Indaga gli avvisi di minacce

Questa pagina fornisce dettagli su come esaminare gli avvisi di minacce generati da Cloud IDS.

Rivedi dettagli avviso

Puoi esaminare i seguenti campi JSON nel log degli avvisi:

  • threat_id: identificatore univoco delle minacce di Palo Alto Networks.
  • name - Nome della minaccia.
  • alert_severity - Gravità della minaccia. Uno tra INFORMATIONAL, LOW, MEDIUM, HIGH o CRITICAL.
  • type - Tipo di minaccia.
  • category: sottotipo di minaccia.
  • alert_time - Ora in cui è stata scoperta la minaccia.
  • network - La rete del cliente in cui è stata rilevata la minaccia.
  • source_ip_address: indirizzo IP di origine del presunto traffico. Quando utilizzi un Google Cloud, l'indirizzo IP del client reale non è che è l'indirizzo IP del bilanciatore del carico.
  • destination_ip_address: indirizzo IP di destinazione del traffico sospetto.
  • source_port: porta di origine del presunto traffico.
  • destination_port - La porta di destinazione del traffico sospetto.
  • ip_protocol: protocollo IP del traffico sospetto.
  • application: il tipo di applicazione del traffico sospetto, ad esempio SSH.
  • direction: direzione del traffico sospetto (da client a server o server-to-client).
  • session_id: un identificatore numerico interno applicato a ogni sessione.
  • repeat_count: numero di sessioni con lo stesso indirizzo IP di origine, indirizzo IP di destinazione, applicazione e tipo rilevati entro 5 secondi.
  • uri_or_filename: URI o nome file della minaccia pertinente, se applicabile.
  • cves: un elenco di CVE associate alla minaccia
  • details - Informazioni aggiuntive sul tipo di minaccia, tratte da Palo Alto Reti ThreatVault.

Cerca nel vault di Palo Alto Networks

Utilizza le seguenti istruzioni per cercare le vulnerabilità e le esposizioni comuni (CVE), ID, nomi e categorie di minacce.

  1. Se ancora non disponi di un account, crea un account sul sito di Palo Alto Networks LiveCommunity.

  2. Accedi a Palo Alto Networks Threat Vault utilizzando il tuo account.

  3. In Threat Vault, cerca uno dei seguenti valori in base alle informazioni del tuo avviso di minaccia:

    • Uno o più CVE dal campo cves
    • THREAT_ID dal campo threat_id
    • THREAT_NAME dal campo name
    • CATEGORY nel campo category

  4. Verifica che lo stato della firma sia Rilasciata e non Disattivata.

    1. Se viene disattivata, la firma non è più valida e viene disattivata. Quando Cloud IDS si aggiorna da Palo Alto Networks, la firma smette di generare avvisi.

  5. Se un file ha attivato il risultato, segui questi passaggi:

    1. Cerca gli hash associati alla firma sul sito web di VirusTotal per determinare se sono presenti elementi dannosi.
    2. Se l'hash del file che attiva la firma è noto, confrontalo con quelle presenti in Threat Vault. Se non corrispondono collisione di firme, il che significa che il file e il campione dannoso potrebbero contenere gli stessi valori di byte negli stessi offset di byte. Se corrispondono e il file non è dannoso, si tratta di un falso positivo e puoi ignorare l'avviso di minaccia.

  6. Se il rilevamento è stato attivato da una minaccia di comando e controllo o DNS, svolgi i seguenti passaggi:

    1. Identifica il dominio di destinazione che ha attivato la firma le comunicazioni in uscita da un endpoint.
    2. Esamina la reputazione dei domini e degli indirizzi IP coinvolti per sviluppare un un'ampia comprensione del potenziale livello di minaccia.

  7. Se il traffico ha un impatto sulla tua attività e ritieni con certezza che non sia malevolo o se sei disposto ad accettare il rischio, puoi aggiungere eccezioni per le minacce all'endpoint Cloud IDS per disattivare l'ID minaccia.

  8. Implementa una regola di Google Cloud Armor o una regola NGFW di Cloud per bloccare il traffico dannoso utilizzando gli indirizzi IP di origine e di destinazione della connessione nel rilevamento.