Informações gerais sobre as assinaturas de ameaças

A detecção de ameaças baseada em assinaturas é um dos mecanismos mais usados para identificar comportamentos maliciosos. Ela é amplamente usada para evitar ataques a redes. Os recursos de detecção de ameaças do Cloud Next Generation Firewall usam as tecnologias de prevenção de ameaças da Palo Alto Networks.

Veja nesta seção as assinaturas padrão de ameaças, os níveis de gravidade de ameaças compatíveis e as exceções de ameaças fornecidas pelo Cloud Firewall em parceria com a Palo Alto Networks.

Conjunto padrão de assinaturas

O Cloud Firewall fornece um conjunto padrão de assinaturas de ameaças que ajudam a proteger suas cargas de trabalho de rede contra ameaças. As assinaturas são usadas para detectar vulnerabilidades e spyware. Para ver todas as assinaturas de ameaças configuradas no Cloud Firewall, acesse o cofre de ameaças. Se você ainda não tiver uma conta, inscreva-se para criar uma nova.

  • As assinaturas de detecção de vulnerabilidades detectam tentativas de explorar falhas do sistema ou conseguir acesso não autorizado aos sistemas. As assinaturas antispyware ajudam a identificar hosts infectados quando o tráfego sai da rede. Já as assinaturas de detecção de vulnerabilidades protegem contra ameaças que invadem a rede.

    Por exemplo, as assinaturas de detecção de vulnerabilidades ajudam a proteger contra estouro de buffer, execução ilegal de códigos e outras tentativas de explorar vulnerabilidades do sistema. As assinaturas de detecção de vulnerabilidades padrão fornecem detecção para clientes e servidores de todas as ameaças críticas, de alta e média gravidade, além de ameaças de gravidade baixa e informativa.

  • As assinaturas antispyware detectam spyware em hosts comprometidos. Esses spywares podem entrar em contato com servidores de comando e controle (C2) externos.

  • As assinaturas antivírus detectam vírus e malware encontrados em executáveis e tipos de arquivos.

  • As assinaturas DNS detectam solicitações de DNS para conexão a domínios maliciosos.

Cada assinatura de ameaça também tem uma ação padrão associada. É possível usar perfis de segurança para substituir as ações dessas assinaturas e fazer referência a eles como parte de um grupo de perfis de segurança. em uma regra de política de firewall. Se qualquer assinatura de ameaça configurada for detectada no tráfego interceptado, o endpoint do firewall executará a ação correspondente especificada no perfil de segurança nos pacotes correspondentes.

Níveis de gravidade de ameaças

A gravidade de uma assinatura de ameaça indica o risco do evento detectado, e o Cloud Firewall gera alertas para o tráfego correspondente. A tabela a seguir resume os níveis de gravidade de ameaças.

Gravidade Descrição
Crítica Ameaças graves causam comprometimento dos servidores no nível raiz. Por exemplo, ameaças que afetam as instalações padrão de software amplamente implantado e onde o código de exploração está amplamente disponível para os invasores. O invasor geralmente não precisa de credenciais de autenticação especiais ou de conhecimentos sobre as vítimas individuais. Além disso, o alvo não precisa ser manipulado para a execução de funções especiais.
Alta Ameaças que podem se tornar críticas, mas há fatores atenuantes. Por exemplo, elas podem ser difíceis de explorar, não resultam em privilégios elevados ou não têm um grande pool de vítimas.
Médio Pequenas ameaças em que o impacto é minimizado e não compromete o alvo ou explorações que exigem que um invasor resida na mesma rede local que a vítima. Esses ataques afetam apenas configurações não padrão ou aplicativos ocultos, ou fornecem acesso muito limitado.
Baixa Ameaças de alerta com pouco impacto na infraestrutura de uma organização. Essas ameaças geralmente exigem acesso ao sistema físico ou local e podem resultar em problemas de privacidade da vítima e vazamentos de informações.
Informativa Eventos suspeitos que não representam uma ameaça imediata, mas que são relatados para indicar problemas mais profundos que podem existir.

Exceções de ameaças

Se você quiser suprimir ou aumentar os alertas sobre códigos específicos de assinatura de ameaças, use os perfis de segurança para modificar as ações padrão associadas a ameaças. Nos registros de ameaças, é possível encontrar os IDs das assinaturas de ameaças detectadas pelo Cloud Firewall.

O Cloud Firewall fornece visibilidade de ameaças detectadas no seu ambiente. Para ver as ameaças detectadas na sua rede, consulte Visualizar ameaças.

Frequência de atualização do conteúdo

O Cloud Firewall atualiza automaticamente todas as assinaturas sem qualquer intervenção do usuário, permitindo que você se concentre em analisar e resolver ameaças sem gerenciar ou atualizar assinaturas.

As atualizações da Palo Alto Networks são selecionadas pelo Cloud Firewall e enviadas para todos os endpoints do firewall atuais. Estima-se que a latência de atualização seja de até 48 horas.

Ver registros

Vários recursos do Cloud Firewall geram alertas que são enviados para o registro de ameaças. Para mais informações sobre a geração de registros, consulte Cloud Logging.

A seguir