Questa pagina fornisce dettagli su come esaminare gli avvisi di minacce generati da Cloud IDS.
Rivedi i dettagli dell'avviso
Puoi esaminare i seguenti campi JSON nel log degli avvisi:
threat_id
: identificatore univoco della minaccia Palo Alto Networks.name
- Nome della minaccia.alert_severity
- Gravità della minaccia. Uno dei seguenti valori:INFORMATIONAL
,LOW
,MEDIUM
,HIGH
oCRITICAL
.type
: tipo di minaccia.category
: sottotipo di minaccia.alert_time
- Ora in cui è stata scoperta la minaccia.network
: la rete del cliente in cui è stata rilevata la minaccia.source_ip_address
: indirizzo IP di origine del traffico sospetto. Quando utilizzi un bilanciatore del carico Google Cloud, l'indirizzo IP del client reale non è disponibile e questo indirizzo è l'indirizzo IP del bilanciatore del carico.destination_ip_address
: indirizzo IP di destinazione del traffico sospetto.source_port
- Porta di origine del traffico sospetto.destination_port
- La porta di destinazione del traffico sospetto.ip_protocol
- Protocollo IP del traffico sospetto.application
: il tipo di applicazione del traffico sospetto, ad esempio SSH.direction
: direzione del traffico sospetto (da client a server o da server a client).session_id
: un identificatore numerico interno applicato a ogni sessione.repeat_count
: numero di sessioni con lo stesso indirizzo IP di origine, indirizzo IP di destinazione, applicazione e tipo rilevati entro 5 secondi.uri_or_filename
: URI o nome file della minaccia pertinente, se applicabile.cves
: un elenco di CVE associate alla minacciadetails
: informazioni aggiuntive sul tipo di minaccia, tratte da ThreatVault di Palo Alto Networks.
Cercare in Threat Vault di Palo Alto Networks
Segui le istruzioni riportate di seguito per cercare vulnerabilità ed esposizioni comuni (CVE), ID minaccia, nomi di minacce e categorie di minacce.
Se non hai ancora un account, creane uno su LiveCommunity di Palo Alto Networks.
Accedi a Palo Alto Networks Threat Vault utilizzando il tuo account.
In Threat Vault, cerca uno dei seguenti valori in base alle informazioni del tuo avviso di minaccia:
- Uno o più
CVE
dal campocves
THREAT_ID
dal campothreat_id
THREAT_NAME
dal camponame
CATEGORY
dal campocategory
- Uno o più
Verifica che lo stato della firma sia Rilasciata e non Disattivata.
- Se l'opzione è Disattivata, la firma non è più valida ed è disattivata. Quando Cloud IDS si aggiorna da Palo Alto Networks, la firma smette di generare avvisi.
Se il rilevamento è stato attivato da un file:
- Cerca gli hash associati alla firma sul sito web di VirusTotal per determinare se sono presenti elementi dannosi.
- Se l'hash del file che attiva la firma è noto, confrontalo con quelli in Threat Vault. Se non corrispondono, si tratta di una collisione di firme, il che significa che il file e il sample dannoso potrebbero contenere gli stessi valori in byte negli stessi offset in byte. Se corrispondono e il file non è dannoso, si tratta di un falso positivo e puoi ignorare l'avviso di minaccia.
Se il rilevamento è stato attivato da una minaccia di comando e controllo o DNS, svolgi i seguenti passaggi:
- Identifica il dominio di destinazione che ha attivato la firma sulle comunicazioni in uscita da un endpoint.
- Esamina la reputazione dei domini e degli indirizzi IP coinvolti per sviluppare una conoscenza approfondita del potenziale livello di minaccia.
Se il traffico ha un impatto sulla tua attività e ritieni con certezza che non sia malevolo o se sei disposto ad accettare il rischio, puoi aggiungere eccezioni per le minacce all'endpoint Cloud IDS per disattivare l'ID minaccia.
Implementa una regola di Google Cloud Armor o una regola NGFW di Cloud per bloccare il traffico dannoso utilizzando gli indirizzi IP di origine e di destinazione della connessione nel rilevamento.