Auf dieser Seite erfahren Sie, wie Sie die von Cloud IDS generierten Bedrohungswarnungen untersuchen.
Details zur Benachrichtigung prüfen
Die folgenden JSON-Felder finden Sie im Benachrichtigungsprotokoll:
threat_id: Eindeutige Palo Alto Networks-Bedrohungs-ID.name: Name der Bedrohung.alert_severity: Schweregrad der Bedrohung Eine der folgenden Möglichkeiten:INFORMATIONAL,LOW,MEDIUM,HIGHoderCRITICAL.type: Art der Bedrohung.category: Untertyp der Bedrohung.alert_time– Zeitpunkt, zu dem die Bedrohung erkannt wurde.network: Kundennetzwerk, in dem die Bedrohung entdeckt wurde.source_ip_address: Quell-IP-Adresse des verdächtigen Traffics. Wenn Sie einen Google Cloud-Load Balancer verwenden, ist die tatsächliche Client-IP-Adresse nicht verfügbar. Diese Adresse ist die IP-Adresse Ihres Load Balancers.destination_ip_address: Ziel-IP-Adresse des verdächtigen Traffics.source_port: Quellport des mutmaßlichen Traffics.destination_port: Zielport des verdächtigen Traffics.ip_protocol: IP-Protokoll des mutmaßlichen Trafficsapplication: Anwendungstyp des verdächtigen Traffics, z. B. SSH.direction: Richtung des verdächtigen Traffics (Client-zu-Server oder Server-zu-Client)session_id: Eine interne numerische Kennung, die auf jede Sitzung angewendet wird.repeat_count– Anzahl der Sitzungen mit derselben Quell-IP, derselben Ziel-IP-Adresse und die Eingabe erfolgt innerhalb von 5 Sekunden.uri_or_filename: URI oder Dateiname der entsprechenden Bedrohung, sofern zutreffend.cves: eine Liste der mit der Bedrohung verbundenen CVEsdetails– Zusätzliche Informationen zur Art der Bedrohung von Palo Alto Werbenetzwerke ThreatVault
Im Palo Alto Networks Threat Vault suchen
Anhand der folgenden Anleitung können Sie nach Common Vulnerabilities and Exposures (CVEs), Bedrohungs-IDs, Bedrohungsnamen und Bedrohungskategorien suchen.
Wenn Sie noch kein Konto haben, erstellen Sie ein Konto in der LiveCommunity von Palo Alto Networks.
Auf Palo Alto Networks zugreifen Threat Vault über Ihr Konto.
Suchen Sie im Threat Vault anhand der Informationen aus Ihrer Bedrohungswarnung nach einem der folgenden Werte:
- Mindestens ein
CVEaus dem Feld „cves“ THREAT_IDaus dem Feldthreat_idTHREAT_NAMEaus dem FeldnameCATEGORYaus dem Feldcategory
- Mindestens ein
Prüfen Sie, ob der Signaturstatus Freigegeben und nicht Deaktiviert lautet.
- Wenn Deaktiviert, ist die Signatur nicht mehr gültig und deaktiviert. Sobald Cloud IDS die Updates von Palo Alto Networks abgerufen hat, werden keine Benachrichtigungen mehr durch die Signatur generiert.
Wenn das Ergebnis durch eine Datei ausgelöst wurde, führen Sie die folgenden Schritte aus:
- Suchen Sie nach den Hashes, die mit der Signatur auf der VirusTotal-Website, um festzustellen, ob sie schädlich sind.
- Wenn der Hash der Datei, die die Signatur auslöst, bekannt ist, vergleichen Sie ihn mit in Threat Vault verwenden. Stimmen sie nicht überein, Signaturkonflikt, Das bedeutet, dass die Datei und das schädliche Sample möglicherweise dieselben Bytewerte in denselben Byte-Offsets enthalten. Wenn sie übereinstimmen und die Datei nicht schädlich ist, gilt dies als falsch-positiv und Sie können die Bedrohungswarnung ignorieren.
Wenn das Ergebnis durch eine Command-and-Control- oder DNS-Bedrohung ausgelöst wurde, gehen Sie so vor:
- Zieldomain identifizieren, die die Signatur ausgelöst hat für ausgehende Kommunikation von einem Endpunkt.
- Prüfen Sie den Ruf der beteiligten Domains und IP-Adressen, um sich ein umfassendes Bild von der potenziellen Bedrohungsstufe zu machen.
Wenn der Traffic geschäftliche Auswirkungen hat und Sie sich sicher sind, dass er nicht bösartig ist, oder wenn Sie das Risiko in Kauf nehmen möchten, können Sie Ihrem Cloud IDS-Endpunkt Ausnahmen für Bedrohungen hinzufügen, um die Bedrohungs-ID zu deaktivieren.
Implementieren Sie eine Google Cloud Armor-Regel oder eine Cloud NGFW-Regel, um den schädlichen Traffic anhand der IP-Adressen der Verbindungsquelle und des Ziels in der Meldung zu blockieren.