display pdf in iframe mvc : Convert pdf into html file Library software class asp.net winforms html ajax exploit-prevention-rules11-part1328

© Palo Alto Networks, Inc.
Traps 3.2 Administrator’s Guide • 111
Malware Prevention
Manage WildFire Rules and Settings
Step 2 Start a new WildFire rule. 
1. Select 
Policies > Malware > WildFire
.
2.
Add
a new rule or select and 
Edit
an existing rule. 
Step 3 (Optional) Configure WildFire settings. 
By default, WildFire inherits the behavior 
from the default policy. To override the 
settings, configure the WildFire settings 
to meet the needs of your organization. 
1. On the left, 
Disable
or 
Enable
WildFire integration. Enabling 
WildFire integration allows Traps to calculate and check hash 
verdicts against its local cache of hashes.
2. To enable the Traps agent to upload unknown files to the ESM 
Server, select 
Enabled
from the 
Executable Upload
drop-down. 
3. Select the 
Termination Mode
—the behavior of Traps when 
WildFire confirms that an executable file is malicious. 
• Select 
Inherit
to use the behavior defined by the default 
policy (the default policy is to use learning mode). 
• Select
Terminate
to block the malicious executable file.
• Select
Notify 
to allow the user to open the executable file, log 
the issue and notify the user.
• Select 
Learning
to allow the user to open a malicious 
executable file and log the issue but not notify the user. 
4. From the 
User Notification
drop-down, specify whether Traps 
will notify the user about the malicious executable file by 
selecting 
On
or 
Off
.
5. Select one of the following options from the 
No 
Communication Behavior
field to specify what the endpoint 
should do if it cannot reach the ESM Server or WildFire. By 
default, Traps attempts to query WildFire every 2 hours (120 
minutes). 
• Select 
Continue
to allow an executable file to open if Traps 
cannot reach the ESM Server or WildFire to verify the safety 
of the file. 
• Select 
Terminate
to block an executable file if Traps cannot 
reach the ESM Server or WildFire to verify the safety of the 
file.
6. Select the 
Unknown Process Behavior
—the behavior of Traps 
when WildFire does not recognize a process.
• Select 
Continue
to allow a user to open an unknown 
executable file.
• Select 
Terminate
to block an unknown executable file.
Step 4 (Optional) Add Conditions to the rule. . By default, the ESM does not apply conditions to a rule. To specify 
a condition, select the 
Conditions
tab. Then select the condition in 
the Conditions list and click 
Add
. The condition is added to the 
Selected Conditions list. Repeat to add more conditions, if desired. 
To add a condition to the Conditions list, see Define Activation 
Conditions for a Rule
Configure a WildFire Rule (Continued)
Convert pdf into html file - Convert PDF to html files in C#.net, ASP.NET MVC, WinForms, WPF application
How to Convert PDF to HTML Webpage with C# PDF Conversion SDK
convert pdf to html code online; convert pdf to html open source
Convert pdf into html file - VB.NET PDF Convert to HTML SDK: Convert PDF to html files in vb.net, ASP.NET MVC, WinForms, WPF application
PDF to HTML Webpage Converter SDK for VB.NET PDF to HTML Conversion
how to change pdf to html; pdf to html converter online
112 • Traps 3.2 Administrator’s Guide
© Palo Alto Networks, Inc.
Manage WildFire Rules and Settings
Malware Prevention
Step 5 (Optional) Define the Target Objects to 
which to apply the WildFire rule.
By default, the ESM applies new rules to all objects in your 
organization. To define a smaller subset of target objects, select the 
Objects
tab, and then enter one or more 
Users
Computers
Groups
Organizational units
, or 
Existing endpoints
in the 
Include
or 
Exclude
areas. The Endpoint Security Manager queries Active 
Directory to verify the users, computers, groups, or organizational 
units or identifies existing endpoints from previous communication 
messages.
Step 6 (Optional) Review the rule name and 
description. 
The ESM Console automatically generates the rule name and 
description based on the rule details. To override the auto-generated 
name, select the 
Name
tab, clear the 
Auto Description is Activated
option, and then enter a rule name and description of your choosing. 
Step 7 Save the WildFire rule. 
Do one of the following:
• 
Save
the rule. To activate the rule later, select the rule from the 
Policies > Malware > WildFire 
page and then click 
Activate
.
• 
Save & Apply 
the rule to activate it immediately.
WildFire rules appear on the 
Policies > Malware > WildFire 
page. 
From there, you can 
Delete
or 
Deactivate
the rule, as required.
Configure a WildFire Rule (Continued)
C# PDF File Split Library: Split, seperate PDF into multiple files
C#.NET control for splitting PDF file into two or multiple files online. Support to break a large PDF file into smaller files. Divide PDF File into Two Using C#.
best pdf to html converter; convert pdf to html code for email
VB.NET PDF File Split Library: Split, seperate PDF into multiple
Split PDF file into two or multiple files in ASP.NET webpage online. Support to break a large PDF file into smaller files in .NET WinForms.
convert url pdf to word; embed pdf into webpage
© Palo Alto Networks, Inc.
Traps 3.2 Administrator’s Guide • 113
Malware Prevention
Manage Hashes for Executable Files
Manage Hashes for Executable Files
When WildFire integration is enabled, Traps calculates a unique hash for executable files run on an endpoint 
and checks it against WildFire. The 
Hash Control
page displays the WildFire response for each hash sent to 
WildFire. 
If WildFire has already analyzed an executable file and determined that it is malware, it responds that the 
executable file is 
Malicious
. If WildFire has already analyzed an executable file and determined that it contains 
no malicious code or behavior, WildFire responds that the executable file is 
Benign
. If WildFire has not 
previously analyzed the executable file, it responds that the status of the file is 
Unknown
. If the ESM Server 
cannot reach WildFire, the file status is marked as 
No Connection
. Specify the actions associated with malicious, 
benign, unknown, and no connection verdicts in the WildFire integration settings (see Enable WildFire). 
View and Search Hashes
View WildFire Reports
Override a WildFire Decision
Revoke a WildFire Decision
Upload a File to WildFire for Analysis
View and Search Hashes
The 
Hash Control
page displays a table of all the hashes for executable files that the Traps agents in your 
organization have reported and their verdicts. A search field at the top of the page allows you to filter results by 
a full or partial string. The search queries the hash values and process names and returns any matching results. 
Hashes are unique while process names can be listed more than once. 
Export and Import Hashes
The 
Hash Control
page displays information about the hashes and the verdicts that are associated with all 
executable files that users and/or machines have tried to open in your organization. You can periodically back 
up one or more hash records by exporting the record(s) to an XML file. Exporting the hash record(s) can be 
also be useful before migrating or upgrading to a new server. Importing hash records appends any new hashes 
to the existing Hash Control table. 
C# PDF File Merge Library: Merge, append PDF files in C#.net, ASP.
This part illustrates how to combine three PDF files into a new file in C# application. srcStreams, Source PDF streams to be used to combine into one PDF file.
convert pdf to html file; online convert pdf to html
VB.NET PDF File Merge Library: Merge, append PDF files in vb.net
Combine multiple specified PDF pages in into single one file. This part illustrates how to combine three PDF files into a new file in VB.NET application.
export pdf to html; convert fillable pdf to html form
114 • Traps 3.2 Administrator’s Guide
© Palo Alto Networks, Inc.
Manage Hashes for Executable Files
Malware Prevention
View WildFire Reports
The ESM caches WildFire reports that contain a behavioral summary for any executable file that WildFire has 
previously analyzed. The WildFire report is available in PDF format includes and information that you can use 
to decide whether or not to override the WildFire decision for an executable file. 
Export and Import Hash Files
Step 1 From the ESM Console, select 
Policies > Malware > Hash Control
.
Step 2 Do one of the following:
• Export hash records:
• To export all records, select the 
menu at the top of the table, and then select 
Export all
• To export one or more records, select the check box next to the record(s). Then, from the 
menu at 
the top of the table, select 
Export selected
The Endpoint Security Manager saves the selected rules to an XML file. 
• To restore or import new policy rules, select 
Import hashes 
from the 
menu at the top of the table. 
Browse to the policy file, and then click 
Upload
View WildFire Reports from the ESM Console
Step 1 From the ESM Console, select 
Policies > Malware > Hash Control
.
Step 2 Search for and then select the hash for which you would like to see the report. 
C# PDF insert text Library: insert text into PDF content in C#.net
If you want to add a text string to PDF file, please try this C# demo. // Open a document. value, The char wil be added into PDF page, 0
changing pdf to html; best pdf to html converter online
C# PDF Convert to Tiff SDK: Convert PDF to tiff images in C#.net
with specified zoom value and save it into stream The magnification of the original PDF page size Description: Convert to DOCX/TIFF with specified resolution and
convert pdf to html online; convert pdf to html form
© Palo Alto Networks, Inc.
Traps 3.2 Administrator’s Guide • 115
Malware Prevention
Manage Hashes for Executable Files
Override a WildFire Decision
You can locally override a WildFire decision to allow or block a file without impacting the WildFire verdict. This 
can be useful when you need to create an exception for a specific file without altering the global security policy. 
After overriding the verdict, the ESM Console displays any change in the WildFire verdict on the Hash Control 
page. The override remains in place until you remove it at which time it reverts to the last known verdict on the 
server. 
For example, consider a case where WildFire returns a verdict on a specific hash and indicates the file is 
unknown. If your security policy is configured to block all unknown files and you believe the file to be benign, 
you can override the policy to allow the specific file to execute without altering the global policy. Later, if 
WildFire returns a new verdict indicating that the file was analyzed and determined to be malicious, you would 
see the notification on the Hash Control page. In that case you can remove the override and allow the security 
policy to block the malicious file.
Step 3 Click 
Get Report
. The ESM Console displays the cached report. 
Manage WildFire Decision
Step 1 Override the local WildFire decision for 
a hash.
1. On the ESM Console, select 
Policies > Malware > Hash 
Control
2. (Optional) Enter the process hash or name in the search box 
and press enter.
3. Select the process hash. To override the WildFire verdict, click 
Allow
to allow the file to execute or 
Block
to block a file from 
executing. 
View WildFire Reports from the ESM Console (Continued)
C# PDF Convert to Word SDK: Convert PDF to Word library in C#.net
with specified zoom value and save it into stream The magnification of the original PDF page size Description: Convert to DOCX/TIFF with specified resolution and
convert pdf to web pages; convert pdf to web link
VB.NET PDF Page Insert Library: insert pages into PDF file in vb.
of PDF page adding in C# class, we suggest you go to C# Imaging - how to insert a new empty page to PDF file. DLLs for Adding Page into PDF Document in VB.NET
convert pdf to website html; converter pdf to html
116 • Traps 3.2 Administrator’s Guide
© Palo Alto Networks, Inc.
Manage Hashes for Executable Files
Malware Prevention
Revoke a WildFire Decision
To force an immediate recheck of a verdict, revoke the hash on the ESM Server. This is helpful when you 
suspect that WildFire has changed the verdict of a file and want to force the ESM Server to query WildFire for 
the updated verdict. After receiving the response from WildFire, the ESM Server updates the server cache. 
Then, at the next heartbeat communication with Traps, the ESM Server communicates the verdict to any 
endpoint on which a user has tried to open the executable file.
Upload a File to WildFire for Analysis
Before the integration of the Traps solution, typically WildFire only analyzed an executable file if it was sent 
through or uploaded from the firewall, or if it was submitted using the WildFire portal. This meant that some 
executable files, while common, may not have been previously analyzed because it was uncommon to submit 
Step 2 View WildFire verdict changes to make 
decisions about whether or not to remove 
a local override.
At preconfigured intervals, the ESM Server polls WildFire to see if 
the verdict has changed for any hashes that it has stored in its 
database. On a regular basis, review the changes in verdict on the 
Policy > Malware > Hash Control 
page of the ESM Console.
Step 3 Remove a local override for a WildFire 
verdict.
The override decisions are grouped by allow decisions (the verdict 
was overwritten to allow the file to execute), and block decisions (the 
verdict was overwritten to block the file from executing). 
1. On the ESM Console, select 
Policies > Malware >
Override 
Verdicts
.
2. Select one or more process hashes, and then click 
Undo
to 
revert to the last known verdict on the server. 
Revoke a WildFire Decision
Step 1 From the ESM Console, select 
Policies > Malware > Hash Control
.
Step 2 To view the WildFire verdict for a specific hash, do one of the following:
• Use the search at the top of the page to search for a hash value or process name. 
• Use the paging controls on the top right of each page to view different portions of the table. 
Step 3 Select the row to view additional details about the process hash, then do one of the following:
• Select 
Review List
to see all instances of a process hash. The option is available when there are five or more 
instances of a process hash. 
• Select 
Revoke Hash
to re-query the verdict for the hash with WildFire. 
Manage WildFire Decision (Continued)
© Palo Alto Networks, Inc.
Traps 3.2 Administrator’s Guide • 117
Malware Prevention
Manage Hashes for Executable Files
them using the traditional methods. To reduce the number of executable files that are unknown by the ESM 
Server and by WildFire, you can manually or automatically send the file to WildFire for immediate analysis. To 
automatically send unknown files to WildFire, see Enable WildFire
If the option to send unknown files automatically is disabled, you can instead manually upload a file on case by 
case basis. When a user opens an unknown executable file, Traps uploads the file—which must not exceed the 
configured maximum size—to the forensic folder. Then, when you initiate a manual upload of the file, the ESM 
Server sends the file from the forensic folder to WildFire. 
After WildFire completes its analysis and returns the verdict and report, the ESM Server sends the changed 
verdict to all Traps agents and enforces the policy. 
As more and more agents enable automatic forwarding of unknown files or submit them manually, the number 
of overall unknown files is expected to decrease dramatically for all users. 
Upload a File to WildFire for Analysis
Step 1 From the ESM Console, select 
Policies > Malware > Hash Control
.
Step 2 To view the WildFire verdict for a specific hash, do one of the following:
• Use the search at the top of the page to search for a hash value or process name. 
• Use the paging controls on the top right of each page to view different portions of the table. 
• To filter the table entries, click the filter icon  to the right of the column to specify up to two sets of criteria 
by which to filter the results. For example, filter the Verdict column for unknown files. 
Step 3 Select the row to view additional details about the process hash, then 
Upload
the file to WildFire. 
118 • Traps 3.2 Administrator’s Guide
© Palo Alto Networks, Inc.
Manage Malware Prevention Rules
Malware Prevention
Manage Malware Prevention Rules
Malware prevention rules enable you to restrict malware-related behavior. When enabled, these modules use a 
whitelist model that allows process injection by only the processes specified in the policy. The default malware 
prevention policies that come preconfigured with the ESM software grant exceptions to common legitimate 
processes that must inject into other processes and/or modules.
When new malware prevention rules are added to the security policy, the Traps rules mechanism merges all 
configured rules into an effective policy that is evaluated for each endpoint. In the case of a potential conflict 
between two or more rules, there are a set of considerations, such as modification date, that determine which 
rule takes effect. In other words, the rule that was created/edited more recently takes precedence over the older 
rule. As a result, any new malware prevention rules can override the default policy causing it to be ineffective 
and/or cause an instability on the endpoint. Additionally, user-defined whitelists are not merged between 
different rules and are evaluated only if the rule takes precedence.
To avoid accidentally overriding the default policy, we recommend configuring new rules only on processes that 
are not covered by the default policy. When configuring the new rule, you can enable the malware module 
protection for the parent process and use the default policy settings or you can customize the rule settings for 
your organization. To make changes to the security policy for processes that are already protected, we 
recommend importing and changing the default policies as needed to suit your security policy as described in 
the following workflows:
Malware Prevention Rules
Configure Thread Injection Protection
Manage the Thread Injection Whitelist
Configure Suspend Guard Protection
Manage the Suspend Guard Whitelist
Malware Prevention Rules
malware prevention rule prevents the execution of malware, often disguised as or embedded in non-malicious 
files, by using malware modules to target common process behavior triggered by malware. 
Unlike the exploit prevention rules which are opt-in (you enable the modules for the specific processes that you 
want to protect), the malware prevention rules are opt-out (you enable the modules to protect processes and 
specify the process(es) which are permitted to perform the defined behavior). 
In order to enable the most comprehensive protection for your environment, we highly 
recommend that you import the baseline policy and periodically check for updates before 
enabling a malware protection module. For more information, see Upload the Recommended 
Security Policies.
Use caution when configuring new malware prevention policy rules to avoid overriding the default 
policy and causing instability in the operating system. 
For additional questions on configuring malware prevention rules, contact Support team or your 
Sales Engineer.
© Palo Alto Networks, Inc.
Traps 3.2 Administrator’s Guide • 119
Malware Prevention
Manage Malware Prevention Rules
You can enable injection of malware prevention modules into all processes or enable protection into one or 
more protected processes in your organization. To allow legitimate processes to run you can whitelist parent 
processes that inject into other processes. Additional whitelist options are also available in ninja mode . The 
advanced whitelist settings allow Palo Alto Networks Support and Sales Engineers to configure additional 
fine-grained settings for each malware module. 
The following table describes the malware prevention modules:
Configure Thread Injection Protection
A process can comprise one or more threads that execute any part of the process code. Some attack scenarios 
are based on injecting malicious code into a target process to create remote threads, maintain persistence, and 
control the infected system. 
The default policy contains rules intended to prevent malicious remote thread creation and permits legitimate 
processes that must inject threads into other processes. The default policy rules for Thread Injection are 
typically stored in the C:\Program Files\Palo Alto Networks\Endpoint Security 
Manager\Web\KnowledgeBase\Malware modules\ThreadInjection folder but may be 
different if you specified an alternate installation location. To determine whether a base Thread Injection policy 
file exists for the process, view the files in this folder or refer to the online help. 
If the process is not already protected by the default security policy, you can create a new rule that enables 
Thread Injection protection for a process using the default Thread Injection settings or you can configure the 
settings as needed for your security policy. Settings include the process name, 
Module Activation
(
Enable
or 
Disable
), 
Source process mode
(
Terminate
or 
Notify
), 
User Notification
(
On
or 
Off
), and whitelist target processes 
to which the source process can inject. 
If the process is already protected by the default security policy, we recommend importing the default Thread 
Injection as a new rule and making changes to suit your organization. This way, when the policy is activated it 
overrides the default policy but still contains the default configuration settings in addition to any changes you 
made.
Malware Prevention 
Rules
Description
Suspend Guard
Protects against a common malware technique where the attacker creates processes in a 
suspended state, in order to inject and run code before the process starts. You can enable 
Suspend Guard on a source process mode and can configure the user notification, and 
optionally whitelist function modules that can call child processes. For more information, 
see Configure Suspend Guard Protection.
Thread Injection
Malicious code can also gain entry by creating remote threads and processes. You can enable 
Thread Injection to stop remote thread and process creation and specify the limitation on 
either the source or destination process or thread. Whitelist specific folders to make 
exceptions to the general restriction rule. For more information, see Configure Thread 
Injection Protection.
Use caution when configuring new Thread Injection rules to avoid overriding the default policy 
and causing instability in the operating system. 
For additional questions on configuring malware prevention rules, contact Support team or your 
Sales Engineer.
120 • Traps 3.2 Administrator’s Guide
© Palo Alto Networks, Inc.
Manage Malware Prevention Rules
Malware Prevention
Configure Thread Injection Protection
Step 1 Import the baseline policy. This policy 
contains a whitelist of known legitimate 
processes that can inject into other 
processes. 
See Upload the Recommended Security Policies.
Step 1 (Optional) Import a copy of the default 
policy. This is necessary only for 
processes that are already protected by 
the default configuration and prevents 
the default policy from being 
overwritten. 
1. Select 
Policies > Malware > Protection Modules
.
2. From the  menu, select 
Import rules
.
3.
Browse
to the default policy files in the Traps folder for desired 
source process and then click 
Upload
The imported rule appears in the table of malware prevention 
rules.
Step 2 Start or modify a malware prevention 
rule.
Add
a new rule or select and 
Edit
an existing rule. 
Step 3 Enable Thread Injection protection for a 
single process or for all processes. 
1. Select 
Thread Injection
from the drop-down. 
2. (New rules only) To configure Thread Injection protection for 
a parent process, select the option to 
Select a process
, and 
enter the process name in the field provided. Otherwise leave 
the default to apply Thread Injection protection to 
All 
Processes
Step 4 (Optional) Define the Thread Injection 
settings using the inherited settings.
To use the settings defined by the default 
policy, enable the module and then skip to 
Step5
Alternatively, override the defaults to 
customize the Thread Injection settings 
as needed for your organization. 
1.
Enable
or 
Disable
the Thread Injection module on a process by 
selecting the 
Module Activation
You can only configure additional module settings when 
the module is enabled. 
2. Configure what action to take when a source process attempts 
to inject into another process (
Source process mode
):
• 
Inherit
—Inherit the behavior from the default policy.
• 
Terminate
—Terminate the process.
• 
Notify
—Log the issue and allow the process to inject into 
another process.
3. Configure the notification behavior when the source process 
attempts to inject into another process (
User Notification
). 
• 
Inherit
—Inherit the behavior from the default policy.
• 
On
—Notify the user when a process tries to inject into 
another.
• 
Off
—Do not notify the user when a process tries to inject 
into another.
4. To add a target process to a whitelist, click the 
ninja mode  
icon and enter the supervisor password. Add one or more 
processes to the list. 
Documents you may be interested
Documents you may be interested