서명 기반 위협 감지는 악의적인 동작을 식별하는 데 가장 일반적으로 사용되는 메커니즘 중 하나이므로 네트워크 공격을 방지하는 데 널리 사용됩니다. Cloud Next Generation Firewall의 위협 감지 기능은 Palo Alto Networks 위협 방지 기술을 기반으로 합니다.
이 섹션에는 Palo Alto Networks와 제휴하여 Cloud NGFW에서 제공하는 기본 위협 서명, 지원되는 위협 심각도 수준, 위협 예외가 나와 있습니다.
기본 서명 집합
Cloud NGFW는 위협으로부터 네트워크 워크로드를 보호하는 데 도움이 되는 기본 위협 서명 집합을 제공합니다. 서명은 취약점과 스파이웨어를 감지하는 데 사용됩니다. Cloud NGFW에 구성된 모든 위협 서명을 보려면 위협 Vault로 이동하세요. 아직 계정이 없으면 새 계정에 가입합니다.
취약점 감지 서명은 시스템 결함을 악용하거나 시스템에 대한 무단 액세스 권한을 획득하려는 시도를 감지합니다. 스파이웨어 백신 서명은 트래픽이 네트워크를 나갈 때 감염된 호스트를 식별하는 데 도움이 되지만 취약점 감지 서명은 네트워크를 침투하는 위협으로부터 보호합니다.
예를 들어 취약점 감지 서명은 버퍼 오버플로, 잘못된 코드 실행, 기타 시스템 취약점 악용 시도로부터 보호하는 데 도움이 됩니다. 기본 취약점 감지 서명은 낮은 심각도 및 관심 심각도 위협과 함께 알려진 모든 매우 높은 심각도, 높은 심각도, 중간 심각도 위협을 클라이언트 및 서버에서 감지합니다.
스파이웨어 방지 서명은 손상된 호스트에서 스파이웨어를 감지합니다. 이러한 스파이웨어는 외부 명령어 및 제어(C2) 서버에 연결을 시도할 수 있습니다.
바이러스 백신 서명은 실행 파일 및 파일 유형에서 발견된 바이러스와 멀웨어를 감지합니다.
DNS 서명은 악성 도메인에 연결하려는 DNS 요청을 감지합니다.
각 위협 서명에는 이와 연결된 기본 작업도 있습니다. 보안 프로필을 사용하여 이러한 서명의 작업을 재정의하고 이러한 프로필을 방화벽 정책 규칙에서 보안 프로필 그룹 일부로 참조할 수 있습니다. 구성된 위협 서명이 가로채기 트래픽에서 감지되면 방화벽 엔드포인트에서 일치하는 패킷의 보안 프로필에 지정된 해당 작업을 수행합니다.
위협 심각도 수준
위협 서명 심각도는 감지된 이벤트의 위험을 나타내며 Cloud NGFW는 일치하는 트래픽에 대한 알림을 생성합니다. 다음 표에는 위협 심각도 수준이 요약되어 있습니다.
| 심각도 | 설명 |
|---|---|
| 심각 | 서버의 루트를 손상시키는 심각한 위협입니다. 광범위하게 배포된 소프트웨어의 기본 설치에 영향을 주고 공격자가 취약점 공격 코드를 널리 사용할 수 있는 위협이 여기에 해당됩니다. 공격자는 일반적으로 개별 피해자에 대한 특수 사용자 인증 정보나 지식이 필요하지 않으며 특수 함수를 수행하기 위해 대상을 조작할 필요가 없습니다. |
| 높음 | 심각해질 수 있지만 완화 요인이 있는 위협입니다. 악용하기 어렵거나 승격된 권한을 얻지 못하거나 피해자가 소수인 위협이 여기에 해당됩니다. |
| 중간 | 영향이 최소화되고 대상을 손상시키지 않는 작은 위협 또는 공격자가 피해자와 같은 로컬 네트워크에 있어야 하는 데 필요한 취약점 공격입니다. 이러한 공격은 비표준 구성 또는 모호한 애플리케이션에만 영향을 미치거나 매우 제한된 액세스 권한을 제공합니다. |
| 낮음 | 조직의 인프라에 거의 영향을 주지 않는 경고 수준 위협입니다. 이러한 위협에는 일반적으로 로컬 또는 물리적 시스템 액세스 권한이 필요하며 종종 피해자 개인 정보 보호 문제와 정보 유출을 일으킬 수 있습니다. |
| 정보 제공 | 즉각적인 위협을 초래하지는 않지만 좀 더 심각한 문제가 존재할 수 있음을 나타내는 의심스러운 이벤트입니다. |
위협 예외
특정 위협 서명 ID에 대한 알림을 숨기거나 늘리려면 보안 프로필을 사용하여 위협과 연결된 기본 작업을 재정의하면 됩니다. Cloud NGFW에서 감지한 기존 위협의 위협 서명 ID를 위협 로그에서 찾을 수 있습니다.
Cloud NGFW는 환경에서 감지된 위협에 대한 가시성을 제공합니다. 네트워크에서 감지된 위협을 보려면 위협 보기를 참조하세요.
콘텐츠 업데이트 빈도
Cloud NGFW는 사용자 개입 없이 모든 서명을 자동으로 업데이트하므로 서명을 관리 및 업데이트하지 않고도 위협을 분석하고 해결하는 데 집중할 수 있습니다.
Palo Alto Networks의 업데이트는 Cloud NGFW에서 선택되어 모든 기존 방화벽 엔드포인트로 푸시됩니다. 업데이트 지연 시간은 최대 48시간일 수 있습니다.
로그 보기
Cloud NGFW의 여러 기능은 위협 로그로 전송되는 알림을 생성합니다. 로깅에 대한 자세한 내용은 Cloud Logging을 참조하세요.