Questa pagina fornisce dettagli su come esaminare gli avvisi di minacce generati da Cloud IDS.
Rivedi dettagli avviso
Puoi esaminare i seguenti campi JSON nel log degli avvisi:
threat_id
: identificatore univoco delle minacce di Palo Alto Networks.name
- Nome della minaccia.alert_severity
- Gravità della minaccia. Uno traINFORMATIONAL
,LOW
,MEDIUM
,HIGH
oCRITICAL
.type
- Tipo di minaccia.category
: sottotipo di minaccia.alert_time
- Ora in cui è stata scoperta la minaccia.network
- La rete del cliente in cui è stata rilevata la minaccia.source_ip_address
: indirizzo IP di origine del presunto traffico. Quando utilizzi un Google Cloud, l'indirizzo IP del client reale non è che è l'indirizzo IP del bilanciatore del carico.destination_ip_address
: indirizzo IP di destinazione del traffico sospetto.source_port
: porta di origine del presunto traffico.destination_port
- La porta di destinazione del traffico sospetto.ip_protocol
: protocollo IP del traffico sospetto.application
: il tipo di applicazione del traffico sospetto, ad esempio SSH.direction
: direzione del traffico sospetto (da client a server o server-to-client).session_id
: un identificatore numerico interno applicato a ogni sessione.repeat_count
: numero di sessioni con lo stesso indirizzo IP di origine, indirizzo IP di destinazione, applicazione e tipo rilevati entro 5 secondi.uri_or_filename
: URI o nome file della minaccia pertinente, se applicabile.cves
: un elenco di CVE associate alla minacciadetails
- Informazioni aggiuntive sul tipo di minaccia, tratte da Palo Alto Reti ThreatVault.
Cerca nel vault di Palo Alto Networks
Utilizza le seguenti istruzioni per cercare le vulnerabilità e le esposizioni comuni (CVE), ID, nomi e categorie di minacce.
Se ancora non disponi di un account, crea un account sul sito di Palo Alto Networks LiveCommunity.
Accedi a Palo Alto Networks Threat Vault utilizzando il tuo account.
In Threat Vault, cerca uno dei seguenti valori in base alle informazioni del tuo avviso di minaccia:
- Uno o più
CVE
dal campocves
THREAT_ID
dal campothreat_id
THREAT_NAME
dal camponame
CATEGORY
nel campocategory
- Uno o più
Verifica che lo stato della firma sia Rilasciata e non Disattivata.
- Se viene disattivata, la firma non è più valida e viene disattivata. Quando Cloud IDS si aggiorna da Palo Alto Networks, la firma smette di generare avvisi.
Se un file ha attivato il risultato, segui questi passaggi:
- Cerca gli hash associati alla firma sul sito web di VirusTotal per determinare se sono presenti elementi dannosi.
- Se l'hash del file che attiva la firma è noto, confrontalo con quelle presenti in Threat Vault. Se non corrispondono collisione di firme, il che significa che il file e il campione dannoso potrebbero contenere gli stessi valori di byte negli stessi offset di byte. Se corrispondono e il file non è dannoso, si tratta di un falso positivo e puoi ignorare l'avviso di minaccia.
Se il rilevamento è stato attivato da una minaccia di comando e controllo o DNS, svolgi i seguenti passaggi:
- Identifica il dominio di destinazione che ha attivato la firma le comunicazioni in uscita da un endpoint.
- Esamina la reputazione dei domini e degli indirizzi IP coinvolti per sviluppare un un'ampia comprensione del potenziale livello di minaccia.
Se il traffico ha un impatto sulla tua attività e ritieni con certezza che non sia malevolo o se sei disposto ad accettare il rischio, puoi aggiungere eccezioni per le minacce all'endpoint Cloud IDS per disattivare l'ID minaccia.
Implementa una regola di Google Cloud Armor o una regola NGFW di Cloud per bloccare il traffico dannoso utilizzando gli indirizzi IP di origine e di destinazione della connessione nel rilevamento.