Auf dieser Seite finden Sie Informationen dazu, wie Sie die von Cloud IDS generierten Bedrohungsbenachrichtigungen prüfen.
Details zur Benachrichtigung ansehen
Sie können sich die folgenden JSON-Felder im Benachrichtigungslog ansehen:
threat_id
: eindeutige Palo Alto Networks-ID für Bedrohungenname
: Name der Bedrohungalert_severity
: Schweregrad der Bedrohung. EntwederINFORMATIONAL
,LOW
,MEDIUM
,HIGH
oderCRITICAL
type
: Art der Bedrohungcategory
: Untertyp der Bedrohungalert_time
: Zeitpunkt, zu dem die Bedrohung erkannt wurdenetwork
: Kundennetzwerk, in dem die Bedrohung entdeckt wurdesource_ip_address
: Quell-IP-Adresse des verdächtigen Traffics. Wenn Sie einen Load Balancer vonGoogle Cloud verwenden, ist die tatsächliche Client-IP-Adresse nicht verfügbar. Stattdessen wird die IP-Adresse Ihres Load Balancers angezeigt.destination_ip_address
: Ziel-IP-Adresse des verdächtigen Trafficssource_port
: Quellport des verdächtigen Trafficsdestination_port
: Zielport des verdächtigen Trafficsip_protocol
: IP-Protokoll des verdächtigen Trafficsapplication
: Anwendungstyp des verdächtigen Traffics, z. B. SSHdirection
: Richtung des verdächtigen Traffics (Client-zu-Server oder Server-zu-Client)session_id
: eine interne numerische ID, die auf jede Sitzung angewendet wirdrepeat_count
: Anzahl der Sitzungen mit derselben Quell-IP, Ziel-IP, Anwendung und demselben Typ, die innerhalb von 5 Sekunden beobachtet wurdenuri_or_filename
: URI oder Dateiname der relevanten Bedrohung, falls zutreffendcves
: eine Liste der mit der Bedrohung verknüpften CVEsdetails
: zusätzliche Informationen zum Bedrohungstyp aus dem Threat Vault von Palo Alto Networks
Threat Vault von Palo Alto Networks durchsuchen
Folgen Sie der Anleitung unten, um nach CVEs (Common Vulnerabilities and Exposures), Bedrohungs-IDs, Bedrohungsnamen und Bedrohungskategorien zu suchen.
Wenn Sie noch kein Konto haben, erstellen Sie eines in der LiveCommunity von Palo Alto Networks.
Greifen Sie mit Ihrem Konto auf den Threat Vault von Palo Alto Networks zu.
Suchen Sie anhand der Informationen aus der Bedrohungsbenachrichtigung im Threat Vault nach einem beliebigen der folgenden Werte:
- Eine oder mehrere
CVE
s aus dem Feldcves
THREAT_ID
aus dem Feldthreat_id
THREAT_NAME
aus dem Feldname
CATEGORY
aus dem Feldcategory
- Eine oder mehrere
Prüfen Sie, ob der Signaturstatus Freigegeben und nicht Deaktiviert lautet.
- Wenn Deaktiviert ausgewählt ist, ist die Signatur nicht mehr gültig und wurde deaktiviert. Wenn Cloud IDS die Updates von Palo Alto Networks nachholt, generiert die Signatur keine Benachrichtigungen mehr.
Wenn das Ergebnis von einer Datei ausgelöst würde, führen Sie die folgenden Schritte aus:
- Suchen Sie auf der VirusTotal-Website nach den Hashes, die mit der Signatur verknüpft sind, um festzustellen, ob einer davon schädlich ist.
- Wenn der Hash der Datei, die die Signatur ausgelöst hat, bekannt ist, vergleichen Sie ihn mit den Hashes im Threat Vault. Wenn sie nicht übereinstimmen, handelt es sich um eine Signaturkollision. Das bedeutet, dass die Datei und das schädliche Beispiel möglicherweise dieselben Bytewerte an denselben Byte-Offsets enthalten. Wenn sie übereinstimmen und die Datei nicht schädlich ist, handelt es sich um ein falsch positives Ergebnis und Sie können die Bedrohungsbenachrichtigung ignorieren.
Wenn das Ergebnis durch eine Command-and-Control- oder DNS-Bedrohung ausgelöst wurde, führen Sie die folgenden Schritte aus:
- Ermitteln Sie die Zieldomain, die die Signatur für ausgehende Kommunikation von einem Endpunkt ausgelöst hat.
- Prüfen Sie die Bewertung der beteiligten Domains und IP-Adressen, um ein umfassendes Verständnis des potenziellen Bedrohungsniveaus zu erhalten.
Wenn sich der Traffic auf Ihr Unternehmen auswirkt und Sie davon überzeugt sind, dass er nicht schädlich ist, oder wenn Sie das Risiko in Kauf nehmen möchten, können Sie Ihrem Cloud IDS-Endpunkt Bedrohungsausnahmen hinzufügen, um die Bedrohungs-ID zu deaktivieren.
Implementieren Sie eine Cloud Armor-Regel oder eine Cloud-NGFW-Regel, um den schädlichen Traffic mithilfe der Quell- und Ziel-IP-Adressen der Verbindung aus dem Ergebnis zu blockieren.