Esta página fornece detalhes sobre como investigar os alertas de ameaças gerados pelo Cloud IDS.
Analisar os detalhes do alerta
É possível analisar os seguintes campos JSON no registro de alertas:
threat_id
: identificador exclusivo de ameaças da Palo Alto Networks.name
– nome da ameaça.alert_severity
: gravidade da ameaça. Uma destas opções:INFORMATIONAL
,LOW
.MEDIUM
,HIGH
ouCRITICAL
.type
: tipo de ameaça.category
: subtipo da ameaça.alert_time
: horário em que a ameaça foi descoberta.network
: rede do cliente em que a ameaça foi descoberta.source_ip_address
: endereço IP de origem do tráfego suspeito. Quando você usa um balanceador de carga do Google Cloud, o endereço IP real do cliente não está disponível, e esse endereço é o endereço IP do balanceador de carga.destination_ip_address
: endereço IP de destino do tráfego suspeito.source_port
: porta de origem do tráfego suspeito.destination_port
: porta de destino do tráfego suspeito.ip_protocol
: protocolo IP do tráfego suspeito.application
: tipo de aplicativo suspeito do tráfego, por exemplo, SSH.direction
: direção suspeita do tráfego (cliente para servidor ou servidor para cliente).session_id
: um identificador numérico interno aplicado a cada sessão.repeat_count
: número de sessões com o mesmo IP de origem, IP de destino aplicativo e tipo visto nos últimos 5 segundos.uri_or_filename
: URI ou nome de arquivo da ameaça relevante, se aplicável.cves
: uma lista de CVEs associadas à ameaça.details
: informações adicionais sobre o tipo de ameaça, retiradas do ThreatVault da Palo Alto Networks.
Pesquisar o Threat Vault da Palo Alto Networks
Use as instruções a seguir para pesquisar vulnerabilidades e exposições comuns (CVEs, na sigla em inglês). IDs, nomes e categorias de ameaças.
Se você ainda não tiver uma conta, crie uma na LiveCommunity da Palo Alto Networks.
Acesse a Palo Alto Networks Armazenamento de ameaças usando sua conta.
No Threat Vault, pesquise qualquer um dos seguintes valores com base nas informações do alerta de ameaça:
- Um ou mais
CVE
do campocves
THREAT_ID
do campothreat_id
THREAT_NAME
do camponame
CATEGORY
do campocategory
- Um ou mais
Verifique se o status da assinatura é Liberada, e não Desativada.
- Se for Desativada, a assinatura não será mais válida e será desativada. Quando o Cloud IDS detecta atualizações da Palo Alto Networks, a assinatura para de gerar alertas.
Se um arquivo acionou a descoberta, siga estas etapas:
- Pesquise os hashes associados à assinatura no site do VirusTotal para determinar se algum deles é malicioso.
- Se o hash do arquivo que aciona a assinatura for conhecido, compare-o com aqueles no Threat Vault. Se eles não corresponderem, é um colisão de assinaturas, o que significa que o arquivo e a amostra maliciosa podem conter os mesmos valores de byte nos mesmos deslocamentos de byte. Se eles corresponderem e o arquivo não for malicioso, é um falso positivo, e você pode ignorar o alerta de ameaça.
Se uma ameaça de comando e controle ou DNS acionou a descoberta, siga estas etapas:
- Identifique o domínio de destino que acionou a assinatura nas comunicações de saída de um endpoint.
- Investigue a reputação dos domínios e endereços IP envolvidos para entender melhor o nível de ameaça potencial.
Se o tráfego tiver um impacto comercial e você tiver certeza de que ele não é malicioso ou se estiver disposto a aceitar o risco, adicione Exceções de ameaça ao endpoint do Cloud IDS para desativar o ID da ameaça.
Implemente uma regra do Google Cloud Armor ou uma Regra de NGFW do Cloud para bloquear o tráfego malicioso usando os endereços IP de origem e destino da conexão na descoberta.