Il rilevamento delle minacce basato sulle firme è uno dei meccanismi più utilizzati per identificare comportamenti dannosi, ed è pertanto ampiamente usato per prevenire gli attacchi di rete. Le funzionalità di rilevamento delle minacce di Cloud Next Generation Firewall si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks.
Questa sezione elenca le firme predefinite delle minacce, i livelli di gravità delle minacce supportati e le eccezioni alle minacce fornite da Cloud NGFW in collaborazione con Palo Alto Networks.
Firma predefinita impostata
Cloud NGFW fornisce un insieme predefinito di firme delle minacce che aiutano a proteggere i carichi di lavoro di rete dalle minacce. Le firme vengono utilizzate per rilevare vulnerabilità e spyware. Per visualizzare tutte le firme delle minacce configurate in Cloud NGFW, vai a threat vault. Se non hai ancora un account, registrati per crearne uno nuovo.
Le firme per il rilevamento delle vulnerabilità rilevano i tentativi di sfruttamento di difetti di sistema o l'accesso non autorizzato ai sistemi. Mentre le firme antispyware aiutano a identificare gli host infetti quando il traffico esce dalla rete, le firme per il rilevamento delle vulnerabilità proteggono da minacce che penetrano nella rete.
Ad esempio, le firme per il rilevamento delle vulnerabilità contribuiscono a proteggere da overflow del buffer, esecuzione di codice illegale e altri tentativi di sfruttare le vulnerabilità del sistema. Le firme predefinite per il rilevamento delle vulnerabilità consentono di rilevare per client e server tutte le minacce note critiche, ad alta e media gravità, oltre a qualsiasi minaccia di gravità bassa e informativa.
Le firme antispyware rilevano lo spyware su host compromessi. Questi spyware potrebbero tentare di contattare server command-and-control (C2) esterni.
Le firme degli antivirus rilevano i virus e i malware rilevati negli eseguibili e nei tipi di file.
Le firme DNS rilevano le richieste DNS di connessione a domini dannosi.
A ogni firma di minaccia è associata anche un'azione predefinita. Puoi utilizzare i profili di sicurezza per eseguire l'override delle azioni per queste firme e fare riferimento a questi profili come parte di un gruppo di profili di sicurezza in una regola del criterio firewall. Se nel traffico intercettato viene rilevata una firma di minaccia configurata, l'endpoint firewall esegue l'azione corrispondente specificata nel profilo di sicurezza sui pacchetti corrispondenti.
Livelli di gravità delle minacce
La gravità di una firma di minaccia indica il rischio dell'evento rilevato e Cloud NGFW genera avvisi per il traffico corrispondente. La tabella seguente riassume i livelli di gravità delle minacce.
| Gravità | Descrizione |
|---|---|
| Critico | Le minacce gravi causano la compromissione principale dei server. Ad esempio, minacce che interessano le installazioni predefinite di software di cui è stato eseguito il deployment su larga scala e in cui il codice di exploit è ampiamente disponibile per i malintenzionati. Generalmente l'utente malintenzionato non ha bisogno di credenziali di autenticazione o informazioni particolari sulle singole vittime e non è necessario manipolare l'obiettivo per svolgere funzioni speciali. |
| Alta | Minacce che possono diventare critiche, ma con fattori di mitigazione. Ad esempio, potrebbero essere difficili da sfruttare, non comportare privilegi elevati o non avere un pool di vittime di grandi dimensioni. |
| Medio | Minacce di minore entità il cui impatto è ridotto al minimo e che non compromettono l'obiettivo oppure exploit che richiedono a un utente malintenzionato di risiedere sulla stessa rete locale della vittima. Questi attacchi interessano solo configurazioni non standard o applicazioni oscurate oppure consentono un accesso molto limitato. |
| Basso | Minacce a livello di avviso con un impatto minimo sull'infrastruttura di un'organizzazione. Queste minacce solitamente richiedono l'accesso al sistema locale o fisico e spesso possono comportare problemi di privacy delle vittime e fughe di informazioni. |
| Informativo | Eventi sospetti che non rappresentano una minaccia immediata, ma vengono segnalati per indicare problemi più profondi che potrebbero verificarsi. |
Eccezioni alle minacce
Se vuoi eliminare o aumentare gli avvisi su specifici ID firma delle minacce, puoi utilizzare i profili di sicurezza per eseguire l'override delle azioni predefinite associate alle minacce. Puoi trovare gli ID firma delle minacce esistenti rilevate da Cloud NGFW nei tuoi log delle minacce.
Cloud NGFW offre visibilità sulle minacce rilevate nel tuo ambiente. Per visualizzare le minacce rilevate nella tua rete, vedi Visualizzare le minacce.
Frequenza di aggiornamento dei contenuti
Cloud NGFW aggiorna automaticamente tutte le firme senza alcun intervento da parte dell'utente, consentendoti di concentrarti sull'analisi e sulla risoluzione delle minacce senza gestire o aggiornare le firme.
Gli aggiornamenti da Palo Alto Networks vengono scelti da Cloud NGFW e inviati a tutti gli endpoint firewall esistenti. Si stima che la latenza degli aggiornamenti sia fino a 48 ore.
Visualizza i log
Diverse funzionalità di Cloud NGFW generano avvisi che vengono inviati al log delle minacce. Per ulteriori informazioni sul logging, consulta Cloud Logging.
Passaggi successivi
- Visualizza minacce
- Panoramica del servizio di prevenzione delle intrusioni
- Configura il servizio di prevenzione delle intrusioni