Auf dieser Seite erfahren Sie, wie Sie die von Cloud IDS generierten Bedrohungswarnungen untersuchen.
Details zur Benachrichtigung prüfen
Im Benachrichtigungsprotokoll finden Sie die folgenden JSON-Felder:
threat_id: Eindeutige Palo Alto Networks-Bedrohungs-ID.name: Name der Bedrohung.alert_severity– Schweregrad der Bedrohung. EntwederINFORMATIONAL,LOW,MEDIUM,HIGHoderCRITICAL.type: Art der Bedrohung.category: Untertyp der Bedrohung.alert_time– Zeitpunkt, zu dem die Bedrohung erkannt wurde.network: Kundennetzwerk, in dem die Bedrohung erkannt wurde.source_ip_address: Quell-IP-Adresse des verdächtigen Traffics. Wenn Sie einen Google Cloud-Load Balancer verwenden, ist die tatsächliche Client-IP-Adresse nicht verfügbar. Diese Adresse ist die IP-Adresse Ihres Load Balancers.destination_ip_address: Ziel-IP-Adresse des verdächtigen Traffics.source_port: Quellport des verdächtigen Traffics.destination_port: Zielport des verdächtigen Traffics.ip_protocol: IP-Protokoll des verdächtigen Traffics.application: Anwendungstyp des verdächtigen Traffics, z. B. SSH.direction: Richtung des verdächtigen Traffics (Client-zu-Server oder Server-zu-Client)session_id: Eine interne numerische Kennung, die auf jede Sitzung angewendet wird.repeat_count: Anzahl der Sitzungen mit derselben Quell-IP-Adresse, Ziel-IP-Adresse, Anwendung und demselben Typ innerhalb von 5 Sekunden.uri_or_filename: URI oder Dateiname der entsprechenden Bedrohung, sofern zutreffend.cves: Liste der CVEs, die mit der Bedrohung verknüpft sinddetails: Zusätzliche Informationen zur Art der Bedrohung aus der ThreatVault von Palo Alto Networks.
Im Palo Alto Networks Threat Vault suchen
Anhand der folgenden Anleitung können Sie nach Common Vulnerabilities and Exposures (CVEs), Bedrohungs-IDs, Bedrohungsnamen und Bedrohungskategorien suchen.
Wenn Sie noch kein Konto haben, erstellen Sie ein Konto in der LiveCommunity von Palo Alto Networks.
Greifen Sie mit Ihrem Konto auf den Threat Vault von Palo Alto Networks zu.
Suchen Sie im Threat Vault anhand der Informationen aus Ihrer Bedrohungswarnung nach einem der folgenden Werte:
- Mindestens eine
CVEaus dem Feldcves THREAT_IDaus dem Feldthreat_idTHREAT_NAMEaus dem FeldnameCATEGORYaus dem Feldcategory
- Mindestens eine
Prüfen Sie, ob der Signaturstatus Freigegeben und nicht Deaktiviert lautet.
- Wenn Deaktiviert ausgewählt ist, ist die Signatur nicht mehr gültig und wird deaktiviert. Sobald das Cloud-IDS die Updates von Palo Alto Networks abgerufen hat, werden durch die Signatur keine Benachrichtigungen mehr generiert.
Wenn das Ergebnis durch eine Datei ausgelöst wurde, gehen Sie so vor:
- Suchen Sie auf der VirusTotal-Website nach den Hashes, die mit der Signatur verknüpft sind, um festzustellen, ob einer davon schädlich ist.
- Wenn der Hash der Datei, die die Signatur auslöst, bekannt ist, vergleichen Sie ihn mit den Hashes in Threat Vault. Wenn sie nicht übereinstimmen, liegt eine Signaturkollision vor. Das bedeutet, dass die Datei und das schädliche Beispiel möglicherweise dieselben Bytewerte an denselben Byteoffsets enthalten. Wenn sie übereinstimmen und die Datei nicht schädlich ist, handelt es sich um einen False Positive und Sie können die Bedrohungswarnung ignorieren.
Wenn die Meldung durch eine Command-and-Control- oder DNS-Bedrohung ausgelöst wurde, gehen Sie so vor:
- Identifizieren Sie die Zieldomain, die die Signatur bei ausgehenden Mitteilungen von einem Endpunkt ausgelöst hat.
- Prüfen Sie den Ruf der beteiligten Domains und IP-Adressen, um sich ein umfassendes Bild von der potenziellen Bedrohungsstufe zu machen.
Wenn der Traffic geschäftliche Auswirkungen hat und Sie sich sicher sind, dass er nicht bösartig ist, oder wenn Sie das Risiko in Kauf nehmen möchten, können Sie Ihrem Cloud IDS-Endpunkt Ausnahmen für Bedrohungen hinzufügen, um die Bedrohungs-ID zu deaktivieren.
Implementieren Sie eine Google Cloud Armor-Regel oder eine Cloud NGFW-Regel, um den schädlichen Traffic anhand der IP-Adressen der Verbindungsquelle und des Ziels in der Meldung zu blockieren.