Auf dieser Seite wird beschrieben, wie Sie die von Cloud IDS generierten Bedrohungswarnungen untersuchen können.
Benachrichtigungsdetails prüfen
Sehen Sie sich die folgenden JSON-Felder im Benachrichtigungsprotokoll an:
threat_id: Eindeutige Palo Alto Networks-Bedrohungs-ID.name– Name der Bedrohung.alert_severity– Schweregrad der Bedrohung. EntwederINFORMATIONAL,LOW,MEDIUM,HIGHoderCRITICAL.type– Art der Bedrohung.category– Untertyp der Bedrohung.alert_time: Zeitpunkt, zu dem die Bedrohung entdeckt wurde.network: Kundennetzwerk, in dem die Bedrohung entdeckt wurde.source_ip_address– Quell-IP-Adresse des wahrscheinlichen Traffics Wenn Sie einen Google Cloud-Load-Balancer verwenden, ist die tatsächliche Client-IP-Adresse nicht verfügbar. Diese Adresse ist dann die IP-Adresse Ihres Load-Balancers.destination_ip_address– Ziel-IP-Adresse des mutmaßlichen Trafficssource_port: Port der mutmaßlichen Trafficquelle.destination_port: Zielport des mutmaßlichen Trafficsip_protocol: IP-Protokoll des Verdachts auf Trafficapplication: Anwendungstyp des mutmaßlichen Traffics, z. B. SSHdirection: Mögliche Traffic-Richtung (Client-zu-Server oder Server-zu-Client)session_id: eine interne numerische Kennung, die auf jede Sitzung angewendet wird.repeat_count: Anzahl der Sitzungen mit derselben Quell-IP-Adresse, Ziel-IP-Adresse, Anwendung und Typ innerhalb von 5 Sekunden.uri_or_filename– URI oder Dateiname der relevanten Bedrohung, falls zutreffend.cves– eine Liste der mit der Bedrohung verbundenen CVEsdetails: Weitere Informationen zur Art der Bedrohung aus dem ThreatVault von Palo Alto Networks.
In Palo Alto Networks suchen
Folgen Sie der nachstehenden Anleitung, um nach Common Vulnerabilities and Exposures (CVEs), Bedrohungs-IDs, Bedrohungsnamen und Bedrohungskategorien zu suchen.
Wenn Sie noch kein Konto haben, erstellen Sie ein Konto in der LiveCommunity von Palo Alto Networks.
Greifen Sie mit Ihrem Konto auf den Threat Vault von Palo Alto Networks zu.
Suchen Sie in Threat Vault basierend auf Informationen aus Ihrer Bedrohungsbenachrichtigung nach einem der folgenden Werte:
- Mindestens eine
CVEaus dem Feldcves THREAT_IDaus dem Feld „threat_id“THREAT_NAMEaus dem Feld „name“CATEGORYaus dem Feld „category“
- Mindestens eine
Überprüfen Sie, ob der Signaturstatus Freigegeben und nicht Deaktiviert lautet.
- Wenn Deaktiviert, ist die Signatur nicht mehr gültig und wird deaktiviert. Wenn Cloud IDS Aktualisierungen von Palo Alto Networks abruft, generiert die Signatur keine Benachrichtigungen mehr.
Wenn das Ergebnis durch eine Datei ausgelöst wurde, führen Sie die folgenden Schritte aus:
- Suchen Sie auf der VirusTotal-Website nach den mit der Signatur verknüpften Hashes, um festzustellen, ob sie schädlich sind.
- Wenn der Hash der Datei, die die Signatur auslöst, bekannt ist, vergleichen Sie ihn mit dem Hash der Datei in Threat Vault. Wenn sie nicht übereinstimmen, liegt ein Signaturkonflikt vor. Das bedeutet, dass die Datei und die schädliche Stichprobe möglicherweise dieselben Bytewerte in denselben Byte-Offsets enthalten. Bei einer Übereinstimmung mit einer Datei, die nicht schädlich ist, gilt dies als falsch-positiv und Sie können die Bedrohungswarnung ignorieren.
Wenn das Ergebnis durch eine Command-and-Control- oder DNS-Bedrohung ausgelöst wurde, führen Sie die folgenden Schritte aus:
- Ermitteln Sie die Zieldomain, die die Signatur bei der ausgehenden Kommunikation von einem Endpunkt ausgelöst hat.
- Untersuchen Sie den Ruf der betroffenen Domains und IP-Adressen, um sich ein umfassendes Bild von der potenziellen Bedrohungslage zu machen.
Wenn der Traffic geschäftliche Auswirkungen hat und Sie davon überzeugt sind, dass er nicht schädlich ist, oder wenn Sie das Risiko in Kauf nehmen möchten, können Sie Ihrem Cloud IDS-Endpunkt Bedrohungsausnahmen hinzufügen, um die Bedrohungs-ID zu deaktivieren.
Implementieren Sie eine Google Cloud Armor-Regel oder eine Cloud NGFW-Regel, um den schädlichen Traffic über die Quell- und Ziel-IP-Adressen der Verbindung im Ergebnis zu blockieren.