Esta página foi traduzida pela API Cloud Translation.

Investigar alertas de ameaças

Esta página fornece detalhes sobre como investigar os alertas de ameaças gerados pelo Cloud IDS.

Analisar os detalhes do alerta

É possível analisar os seguintes campos JSON no registro de alertas:

threat_id: identificador exclusivo de ameaças da Palo Alto Networks.
name – nome da ameaça.
alert_severity: gravidade da ameaça. Uma destas opções: INFORMATIONAL, LOW. MEDIUM, HIGH ou CRITICAL.
type: tipo de ameaça.
category: subtipo da ameaça.
alert_time: horário em que a ameaça foi descoberta.
network: rede do cliente em que a ameaça foi descoberta.
source_ip_address: endereço IP de origem do tráfego suspeito. Quando você usa um balanceador de carga do Google Cloud, o endereço IP real do cliente não está disponível, e esse endereço é o endereço IP do balanceador de carga.
destination_ip_address: endereço IP de destino do tráfego suspeito.
source_port: porta de origem do tráfego suspeito.
destination_port: porta de destino do tráfego suspeito.
ip_protocol: protocolo IP do tráfego suspeito.
application: tipo de aplicativo suspeito do tráfego, por exemplo, SSH.
direction: direção suspeita do tráfego (cliente para servidor ou servidor para cliente).
session_id: um identificador numérico interno aplicado a cada sessão.
repeat_count: número de sessões com o mesmo IP de origem, IP de destino aplicativo e tipo visto nos últimos 5 segundos.
uri_or_filename: URI ou nome de arquivo da ameaça relevante, se aplicável.
cves: uma lista de CVEs associadas à ameaça.
details: informações adicionais sobre o tipo de ameaça, retiradas do ThreatVault da Palo Alto Networks.

Pesquisar o Threat Vault da Palo Alto Networks

Use as instruções a seguir para pesquisar vulnerabilidades e exposições comuns (CVEs, na sigla em inglês). IDs, nomes e categorias de ameaças.

Se você ainda não tiver uma conta, crie uma na LiveCommunity da Palo Alto Networks.
Acesse a Palo Alto Networks Armazenamento de ameaças usando sua conta.
No Threat Vault, pesquise qualquer um dos seguintes valores com base nas informações do alerta de ameaça:
- Um ou mais CVE do campo cves
- THREAT_ID do campo threat_id
- THREAT_NAME do campo name
- CATEGORY do campo category
Verifique se o status da assinatura é Liberada, e não Desativada.
1. Se for Desativada, a assinatura não será mais válida e será desativada. Quando o Cloud IDS detecta atualizações da Palo Alto Networks, a assinatura para de gerar alertas.
Se um arquivo acionou a descoberta, siga estas etapas:
1. Pesquise os hashes associados à assinatura no site do VirusTotal para determinar se algum deles é malicioso.
2. Se o hash do arquivo que aciona a assinatura for conhecido, compare-o com aqueles no Threat Vault. Se eles não corresponderem, é um colisão de assinaturas, o que significa que o arquivo e a amostra maliciosa podem conter os mesmos valores de byte nos mesmos deslocamentos de byte. Se eles corresponderem e o arquivo não for malicioso, é um falso positivo, e você pode ignorar o alerta de ameaça.
Se uma ameaça de comando e controle ou DNS acionou a descoberta, siga estas etapas:
1. Identifique o domínio de destino que acionou a assinatura nas comunicações de saída de um endpoint.
2. Investigue a reputação dos domínios e endereços IP envolvidos para entender melhor o nível de ameaça potencial.
Se o tráfego tiver um impacto comercial e você tiver certeza de que ele não é malicioso ou se estiver disposto a aceitar o risco, adicione Exceções de ameaça ao endpoint do Cloud IDS para desativar o ID da ameaça.
Implemente uma regra do Google Cloud Armor ou uma Regra de NGFW do Cloud para bloquear o tráfego malicioso usando os endereços IP de origem e destino da conexão na descoberta.