Cette page explique comment examiner les alertes de menace générées par Cloud IDS.
Examiner les détails de l'alerte
Vous pouvez consulter les champs JSON suivants dans le journal d'alerte:
threat_id: identifiant unique de la menace Palo Alto Networks.name: nom de la menace.alert_severity: gravité de la menace. Spécifiez l'un des typesINFORMATIONAL,LOW,MEDIUM,HIGHouCRITICAL.type: type de la menace.category: sous-type de la menace.alert_time: heure à laquelle la menace a été découverte.network: réseau du client dans lequel la menace a été détectée.source_ip_address: adresse IP source du trafic suspecté. Lorsque vous utilisez un équilibreur de charge Google Cloud, l'adresse IP du client réelle n'est pas disponible. Il s'agit de l'adresse IP de votre équilibreur de charge.destination_ip_address: adresse IP de destination du trafic potentiel.source_port: port source du trafic suspecté.destination_port: port de destination du trafic potentiel.ip_protocol: protocole IP du trafic suspect.application: type d'application du trafic suspecté, par exemple SSH.direction: direction du trafic suspectée (client à serveur ou serveur vers client).session_id: identifiant numérique interne appliqué à chaque session.repeat_count: nombre de sessions avec la même adresse IP source, la même adresse IP de destination, la même application et le même type vus dans un délai de cinq secondes.uri_or_filename: URI ou nom de fichier de la menace concernée, le cas échéant.cves: liste des CVE associées à la menacedetails: informations supplémentaires sur le type de menace, tirées de la ThreatVault des réseaux de Palo Alto.
Rechercher dans le coffre-fort des menaces de Palo Alto Networks
Suivez les instructions ci-dessous pour rechercher des failles et expositions courantes (CVE, Common Vulnerabilities and Exposures), des ID de menace, des noms de menaces et des catégories de menaces.
Si vous ne possédez pas encore de compte, créez-en un sur LiveCommunity de Palo Alto Networks.
Accédez à la Threat Vault de Palo Alto Networks à l'aide de votre compte.
Dans le Threat Vault, recherchez l'une des valeurs suivantes en fonction des informations de votre alerte de menace:
- Un ou plusieurs
CVEdu champcves THREAT_IDdu champthreat_idTHREAT_NAMEdu champnameCATEGORYdu champcategory
- Un ou plusieurs
Vérifiez que l'état de la signature indique Libéré et non Désactivé.
- Si elle est désactivée, la signature n'est plus valide et est désactivée. Lorsque Cloud IDS rattrape les actualités de Palo Alto Networks, la signature ne génère plus d'alertes.
Si un fichier a déclenché le résultat, procédez comme suit:
- Recherchez les hachages associés à la signature sur le site Web VirusTotal pour déterminer s'ils sont malveillants.
- Si le hachage du fichier déclenchant la signature est connu, comparez-le à celui de Threat Vault. S'ils ne correspondent pas, il s'agit d'une collision de signature, ce qui signifie que le fichier et l'échantillon malveillant peuvent contenir les mêmes valeurs d'octet dans les mêmes décalages d'octets. S'ils correspondent et que le fichier n'est pas malveillant, il s'agit d'un faux positif. Vous pouvez donc ignorer l'alerte de menace.
Si une menace de commande et de contrôle ou de DNS a déclenché le résultat, procédez comme suit:
- Identifiez le domaine de destination qui a déclenché la signature dans les communications sortantes d'un point de terminaison.
- Examinez la réputation des domaines et des adresses IP impliqués pour mieux comprendre le niveau de menace potentiel.
Si le trafic a un impact commercial et que vous êtes convaincu qu'il n'est pas malveillant, ou si vous êtes prêt à accepter le risque, vous pouvez ajouter des exceptions pour les menaces à votre point de terminaison Cloud IDS pour désactiver l'ID de menace.
Mettez en œuvre une règle Google Cloud Armor ou une règle Cloud NGFW pour bloquer le trafic malveillant à l'aide des adresses IP source et de destination du résultat.