Menyelidiki Peringatan Ancaman

Halaman ini memberikan detail tentang cara menyelidiki peringatan ancaman yang dihasilkan Cloud IDS.

Tinjau detail notifikasi

Anda dapat meninjau kolom JSON berikut di log pemberitahuan:

  • threat_id - ID ancaman Palo Alto Networks yang unik.
  • name - Nama ancaman.
  • alert_severity - Tingkat keparahan ancaman. Salah satu dari INFORMATIONAL, LOW, MEDIUM, HIGH, atau CRITICAL.
  • type - Jenis ancaman.
  • category - Subjenis ancaman.
  • alert_time - Waktu saat ancaman ditemukan.
  • network - Jaringan pelanggan tempat ancaman ditemukan.
  • source_ip_address - Alamat IP sumber traffic yang dicurigai. Saat Anda menggunakan load balancer Google Cloud, alamat IP klien yang sebenarnya tidak akan tersedia, dan alamat ini adalah alamat IP load balancer Anda.
  • destination_ip_address - Alamat IP tujuan traffic yang dicurigai.
  • source_port - Port sumber traffic yang dicurigai.
  • destination_port - Port tujuan traffic yang dicurigai.
  • ip_protocol - Protokol IP traffic yang dicurigai.
  • application - Jenis aplikasi traffic yang dicurigai—misalnya, SSH.
  • direction - Arah traffic yang dicurigai (klien-ke-server atau server-ke-klien).
  • session_id - ID numerik internal yang diterapkan pada setiap sesi.
  • repeat_count - Jumlah sesi dengan IP sumber, IP tujuan, aplikasi, dan jenis yang sama dan terlihat dalam 5 detik.
  • uri_or_filename - URI atau nama file ancaman yang relevan, jika berlaku.
  • cves - daftar CVE yang terkait dengan ancaman
  • details - Informasi tambahan tentang jenis ancaman, yang diambil dari ThreatVault Jaringan Palo Alto.

Menelusuri Palo Alto Networks Threat Vault

Gunakan petunjuk berikut untuk menelusuri Kerentanan dan Eksposur Umum (CVE), ID ancaman, nama ancaman, dan kategori ancaman.

  1. Jika Anda belum memiliki akun, buat akun di LiveCommunity Palo Alto Networks.

  2. Akses Threat Vault Palo Alto Networks menggunakan akun Anda.

  3. Di Threat Vault, telusuri salah satu nilai berikut berdasarkan informasi dari peringatan ancaman Anda:

    • Satu atau beberapa CVE dari kolom cves
    • THREAT_ID dari kolom threat_id
    • THREAT_NAME dari kolom name
    • CATEGORY dari kolom category

  4. Pastikan status tanda tangan menunjukkan Dirilis, bukan Nonaktif.

    1. Jika Dinonaktifkan, tanda tangan tidak lagi valid dan dinonaktifkan. Saat Cloud IDS mengikuti update dari Palo Alto Networks, tanda tangan berhenti menghasilkan pemberitahuan.

  5. Jika file memicu temuan tersebut, lakukan langkah-langkah berikut:

    1. Telusuri hash yang terkait dengan tanda tangan di situs VirusTotal untuk menentukan apakah ada hash yang berbahaya.
    2. Jika hash file yang memicu tanda tangan diketahui, bandingkan dengan hash di Threat Vault. Jika tidak cocok, penyebabnya adalah tumbukan tanda tangan, yang berarti bahwa file dan sampel berbahaya mungkin berisi nilai byte yang sama dalam offset byte yang sama. Jika keduanya cocok dan file tersebut tidak berbahaya, itu positif palsu (PP) dan Anda dapat mengabaikan peringatan ancaman.

  6. Jika ada perintah dan kontrol atau ancaman DNS yang memicu temuan tersebut, lakukan langkah-langkah berikut:

    1. Identifikasi domain tujuan yang memicu tanda tangan pada komunikasi keluar dari endpoint.
    2. Selidiki reputasi domain dan alamat IP yang terlibat untuk mengembangkan pemahaman yang luas tentang potensi tingkat ancaman.

  7. Jika traffic memiliki dampak bisnis dan Anda yakin bahwa traffic tersebut tidak berbahaya, atau jika Anda bersedia menerima risikonya, Anda dapat menambahkan Pengecualian Ancaman ke endpoint Cloud IDS untuk menonaktifkan ID ancaman.

  8. Terapkan aturan Google Cloud Armor atau aturan Cloud NGFW untuk memblokir traffic berbahaya menggunakan sumber koneksi dan alamat IP tujuan dalam temuan tersebut.