Cette page explique comment examiner les alertes de menaces envoyées par Cloud IDS génère.
Examiner les détails de l'alerte
Vous pouvez examiner les champs JSON suivants dans le journal d'alerte:
threat_id: identifiant unique de la menace Palo Alto Networks.name: nom de la menace.alert_severity: gravité de la menace. Spécifiez l'un des types suivants :INFORMATIONAL,LOW,MEDIUM,HIGHouCRITICAL.type: type de menace.category: sous-type de la menace.alert_time: date et heure de découverte de la menacenetwork: réseau du client sur lequel la menace a été découverte.source_ip_address: adresse IP source du trafic suspecté. Lorsque vous utilisez un équilibreur de charge Google Cloud, l'adresse IP réelle du client n'est pas disponible. Cette adresse est l'adresse IP de votre équilibreur de charge.destination_ip_address: adresse IP de destination du trafic suspecté.source_port: port source du trafic suspecté.destination_port: port de destination du trafic suspecté.ip_protocol: protocole IP du trafic suspecté.application: type d'application du trafic suspecté (par exemple, SSH).direction: direction du trafic suspectée (de client à serveur ou de serveur à client).session_id: identifiant numérique interne appliqué à chaque session.repeat_count: nombre de sessions présentant la même adresse IP source, la même adresse IP de destination, la même application et le même type dans un intervalle de cinq secondes.uri_or_filename: URI ou nom de fichier de la menace concernée, le cas échéant.cves: liste des failles CVE associées à la menacedetails: informations supplémentaires sur le type de menace, extraites de ThreatVault de Palo Alto Networks.
Rechercher dans Palo Alto Networks Threat Vault
Utilisez les instructions suivantes pour rechercher des CVE (Common Vulnerabilities and Exposures) les identifiants, noms et catégories de menaces.
Si vous n'avez pas encore de compte, créez-en un sur Palo Alto Networks. LiveCommunity :
Accéder à Palo Alto Networks Coffre-fort de menaces avec votre compte.
Dans le coffre des menaces, recherchez l'une des valeurs suivantes en fonction des informations de votre alerte de menace:
- Un ou plusieurs
CVEdu champcves THREAT_IDdans le champthreat_idTHREAT_NAMEà partir du champnameCATEGORYà partir du champcategory
- Un ou plusieurs
Vérifiez que l'état de la signature indique Released (Publié) et non Disabled (Désactivé).
- Si la valeur est Désactivé, la signature n'est plus valide et est désactivée. Lorsque Cloud IDS rattrape les mises à jour de Palo Alto Networks, la signature cesse de générer des alertes.
Si un fichier a déclenché le résultat, procédez comme suit :
- Recherchez les hachages associés à la signature sur le site Web de VirusTotal pour déterminer si l'un d'eux est malveillant.
- Si le hachage du fichier qui déclenche la signature est connu, comparez-le à ceux de Threat Vault. Si ce n'est pas le cas, collision de signature, ce qui signifie que le fichier et l’échantillon malveillant peuvent contenir les mêmes valeurs d’octet dans les mêmes décalages d’octets. S'ils correspondent et que le fichier n'est pas malveillant, il s'agit d'un faux positif et vous pouvez ignorer l'alerte de menace.
Si une menace de commande et de contrôle ou de DNS a déclenché la découverte, procédez comme suit :
- Identifiez le domaine de destination qui a déclenché la signature sur les communications sortantes d'un point de terminaison.
- Étudier la réputation des domaines et des adresses IP impliqués dans le développement d'une une compréhension étendue du niveau de menace potentielle.
Si le trafic a un impact sur votre activité et que vous êtes convaincu qu'il ne s'agit pas malveillante, ou si vous êtes prêt à accepter le risque, vous pouvez ajouter Exceptions concernant les menaces à votre point de terminaison Cloud IDS pour désactiver l'ID de la menace.
Implémenter une règle Google Cloud Armor ou un Règle Cloud NGFW sur bloquer le trafic malveillant à l'aide des adresses IP source et de destination de la connexion. dans le résultat.