調查威脅警示

本頁面詳細說明如何調查 Cloud IDS 產生的威脅快訊。

查看快訊詳細資料

您可以在快訊記錄中查看下列 JSON 欄位:

  • threat_id - 唯一的 Palo Alto Networks 威脅 ID。
  • name - 威脅名稱。
  • alert_severity - 威脅嚴重程度。INFORMATIONALLOWMEDIUMHIGHCRITICAL 其中之一。
  • type - 威脅類型。
  • category - 威脅的子類型。
  • alert_time - 發現威脅的時間。
  • network - 發現威脅的客戶網路。
  • source_ip_address - 疑似流量的來源 IP 位址。使用Google Cloud 負載平衡器時,系統不會提供真正的用戶端 IP 位址,而是負載平衡器的 IP 位址。
  • destination_ip_address - 疑似流量的目的地 IP 位址。
  • source_port - Suspected traffic's source port.
  • destination_port - 可疑流量的目的地通訊埠。
  • ip_protocol - 可疑流量的 IP 通訊協定。
  • application - 疑似流量的應用程式類型,例如 SSH。
  • direction - 疑似流量的方向 (用戶端到伺服器或伺服器到用戶端)。
  • session_id - 適用於每個工作階段的內部數字 ID。
  • repeat_count - 在 5 秒內,具有相同來源 IP、目的地 IP、應用程式和類型的工作階段數。
  • uri_or_filename - 相關威脅的 URI 或檔案名稱 (如適用)。
  • cves - 與威脅相關聯的 CVE 清單
  • details - 威脅類型的其他資訊,取自 Palo Alto Networks 的 ThreatVault。

搜尋 Palo Alto Networks 威脅資料庫

請按照下列操作說明,搜尋常見安全漏洞與弱點 (CVE)、威脅 ID、威脅名稱和威脅類別。

  1. 如果沒有帳戶,請在 Palo Alto Networks 的 LiveCommunity 建立帳戶。

  2. 使用您的帳戶存取 Palo Alto Networks Threat Vault

  3. 在威脅保管箱中,根據威脅快訊中的資訊搜尋下列任一值:

    • cves 欄位中的一或多個 CVE
    • THREAT_ID 欄位threat_id
    • THREAT_NAME 欄位name
    • CATEGORY 欄位category

  4. 確認簽章狀態為「已發布」,而非「已停用」

    1. 如果選取「已停用」,簽名就會失效並停用。 Cloud IDS 趕上 Palo Alto Networks 的更新後,簽章就會停止產生快訊。

  5. 如果檔案觸發了這項發現,請按照下列步驟操作:

    1. 在 VirusTotal 網站上搜尋與簽章相關聯的雜湊,判斷是否有任何雜湊具有惡意。
    2. 如果知道觸發簽章的檔案雜湊值,請與威脅資料庫中的雜湊值比較。如果兩者不相符,就是發生簽章衝突,表示檔案和惡意樣本可能在相同的位元組偏移中包含相同的位元組值。如果兩者相符且檔案並非惡意,則為誤判,您可以忽略威脅警示。

  6. 如果發現結果是由指令與控制或 DNS 威脅所觸發,請執行下列步驟:

    1. 找出觸發端點外送通訊簽章的目標網域。
    2. 調查相關網域和 IP 位址的信譽,全面瞭解潛在威脅程度。

  7. 如果流量對業務造成影響,且您確信流量並非惡意,或是願意承擔風險,可以將威脅例外狀況新增至 Cloud IDS 端點,停用威脅 ID。

  8. 導入 Cloud Armor 規則Cloud NGFW 規則,根據調查結果中的連線來源和目的地 IP 位址,封鎖惡意流量。