La détection des menaces basée sur les signatures est l'un des mécanismes les plus couramment utilisés pour identifier les comportements malveillants. Elle est donc largement utilisée pour prévenir les attaques réseau. Les fonctionnalités de détection des menaces de Cloud Next Generation Firewall sont basées sur les technologies de prévention des menaces de Palo Alto Networks.
Cette section présente la liste des signatures de menaces par défaut, des niveaux de gravité des menaces compatibles et des exceptions aux menaces fournies par Cloud NGFW en partenariat avec Palo Alto Networks.
Ensemble de signatures par défaut
Cloud NGFW fournit un ensemble de signatures de menaces par défaut qui vous aident à protéger vos charges de travail réseau contre les menaces. Les signatures sont utilisées pour détecter les failles et les logiciels espions. Pour afficher toutes les signatures de menaces configurées dans Cloud NGFW, accédez au coffre-fort de menace. Si vous ne possédez pas déjà un compte, créez-en un.
Les signatures de détection des failles détectent les tentatives d'exploitation des failles du système ou d'accès non autorisé aux systèmes. Alors que les signatures anti-espions permettent d'identifier les hôtes infectés lorsque le trafic quitte le réseau, les signatures de détection des failles protègent contre les menaces qui pénètrent le réseau.
Par exemple, les signatures de détection des failles permettent de vous protéger contre les dépassements de mémoire tampon, l'exécution illégale de code et d'autres tentatives d'exploitation des failles du système. Les signatures de détection des failles par défaut permettent de détecter, pour les clients et les serveurs, toutes les menaces connues de gravité critique, élevée et moyenne, ainsi que toutes les menaces de gravité faible et informationnelle.
Les signatures anti-espions détectent les logiciels espions sur les hôtes compromis. Ces logiciels espions peuvent tenter de contacter des serveurs de commande et de contrôle (C2) externes.
Les signatures antivirus détectent les virus et les logiciels malveillants trouvés dans les exécutables et les types de fichiers.
Les signatures DNS détectent les requêtes DNS visant à se connecter à des domaines malveillants.
Chaque signature de menace est également associée à une action par défaut. Vous pouvez utiliser des profils de sécurité pour remplacer les actions liées à ces signatures et référencer ces profils au sein d'un groupe de profils de sécurité dans une règle de stratégie de pare-feu. Si une signature de menace configurée est détectée dans le trafic intercepté, le point de terminaison de pare-feu effectue l'action correspondante spécifiée dans le profil de sécurité sur les paquets correspondants.
Niveaux de gravité des menaces
La gravité d'une signature de menace indique le niveau de risque de l'événement détecté et Cloud NGFW génère des alertes pour le trafic correspondant. Le tableau suivant récapitule les niveaux de gravité des menaces.
| Gravité | Description |
|---|---|
| Critique | Les menaces graves entraînent une compromission des serveurs. Il peut s'agir, par exemple, de menaces qui affectent les installations par défaut de logiciels largement déployés et dont le code d'exploitation est largement accessible aux pirates informatiques. Le pirate n'a généralement pas besoin d'identifiants d'authentification particuliers ou de connaissances sur les victimes individuelles, et la cible n'a pas besoin d'être manipulée pour accomplir des fonctions particulières. |
| Élevée | Menaces qui ont la capacité de devenir critiques, mais qui présentent des facteurs atténuants. Par exemple, elles peuvent être difficiles à exploiter, ne pas donner lieu à une élévation des privilèges, ou ne pas toucher un grand nombre de victimes. |
| Moyenne | Menaces mineures dont l'impact est minimisé et qui ne compromettent pas la cible, ou exploits nécessitant qu'un pirate informatique réside sur le même réseau local que la victime Ces attaques n'affectent que les configurations non standard ou les applications méconnues, ou bien elles offrent un accès très limité. |
| Faible | Menaces de niveau "avertissement" qui ont très peu d'impact sur l'infrastructure d'une organisation. Ces menaces nécessitent généralement un accès local ou physique au système et peuvent souvent entraîner des problèmes de confidentialité pour les victimes et des fuites d'informations. |
| Informationnelle | Événements suspects qui ne constituent pas une menace immédiate, mais qui sont signalés pour indiquer des problèmes potentiels plus profonds. |
Exception(s) à la menace
Si vous souhaitez supprimer ou augmenter les alertes sur des ID de signature de menace spécifiques, vous pouvez utiliser les profils de sécurité pour remplacer les actions par défaut associées aux menaces. Vous pouvez trouver les ID de signature de menace des menaces existantes détectées par Cloud NGFW dans vos journaux de menaces.
Cloud NGFW permet de voir quelles sont les menaces détectées dans votre environnement. Pour afficher les menaces détectées dans votre réseau, consultez la section Afficher les menaces.
Fréquence de mise à jour des contenus
Cloud NGFW met automatiquement à jour toutes les signatures sans aucune intervention de l'utilisateur. Vous pouvez ainsi vous concentrer sur l'analyse et la résolution des menaces sans gérer ni mettre à jour les signatures.
Les mises à jour de Palo Alto Networks sont récupérées par Cloud NGFW et transmises à tous les points de terminaison de pare-feu existants. La latence de mise à jour est estimée à 48 heures maximum.
Voir les journaux
Plusieurs fonctionnalités de Cloud NGFW génèrent des alertes, qui sont envoyées au journal des menaces. Pour en savoir plus sur la journalisation, consultez la section Cloud Logging.
Étapes suivantes
- Afficher les menaces
- Présentation du service de prévention des intrusions
- Configurer le service de prévention des intrusions