이 페이지에서는 Cloud IDS에서 생성되는 위협 알림을 조사하는 방법에 대해 자세히 설명합니다.
알림 세부정보 검토
알림 로그에서 다음 JSON 필드를 검토할 수 있습니다.
threat_id- 고유한 Palo Alto Networks 위협 식별자입니다.name- 위협 이름입니다.alert_severity- 위협의 심각도입니다.INFORMATIONAL,LOW,MEDIUM,HIGH,CRITICAL중 하나입니다.type- 위협의 유형입니다.category- 위협의 하위 유형입니다.alert_time- 위협이 발견된 시간입니다.network- 위협이 발견된 고객 네트워크입니다.source_ip_address- 의심스러운 트래픽의 소스 IP 주소입니다. Google Cloud 부하 분산기를 사용할 때는 실제 클라이언트 IP 주소를 사용할 수 없으며, 이 주소는 부하 분산기의 IP 주소입니다.destination_ip_address- 의심스러운 트래픽의 대상 IP 주소입니다.source_port- 의심스러운 트래픽의 소스 포트입니다.destination_port- 의심스러운 트래픽의 대상 포트입니다.ip_protocol- 의심스러운 트래픽의 IP 프로토콜입니다.application- 의심스러운 트래픽의 애플리케이션 유형(예: SSH)입니다.direction- 의심스러운 트래픽 방향(클라이언트-서버 또는 서버-클라이언트)입니다.session_id- 각 세션에 적용되는 내부 숫자 식별자입니다.repeat_count- 5초 이내에 확인된 소스 IP, 대상 IP, 애플리케이션, 유형이 동일한 세션 수입니다.uri_or_filename- 관련 위협의 URI 또는 파일 이름입니다(해당하는 경우).cves- 위협과 연결된 CVE 목록입니다.details- Palo Alto Networks의 ThreatVault에서 가져온 위협 유형에 대한 추가 정보입니다.
Palo Alto Networks 위협 Vault 검색
다음 안내에 따라 Common Vulnerabilities and Exposures(CVE), 위협 ID, 위협 이름, 위협 카테고리를 검색합니다.
아직 계정이 없다면 Palo Alto Networks의 LiveCommunity에 계정을 만듭니다.
계정을 사용하여 Palo Alto Networks 위협 Vault에 액세스합니다.
위협 Vault에서 위협 알림의 정보를 기반으로 다음 값을 검색합니다.
cves필드에서 하나 이상의CVEthreat_id필드에서THREAT_IDname필드에서THREAT_NAMEcategory필드에서CATEGORY
서명 상태가 사용 중지됨이 아니라 출시됨으로 표시되는지 확인합니다.
- 사용 중지된 경우 서명이 더 이상 유효하지 않으며 사용 중지됩니다. Cloud IDS가 Palo Alto Networks의 업데이트를 따라잡으면 서명이 알림 생성을 중지합니다.
파일이 발견 항목을 트리거한 경우 다음 단계를 수행합니다.
- VirusTotal 웹사이트에서 서명과 연결된 해시를 검색하여 악성인지 확인합니다.
- 서명을 트리거하는 파일의 해시가 알려진 경우 이를 위협 Vault와 비교합니다. 일치하지 않는 경우 서명 충돌이 발생하며, 이는 파일 및 악성 샘플이 동일한 바이트 오프셋에 동일한 바이트 값을 포함할 수 있음을 의미합니다. 일치하지만 파일이 악성이 아닌 경우 이는 거짓양성이며 위협 알림을 무시할 수 있습니다.
명령어 및 제어 또는 DNS 위협으로 인해 발견 항목이 트리거된 경우 다음 단계를 수행합니다.
- 엔드포인트에서 아웃바운드 통신에 대해 서명을 트리거한 대상 도메인을 식별합니다.
- 잠재적 위협 수준에 대한 폭넓은 이해를 돕기 위해 관련된 도메인 및 IP 주소의 평판을 조사하세요.
트래픽이 비즈니스에 영향을 미치고 트래픽이 악의적이지 않다고 확신하거나 위험을 감수할 용의가 있는 경우 Cloud IDS 엔드포인트에 위협 예외를 추가하여 위협 ID를 비활성화할 수 있습니다.
Google Cloud Armor 규칙 또는 Cloud NGFW 규칙을 구현하여 발견 항목의 연결 소스 및 대상 IP 주소를 사용하여 악성 트래픽을 차단합니다.