La detección de amenazas basada en firmas es uno de los mecanismos más comunes para identificar comportamientos maliciosos y, por lo tanto, se usa ampliamente para evitar ataques de red. Las capacidades de detección de amenazas de Cloud Next Generation Firewall tienen la tecnología de las tecnologías de prevención de amenazas de Palo Alto Networks.
En esta sección, se enumeran las firmas de amenazas predeterminadas, los niveles de gravedad de amenazas compatibles y las excepciones de amenazas que proporciona Cloud NGFW en asociación con Palo Alto Networks.
Conjunto de firmas predeterminado
Cloud NGFW proporciona un conjunto predeterminado de firmas de amenazas que te ayudan a proteger las cargas de trabajo de la red contra las amenazas. Las firmas se usan para detectar vulnerabilidades y software espía. Para ver todas las firmas de amenazas configuradas en Cloud NGFW, ve a Almacenamiento de amenazas. Si aún no tienes una cuenta, regístrate para obtener una nueva.
Las firmas de detección de vulnerabilidades detectan intentos de explotar fallas del sistema, o bien obtener acceso no autorizado a los sistemas. Mientras que las firmas antiespía ayudan a identificar los hosts infectados cuando el tráfico sale de la red, las firmas de detección de vulnerabilidades protegen contra las amenazas que penetran en la red.
Por ejemplo, las firmas de detección de vulnerabilidades ayudan a proteger contra los desbordamientos de búfer, la ejecución de código ilegal y otros intentos de vulnerabilidades para el sistema. Las firmas predeterminadas de detección de vulnerabilidades proporcionan detección para los clientes y los servidores de todas las amenazas de gravedad crítica, alta y media, junto con cualquier amenaza de gravedad baja e informativa.
Las firmas anti software espía detectan el software espía en hosts vulnerados. Este software puede intentar comunicarse con servidores de control y comandos externos (C2).
Las firmas de antivirus detectan virus y software malicioso que se encuentran en ejecutables y tipos de archivos.
Las firmas de DNS detectan solicitudes de DNS para conectarse a dominios maliciosos.
Cada firma de amenaza también tiene una acción predeterminada asociada. Puedes usar perfiles de seguridad para anular las acciones de estas firmas y hacer referencia a estos perfiles como parte de un grupo de perfiles de seguridad en una regla de política de firewall. Si se detecta alguna firma de amenaza configurada en el tráfico interceptado, el extremo de firewall realiza la acción correspondiente especificada en el perfil de seguridad en los paquetes coincidentes.
Niveles de gravedad de amenazas
La gravedad de una firma de amenaza indica el riesgo del evento detectado, y Cloud NGFW genera alertas para el tráfico coincidente. En la siguiente tabla, se resumen los niveles de gravedad de las amenazas.
| Gravedad | Descripción |
|---|---|
| Crítica | Las amenazas graves provocan un compromiso raíz de los servidores. Por ejemplo, las amenazas que afectan las instalaciones predeterminadas de software ampliamente implementado y en las que el código de explotación está ampliamente disponible para los atacantes. Por lo general, el atacante no necesita ninguna credencial de autenticación especial ni conocimiento de las víctimas individuales, y no es necesario manipular el destino para realizar funciones especiales. |
| Alta | Amenazas que tienen la capacidad de ser esenciales, pero hay factores de mitigación. Por ejemplo, podrían ser difíciles de explotar, no dar como resultado privilegios elevados o no tener un grupo grande de víctimas. |
| Media | Amenazas menores en las que se minimiza el impacto y que no comprometen el objetivo, o vulnerabilidades que requieren que un atacante resida en la misma red local que la víctima. Estos ataques solo afectan a las configuraciones no estándar o a las aplicaciones ocultas, o proporcionan un acceso muy limitado. |
| Baja | Amenazas a nivel de advertencia que tienen muy poco impacto en la infraestructura de una organización. Por lo general, esas amenazas requieren acceso local o físico al sistema y, a menudo, pueden generar problemas de privacidad de las víctimas y filtraciones de información. |
| Información | Eventos sospechosos que no representan una amenaza inmediata, pero que se informan para indicar problemas más profundos que podrían existir. |
Excepciones de amenazas
Si deseas suprimir o aumentar las alertas sobre IDs de firma de amenazas específicos, puedes usar perfiles de seguridad para anular las acciones predeterminadas asociadas con las amenazas. Puedes encontrar los IDs de firma de amenazas de las amenazas existentes que detecta Cloud NGFW en tus registros de amenazas.
Cloud NGFW proporciona visibilidad de las amenazas que se detectan en tu entorno. Para ver las amenazas detectadas en tu red, consulta Visualiza amenazas.
Frecuencia de actualización del contenido
Cloud NGFW actualiza de forma automática todas las firmas sin intervención del usuario, lo que te permite enfocarte en analizar y resolver amenazas sin administrar o actualizar firmas.
Cloud NGFW recoge las actualizaciones de Palo Alto Networks y se envían a todos los extremos de firewall existentes. Se estima que la latencia de actualización es de hasta 48 horas.
Ver registros
Varias características de Cloud NGFW generan alertas, que se envían al registro de amenazas. Para obtener más información sobre el registro, consulta Cloud Logging.
¿Qué sigue?
- Ver amenazas
- Descripción general del servicio de prevención de intrusiones
- Configura el servicio de prevención de intrusiones