Investigue alertas de ameaças

Esta página fornece detalhes sobre como investigar os alertas de ameaças gerados pelo Cloud IDS.

Reveja os detalhes do alerta

Pode rever os seguintes campos JSON no registo de alertas:

• threat_id - Identificador de ameaça exclusivo da Palo Alto Networks.
• name - Nome da ameaça.
• alert_severity - Gravidade da ameaça. Uma das seguintes opções: INFORMATIONAL, LOW, MEDIUM, HIGH ou CRITICAL.
• type - Tipo de ameaça.
• category - Subtipo da ameaça.
• alert_time – Hora em que a ameaça foi descoberta.
• network - Rede do cliente na qual a ameaça foi descoberta.
• source_ip_address - Endereço IP de origem do tráfego suspeito. Quando usa um Google Cloud equilibrador de carga, o endereço IP do cliente verdadeiro não está disponível, e este endereço é o endereço IP do seu equilibrador de carga.
• destination_ip_address - Endereço IP de destino do tráfego suspeito.
• source_port - Porta de origem do tráfego suspeito.
• destination_port – Porta de destino do tráfego suspeito.
• ip_protocol - Protocolo IP do tráfego suspeito.
• application - Tipo de aplicação do tráfego suspeito, por exemplo, SSH.
• direction - Direção do tráfego suspeito (cliente para servidor ou servidor para cliente).
• session_id - Um identificador numérico interno aplicado a cada sessão.
• repeat_count - Número de sessões com o mesmo IP de origem, IP de destino, aplicação e tipo observados no prazo de 5 segundos.
• uri_or_filename - URI ou nome do ficheiro da ameaça relevante, se aplicável.
• cves: uma lista de CVEs associadas à ameaça
• details – Informações adicionais sobre o tipo de ameaça, retiradas do ThreatVault da Palo Alto Networks.

Pesquise o Threat Vault da Palo Alto Networks

Use as seguintes instruções para pesquisar vulnerabilidades e exposições comuns (CVEs), IDs de ameaças, nomes de ameaças e categorias de ameaças.

1. Se ainda não tiver uma conta, crie uma na LiveCommunity da Palo Alto Networks.

2. Aceda ao Threat Vault da Palo Alto Networks com a sua conta.

3. Na Threat Vault, pesquise qualquer um dos seguintes valores com base nas informações do seu alerta de ameaça:

   • Um ou mais CVE do campo cves
   • THREAT_ID do campo threat_id
   • THREAT_NAME do campo name
   • CATEGORY do campo category

4. Verifique se o estado da assinatura indica Publicado e não Desativado.

   1. Se estiver desativada, a assinatura deixa de ser válida e é desativada. Quando o Cloud IDS atualiza as informações da Palo Alto Networks, a assinatura deixa de gerar alertas.

5. Se um ficheiro tiver acionado a deteção, siga estes passos:

   1. Pesquise os hashes associados à assinatura no Website do VirusTotal para determinar se algum deles é malicioso.
   2. Se o hash do ficheiro que aciona a assinatura for conhecido, compare-o com os hashes na Threat Vault. Se não corresponderem, trata-se de uma colisão de assinatura, o que significa que o ficheiro e o exemplo malicioso podem conter os mesmos valores de bytes nos mesmos desvios de bytes. Se corresponderem e o ficheiro não for malicioso, trata-se de um falso positivo e pode ignorar o alerta de ameaça.

6. Se uma ameaça de comando e controlo ou DNS tiver acionado a descoberta, execute os seguintes passos:

   1. Identificar o domínio de destino que acionou a assinatura nas comunicações de saída de um ponto final.
   2. Investigue a reputação dos domínios e endereços IP envolvidos para desenvolver uma compreensão abrangente do potencial nível de ameaça.

7. Se o tráfego tiver um impacto empresarial e tiver a certeza de que não é malicioso, ou se estiver disposto a aceitar o risco, pode adicionar exceções de ameaças ao seu ponto final do Cloud IDS para desativar o ID da ameaça.

8. Implemente uma regra do Cloud Armor ou uma regra do Cloud NGFW para bloquear o tráfego malicioso através dos endereços IP de origem e destino da ligação na deteção.