Bedrohungsbenachrichtigungen prüfen

Auf dieser Seite finden Sie Informationen dazu, wie Sie die von Cloud IDS generierten Bedrohungsbenachrichtigungen prüfen.

Details zur Benachrichtigung ansehen

Sie können sich die folgenden JSON-Felder im Benachrichtigungslog ansehen:

  • threat_id: eindeutige Palo Alto Networks-ID für Bedrohungen
  • name: Name der Bedrohung
  • alert_severity: Schweregrad der Bedrohung. Entweder INFORMATIONAL, LOW, MEDIUM, HIGH oder CRITICAL
  • type: Art der Bedrohung
  • category: Untertyp der Bedrohung
  • alert_time: Zeitpunkt, zu dem die Bedrohung erkannt wurde
  • network: Kundennetzwerk, in dem die Bedrohung entdeckt wurde
  • source_ip_address: Quell-IP-Adresse des verdächtigen Traffics. Wenn Sie einen Load Balancer vonGoogle Cloud verwenden, ist die tatsächliche Client-IP-Adresse nicht verfügbar. Stattdessen wird die IP-Adresse Ihres Load Balancers angezeigt.
  • destination_ip_address: Ziel-IP-Adresse des verdächtigen Traffics
  • source_port: Quellport des verdächtigen Traffics
  • destination_port: Zielport des verdächtigen Traffics
  • ip_protocol: IP-Protokoll des verdächtigen Traffics
  • application: Anwendungstyp des verdächtigen Traffics, z. B. SSH
  • direction: Richtung des verdächtigen Traffics (Client-zu-Server oder Server-zu-Client)
  • session_id: eine interne numerische ID, die auf jede Sitzung angewendet wird
  • repeat_count: Anzahl der Sitzungen mit derselben Quell-IP, Ziel-IP, Anwendung und demselben Typ, die innerhalb von 5 Sekunden beobachtet wurden
  • uri_or_filename: URI oder Dateiname der relevanten Bedrohung, falls zutreffend
  • cves: eine Liste der mit der Bedrohung verknüpften CVEs
  • details: zusätzliche Informationen zum Bedrohungstyp aus dem Threat Vault von Palo Alto Networks

Threat Vault von Palo Alto Networks durchsuchen

Folgen Sie der Anleitung unten, um nach CVEs (Common Vulnerabilities and Exposures), Bedrohungs-IDs, Bedrohungsnamen und Bedrohungskategorien zu suchen.

  1. Wenn Sie noch kein Konto haben, erstellen Sie eines in der LiveCommunity von Palo Alto Networks.

  2. Greifen Sie mit Ihrem Konto auf den Threat Vault von Palo Alto Networks zu.

  3. Suchen Sie anhand der Informationen aus der Bedrohungsbenachrichtigung im Threat Vault nach einem beliebigen der folgenden Werte:

    • Eine oder mehrere CVEs aus dem Feld cves
    • THREAT_ID aus dem Feld threat_id
    • THREAT_NAME aus dem Feld name
    • CATEGORY aus dem Feld category

  4. Prüfen Sie, ob der Signaturstatus Freigegeben und nicht Deaktiviert lautet.

    1. Wenn Deaktiviert ausgewählt ist, ist die Signatur nicht mehr gültig und wurde deaktiviert. Wenn Cloud IDS die Updates von Palo Alto Networks nachholt, generiert die Signatur keine Benachrichtigungen mehr.

  5. Wenn das Ergebnis von einer Datei ausgelöst würde, führen Sie die folgenden Schritte aus:

    1. Suchen Sie auf der VirusTotal-Website nach den Hashes, die mit der Signatur verknüpft sind, um festzustellen, ob einer davon schädlich ist.
    2. Wenn der Hash der Datei, die die Signatur ausgelöst hat, bekannt ist, vergleichen Sie ihn mit den Hashes im Threat Vault. Wenn sie nicht übereinstimmen, handelt es sich um eine Signaturkollision. Das bedeutet, dass die Datei und das schädliche Beispiel möglicherweise dieselben Bytewerte an denselben Byte-Offsets enthalten. Wenn sie übereinstimmen und die Datei nicht schädlich ist, handelt es sich um ein falsch positives Ergebnis und Sie können die Bedrohungsbenachrichtigung ignorieren.

  6. Wenn das Ergebnis durch eine Command-and-Control- oder DNS-Bedrohung ausgelöst wurde, führen Sie die folgenden Schritte aus:

    1. Ermitteln Sie die Zieldomain, die die Signatur für ausgehende Kommunikation von einem Endpunkt ausgelöst hat.
    2. Prüfen Sie die Bewertung der beteiligten Domains und IP-Adressen, um ein umfassendes Verständnis des potenziellen Bedrohungsniveaus zu erhalten.

  7. Wenn sich der Traffic auf Ihr Unternehmen auswirkt und Sie davon überzeugt sind, dass er nicht schädlich ist, oder wenn Sie das Risiko in Kauf nehmen möchten, können Sie Ihrem Cloud IDS-Endpunkt Bedrohungsausnahmen hinzufügen, um die Bedrohungs-ID zu deaktivieren.

  8. Implementieren Sie eine Cloud Armor-Regel oder eine Cloud-NGFW-Regel, um den schädlichen Traffic mithilfe der Quell- und Ziel-IP-Adressen der Verbindung aus dem Ergebnis zu blockieren.