Deteksi ancaman berbasis tanda tangan adalah salah satu mekanisme yang paling umum digunakan untuk mengidentifikasi perilaku berbahaya, sehingga banyak digunakan untuk mencegah serangan jaringan. Kemampuan deteksi ancaman Cloud Next Generation Firewall didukung oleh teknologi pencegahan ancaman Palo Alto Networks.
Bagian ini mencantumkan tanda tangan ancaman default, tingkat keparahan ancaman yang didukung, dan pengecualian ancaman yang disediakan oleh Cloud NGFW dalam kemitraan dengan Palo Alto Networks.
Tanda tangan default ditetapkan
Cloud NGFW menyediakan kumpulan default tanda tangan ancaman yang membantu Anda melindungi workload jaringan dari ancaman. Tanda tangan digunakan untuk mendeteksi kerentanan dan spyware. Untuk melihat semua tanda tangan ancaman yang dikonfigurasi di Cloud NGFW, buka repositori ancaman. Jika Anda belum memiliki akun, daftar untuk membuat akun baru.
Signature deteksi kerentanan mendeteksi upaya untuk mengeksploitasi kelemahan sistem atau mendapatkan akses tidak sah ke sistem. Meskipun tanda tangan anti-spyware membantu mengidentifikasi host yang terinfeksi saat traffic keluar dari jaringan, tanda tangan deteksi kerentanan melindungi dari ancaman yang menembus jaringan.
Misalnya, tanda tangan deteksi kerentanan membantu melindungi dari overflow buffer, eksekusi kode ilegal, dan upaya lainnya untuk mengeksploitasi kerentanan sistem. Tanda tangan deteksi kerentanan default memberikan deteksi untuk klien dan server dari semua ancaman tingkat keparahan kritis, tinggi, dan sedang yang diketahui beserta ancaman tingkat keparahan rendah dan informatif.
Tanda tangan anti-spyware mendeteksi spyware di host yang disusupi. Spyware tersebut mungkin mencoba menghubungi server command-and-control (C2) eksternal.
Tanda tangan antivirus mendeteksi virus dan malware yang ditemukan dalam jenis file dan file yang dapat dieksekusi.
Tanda tangan DNS mendeteksi permintaan DNS untuk terhubung ke domain berbahaya.
Setiap tanda tangan ancaman juga memiliki tindakan default yang terkait dengannya. Anda dapat menggunakan profil keamanan untuk mengganti tindakan untuk tanda tangan ini, dan mereferensikan profil ini sebagai bagian dari grup profil keamanan dalam aturan kebijakan firewall. Jika tanda tangan ancaman yang dikonfigurasi terdeteksi dalam traffic yang dicegat, endpoint firewall akan melakukan tindakan yang sesuai yang ditentukan dalam profil keamanan pada paket yang cocok.
Tingkat keparahan ancaman
Tingkat keparahan tanda tangan ancaman menunjukkan risiko peristiwa yang terdeteksi, dan Cloud NGFW menghasilkan pemberitahuan untuk traffic yang cocok. Tabel berikut merangkum tingkat keparahan ancaman.
| Keparahan | Deskripsi |
|---|---|
| Kritis | Ancaman serius menyebabkan server disusupi root. Misalnya, ancaman yang memengaruhi penginstalan default software yang di-deploy secara luas dan tempat kode eksploitasi tersedia secara luas bagi penyerang. Penyerang biasanya tidak memerlukan kredensial autentikasi atau pengetahuan khusus tentang setiap korban, dan target tidak perlu dimanipulasi untuk melakukan fungsi khusus. |
| Tinggi | Ancaman yang memiliki kemampuan untuk menjadi kritis, tetapi ada faktor mitigasi. Misalnya, kerentanan tersebut mungkin sulit dieksploitasi, tidak menghasilkan hak istimewa yang ditingkatkan, atau tidak memiliki kumpulan korban yang besar. |
| Sedang | Ancaman kecil yang dampaknya diminimalkan dan tidak membahayakan target, atau eksploitasi yang mengharuskan penyerang berada di jaringan lokal yang sama dengan korban. Serangan tersebut hanya memengaruhi konfigurasi non-standar atau aplikasi yang tidak jelas, atau memberikan akses yang sangat terbatas. |
| Rendah | Ancaman tingkat peringatan yang memiliki dampak sangat kecil pada infrastruktur organisasi. Ancaman tersebut biasanya memerlukan akses sistem lokal atau fisik dan sering kali dapat menyebabkan masalah privasi korban serta kebocoran informasi. |
| Informatif | Peristiwa mencurigakan yang tidak menimbulkan ancaman langsung, tetapi dilaporkan untuk menunjukkan masalah yang lebih dalam yang mungkin ada. |
Pengecualian ancaman
Jika ingin menyembunyikan atau meningkatkan notifikasi pada ID tanda tangan ancaman tertentu, Anda dapat menggunakan profil keamanan untuk mengganti tindakan default yang terkait dengan ancaman. Anda dapat menemukan ID tanda tangan antivirus ancaman yang ada yang terdeteksi oleh Cloud NGFW di log ancaman.
Cloud NGFW memberikan visibilitas tentang ancaman yang terdeteksi di lingkungan Anda. Untuk melihat ancaman yang terdeteksi di jaringan Anda, lihat Melihat ancaman.
Frekuensi pembaruan konten
Cloud NGFW otomatis mengupdate semua tanda tangan tanpa intervensi pengguna, sehingga Anda dapat berfokus pada analisis dan penyelesaian ancaman tanpa mengelola atau mengupdate tanda tangan.
Update dari Palo Alto Networks diambil oleh Cloud NGFW dan dikirim ke semua endpoint firewall yang ada. Latensi pembaruan diperkirakan berlangsung hingga 48 jam.
Lihat log
Beberapa fitur Cloud NGFW menghasilkan pemberitahuan, yang dikirim ke log ancaman. Untuk mengetahui informasi selengkapnya tentang logging, lihat Cloud Logging.
Langkah selanjutnya
- Melihat ancaman
- Ringkasan layanan pencegahan penyusupan
- Mengonfigurasi layanan pencegahan penyusupan