Menginvestigasi Notifikasi Ancaman

Halaman ini memberikan detail tentang cara menyelidiki pemberitahuan ancaman yang dihasilkan Cloud IDS.

Meninjau detail pemberitahuan

Anda dapat meninjau kolom JSON berikut di log pemberitahuan:

  • threat_id - ID ancaman Palo Alto Networks yang unik.
  • name - Nama ancaman.
  • alert_severity - Tingkat keparahan ancaman. Salah satu dari INFORMATIONAL, LOW, MEDIUM, HIGH, atau CRITICAL.
  • type - Jenis ancaman.
  • category - Subjenis ancaman.
  • alert_time - Waktu saat ancaman ditemukan.
  • network - Jaringan pelanggan tempat ancaman ditemukan.
  • source_ip_address - Alamat IP sumber traffic yang dicurigai. Saat Anda menggunakan load balancerGoogle Cloud , alamat IP klien yang sebenarnya tidak tersedia, dan alamat ini adalah alamat IP load balancer Anda.
  • destination_ip_address - Alamat IP tujuan traffic yang dicurigai.
  • source_port - Port sumber traffic yang dicurigai.
  • destination_port - Port tujuan traffic yang dicurigai.
  • ip_protocol - Protokol IP traffic yang dicurigai.
  • application - Jenis aplikasi traffic yang dicurigai—misalnya, SSH.
  • direction - Arah traffic yang dicurigai (klien ke server atau server ke klien).
  • session_id - ID numerik internal yang diterapkan ke setiap sesi.
  • repeat_count - Jumlah sesi dengan IP sumber, IP tujuan, aplikasi, dan jenis yang sama yang dilihat dalam waktu 5 detik.
  • uri_or_filename - URI atau nama file ancaman yang relevan, jika ada.
  • cves - daftar CVE yang terkait dengan ancaman
  • details - Informasi tambahan tentang jenis ancaman, diambil dari ThreatVault Palo Alto Networks.

Menelusuri Palo Alto Networks Threat Vault

Gunakan petunjuk berikut untuk menelusuri Common Vulnerabilities and Exposures (CVE), ID ancaman, nama ancaman, dan kategori ancaman.

  1. Jika Anda belum memiliki akun, buat akun di LiveCommunity Palo Alto Networks.

  2. Akses Threat Vault Palo Alto Networks menggunakan akun Anda.

  3. Di Threat Vault, telusuri salah satu nilai berikut berdasarkan informasi dari notifikasi ancaman Anda:

    • Satu atau beberapa CVE dari kolom cves
    • THREAT_ID dari kolom threat_id
    • THREAT_NAME dari kolom name
    • CATEGORY dari kolom category

  4. Pastikan status tanda tangan bertuliskan Dirilis, bukan Dinonaktifkan.

    1. Jika Nonaktif, tanda tangan tidak lagi valid dan dinonaktifkan. Saat Cloud IDS mengikuti update dari Palo Alto Networks, tanda tangan berhenti menghasilkan pemberitahuan.

  5. Jika file memicu temuan, lakukan langkah-langkah berikut:

    1. Telusuri hash yang terkait dengan tanda tangan di situs VirusTotal untuk menentukan apakah salah satunya berbahaya.
    2. Jika hash file yang memicu tanda tangan diketahui, bandingkan dengan hash di Threat Vault. Jika tidak cocok, ini adalah tabrakan tanda tangan, yang berarti file dan sampel berbahaya mungkin berisi nilai byte yang sama dalam offset byte yang sama. Jika cocok dan file tersebut tidak berbahaya, berarti file tersebut adalah positif palsu dan Anda dapat mengabaikan notifikasi ancaman.

  6. Jika ancaman command-and-control atau DNS memicu temuan ini, lakukan langkah-langkah berikut:

    1. Identifikasi domain tujuan yang memicu tanda tangan pada komunikasi keluar dari endpoint.
    2. Selidiki reputasi domain dan alamat IP yang terlibat untuk mengembangkan pemahaman yang luas tentang potensi tingkat ancaman.

  7. Jika traffic memiliki dampak bisnis dan Anda yakin bahwa traffic tersebut tidak malicious, atau jika Anda bersedia menerima risikonya, Anda dapat menambahkan Pengecualian Ancaman ke endpoint Cloud IDS untuk menonaktifkan ID ancaman.

  8. Terapkan aturan Google Cloud Armor atau aturan Cloud NGFW untuk memblokir traffic berbahaya menggunakan sumber koneksi dan alamat IP tujuan dalam temuan.