Il rilevamento delle minacce basato sulle firme è uno dei meccanismi più comunemente utilizzati per identificare comportamenti dannosi, ed è pertanto ampiamente utilizzato per prevenire di attacchi di rete. Le funzionalità di rilevamento delle minacce di Cloud Next Generation Firewall si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks.
Questa sezione elenca le firme delle minacce predefinite e la gravità supportata per le minacce livelli ed eccezioni alle minacce fornite da Cloud NGFW in collaborazione con Palo Alto Networks.
Firma predefinita impostata
Cloud NGFW fornisce un set predefinito firme delle minacce che ti aiutano a salvaguardare i carichi di lavoro di rete dalle minacce. Le firme vengono utilizzate per rilevare vulnerabilità e spyware. Per visualizzare tutte le firme delle minacce configurate in Cloud NGFW, vai alla vault delle minacce. Se non hai ancora un account, creane uno nuovo.
Le firme per il rilevamento delle vulnerabilità rilevano i tentativi di sfruttamento del sistema difetti o di ottenere l'accesso non autorizzato ai sistemi. Mentre le firme antispyware aiutano a identificare gli host infetti quando il traffico esce dalla rete, le firme di rilevamento proteggono dalle minacce che penetrano nella rete.
Ad esempio, le firme per il rilevamento delle vulnerabilità contribuiscono a proteggerti dal buffer overflow, esecuzione illegale di codice e altri tentativi di sfruttamento del sistema le vulnerabilità. Le firme di rilevamento delle vulnerabilità predefinite forniscono il rilevamento per i client e i server di tutte le minacce note di gravità critica, elevata e media, nonché di eventuali minacce di gravità bassa e informativa.
Le firme antispyware rilevano gli spyware sugli host compromessi. Questo tipo di spyware potrebbe tentare di contattare server di comando e controllo (C2) esterni.
Le firme antivirus rilevano virus e malware presenti nei file eseguibili e nei tipi di file.
Le firme DNS rilevano le richieste DNS di connessione a domini dannosi.
A ogni firma di minaccia è associata anche un'azione predefinita. Puoi utilizzare la modalità profili di sicurezza da sostituire le azioni per queste firme e fare riferimento a questi profili come parte di un gruppo di profili di sicurezza in una regola di criterio firewall. Se sono presenti minacce configurate viene rilevata una firma nel traffico intercettato, l'endpoint firewall esegue l'azione corrispondente specificata nel profilo di sicurezza e pacchetti corrispondenti.
Livelli di gravità delle minacce
La gravità della firma di una minaccia indica il rischio dell'evento rilevato e Cloud NGFW genera avvisi per il traffico corrispondente. La tabella seguente riassume i livelli di gravità delle minacce.
| Gravità | Descrizione |
|---|---|
| Critico | Le minacce gravi causano la compromissione principale dei server. Ad esempio, minacce che colpiscono le installazioni predefinite di software ampiamente implementato e in cui il codice di exploit è ampiamente disponibile per gli aggressori. In genere l'utente malintenzionato non ha bisogno di credenziali di autenticazione speciali o di informazioni sulle singole vittime e non è necessario manipolare il target per eseguire funzioni speciali. |
| Alta | Minacce che possono diventare critiche, ma che stanno attenuando fattori. Ad esempio, potrebbero essere difficili da sfruttare, non comportare elevati privilegi o non avere un ampio pool di vittime. |
| Medio | Minacce minori in cui l'impatto è ridotto al minimo e che non compromettono la destinazione oppure exploit che richiedono che un malintenzionato si trovi sulla stessa rete locale della vittima. Tali attacchi colpiscono solo o oscurare applicazioni, oppure offrono una configurazione l'accesso. |
| Bassa | Minacce a livello di avviso che hanno un impatto molto scarso su una dell'infrastruttura dell'organizzazione. Queste minacce di solito richiedono l'accesso locale o fisico al sistema e possono spesso causare problemi di privacy e fughe di informazioni per le vittime. |
| Informativo | Eventi sospetti che non rappresentano una minaccia immediata, ma che vengono segnalati per indicare la possibile presenza di problemi più profondi. |
Eccezioni alle minacce
Se vuoi sopprimere o aumentare gli avvisi su ID firma delle minacce specifici, possono utilizzare i profili di sicurezza per eseguire l'override le azioni predefinite associate alle minacce. Puoi trovare gli ID delle firme di minaccia delle minacce esistenti rilevate da Cloud NGFW nei log delle minacce.
Cloud NGFW offre visibilità sulle minacce rilevate nel tuo completamente gestito di Google Cloud. Per visualizzare le minacce rilevate nella tua rete, vedi Visualizzare le minacce.
Frequenza di aggiornamento dei contenuti
Cloud NGFW aggiorna automaticamente tutte le firme senza alcun utente di attenzione, consentendoti di concentrarti sull'analisi e sulla risoluzione delle minacce senza gestire o aggiornare le firme.
Gli aggiornamenti di Palo Alto Networks vengono rilevati da Cloud NGFW e pushed a tutti gli endpoint firewall esistenti. La latenza dell'aggiornamento è stimata essere fino a 48 ore.
Visualizza i log
Diverse funzionalità di Cloud NGFW generano avvisi, che vengono inviati a nel log delle minacce. Per ulteriori informazioni sul logging, consulta Cloud Logging.
Passaggi successivi
- Visualizzare le minacce
- Panoramica del servizio di prevenzione delle intrusioni
- Configura il servizio di prevenzione delle intrusioni