si no desea que el dispositivo envíe muestras de malware a Palo Alto Networks, se recomienda configurar el dispositivo para que envíe como mínimo informes del malware. Estos informes ayudarán a Palo Alto Networks a recopilar información estadística sobre el malware para comprender mejor la prevalencia del malware y determinar el nivel de propagación del malware. El dispositivo WF-500 no tiene un portal de WildFire, pero puede configurar la inteligencia de la nube en el dispositivo para enviar los archivos automáticamente a la nube de WildFire. Además, puede descargar muestras de los informes de WildFire y, a continuación, cargarlas en el portal o utilizar la API XML de WildFire para enviar los archivos a la nube. Después de cargar los archivos manualmente en el portal, las muestras aparecen en el portal como una carga manual (consulte Carga de archivos mediante el portal de la nube de WildFire). En el caso de las muestras reenviadas por un cortafuegos de Palo Alto Networks a un dispositivo WF-500 o a la nube de WildFire, los informes siempre están disponibles en el log de envío de WildFire del cortafuegos. Guía del administrador de WildFire 11

Implementaciones de WildFire Descripción general de WildFire En la nube de WildFire se ejecutan varias máquinas virtuales para representar la variedad de sistemas operativos y aplicaciones utilizados al ejecutar los archivos de muestra. En el dispositivo WF-500 hay varias máquinas virtuales disponibles, pero solamente puede haber una activa para el análisis de archivos. Antes de seleccionar la máquina virtual que se va a utilizar, revise los atributos de las máquinas virtuales disponibles y seleccione la que mejor se adapte a su entorno. Aunque configure el dispositivo WF-500 para utilizar una sola configuración de la imagen de máquina virtual, el dispositivo utiliza varias instancias de la imagen para realizar análisis con el fin de aumentar el rendimiento. Para obtener información sobre cómo visualizar y seleccionar la máquina virtual, consulte Integración del dispositivo WF-500 en una red. 12 Guía del administrador de WildFire

Descripción general de WildFire Requisitos para la suscripción a WildFire Requisitos para la suscripción a WildFire WildFire ofrece detección y prevención de malware de día cero mediante una combinación de detección de malware basada en firmas y en aislamiento y bloqueo del malware. No se requiere ninguna suscripción para usar WildFire para el aislamiento de archivos enviados desde cortafuegos de Palo Alto Networks a la nube de WildFire. Para que el cortafuegos detecte y bloquee el malware conocido detectado por WildFire, requiere una suscripción a Threat Prevention o WildFire. La suscripción a Threat Prevention permite que el cortafuegos reciba diariamente actualizaciones de firmas de antivirus, lo que proporciona protección para todas las muestras de malware que WildFire detecta globalmente. Asimismo, la suscripción de Threat Prevention proporciona acceso a actualizaciones semanales de contenido que incluyen protección frente a vulnerabilidades y firmas antispyware. Para habilitar un dispositivo WF-500 para el análisis local, solamente necesita instalar una licencia de asistencia técnica. Esto permite que el dispositivo se comunique con el servidor de actualizaciones de Palo Alto Networks para descargar imágenes de los sistemas operativos y actualizaciones diarias del contenido. Las actualizaciones de contenido permiten generar firmas en el dispositivo WF-500 local y equipar el dispositivo con la información sobre amenazas más actualizada para garantizar la detección de malware precisa y aumentar la capacidad del dispositivo para diferenciar el contenido malintencionado del contenido benigno. Para aprovechar todas la ventajas del servicio de WildFire, cada cortafuegos debe tener una suscripción a WildFire, lo que permite lo siguiente: Actualizaciones dinámicas de WildFire: Nuevas firmas de malware con frecuencias inferiores a una hora. Se pueden configurar en Dispositivo > Actualizaciones dinámicas. Entre 15 y 30 minutos después de que WildFire identifique una muestra malintencionada, WildFire genera una nueva firma de malware y la distribuye mediante las actualizaciones dinámicas de WildFire, que el cortafuegos puede sondear cada 15, 30 o 60 minutos. Puede configurar el cortafuegos para que realice acciones específicas en las firmas de malware con independencia de las acciones de firma de antivirus periódicas del perfil de antivirus. Las firmas de WildFire entregadas en la actualización dinámica incluyen las generadas para el malware detectado en archivos enviados a WildFire por todos los clientes de Palo Alto Networks WildFire, no solo las muestras de archivos que envía el cortafuegos a WildFire. WildFire tarda aproximadamente de 15 a 30 minutos en generar una firma y ponerla a disposición de los suscriptores después de la detección de malware. Los cortafuegos equipados con una suscripción de WildFire pueden sondear la existencia de nuevas firmas de malware cada 15, 30 o 60 minutos. Por ejemplo, si el cortafuegos se ha configurado para sondear las actualizaciones de firmas de WildFire cada 30 minutos, es posible que no reciba una firma de un archivo que ha cargado hasta el segundo intervalo de sondeo después de la detección de malware debido al tiempo requerido para generar la firma. Si el cortafuegos solamente tiene una suscripción a Threat Prevention, recibirá las firmas generadas por WildFire después de su inclusión en las actualizaciones de antivirus, lo cual tienen lugar cada 24-48 horas. Si los cortafuegos reenvían archivos a un dispositivo WF-500 con la generación de firmas local habilitada, el dispositivo puede generar firmas en cinco minutos aproximadamente y se puede configurar el cortafuegos para recuperar estas firmas cada cinco minutos. Compatibilidad con tipos de archivos avanzados de WildFire: Además de los archivos portables ejecutables (PE), una suscripción permite que el cortafuegos también reenvíe los siguientes tipos de archivos avanzados: APK (solo en la nube de WildFire), Flash, PDF, Microsoft Office y JAR (applet de Java). Además de estos tipos de archivos, también puede configurar el cortafuegos para que extraiga y reenvíe enlaces de correo electrónico incluidos en mensajes de correo electrónico SMTP y POP3 mediante el reenvío del tipo de archivo de enlace de correo electrónico. Observe que el cortafuegos solo extrae enlaces e información de sesión asociada (emisor, receptor y asunto) de los mensajes de correo electrónico que atraviesan el cortafuegos; no recibe, almacena, reenvía ni ve el mensaje de correo electrónico. Guía del administrador de WildFire 13

Requisitos para la suscripción a WildFire Descripción general de WildFire API de WildFire: La suscripción a WildFire proporciona acceso a la API de WildFire, lo que permite el acceso directo mediante programación al servicio de WildFire en la nube de WildFire de Palo Alto Networks o en un dispositivo WildFire. Puede usar la API de WildFire para enviar archivos y recuperar informes de los archivos enviados. La API de WildFire admite hasta 1.000 envíos de archivos y hasta 10.000 consultas al día. Dispositivo WildFire WF-500: Solo los cortafuegos con una suscripción a WildFire válida pueden reenviar archivos a un dispositivo WF-500 para su análisis. Los cortafuegos que solamente tienen una suscripción a Threat Prevention instalada pueden reenviar archivos a la nube de WildFire, pero no a un dispositivo WF-500. 14 Guía del administrador de WildFire

Descripción general de WildFire Prácticas recomendadas para mantener las firmas actualizadas Prácticas recomendadas para mantener las firmas actualizadas En esta sección se describen las prácticas recomendadas para mantener un cortafuegos con suscripciones a Threat Prevention y WildFire actualizado con los últimos sistemas de protección. Para un flujo de trabajo más dinámico, utilice Panorama para introducir programaciones de actualización dinámicas en los cortafuegos gestionados usando plantillas de Panorama. Así se garantiza la consistencia entre todos los cortafuegos y se simplifica la gestión de la programación de actualizaciones. Estas orientaciones proporcionan dos opciones de programación: la programación mínima recomendada y una más agresiva. Si elige la programación más agresiva, el dispositivo realizará descargas o instalaciones más frecuentemente, algunas de las cuales pueden ser de gran volumen (más de 100 MB para las actualizaciones de antivirus). De igual forma, raramente se podrían producir errores en actualizaciones de firmas. Por lo tanto, considere la posibilidad de retrasar las instalaciones hasta que haya transcurrido un determinado número de horas. Utilice el campo Umbral (horas) para especificar cuánto tiempo se debe esperar tras una publicación antes de realizar una actualización de contenido. Antivirus: Palo Alto Networks publica nuevas actualizaciones de contenido de antivirus a diario. Para obtener el contenido más reciente, programe estas actualizaciones diariamente como mínimo. Se puede realizar una programación más agresiva cada hora. Aplicaciones y amenazas: App-ID nuevo, protección frente a vulnerabilidades y firmas antispyware publicados como actualizaciones de contenido semanales por Palo Alto Networks (normalmente los martes). Para obtener el contenido más reciente, programe estas actualizaciones semanalmente como mínimo. En el caso de un enfoque más agresivo para garantizar que el cortafuegos reciba el último contenido en cuanto se publica (incluidas las publicaciones ocasionales de contenido urgente fuera de programación), programe el cortafuegos para la descarga o instalación diarias. WildFire: Se publican nuevas firmas de antivirus de WildFire cada 15 minutos. En función de cuándo WildFire detecte nuevo malware durante el ciclo de publicación, se proporciona protección como una firma de WildFire 15-30 minutos después de la detección. Para conseguir las firmas de WildFire más recientes, programe estas actualizaciones cada hora o cada media hora. Para que la programación sea más agresiva, configure el cortafuegos para realizar comprobaciones cada 15 minutos. WF-Private: Si la generación de firmas/direcciones URL (firmas de antivirus, firmas DNS y entradas de dirección URL para PAN-DB) se configura en un dispositivo WF-500, configure el cortafuegos para descargar o instalar las actualizaciones mediante la actualización dinámica WF-Private. Una vez que el dispositivo recibe una muestra malintencionada, genera una firma en cinco minutos en la mayoría de los casos. Al configurar el cortafuegos para recuperar estas actualizaciones, configure la programación para la descarga e instalación cada hora o cada media hora. Para una programación más agresiva (recomendada), configure el cortafuegos para descargar e instalar las actualizaciones cada 5 minutos. Si configura los cortafuegos para recuperar actualizaciones de WF-Private, se recomienda que los cortafuegos descarguen también actualizaciones de contenido de Palo Alto Networks (antivirus, aplicaciones/amenazas y WildFire) para garantizar que los cortafuegos tienen la última protección. Esto es importante debido al hecho de que cuando el almacenamiento local para las actualizaciones de WF-Private del dispositivo está lleno, las nuevas categorizaciones de firmas/direcciones URL sobrescriben las existentes empezando por las más antiguas. Para obtener información detallada sobre la generación de firmas local, consulte Generación de firmas/url en un dispositivo WF-500. Guía del administrador de WildFire 15

Referencia: capacidad de reenvío de archivos del cortafuegos según la plataforma Descripción general de WildFire Referencia: capacidad de reenvío de archivos del cortafuegos según la plataforma En esta sección se describe la velocidad máxima por minuto a la que cada plataforma de cortafuegos de Palo Alto Networks puede enviar archivos a la nube de WildFire o a un dispositivo WF-500 para el análisis. Si se alcanza el límite por minuto, el cortafuegos pone en cola las muestras. En la columna Espacio de unidad reservado de la siguiente tabla se indica la cantidad de espacio de la unidad del cortafuegos reservada para poner en cola los archivos. Si se alcanza el límite, el cortafuegos cancela el reenvío de nuevos archivos a WildFire hasta que haya más espacio disponible en la cola. La velocidad a la que el cortafuegos puede reenviar archivos a WildFire también depende del ancho de banda del enlace de carga para los sistema WildFire. Plataforma Número máximo de archivos por minuto Espacio de unidad reservado VM-100 5 100 MB VM-200 10 200 MB VM-300 20 200 MB PA-200 5 100 MB PA-500 10 200 MB Serie PA-2000 20 200 MB PA-3020 50 200 MB PA-3050 50 500 MB PA-3060 50 500 MB PA-4020 20 200 MB PA-4050/4060 50 500 MB PA-5020/5050 50 500 MB PA-5060 100 500 MB PA-7050 100 1 GB 16 Guía del administrador de WildFire

Análisis de archivos del dispositivo WF-500 En este tema se describe el dispositivo WF-500 y se explica cómo configurarlo y gestionarlo de modo que esté preparado para recibir archivos para su análisis. Además, en este tema se describen los pasos necesarios para configurar un cortafuegos de Palo Alto Networks para reenviar archivos a un dispositivo WildFire para su análisis y cómo configurar el dispositivo para la generación de firmas local con el fin de eliminar la necesidad de enviar muestras a la nube de WildFire. Asimismo, puede utilizar la API de WildFire para enviar y recuperar contenido de un dispositivo WF-500. Acerca del dispositivo WF-500 Configuración del dispositivo WF-500 Configuración de la interfaz VM en el dispositivo WF-500 Gestión de actualizaciones de contenido en el dispositivo WF-500 Reenvío de archivos a un dispositivo WF-500 Generación de firmas/url en un dispositivo WF-500 Configuración del cortafuegos para recuperar actualizaciones de un dispositivo WF-500 Actualización del dispositivo WF-500 y habilitación de la compatibilidad con Windows 7 de 64 bits Guía del administrador de WildFire 17

Acerca del dispositivo WF-500 Análisis de archivos del dispositivo WF-500 Acerca del dispositivo WF-500 El dispositivo WF-500 proporciona una nube privada de WildFire local, lo que permite analizar archivos sospechosos en un entorno aislado sin necesidad de que el cortafuegos envíe los archivos fuera de la red. Para utilizar un dispositivo WF-500 en lugar de la nube de WildFire, configure el servidor de WildFire en el cortafuegos para que indique el dispositivo WF-500 en lugar del servidor de la nube pública de WildFire. El dispositivo WF-500 aísla todos los archivos localmente y los analiza en busca de comportamientos malintencionados con el mismo motor que utiliza el sistema de nube de WildFire. En cuestión de minutos, el dispositivo devuelve los resultados del análisis al cortafuegos en los logs de envíos de WildFire. De forma predeterminada, el dispositivo WF-500 no envía ningún archivo a la nube de WildFire de Palo Alto Networks para la generación de firmas. No obstante, puede configurar el dispositivo para generar firmas localmente y los cortafuegos conectados pueden recuperar las actualizaciones directamente del dispositivo. Para obtener información sobre la configuración de la generación de firmas local y los tipos de actualizaciones de contenido que puede proporcionar el dispositivo, consulte Generación de firmas/url en un dispositivo WF-500. El dispositivo WF-500 incluye una función de envío automático que permite enviar solamente el malware confirmado a la nube pública para la generación de firmas. Además, puede configurar esta función (inteligencia de la nube) para enviar solamente informes de malware, lo que ayudará a Palo Alto Networks a recopilar estadísticas sobre el malware. Se recomienda configurar el dispositivo para enviar muestras de malware a la nube de WildFire de modo que las firmas se generen y distribuyan a todos los clientes. Si no desea enviar de forma automática todo el malware detectado a la nube de WildFire, puede descargar el malware manualmente en la pestaña Informe de análisis de WildFire y cargarlo manualmente en el portal de WildFire. Puede configurar hasta 100 cortafuegos de Palo Alto Networks para que reenvíen archivos a un único dispositivo WildFire. Cada cortafuegos debe tener una suscripción a WildFire válida para reenviar archivos a un dispositivo WildFire. El dispositivo WildFire tiene dos interfaces: MGT: Recibe todos los archivos reenviados desde los cortafuegos y devuelve a los cortafuegos los logs que detallan los resultados. Consulte Integración del dispositivo WF-500 en una red. Interfaz de máquina virtual (interfaz VM): Proporciona acceso a la red para los sistemas de espacio aislado de WildFire para habilitar la comunicación de los archivos de muestra con Internet, lo que permite que WildFire analice mejor el comportamiento de la muestra. Una vez configurada la interfaz VM, WildFire puede observar comportamientos malintencionados que el malware no tendría sin acceso a la red, como la actividad de llamadas a casa. No obstante, para evitar que el malware acceda a la red desde el espacio aislado, configure esta interfaz en una red aislada con conexión a Internet. Además, puede habilitar la opción Tor para ocultar la dirección IP pública de su empresa en el caso de los sitios malintencionados a los que acceda la muestra. Para obtener más información sobre la interfaz VM, consulte Configuración de la interfaz VM en el dispositivo WF-500. 18 Guía del administrador de WildFire

Análisis de archivos del dispositivo WF-500 Configuración del dispositivo WF-500 Configuración del dispositivo WF-500 En los temas siguientes se describe cómo integrar un dispositivo WildFire en la red: Requisitos para la configuración del dispositivo WF-500 Integración del dispositivo WF-500 en una red Verificación de la configuración del dispositivo WF-500 Requisitos para la configuración del dispositivo WF-500 Monte el dispositivo WF-500 en bastidor y conéctelo con un cable. Consulte WF-500 WildFire Appliance Hardware Reference Guide (Guía de referencia de hardware de WF-500 WildFire). Obtenga la información necesaria para configurar la conectividad de la red en el puerto MGT y la interfaz de máquina virtual desde su administrador de red (dirección IP, máscara de subred, puerta de enlace, nombre de host, servidor DNS). Toda la comunicación entre los cortafuegos y el dispositivo se produce en el puerto MGT, incluidos los envíos de archivos, la distribución de logs de WildFire y la administración de dispositivos. Por lo tanto, debe asegurarse de que los cortafuegos tienen conectividad con el puerto MGT del dispositivo. Además, el dispositivo se debe poder conectar al sitio updates.paloaltonetworks.com para recuperar las actualizaciones de software del sistema operativo. Debe tener preparado un ordenador con un cable de consola o cable Ethernet para conectarse al dispositivo para la configuración inicial. Guía del administrador de WildFire 19