Esamina gli avvisi di minacce

Questa pagina fornisce dettagli su come esaminare gli avvisi di minacce generati da Cloud IDS.

Rivedi i dettagli dell'avviso

Nel log degli avvisi puoi esaminare i seguenti campi JSON:

  • threat_id: identificatore univoco delle minacce di Palo Alto Networks.
  • name - Nome della minaccia.
  • alert_severity - Gravità della minaccia. Uno dei seguenti: INFORMATIONAL, LOW, MEDIUM, HIGH o CRITICAL.
  • type - Tipo di minaccia.
  • category: sottotipo della minaccia.
  • alert_time: data e ora in cui è stata scoperta la minaccia.
  • network: rete del cliente in cui è stata scoperta la minaccia.
  • source_ip_address: indirizzo IP di origine del traffico sospetto. Quando utilizzi un bilanciatore del carico di Google Cloud, l'indirizzo IP del client reale non è disponibile e questo indirizzo è l'indirizzo IP del bilanciatore del carico.
  • destination_ip_address: indirizzo IP di destinazione del traffico sospetto.
  • source_port: porta di origine del traffico sospetto.
  • destination_port: porta di destinazione del traffico sospetto.
  • ip_protocol: protocollo IP del traffico sospetto.
  • application: il tipo di applicazione del traffico sospetto, ad esempio SSH.
  • direction: la direzione del traffico prevista (client-server o server-client).
  • session_id: un identificatore numerico interno applicato a ogni sessione.
  • repeat_count: numero di sessioni con lo stesso IP di origine, IP di destinazione, applicazione e tipo visualizzate in 5 secondi.
  • uri_or_filename: URI o nome file della minaccia pertinente, se applicabile.
  • cves: un elenco di CVE associate alla minaccia
  • details - Informazioni aggiuntive sul tipo di minaccia, tratte da ThreatVault di Palo Alto Networks.

Cerca in Palo Alto Networks Threat Vault

Segui le seguenti istruzioni per cercare vulnerabilità ed esposizioni comuni (CVE), ID minaccia, nomi e categorie di minacce.

  1. Se non hai ancora un account, creane uno sulla LiveCommunity di Palo Alto Networks.

  2. Accedi alla Threat Vault di Palo Alto Networks utilizzando il tuo account.

  3. In Threat Vault, cerca uno dei seguenti valori in base alle informazioni del tuo avviso di minaccia:

    • Uno o più CVE nel campo cves
    • THREAT_ID dal campo threat_id
    • THREAT_NAME dal campo name
    • CATEGORY dal campo category

  4. Verifica che lo stato della firma sia Rilasciata e non Disattivata.

    1. Se disattivata, la firma non è più valida e viene disattivata. Quando Cloud IDS si aggiorna da Palo Alto Networks, la firma smette di generare avvisi.

  5. Se un file ha attivato il risultato, svolgi i seguenti passaggi:

    1. Cerca gli hash associati alla firma sul sito web di VirusTotal per determinare se sono dannosi.
    2. Se l'hash del file che attiva la firma è noto, confrontalo con quelli di Threat Vault. Se non corrispondono, si verifica un'collisione delle firme, il che significa che il file e il campione dannoso potrebbero contenere gli stessi valori di byte negli stessi offset di byte. Se corrispondono e il file non è dannoso, è un falso positivo e puoi ignorare l'avviso di minaccia.

  6. Se il risultato è stato attivato da una minaccia command-and-control o DNS, procedi nel seguente modo:

    1. Identificare il dominio di destinazione che ha attivato la firma per le comunicazioni in uscita da un endpoint.
    2. Esamina la reputazione dei domini e degli indirizzi IP coinvolti per sviluppare una comprensione generale del potenziale livello di minaccia.

  7. Se il traffico ha un impatto sull'attività e sei convinto che non sia dannoso o se vuoi accettare il rischio, puoi aggiungere Eccezioni per le minacce al tuo endpoint Cloud IDS per disabilitare l'ID minaccia.

  8. Implementa una regola di Google Cloud Armor o una regola di Cloud NGFW per bloccare il traffico dannoso utilizzando gli indirizzi IP di origine e di destinazione della connessione nel risultato.