シグネチャに基づく脅威検出は、悪意のある動作を特定するために最もよく使用されるメカニズムの一つであり、ネットワーク攻撃の防止に広く使用されています。Cloud Next Generation Firewall の脅威検出機能は、Palo Alto Networks の脅威防止テクノロジーを利用しています。
このセクションでは、Cloud NGFW が Palo Alto Networks と連携して提供するデフォルトの脅威シグネチャ、サポートされている脅威の重大度レベル、脅威の例外について説明します。
デフォルトの署名セット
Cloud NGFW には、ネットワーク ワークロードを脅威から保護するために役立つ脅威シグネチャがデフォルトで用意されています。このシグネチャは、脆弱性とスパイウェアを検出するために使用されます。Cloud NGFW で構成されたすべての脅威シグネチャを表示するには、Threat Vault に移動します。アカウントをまだお持ちでない場合は、新しいアカウントを登録してください。
脆弱性検出シグネチャは、システムの欠陥の悪用やシステムへの不正アクセスの試みを検出します。スパイウェア対策シグネチャは、トラフィックがネットワークから出るときに感染したホストを特定するのに役立ちますが、脆弱性検出シグネチャは、ネットワークに侵入する脅威からの保護に役立ちます。
たとえば、脆弱性検出シグネチャは、バッファ オーバーフロー、不正なコード実行、システムの脆弱性を悪用するその他の試みからの保護に役立ちます。デフォルトの脆弱性検出シグネチャは、クライアントとサーバーで既知のすべての脅威(重大、高、中)と、重大度が「低」および「情報」の脅威を検出します。
スパイウェア対策シグネチャは、侵害されたホストでスパイウェアを検出します。このようなスパイウェアは、外部のコマンド アンド コントロール(C2)サーバーに接続を試みる可能性があります。
ウイルス対策シグネチャは、実行可能ファイルとファイル形式に含まれるウイルスとマルウェアを検出します。
DNS 署名は、悪意のあるドメインに接続するための DNS リクエストを検出します。
それぞれの脅威シグネチャには、デフォルトのアクションが関連付けられています。セキュリティ プロファイルを使用すると、これらのシグネチャのアクションをオーバーライドできます。また、ファイアウォール ポリシー ルールで、これらのプロファイルをセキュリティ プロファイル グループの一部として参照することもできます。インターセプトされたトラフィックで、構成済みの脅威のシグネチャが検出されると、ファイアウォール エンドポイントは、一致したパケットに対してセキュリティ プロファイルで指定された対応アクションを実行します。
脅威の重大度
脅威シグネチャの重大度は、検出されたイベントのリスクを示します。Cloud NGFW は、一致するトラフィックに対してアラートを生成します。次の表に、脅威の重大度を示します。
| 重大度 | 説明 |
|---|---|
| 重大 | サーバー侵害の根本的な原因となる深刻な脅威です。このような脅威は、広くデプロイされているソフトウェアのデフォルト インストールに影響を及ぼします。また、攻撃者によってエクスプロイト コードが広く利用されています。通常、特別な認証情報や個々の被害者に関する知識がなくても、ターゲットに特別な機能を実行させなくても攻撃が可能です。 |
| 高 | 重大になる可能性はあるものの、緩和要素がある脅威。たとえば、悪用が困難である、権限昇格が発生しない、多数の被害者プールがない、などが該当します。 |
| 中 | 影響が最小限に抑えられ、ターゲットを侵害しない軽微な脅威。または、被害者と同じローカル ネットワーク上に攻撃者が存在する必要があるエクスプロイト。このような攻撃は、標準以外の構成または難読化されたアプリケーションにのみ影響するか、アクセスが非常に限定的になります。 |
| 低 | 組織のインフラストラクチャにほとんど影響を与えない警告レベルの脅威。通常、このような脅威はローカルまたは物理的なシステムへのアクセスを必要とし、多くの場合、被害者のプライバシーの問題や情報漏洩につながる可能性があります。 |
| 情報 | 差し迫った脅威ではないが、潜在的な問題の可能性があると報告される不審なイベント。 |
脅威の例外
特定の脅威シグネチャ ID に対するアラートを抑制または増やす場合は、セキュリティ プロファイルを使用して、脅威に関連付けられたデフォルトのアクションをオーバーライドできます。Cloud NGFW によって検出された既存の脅威の脅威シグネチャ ID は、脅威ログで確認できます。
Cloud NGFW は、環境内で検出された脅威を可視化します。ネットワークで検出された脅威を確認するには、脅威を表示するをご覧ください。
コンテンツの更新頻度
Cloud NGFW では、すべてのシグネチャがユーザーの介入なしで自動的に更新されるため、ユーザーがシグネチャの管理や更新から解放されて、脅威の分析と解決に集中できます。
Palo Alto Networks からの更新は Cloud NGFW によって取得され、既存のすべてのファイアウォール エンドポイントに push されます。更新レイテンシは最大で約 48 時間です。
ログを表示する
Cloud NGFW のいくつかの機能により、脅威ログに送信されるアラートが生成されます。ロギングの詳細については、Cloud Logging をご覧ください。