基于签名的威胁检测是识别恶意行为的最常用机制之一,因此广泛用于防范网络攻击。Cloud 新一代防火墙的威胁检测功能由 Palo Alto Networks 威胁防御技术提供支持。
本部分列出了 Cloud NGFW 与 Palo Alto Networks 合作提供的默认威胁签名、支持的威胁严重级别和威胁例外情况。
默认签名集
Cloud NGFW 提供了一组默认的威胁签名,可帮助您保护网络工作负载免受威胁。签名用于检测漏洞和间谍软件。如需查看 Cloud NGFW 中配置的所有威胁签名,请查看威胁保险柜。如果您还没有账号,请注册一个新账号。
漏洞检测签名可检测尝试利用系统缺陷或未经授权访问系统的行为。反间谍软件签名可在流量离开网络时识别受感染的主机,而漏洞检测签名则能够防范入侵网络的威胁。
例如,漏洞检测签名可防范缓冲区溢出、非法代码执行,以及利用系统漏洞的其他威胁。默认漏洞检测签名为客户端和服务器检测所有严重级别为“严重”“高”和“中等”的知名威胁,以及任何严重级别为“低”和“信息”的威胁。
反间谍软件签名可检测被入侵的主机上的间谍软件。此类间谍软件可能会尝试联系外部“命令和控制”(C2) 服务器。
防病毒签名可检测可执行文件和文件类型中的病毒和恶意软件。
DNS 签名可检测连接到恶意网域的 DNS 请求。
每个威胁签名还具有与之关联的默认操作。您可以使用安全配置文件替换这些签名的操作,并在防火墙政策规则中引用安全配置文件组中的这些配置文件。如果在拦截的流量中检测到任何已配置的威胁签名,防火墙端点会对匹配的数据包执行安全配置文件中指定的操作。
威胁严重级别
威胁签名的严重级别表示检测到的事件的风险,Cloud NGFW 会针对匹配的流量生成提醒。下表总结了威胁严重级别。
| 严重程度 | 说明 |
|---|---|
| 严重 | 严重威胁会导致服务器的根入侵。例如,影响广泛部署的软件的默认安装的威胁,以及攻击者大肆利用漏洞代码的情形。攻击者通常不需要任何特殊的身份验证凭据,也不需要知道具体受害者的信息,并且不需要操纵目标来执行任何特殊功能。 |
| 高 | 可能发展为严重威胁但存在制约因素的威胁。例如,它们可能难以利用、不会导致权限提升,或者受害者没那么多。 |
| 中 | 影响降至最低限度并且没有入侵目标的轻微威胁,或者需要攻击者与受害者位于同一本地网络的漏洞。此类攻击仅影响非标准配置或安装量较少的应用,或者提供的访问权限非常有限。 |
| 低 | 对组织基础架构影响很小的警告级别威胁。此类威胁通常需要访问本地或物理系统,并且通常会导致受害者的隐私问题和信息泄露。 |
| 信息 | 不会造成直接威胁的可疑事件,但仍然报告这些事件,以指示可能存在更深层次的问题。 |
威胁例外情况
如果您想要减少或增加对特定威胁签名 ID 的提醒,则可以使用安全配置文件来替换与威胁关联的默认操作。您可以在威胁日志中找到 Cloud NGFW 检测到的现有威胁的威胁签名 ID。
Cloud NGFW 可让您查看在您的环境中检测到的威胁。如需查看在您的网络中检测到的威胁,请参阅查看威胁。
内容更新频率
Cloud NGFW 会自动更新所有签名,不需要用户干预。因此您可以专注于分析和解决威胁,而无需管理或更新签名。
Cloud NGFW 从 Palo Alto Networks 获取更新,并推送到所有现有防火墙端点。更新延迟时间预计不超过 48 小时。
查看日志
Cloud NGFW 的某些功能会生成提醒,这些提醒会发送到威胁日志。如需详细了解日志记录,请参阅 Cloud Logging。