このページでは、Cloud IDS によって生成される脅威アラートを調査する方法について説明します。
アラートの詳細を確認する
アラートログで、次の JSON フィールドを確認できます。
threat_id- 一意の Palo Alto Networks 脅威識別子。name- 脅威の名前alert_severity- 脅威の重大度。INFORMATIONAL、LOW、MEDIUM、HIGH、CRITICALのいずれかです。type- 脅威のタイプ。category- 脅威のサブタイプ。alert_time- 脅威が検出された時刻。network- 脅威が検出されたお客様のネットワーク。source_ip_address- 疑わしいトラフィックのソース IP アドレス。Google Cloud ロードバランサを使用する場合、実際のクライアント IP アドレスは利用できないため、このアドレスはロードバランサの IP アドレスです。destination_ip_address- 疑わしいトラフィックの宛先 IP アドレス。source_port- 疑わしいトラフィックの送信元ポート。destination_port- 疑わしいトラフィックの宛先ポート。ip_protocol- 疑わしいトラフィックの IP プロトコル。application- 疑わしいトラフィックのアプリケーションのタイプ(SSH など)。direction- 疑わしいトラフィックの方向(クライアントからサーバー、またはサーバーからクライアント)。session_id- 各セッションに適用される内部の数値 ID。repeat_count- 同じソース IP、宛先 IP、アプリケーション、タイプが 5 秒以内に確認されたセッションの数。uri_or_filename- 関連する脅威の URI またはファイル名(該当する場合)。cves- 脅威に関連する CVE のリストdetails- Palo Alto Networks の ThreatVault から取得した、脅威の種類に関する追加情報。
Palo Alto Networks Threat Vault を検索する
次の手順に沿って、共通脆弱性識別子(CVE)、脅威 ID、脅威名、脅威カテゴリを検索します。
Palo Alto Networks の LiveCommunity のアカウントをまだ持っていない場合は、作成します。
アカウントを使用して Palo Alto Networks の Threat Vault にアクセスします。
Threat Vault で、脅威アラートの情報に基づいて次のいずれかの値を検索します。
cvesフィールドの 1 つ以上のCVEthreat_idフィールドのTHREAT_IDnameフィールドのTHREAT_NAMEcategoryフィールドのCATEGORY
署名のステータスが [リリース済み] であり、[無効] になっていないことを確認します。
- [無効] の場合、署名は無効になります。Cloud IDS が Palo Alto Networks からの更新に追いつくと、署名はアラートの生成を停止します。
ファイルが検出結果をトリガーした場合は、次の手順を行います。
- VirusTotal ウェブサイトで、署名に関連付けられているハッシュを検索して、いずれかが悪意のあるものかどうかを判断します。
- 署名をトリガーするファイルのハッシュがわかっている場合は、これを Threat Vault のハッシュと比較します。一致しない場合は署名の競合になります。つまり、ファイルと悪意のあるサンプルに、同じバイト オフセットの同じバイト値が含まれている場合があります。一致する場合でファイルに悪意がない場合は、偽陽性のため脅威アラートを無視できます。
コマンド&コントロールまたは DNS の脅威が検出結果をトリガーした場合は、次の手順を行います。
- エンドポイントからのアウトバウンド通信で署名をトリガーした宛先ドメインを特定します。
- 潜在的な脅威レベルについて理解を深めるために、関与しているドメインと IP アドレスの評価を調査します。
トラフィックにビジネスへの影響があり、トラフィックが悪意がないと判断した場合、またはリスクを受け入れても問題ない場合は、Cloud IDS エンドポイントに脅威の例外を追加し、脅威 ID を無効にできます。
Google Cloud Armor ルールまたは Cloud NGFW ルールを実装し、検出結果内の接続送信元と宛先 IP アドレスを使用して悪意のあるトラフィックをブロックします。