A deteção de ameaças baseada em assinaturas é um dos mecanismos mais usados para identificar comportamentos maliciosos e, por isso, é amplamente usada para impedir ataques de rede. As capacidades de deteção de ameaças da firewall de nova geração na nuvem são suportadas pelas tecnologias de prevenção contra ameaças da Palo Alto Networks.
Esta secção apresenta as assinaturas de ameaças predefinidas, os níveis de gravidade de ameaças suportados e as exceções de ameaças fornecidas pelo NGFW na nuvem em parceria com a Palo Alto Networks.
Assinatura predefinida
O Cloud NGFW fornece um conjunto predefinido de assinaturas de ameaças que ajudam a proteger as cargas de trabalho de rede contra ameaças. As assinaturas são usadas para detetar vulnerabilidades e spyware. Para ver todas as assinaturas de ameaças configuradas no Cloud NGFW, aceda ao cofre de ameaças. Se ainda não tiver uma conta, inscreva-se para criar uma nova.
As assinaturas de deteção de vulnerabilidades detetam tentativas de explorar falhas do sistema ou obter acesso não autorizado a sistemas. Embora as assinaturas anti-spyware ajudem a identificar anfitriões infetados quando o tráfego sai da rede, as assinaturas de deteção de vulnerabilidades protegem contra ameaças que penetram na rede.
Por exemplo, as assinaturas de deteção de vulnerabilidades ajudam a proteger contra transbordamentos de buffer, execução de código ilegal e outras tentativas de explorar vulnerabilidades do sistema. As assinaturas de deteção de vulnerabilidades predefinidas fornecem deteção para clientes e servidores de todas as ameaças conhecidas de gravidade crítica, elevada e média, juntamente com ameaças de gravidade baixa e informativa.
As assinaturas anti-spyware detetam spyware em anfitriões comprometidos. Este tipo de spyware pode tentar contactar servidores de comando e controlo (C2) externos.
As assinaturas de antivírus detetam vírus e software malicioso encontrados em ficheiros executáveis e tipos de ficheiros.
Cada assinatura de ameaça também tem uma ação predefinida associada. Pode usar perfis de segurança para substituir as ações destas assinaturas e referenciar estes perfis como parte de um grupo de perfis de segurança numa regra da política de firewall. Se for detetada alguma assinatura de ameaça configurada no tráfego intercetado, o ponto final da firewall executa a ação correspondente especificada no perfil de segurança nos pacotes correspondentes.
Níveis de gravidade das ameaças
A gravidade da assinatura de uma ameaça indica o risco do evento detetado e o Cloud NGFW gera alertas para o tráfego correspondente. A tabela seguinte resume os níveis de gravidade das ameaças.
| Gravidade | Descrição |
|---|---|
| Crítico | As ameaças graves causam a comprometimento da raiz dos servidores. Por exemplo, ameaças que afetam instalações predefinidas de software amplamente implementado e em que o código de exploração está amplamente disponível para os atacantes. Normalmente, o atacante não precisa de credenciais de autenticação especiais nem de conhecimentos sobre as vítimas individuais, e o alvo não precisa de ser manipulado para realizar funções especiais. |
| Alto | Ameaças que têm a capacidade de se tornarem críticas, mas existem fatores atenuantes. Por exemplo, podem ser difíceis de explorar, não resultam em privilégios elevados ou não têm um grande número de vítimas. |
| Médio | Ameaças menores em que o impacto é minimizado e que não comprometem o alvo, ou explorações que exigem que um atacante resida na mesma rede local que a vítima. Estes ataques afetam apenas configurações não padrão ou aplicações obscuras, ou fornecem acesso muito limitado. |
| Baixo | Ameaças ao nível de aviso que têm um impacto muito reduzido na infraestrutura de uma organização. Normalmente, estas ameaças requerem acesso local ou físico ao sistema e podem, muitas vezes, resultar em problemas de privacidade das vítimas e fugas de informações. |
| Informativas | Eventos suspeitos que não representam uma ameaça imediata, mas que são comunicados para indicar problemas mais profundos que podem existir. |
Exceções de ameaças
Se quiser suprimir ou aumentar os alertas em IDs de assinaturas de ameaças específicos, pode usar perfis de segurança para substituir as ações predefinidas associadas a ameaças. Pode encontrar os IDs das assinaturas de ameaças de ameaças existentes detetadas pelo NGFW da nuvem nos seus registos de ameaças.
O NGFW na nuvem oferece visibilidade sobre as ameaças detetadas no seu ambiente. Para ver as ameaças detetadas na sua rede, consulte o artigo Veja ameaças.
Antivírus
Por predefinição, o Cloud NGFW gera um alerta quando encontra uma ameaça de vírus no tráfego de rede de qualquer um dos respetivos protocolos suportados. Pode usar perfis de segurança para substituir esta ação predefinida e permitir ou negar o tráfego de rede com base no protocolo de rede.
Protocolos suportados
O NGFW da nuvem suporta os seguintes protocolos para deteção de antivírus:
SMTPSMBPOP3IMAPHTTP2HTTPFTP
Ações suportadas
O NGFW da nuvem suporta as seguintes ações de antivírus para os respetivos protocolos suportados:
DEFAULT: o comportamento predefinido da ação antivírus da Palo Alto Networks.Se for encontrada uma ameaça no tráfego do protocolo SMTP, IMAP ou POP3, o Cloud NGFW gera um alerta nos registos de ameaças. Se for encontrada uma ameaça no tráfego do protocolo FTP, HTTP ou SMB, o Cloud NGFW bloqueia o tráfego. Para mais informações, consulte a documentação das ações da Palo Alto Networks.
ALLOW: permitir o tráfego.DENY: negar o tráfego.ALERT: gerar um alerta nos registos de ameaças. Este é o comportamento predefinido do Cloud NGFW.
Práticas recomendadas para usar as ações do antivírus
Recomendamos que configure as ações do antivírus para negar todas as ameaças de vírus. Use as seguintes orientações para determinar se deve recusar o tráfego ou gerar um alerta:
- Para aplicações essenciais para a empresa, comece com o conjunto de ações do perfil de segurança definido como
alert. Esta definição permite-lhe monitorizar e avaliar ameaças sem interromper o tráfego. Depois de confirmar que o perfil de segurança cumpre os seus requisitos empresariais e de segurança, pode alterar a ação do perfil de segurança paradeny. - Para aplicações não críticas, defina a ação do perfil de segurança como
deny. É seguro bloquear imediatamente o tráfego malicioso para aplicações não críticas.
Para configurar um alerta ou negar tráfego de rede para todos os protocolos de rede suportados, use os seguintes comandos:
Para configurar uma ação de alerta sobre ameaças de antivírus para todos os protocolos suportados:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action ALERT \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_IDSubstitua o seguinte:
NAME: o nome do perfil de segurança; pode especificar o nome como uma string ou como um identificador de URL exclusivo.ORGANIZATION_ID: a organização onde o perfil de segurança é criado.Se usar um identificador de URL exclusivo para a flag
name, pode omitir a flagorganization.LOCATION: a localização do perfil de segurança.A localização está sempre definida como
global. Se usar um identificador de URL exclusivo para a flagname, pode omitir a flaglocation.PROJECT_ID: o ID do projeto a usar para quotas e restrições de acesso no perfil de segurança.
Para configurar uma ação de recusa em ameaças de antivírus para todos os protocolos suportados:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action DENY \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_IDSubstitua o seguinte:
NAME: o nome do perfil de segurança; pode especificar o nome como uma string ou como um identificador de URL exclusivo.ORGANIZATION_ID: a organização onde o perfil de segurança é criado.Se usar um identificador de URL exclusivo para a flag
name, pode omitir a flagorganization.LOCATION: a localização do perfil de segurança.A localização está sempre definida como
global. Se usar um identificador de URL exclusivo para a flagname, pode omitir a flaglocation.PROJECT_ID: o ID do projeto a usar para quotas e restrições de acesso no perfil de segurança.
Para mais informações sobre como configurar a substituição, consulte o artigo Adicione ações de substituição num perfil de segurança.
Frequência de atualização do conteúdo
O Cloud NGFW atualiza automaticamente todas as assinaturas sem intervenção do utilizador, o que lhe permite concentrar-se na análise e resolução de ameaças sem gerir nem atualizar assinaturas.
As atualizações da Palo Alto Networks são recolhidas pelo NGFW na nuvem e enviadas para todos os pontos finais da firewall existentes. A latência de atualização é estimada em até 48 horas.
Ver registos
Várias funcionalidades do NGFW da nuvem geram alertas, que são enviados para o registo de ameaças. Para mais informações sobre o registo, consulte o artigo Registos na nuvem.
O que se segue?
- Veja as ameaças
- Vista geral do serviço de deteção e prevenção de intrusão
- Configure o serviço de deteção e prevenção de intrusões