Investiga alertas de amenazas

En esta página, se proporcionan detalles sobre cómo investigar las alertas de amenazas que genera el IDS de Cloud.

Revisa los detalles de la alerta

Puedes revisar los siguientes campos JSON en el registro de alertas:

  • threat_id: Es el identificador único de amenaza de Palo Alto Networks.
  • name: Nombre de la amenaza.
  • alert_severity: Gravedad de la amenaza. Uno de INFORMATIONAL, LOW, MEDIUM, HIGH o CRITICAL.
  • type: Es el tipo de amenaza.
  • category: Es el subtipo de la amenaza.
  • alert_time: Es la hora en la que se descubrió la amenaza.
  • network: Es la red del cliente en la que se descubrió la amenaza.
  • source_ip_address: Es la dirección IP de origen del tráfico sospechoso. Cuando usas un balanceador de cargas de Google Cloud, la dirección IP real del cliente no está disponible, y esta dirección es la dirección IP de tu balanceador de cargas.
  • destination_ip_address: Es la dirección IP de destino del tráfico sospechoso.
  • source_port: Es el puerto de origen del tráfico sospechoso.
  • destination_port: Es el puerto de destino del tráfico sospechoso.
  • ip_protocol: Es el protocolo IP del tráfico previsto.
  • application: Es el tipo de aplicación del tráfico sospechoso, por ejemplo, SSH.
  • direction: Indica la dirección del tráfico posible (cliente a servidor o servidor a cliente).
  • session_id: Es un identificador numérico interno que se aplica a cada sesión.
  • repeat_count: La cantidad de sesiones con la misma IP de origen, IP de destino aplicación y el tipo visto en 5 segundos.
  • uri_or_filename: URI o nombre de archivo de la amenaza relevante (si corresponde).
  • cves: Una lista de CVE asociadas con la amenaza
  • details: Información adicional sobre el tipo de amenaza, tomada de Palo Alto Redes ThreatVault.

Busca en el Threat Vault de Palo Alto Networks

Usa las siguientes instrucciones para buscar vulnerabilidades y exposiciones comunes (CVE), IDs de amenazas, nombres de amenazas y categorías de amenazas.

  1. Si aún no tienes una cuenta, crea una en LiveCommunity de Palo Alto Networks.

  2. Accede al Threat Vault de Palo Alto Networks con tu cuenta.

  3. En Threat Vault, busca cualquiera de los siguientes valores según la información de tu alerta de amenazas:

    • Uno o más CVE del campo cves
    • THREAT_ID del campo threat_id
    • THREAT_NAME del campo name
    • CATEGORY del campo category
  4. Verifica que el estado de la firma indique Released y no Inhabilitada.

    1. Si está inhabilitada, la firma ya no es válida y está inhabilitada. Cuando el IDS de Cloud se pone al día con las actualizaciones de Palo Alto Networks, la firma deja de generar alertas.
  5. Si un archivo activó el hallazgo, sigue estos pasos:

    1. Busca los hashes asociados con la firma en el el sitio web de VirusTotal para determinar si alguno es malicioso.
    2. Si se conoce el hash del archivo que activa la firma, compáralo con los de la bóveda de amenazas. Si no coinciden, se trata de una colisión de firmas, lo que significa que el archivo y la muestra maliciosa pueden contener los mismos valores de bytes en los mismos offsets de bytes. Si coinciden y el archivo no es malicioso, se trata de un falso positivo y puedes ignorar la alerta de amenaza.
  6. Si una amenaza de comando y control de DNS activó el hallazgo, realiza los siguientes pasos:

    1. Identifica el dominio de destino que activó la firma en o salientes desde un extremo.
    2. Investigar la reputación de los dominios y las direcciones IP involucradas para desarrollar un una comprensión amplia del nivel de amenaza potencial.
  7. Si el tráfico tiene un impacto comercial y estás convencido de que no es malicioso, o si estás dispuesto a aceptar el riesgo, puedes agregar excepciones de amenazas a tu extremo de IDS de Cloud para inhabilitar el ID de amenaza.

  8. Implementa una regla de Google Cloud Armor o Regla de Cloud NGFW a bloquear el tráfico malicioso usando las direcciones IP de origen y destino en el hallazgo.