本页面详细介绍了如何调查 Cloud IDS 生成的威胁提醒。
查看提醒详细信息
您可以在提醒日志中查看以下 JSON 字段:
threat_id
- 唯一的 Palo Alto Networks 威胁标识符。name
- 威胁名称。alert_severity
- 威胁的严重程度。INFORMATIONAL
、LOW
、MEDIUM
、HIGH
或CRITICAL
之一。type
- 威胁的类型。category
- 威胁的子类型。alert_time
- 发现威胁的时间。network
- 其中发现威胁的客户网络。source_ip_address
- 可疑流量的来源 IP 地址。当您使用 Google Cloud 负载均衡器时,真实的客户端 IP 地址不可用,并且该地址是负载均衡器的 IP 地址。destination_ip_address
- 可疑流量的目标 IP 地址。source_port
- 可疑流量的来源端口。destination_port
- 可疑流量的目标端口。ip_protocol
- 可疑流量的 IP 协议。application
- 可疑流量的应用类型,例如 SSH。direction
- 可疑流量的方向(客户端到服务器或服务器到客户端)。session_id
- 应用于每个会话的内部数字标识符。repeat_count
- 在 5 秒内看到具有相同来源 IP、目标 IP、应用和类型的会话数。uri_or_filename
- 相关威胁的 URI 或文件名(如果适用)。cves
- 与威胁相关联的 CVE 列表details
- 有关威胁类型的其他信息,取自 Palo Alto Networks 的 ThreatVault。
搜索 Palo Alto Networks 威胁保险柜
请按照以下说明搜索常见漏洞和风险 (CVE)、威胁 ID、威胁名称和威胁类别。
如果您还没有帐号,请在 Palo Alto Networks 的 LiveCommunity 上创建一个。
使用您的账号访问 Palo Alto Networks 威胁保险柜。
在威胁保险柜中,根据威胁提醒中的信息搜索以下任何值:
cves
字段中的一个或多个CVE
threat_id
字段中的THREAT_ID
name
字段中的THREAT_NAME
category
字段中的CATEGORY
验证签名状态是否为已释放而不是已停用。
- 如果已停用,签名将失效并被停用。 当 Cloud IDS 收到 Palo Alto Networks 更新时,签名便会停止生成提醒。
如果文件触发了发现结果,请执行以下步骤:
- 在 VirusTotal 网站上搜索与签名关联的哈希,确定其中是否有恶意邮件。
- 如果触发签名的文件的哈希值是已知的,请将其与威胁保险柜中的哈希值进行比较。如果不匹配,则是签名冲突,这意味着文件和恶意样本可能在相同的字节偏移中包含相同的字节值。如果它们匹配且文件不是恶意文件,这就是误报,您可以忽略威胁警报。
如果命令和控制或 DNS 威胁触发了发现结果,请执行以下步骤:
- 确定在来自端点的出站通信中触发了签名的目标网域。
- 调查所涉及的网域和 IP 地址的声誉,以便更广泛地了解潜在威胁级别。
如果流量对业务产生了影响,并且您确信流量不是恶意的,或者您愿意接受风险,则可以向 Cloud IDS 端点添加威胁例外以停用威胁 ID (.)。
实施 Google Cloud Armor 规则或 Cloud NGFW 规则,使用发现结果中的连接来源和目标 IP 地址阻止恶意流量。