本页详细介绍了如何调查 Cloud IDS 生成的威胁提醒。
查看提醒详情
您可以在提醒日志中查看以下 JSON 字段:
threat_id- 唯一的 Palo Alto Networks 威胁标识符。name- 威胁名称。alert_severity- 威胁的严重程度。INFORMATIONAL、LOW、MEDIUM、HIGH或CRITICAL之一。type- 威胁类型。category- 威胁的子类型。alert_time- 发现威胁的时间。network- 检测到威胁的客户网络。source_ip_address- 可疑流量的来源 IP 地址。使用Google Cloud 负载平衡器时,真实的客户端 IP 地址不可用,此地址是负载平衡器的 IP 地址。destination_ip_address- 可疑流量的目标 IP 地址。source_port- 疑似流量的来源端口。destination_port- 疑似流量的目标端口。ip_protocol- 疑似流量的 IP 协议。application- 疑似流量的应用类型,例如 SSH。direction- 疑似流量的方向(客户端到服务器或服务器到客户端)。session_id- 应用于每个会话的内部数字标识符。repeat_count- 在 5 秒内出现相同来源 IP、目的地 IP、应用和类型的会话数。uri_or_filename- 相关威胁的 URI 或文件名(如果适用)。cves- 与威胁关联的 CVE 列表details- 有关威胁类型的其他信息,取自 Palo Alto Networks 的 ThreatVault。
搜索 Palo Alto Networks Threat Vault
请按照以下说明搜索常见漏洞和披露 (CVE)、威胁 ID、威胁名称和威胁类别。
如果您还没有账号,请在 Palo Alto Networks 的 LiveCommunity 上创建一个。
使用您的账号访问 Palo Alto Networks Threat Vault。
在威胁保险柜中,根据威胁提醒中的信息搜索以下任一值:
cves字段中的一个或多个CVEthreat_id字段中的THREAT_IDname字段中的THREAT_NAMEcategory字段中的CATEGORY
验证签名状态是否为已发布,而不是已停用。
- 如果为已停用,则签名已失效并处于停用状态。当 Cloud IDS 赶上 Palo Alto Networks 的更新时,该签名会停止生成提醒。
如果是文件触发了该发现结果,请执行以下步骤:
- 在 VirusTotal 网站上搜索与该签名关联的哈希值,以确定其中是否有任何值是恶意的。
- 如果已知触发签名的文件的哈希值,请将其与 Threat Vault 中的哈希值进行比较。如果不匹配,则表示存在签名冲突,这意味着文件和恶意示例可能在相同的字节偏移量中包含相同的字节值。如果匹配,且文件并非恶意文件,则表示是误报,您可以忽略相应威胁提醒。
如果是命令和控制 (C&C) 或 DNS 威胁触发了该发现,请执行以下步骤:
- 确定在端点发出的出站通信中触发签名的目标网域。
- 调查相关网域和 IP 地址的声誉,以便全面了解潜在的威胁级别。
如果相应流量会对业务产生影响,但您确信该流量并非恶意流量,或者您愿意承担相应风险,则可以向 Cloud IDS 端点添加威胁例外情况,以停用相应威胁 ID。
实现 Google Cloud Armor 规则或 Cloud NGFW 规则,以使用发现中的连接来源和目的地 IP 地址阻止恶意流量。