Die signaturbasierte Bedrohungserkennung ist eine der am häufigsten verwendeten Methoden zur Identifizierung von böswilligem Verhalten. Sie wird daher häufig genutzt, um Netzwerkangriffe zu verhindern. Die Cloud Next Generation Firewall-Funktionen zur Bedrohungserkennung basieren auf den Technologien zur Bedrohungsvermeidung von Palo Alto Networks.
In diesem Abschnitt sind die standardmäßigen Bedrohungssignaturen, unterstützten Schweregrade und Bedrohungsausnahmen aufgeführt, die von Cloud NGFW in Zusammenarbeit mit Palo Alto Networks bereitgestellt werden.
Standardsignatursatz
Cloud NGFW bietet einen Standardsatz von Bedrohungssignaturen, mit denen Sie Ihre Netzwerkarbeitslasten vor Bedrohungen schützen können. Die Signaturen werden verwendet, um Sicherheitslücken und Spyware zu erkennen. Um sich alle in Cloud NGFW konfigurierten Bedrohungssignaturen anzusehen, rufen Sie den Threat Vault auf. Wenn Sie noch kein Konto haben, registrieren Sie sich für ein neues Konto.
Signaturen zur Sicherheitslückenerkennung erkennen Versuche, Systemfehler zu auszunutzen oder unbefugten Zugriff auf Systeme zu erlangen. Anti-Spyware-Signaturen helfen dabei, infizierte Hosts zu identifizieren, wenn der Traffic das Netzwerk verlässt. Mit Signaturen zur Sicherheitslückenerkennung sind sie vor Bedrohungen geschützt, die in das Netzwerk eindringen.
Signaturen zur Sicherheitslückenerkennung schützen beispielsweise vor Zwischenspeicherüberläufen, der illegalen Codeausführung und anderen Versuchen, die Systemsicherheitslücken auszunutzen. Die standardmäßigen Signaturen für die Sicherheitslückenerkennung bieten für Clients und Server die Erkennung aller bekannten Bedrohungen mit kritischem, hohem und mittlerem Schweregrad sowie von Bedrohungen mit niedrigem und Informationsschweregrad.
Anti-Spyware-Signaturen erkennen Spyware auf manipulierten Hosts. Solche Spyware versucht möglicherweise, externe C2-Server (Command-and-Control-Server) zu kontaktieren.
Antivirensignaturen erkennen Viren und Malware, die in ausführbaren Dateien und Dateitypen gefunden werden.
DNS-Signaturen erkennen DNS-Anfragen zum Herstellen einer Verbindung zu schädlichen Domains.
Jeder Bedrohungssignatur ist auch eine Standardaktion zugeordnet. Mit Sicherheitsprofilen können Sie die Aktionen für diese Signaturen überschreiben und in einer Firewallregel im Rahmen einer Sicherheitsprofilgruppe auf diese Profile verweisen. Wenn im abgefangenen Traffic eine konfigurierte Bedrohungssignatur erkannt wird, führt der Firewall-Endpunkt die entsprechende Aktion aus, die im Sicherheitsprofil für die übereinstimmenden Pakete angegeben ist.
Bedrohungsschweregrade
Der Schweregrad einer Bedrohungssignatur gibt das Risiko des erkannten Ereignisses an und Cloud NGFW generiert Benachrichtigungen für übereinstimmenden Traffic. In der folgenden Tabelle sind die Schweregrade der Bedrohungen zusammengefasst.
| Schweregrad | Beschreibung |
|---|---|
| Kritisch | Ernsthafte Bedrohungen verursachen eine Root-Manipulation von Servern. Beispielsweise Bedrohungen, die die Standardinstallationen einer gängigen Software betreffen und bei denen Exploit-Code allgemein für Angreifer verfügbar ist. Der Angreifer benötigt in der Regel keine speziellen Authentifizierungsanmeldedaten oder Kenntnisse über die einzelnen Opfer. Das Ziel muss außerdem nicht so manipuliert werden, dass spezielle Funktionen ausgeführt werden. |
| Hoch | Bedrohungen, die kritisch werden können, bei denen es aber Möglichkeiten zur Risikominderung gibt. Sie können beispielsweise schwierig auszunutzen sein, führen nicht zu höheren Berechtigungen oder haben keine große Zahl potenzieller Opfer. |
| Mittel | Kleinere Bedrohungen, bei denen die Auswirkungen minimiert werden und das Ziel nicht manipuliert wird, oder Exploit, die erfordern, dass sich ein Angreifer im selben lokalen Netzwerk wie das Opfer befindet. Solche Angriffe betreffen nur nicht standardmäßige Konfigurationen oder ganz besondere Anwendungen oder ermöglichen nur einen eingeschränkten Zugriff. |
| Niedrig | Bedrohungen auf Warnungsebene, die nur sehr geringe Auswirkungen auf die Infrastruktur einer Organisation haben. Solche Bedrohungen erfordern in der Regel den Zugriff auf lokale oder physische Systeme und können häufig zu Datenschutzproblemen bei den Opfern und zu Informationslecks führen. |
| Informationell | Verdächtige Ereignisse, die keine unmittelbare Bedrohung darstellen, aber auf tiefergehende Probleme hinweisen können, die möglicherweise existieren. |
Bedrohungsausnahmen
Wenn Sie Benachrichtigungen für bestimmte Bedrohungssignatur-IDs unterdrücken oder vermehrt erhalten möchten, können Sie Sicherheitsprofile verwenden, um die mit Bedrohungen verbundenen Standardaktionen zu überschreiben. Sie finden die Bedrohungssignatur-IDs vorhandener Bedrohungen, die von Cloud NGFW erkannt werden, in Ihren Bedrohungslogs.
Cloud NGFW bietet Einblick in Bedrohungen, die in Ihrer Umgebung erkannt werden. Informationen zu Bedrohungen, die in Ihrem Netzwerk erkannt wurden, finden Sie unter Bedrohungen ansehen.
Häufigkeit von Inhaltsupdates
Cloud NGFW aktualisiert alle Signaturen automatisch ohne Nutzereingriff, sodass Sie sich auf die Analyse und Lösung von Bedrohungen konzentrieren können, ohne Signaturen verwalten oder aktualisieren zu müssen.
Updates von Palo Alto Networks werden von Cloud NGFW übernommen und an alle vorhandenen Firewall-Endpunkte übertragen. Die Updatelatenz beträgt geschätzt bis zu 48 Stunden.
Logs ansehen
Verschiedene Features von Cloud NGFW generieren Benachrichtigungen, die an das Bedrohungslog gesendet werden. Weitere Informationen zum Logging finden Sie unter Cloud Logging.