Investigar alertas de amenazas

En esta página, se proporcionan detalles sobre cómo investigar las alertas de amenazas que genera el IDS de Cloud.

Revisar los detalles de las alertas

Puedes revisar los siguientes campos JSON en el registro de alertas:

  • threat_id: Identificador de amenaza único de Palo Alto Networks.
  • name: Nombre de la amenaza.
  • alert_severity: gravedad de la amenaza. Puede ser INFORMATIONAL, LOW, MEDIUM, HIGH o CRITICAL.
  • type: tipo de amenaza.
  • category: Subtipo de amenaza.
  • alert_time: la hora en que se descubrió la amenaza.
  • network: red del cliente en la que se descubrió la amenaza.
  • source_ip_address: es la dirección IP de origen de tráfico potencial. Cuando usas un balanceador de cargas de Google Cloud, la dirección IP de cliente real no está disponible, y esta es la dirección IP de tu balanceador de cargas.
  • destination_ip_address: es la dirección IP de destino de tráfico que se sospecha.
  • source_port: es el puerto de origen que se sospecha que es de tráfico.
  • destination_port: es el puerto de destino que se sospecha que proviene de tráfico.
  • ip_protocol: es el protocolo de IP de tráfico sospechoso.
  • application: Es el tipo de aplicación de tráfico potencial, por ejemplo, SSH.
  • direction: Indica la dirección del tráfico que se sospecha (cliente a servidor o servidor a cliente).
  • session_id: Es un identificador numérico interno que se aplica a cada sesión.
  • repeat_count: cantidad de sesiones con la misma IP de origen, IP de destino, aplicación y tipo observadas en 5 segundos.
  • uri_or_filename: Es el URI o el nombre de archivo de la amenaza relevante, si corresponde.
  • cves: Una lista de CVE asociados con la amenaza
  • details: información adicional sobre el tipo de amenaza, tomada del ThreatVault de Palo Alto Networks.

Buscar en la bóveda de amenazas de Palo Alto Networks

Usa las siguientes instrucciones para buscar vulnerabilidades y exposiciones comunes (CVE), IDs de amenazas, nombres de amenazas y categorías de amenazas.

  1. Si aún no tienes una cuenta, créala en LiveCommunity de Palo Alto Networks.

  2. Accede a Threat Vault de Palo Alto Networks con tu cuenta.

  3. En Threat Vault, busca cualquiera de los siguientes valores según la información de la alerta de amenaza:

    • Uno o más CVE del campo cves
    • THREAT_ID desde el campo threat_id
    • THREAT_NAME desde el campo name
    • CATEGORY desde el campo category

  4. Verifica que el estado de la firma diga Released y no Disabled.

    1. Si está Inhabilitada, la firma ya no es válida y se inhabilita. Cuando IDS de Cloud se pone al día con las actualizaciones de Palo Alto Networks, la firma deja de generar alertas.

  5. Si un archivo activó el hallazgo, sigue estos pasos:

    1. Busca los hashes asociados con la firma en el sitio web de VirusTotal para determinar si alguno es malicioso.
    2. Si se conoce el hash del archivo que activa la firma, compáralo con los de Threat Vault. Si no coinciden, es una colisión de firma, lo que significa que el archivo y la muestra maliciosa podrían contener los mismos valores de bytes en los mismos desplazamientos de bytes. Si coinciden y el archivo no es malicioso, se trata de un falso positivo, y puedes ignorar la alerta de amenaza.

  6. Si una amenaza de comando y control o de DNS activó el hallazgo, sigue estos pasos:

    1. Identifica el dominio de destino que activó la firma en las comunicaciones salientes desde un extremo.
    2. Investiga la reputación de los dominios y las direcciones IP involucradas para desarrollar una amplia comprensión del nivel de amenaza potencial.

  7. Si el tráfico tiene un impacto en el negocio y estás convencido de que no es malicioso, o si estás dispuesto a aceptar el riesgo, puedes agregar excepciones de amenazas a tu extremo del IDS de Cloud para inhabilitar el ID de amenaza.

  8. Implementa una regla de Google Cloud Armor o una regla de Cloud NGFW para bloquear el tráfico malicioso mediante las direcciones IP de origen y destino de la conexión en el resultado.