Investigar alertas de ameaças

Nesta página, você verá detalhes sobre como investigar os alertas de ameaças gerados pelo Cloud IDS.

Analisar os detalhes do alerta

É possível analisar os seguintes campos JSON no registro de alertas:

  • threat_id: identificador exclusivo de ameaças da Palo Alto Networks.
  • name: nome da ameaça.
  • alert_severity: gravidade da ameaça. Será INFORMATIONAL, LOW, MEDIUM, HIGH ou CRITICAL.
  • type: tipo de ameaça.
  • category: subtipo da ameaça.
  • alert_time: hora em que a ameaça foi descoberta.
  • network: rede do cliente em que a ameaça foi descoberta.
  • source_ip_address: endereço IP de origem do tráfego suspeito. Quando você usa um balanceador de carga do Google Cloud, o endereço IP verdadeiro do cliente não está disponível, e esse endereço é o endereço IP do balanceador de carga.
  • destination_ip_address: endereço IP de destino do tráfego suspeito.
  • source_port: porta de origem do tráfego suspeito.
  • destination_port: porta de destino suspeita de tráfego.
  • ip_protocol: protocolo IP do tráfego suspeito.
  • application: tipo de aplicativo do tráfego suspeito, por exemplo, SSH.
  • direction: direção do tráfego suspeito (cliente para servidor ou servidor para cliente).
  • session_id: um identificador numérico interno aplicado a cada sessão.
  • repeat_count: número de sessões com o mesmo IP de origem, IP de destino, aplicativo e tipo visto em cinco segundos.
  • uri_or_filename: URI ou nome de arquivo da ameaça relevante, se aplicável.
  • cves: uma lista de CVEs associadas à ameaça
  • details – Informações adicionais sobre o tipo de ameaça, extraídas do ThreatVault da Palo Alto Networks.

Pesquisar no Palo Alto Networks Threat Vault

Use as instruções a seguir para pesquisar vulnerabilidades e exposições comuns (CVEs, na sigla em inglês), IDs de ameaças, nomes e categorias de ameaça.

  1. Se você ainda não tiver uma conta, crie uma no LiveCommunity da Palo Alto Networks.

  2. Acesse o Threat Vault da Palo Alto Networks usando sua conta.

  3. No Threat Vault, pesquise qualquer um dos seguintes valores com base nas informações do seu alerta de ameaças:

    • Um ou mais CVE do campo cves
    • THREAT_ID do campo threat_id
    • THREAT_NAME do campo name
    • CATEGORY do campo category

  4. Verifique se o status da assinatura é Liberado, e não Desativado.

    1. Se Desativada, a assinatura não será mais válida e será desativada. Quando o Cloud IDS encontra as atualizações da Palo Alto Networks, a assinatura deixa de gerar alertas.

  5. Se um arquivo acionou a descoberta, siga estas etapas:

    1. Pesquise os hashes associados à assinatura no site do VirusTotal para determinar se algum deles é malicioso.
    2. Se o hash do arquivo que aciona a assinatura for conhecido, compare-o com os do Vault de ameaças. Se eles não corresponderem, é uma colisão de assinaturas, o que significa que o arquivo e a amostra maliciosa podem conter os mesmos valores de byte nos mesmos deslocamentos de byte. Se forem iguais e o arquivo não for malicioso, é um falso positivo e você pode desconsiderar o alerta de ameaça.

  6. Se uma ameaça de comando e controle ou DNS tiver acionado a descoberta, siga estas etapas:

    1. Identifique o domínio de destino que acionou a assinatura em comunicações de saída de um endpoint.
    2. Investigue a reputação dos domínios e endereços IP envolvidos para entender melhor o nível de ameaça em potencial.

  7. Se o tráfego tiver um impacto nos negócios, e você estiver convencido de que o tráfego não é malicioso, ou se estiver disposto a aceitar o risco, adicione Exceções de ameaças ao endpoint do Cloud IDS para desativar o ID da ameaça.

  8. Implemente uma regra do Google Cloud Armor ou uma regra NGFW do Cloud para bloquear o tráfego malicioso usando os endereços IP de origem e destino da conexão na descoberta.