Cette page explique comment examiner les alertes de menace générées par Cloud IDS.
Examiner les détails de l'alerte
Vous pouvez consulter les champs JSON suivants dans le journal des alertes:
threat_id: identifiant unique de la menace Palo Alto Networks.name: nom de la menace.alert_severity: gravité de la menace. Spécifiez l'un des types suivants :INFORMATIONAL,LOW,MEDIUM,HIGHouCRITICAL.type: type de menace.category: sous-type de la menace.alert_time: heure à laquelle la menace a été découverte.network: réseau client dans lequel la menace a été détectée.source_ip_address: adresse IP source du trafic suspecté. Lorsque vous utilisez un équilibreur de charge Google Cloud, l'adresse IP réelle du client n'est pas disponible. Cette adresse est l'adresse IP de votre équilibreur de charge.destination_ip_address: adresse IP de destination du trafic suspecté.source_port: port source du trafic suspecté.destination_port: port de destination du trafic suspecté.ip_protocol: protocole IP du trafic suspecté.application: type d'application du trafic suspecté (par exemple, SSH).direction: direction du trafic suspecté (client-serveur ou serveur-client).session_id: identifiant numérique interne appliqué à chaque session.repeat_count: nombre de sessions présentant la même adresse IP source, la même adresse IP de destination, la même application et le même type dans un intervalle de cinq secondes.uri_or_filename: URI ou nom de fichier de la menace concernée, le cas échéant.cves: liste des CVE associées à la menacedetails: informations supplémentaires sur le type de menace, extraites de ThreatVault de Palo Alto Networks.
Rechercher dans le Threat Vault de Palo Alto Networks
Suivez les instructions ci-dessous pour rechercher des failles et expositions courantes (CVE), des ID de menace, des noms de menace et des catégories de menace.
Si vous ne possédez pas encore de compte, créez-en un sur la LiveCommunity de Palo Alto Networks.
Accédez au Threat Vault Palo Alto Networks à l'aide de votre compte.
Dans le Threat Vault, recherchez l'une des valeurs suivantes en fonction des informations de votre alerte de menace:
- Un ou plusieurs
CVEdu champcves THREAT_IDà partir du champthreat_idTHREAT_NAMEà partir du champnameCATEGORYà partir du champcategory
- Un ou plusieurs
Vérifiez que l'état de la signature indique Released (Publié) et non Disabled (Désactivé).
- Si la valeur est Désactivé, la signature n'est plus valide et est désactivée. Lorsque Cloud IDS a rattrapé les mises à jour de Palo Alto Networks, la signature cesse de générer des alertes.
Si un fichier a déclenché le résultat, procédez comme suit:
- Recherchez les hachages associés à la signature sur le site Web de VirusTotal pour déterminer si l'un d'eux est malveillant.
- Si le hachage du fichier déclenchant la signature est connu, comparez-le à ceux de Threat Vault. Si elles ne correspondent pas, il s'agit d'une collision de signature, ce qui signifie que le fichier et l'échantillon malveillant peuvent contenir les mêmes valeurs d'octets dans les mêmes décalages d'octets. Si c'est le cas et que le fichier n'est pas malveillant, il s'agit d'un faux positif et vous pouvez ignorer l'alerte de menace.
Si une menace de commande et de contrôle ou de DNS a déclenché la découverte, procédez comme suit:
- Identifiez le domaine de destination qui a déclenché la signature sur les communications sortantes d'un point de terminaison.
- Examinez la réputation des domaines et des adresses IP impliqués pour obtenir une compréhension globale du niveau de menace potentiel.
Si le trafic a un impact sur votre activité et que vous êtes convaincu qu'il n'est pas malveillant, ou si vous êtes prêt à accepter le risque, vous pouvez ajouter des exceptions de menace à votre point de terminaison Cloud IDS pour désactiver l'ID de menace.
Implémentez une règle Google Cloud Armor ou une règle Cloud NGFW pour bloquer le trafic malveillant à l'aide des adresses IP de la source et de la destination de la connexion dans la découverte.