Investigar alertas de ameaças

Esta página fornece detalhes sobre como investigar os alertas de ameaças gerados pelo Cloud IDS.

Analisar os detalhes do alerta

É possível analisar os seguintes campos JSON no registro de alertas:

  • threat_id: identificador exclusivo de ameaças da Palo Alto Networks.
  • name: nome da ameaça.
  • alert_severity: gravidade da ameaça. Um de INFORMATIONAL, LOW, MEDIUM, HIGH ou CRITICAL.
  • type: tipo de ameaça.
  • category: subtipo da ameaça.
  • alert_time: o horário em que a ameaça foi descoberta.
  • network: rede do cliente em que a ameaça foi descoberta.
  • source_ip_address: endereço IP de origem do tráfego suspeito. Quando você usa um balanceador de cargaGoogle Cloud , o endereço IP real do cliente não está disponível e é o endereço IP do balanceador de carga.
  • destination_ip_address: endereço IP de destino do tráfego suspeito.
  • source_port: porta de origem do tráfego suspeito.
  • destination_port: a porta de destino do tráfego suspeito.
  • ip_protocol: protocolo IP do tráfego suspeito.
  • application: tipo de aplicativo suspeito do tráfego, por exemplo, SSH.
  • direction: direção suspeita do tráfego (cliente para servidor ou servidor para cliente).
  • session_id: um identificador numérico interno aplicado a cada sessão.
  • repeat_count: número de sessões com o mesmo IP de origem, IP de destino, aplicação e tipo encontrados em 5 segundos.
  • uri_or_filename: URI ou nome de arquivo da ameaça relevante, se aplicável.
  • cves: uma lista de CVEs associadas à ameaça.
  • details: informações adicionais sobre o tipo de ameaça, retiradas do ThreatVault da Palo Alto Networks.

Pesquisar o Threat Vault da Palo Alto Networks

Use as instruções a seguir para pesquisar vulnerabilidades e exposições comuns (CVEs, na sigla em inglês), IDs, nomes e categorias de ameaças.

  1. Se você ainda não tiver uma conta, crie uma na LiveCommunity da Palo Alto Networks.

  2. Acesse o Threat Vault da Palo Alto Networks usando sua conta.

  3. No Threat Vault, pesquise qualquer um dos seguintes valores com base nas informações do alerta de ameaça:

    • Um ou mais CVE do campo cves
    • THREAT_ID do campo threat_id
    • THREAT_NAME do campo name
    • CATEGORY do campo category

  4. Verifique se o status da assinatura é Liberado e não Desativado.

    1. Se Desativado, a assinatura não é mais válida e está desativada. Quando o Cloud IDS atualiza as informações da Palo Alto Networks, a assinatura para de gerar alertas.

  5. Se um arquivo acionar a descoberta, siga estas etapas:

    1. Pesquise os hashes associados à assinatura no site do VirusTotal para determinar se algum deles é malicioso.
    2. Se o hash do arquivo que aciona a assinatura for conhecido, compare-o com aqueles no Threat Vault. Se não corresponderem, haverá uma colisão de assinatura, o que significa que o arquivo e a amostra mal-intencionada podem conter os mesmos valores de byte nos mesmos deslocamentos de byte. Se eles corresponderem e o arquivo não for malicioso, é um falso positivo e você pode desconsiderar o alerta de ameaça.

  6. Se a descoberta foi acionada por uma ameaça de comando e controle ou DNS, siga estas etapas:

    1. Identifique o domínio de destino que acionou a assinatura nas comunicações de saída de um endpoint.
    2. Investigue a reputação dos domínios e endereços IP envolvidos para entender melhor o possível nível de ameaça.

  7. Se o tráfego tiver um impacto comercial e você tiver certeza de que ele não é malicioso ou se estiver disposto a aceitar o risco, adicione Exceções de ameaça ao endpoint do Cloud IDS para desativar o ID de ameaça.

  8. Implemente uma regra do Google Cloud Armor ou uma regra do Cloud NGFW para bloquear o tráfego malicioso usando a origem da conexão e os endereços IP de destino na descoberta.