调查威胁提醒

本页面详细介绍了如何调查 Cloud IDS 的威胁警报 生成的内容。

查看提醒详情

您可以在提醒日志中查看以下 JSON 字段:

  • threat_id - 唯一的 Palo Alto Networks 威胁标识符。
  • name - 威胁名称。
  • alert_severity - 威胁的严重程度。INFORMATIONALLOWMEDIUMHIGHCRITICAL 之一。
  • type - 威胁的类型。
  • category - 威胁的子类型。
  • alert_time - 发现威胁的时间。
  • network - 在其中发现了威胁的客户网络。
  • source_ip_address - 可疑流量的来源 IP 地址。当您使用 Google Cloud 负载均衡器时,真正的客户端 IP 地址不是 该地址就是您的负载均衡器的 IP 地址。
  • destination_ip_address - 可疑流量的目标 IP 地址。
  • source_port - 可疑流量的来源端口。
  • destination_port - 疑似流量的目标端口。
  • ip_protocol - 可疑流量的 IP 协议。
  • application - 可疑流量的应用类型,例如 SSH。
  • direction - 疑似流量的方向(客户端到服务器或服务器到客户端)。
  • session_id - 应用于每个会话的内部数字标识符。
  • repeat_count - 在 5 秒内出现相同来源 IP、目的地 IP、应用和类型的会话数。
  • uri_or_filename - 相关威胁的 URI 或文件名(如果适用)。
  • cves - 与威胁相关的 CVE 列表
  • details - 有关威胁类型的更多信息(取自帕洛阿尔托) 广告网络ThreatVault.

搜索 Palo Alto Networks Threat Vault

请按照以下说明搜索常见漏洞和披露 (CVE)、威胁 ID、威胁名称和威胁类别。

  1. 如果您还没有账号,请前往 Palo Alto Networks 的 LiveCommunity

  2. 使用您的账号访问 Palo Alto Networks Threat Vault

  3. 在威胁保险柜中,根据来自以下来源的信息搜索以下任意值: 您的威胁警报:

    • cves 字段中的一个或多个 CVE
    • threat_id 字段中的 THREAT_ID
    • name 字段中的 THREAT_NAME
    • category 字段中的 CATEGORY
  4. 验证签名状态是否为已发布,而不是已停用

    1. 如果为已停用,则签名已失效并处于停用状态。当 Cloud IDS 赶上 Palo Alto Networks 的更新时,该签名会停止生成提醒。
  5. 如果文件触发了发现结果,请执行以下步骤:

    1. 搜索与签名中的签名相关联的哈希值 VirusTotal 网站,以确定其中是否有恶意内容。
    2. 如果已知触发签名的文件的哈希值,请将其与 Threat Vault 中的哈希值进行比较。如果不匹配,则表示存在签名冲突,这意味着文件和恶意示例可能在相同的字节偏移量中包含相同的字节值。如果它们匹配,并且文件不是恶意文件,则为误报,此时您可以忽略威胁提醒。
  6. 如果“命令和控制”或 DNS 威胁触发了发现结果,请执行以下步骤:

    1. 确定在端点发出的出站通信中触发签名的目标网域。
    2. 调查相关网域和 IP 地址的声誉,以便全面了解潜在的威胁级别。
  7. 如果相应流量会对业务产生影响,但您确信该流量并非恶意流量,或者您愿意承担相应风险,则可以向 Cloud IDS 端点添加威胁例外情况,以停用相应威胁 ID。

  8. 实现 Google Cloud Armor 规则Cloud NGFW 规则,以使用发现中的连接来源和目的地 IP 地址阻止恶意流量。