Cloud IDS ist ein Einbruchserkennungsdienst, Erkennung von Einbrüchen, Malware, Spyware und Command-and-Control-Angriffen in Ihrem Netzwerk. Cloud IDS erstellt eine von Google verwaltete Peering-Verbindung. mit gespiegelten VM-Instanzen. Traffic in der Peering-Verbindung Netzwerk gespiegelt und dann von Palo Alto Networks geprüft, um erweiterte Bedrohungserkennung. Sie können den gesamten Traffic spiegeln oder gefilterter Traffic basierend auf Protokoll, IP-Adressbereich oder ein- und ausgehendem Traffic.
Cloud IDS bietet vollständigen Einblick in den Netzwerktraffic, einschließlich Nord-Süd- und Ost-West-Traffic, sodass Sie die VM-zu-VM-Kommunikation seitliche Bewegungen erkennen. Damit erhalten Sie ein Prüfmodul, Subnetz-interner Traffic
Sie können auch Cloud IDS nutzen, um Ihre erweiterte Bedrohungserkennung und Compliance-Anforderungen, einschließlich PCI 11.4 und HIPAA
Cloud IDS unterliegt den Zusatz zur Verarbeitung von Cloud-Daten.
Cloud IDS erkennt Bedrohungen und warnt davor, ergreift jedoch keine Maßnahmen, um Angriffe zu verhindern oder Schäden zu reparieren. Um auf die Bedrohungen zu reagieren, die Cloud IDS erkennt, können Sie Produkte wie Google Cloud Armor verwenden.
Die folgenden Abschnitte enthalten Details zu IDS-Endpunkten und erweiterte Bedrohungserkennung.
IDS-Endpunkte
Cloud IDS verwendet eine Ressource, die als IDS-Endpunkt bezeichnet wird, eine zonale Ressource der Traffic aus jeder Zone in seiner Region prüfen kann. Jeder IDS-Endpunkt empfängt gespiegelten Traffic und führt eine Analyse zur Bedrohungserkennung durch.
Der private Zugriff auf Dienste ist ein privater zwischen Ihrem VPC-Netzwerk (Virtual Private Cloud) und einem Netzwerk von Google oder einem Drittanbieter. Bei Cloud IDS ist die private Verbindung verbindet Ihre VMs mit den von Google verwalteten Peering-VMs. Für IDS-Endpunkte im selben VPC-Netzwerk: dieselbe private Verbindung wiederverwendet, aber jedem Endpunkt wird ein neues Subnetz zugewiesen. Wenn Sie einer vorhandenen privaten Verbindung IP-Adressbereiche hinzufügen müssen, Du musst Verbindung ändern.
Mit Cloud IDS können Sie in jeder Region, die die Sie überwachen möchten. Sie können mehrere IDS-Endpunkte für jede Region erstellen. Jeder IDS-Endpunkt hat eine maximale Prüfkapazität von 5 Gbit/s. Während jede Der IDS-Endpunkt kann ungewöhnliche Traffic-Spitzen von bis zu 17 Gbit/s verarbeiten, empfehlen, pro Durchsatz von 5 Gbit/s einen IDS-Endpunkt zu konfigurieren die Ihr Netzwerk erlebt.
Richtlinien für die Paketspiegelung
Cloud IDS nutzt die Google Cloud-Paketspiegelung, bei der
eine Kopie Ihres Netzwerkverkehrs. Nachdem Sie einen IDS-Endpunkt erstellt haben,
eine oder mehrere Paketspiegelungsrichtlinien. Diese Richtlinien senden gespiegelten Traffic
an einen einzelnen IDS-Endpunkt
zur Überprüfung senden. Die Paketspiegelungslogik sendet
Traffic von einzelnen VMs zu von Google verwalteten IDS-VMs. Beispiel:
Der gesamte von VM1 und VM2 gespiegelte Traffic wird immer an IDS-VM1 gesendet.
Erweiterte Bedrohungserkennung
Cloud IDS-Funktionen für die Bedrohungserkennung basieren auf den Technologien zum Schutz vor Bedrohungen von Alto Networks.
Anwendungs-ID
Palo Alto Networks Die Anwendungs-ID (App-ID) bietet Einblick in die die in Ihrem Netzwerk ausgeführt werden. App-ID verwendet Mehrfachidentifizierung zur Bestimmung der Identität von Anwendungen, die Ihr Netzwerk durchlaufen, unabhängig von Port, Protokoll, Ausweichtaktik oder Verschlüsselung. App-ID identifiziert der Anwendung und vermittelt Ihnen das nötige Wissen zum Schutz Ihrer Anwendung.
Die Liste der App-IDs wird wöchentlich erweitert. In der Regel werden drei bis fünf neue Anwendungen hinzugefügt. auf der Grundlage von Kunden-, Partner- und Markttrends hinzugefügt. Nach einem neuen Die App-ID wird entwickelt und getestet und im Rahmen des die täglichen Inhaltsaktualisierungen.
Anwendungsinformationen können Sie auf der Seite IDS-Bedrohungen in der Google Cloud Console
Standardsignatursatz
Cloud IDS bietet einen Standardsatz an Signaturen für Bedrohungen mit denen Sie Ihr Netzwerk sofort vor Bedrohungen schützen können. Im In der Google Cloud Console wird dieser Signatursatz als Cloud IDS-Dienstprofil bezeichnet. Sie können diese Gruppe anpassen, indem Sie den minimalen Schweregrad von Benachrichtigungen auswählen. Die Signaturen werden verwendet, um Sicherheitslücken und Spyware zu erkennen.
Signaturen zur Erkennung von Sicherheitslücken erkennen Versuche, Systemfehler auszunutzen oder unbefugten Zugriff auf Systeme erlangen. Anti-Spyware-Signaturen helfen Infizierte Hosts identifizieren, wenn Traffic das Netzwerk verlässt, Sicherheitslücke Erkennungssignaturen schützen vor Bedrohungen, die in das Netzwerk eindringen.
Beispiel: Signaturen für die Schwachstellenerkennung helfen zum Schutz vor Pufferüberläufen, illegale Codeausführung und andere Versuche, Sicherheitslücken auszunutzen. Mit den Standardsignaturen zur Erkennung von Sicherheitslücken werden Clients erkannt und Server vor allen bekannten kritischen, hohen und mittleren Bedrohungen.
Anti-Spyware-Signaturen werden verwendet, um Spyware auf gehackten Hosts zu erkennen. Ein solches Spyware versucht möglicherweise, externe C2-Server (Command-and-Control) zu kontaktieren. Wann? Cloud IDS erkennt schädlichen Traffic, der Ihr Netzwerk vor wird eine Warnung generiert, die im Bedrohungsprotokoll gespeichert wird und in der Google Cloud Console.
Bedrohungsschweregrade
Der Schweregrad einer Signatur gibt das Risiko des erkannten Ereignisses an. Cloud IDS generiert Benachrichtigungen für übereinstimmenden Traffic. Sie können die Minimale Wichtigkeitsstufe im Standardsignatursatz. In der folgenden Tabelle fasst die Schweregrade der Bedrohungen zusammen.
| Schweregrad | Beschreibung |
|---|---|
| Kritisch | Erhebliche Bedrohungen, beispielsweise durch sie, die sich auf die Standardinstallationen von weit verbreitet sind, führen zu Root-Manipulationen von Servern. dass der Exploit-Code den Angreifern allgemein zugänglich ist. Der Angreifer tut sich keine besonderen Anmeldedaten zur Authentifizierung oder Kenntnisse über Einzelne Opfer zu bekämpfen, und das Ziel muss nicht manipuliert werden, Sonderfunktionen auszuführen. |
| Hoch | Kritische Bedrohungen, die sich abschwächen lassen Faktoren, die möglicherweise schwer auszunutzen sind, führen nicht Berechtigungen ausüben oder keinen großen Opferpool haben. |
| Mittel | Geringfügige Bedrohungen mit minimalen Auswirkungen, die das oder Exploits, für die sich der Angreifer des betroffenen Netzwerks nur nicht standardmäßige Konfigurationen oder oder Apps nur eingeschränkt zugänglich machen. |
| Niedrig | Bedrohungen auf Warnungsebene, die nur sehr geringe Auswirkungen auf die Infrastruktur einer Organisation haben. In der Regel ist ein lokaler oder physischer Systemzugriff hat, was oft zu Datenschutzproblemen und Informationslecks. |
| Informationell | Verdächtige Ereignisse, die zwar keine unmittelbare Bedrohung darstellen, aber die die Aufmerksamkeit auf tiefgreifende, mögliche Probleme lenken. |
Bedrohungsausnahmen
Wenn Sie entscheiden, dass Cloud IDS
Benachrichtigungen zu mehr Bedrohungen als nötig generiert,
können Sie verrauschte oder anderweitig unnötige Bedrohungs-IDs deaktivieren, indem Sie den
Flag --threat-exceptions. Sie finden die Bedrohungs-IDs
von Cloud IDS erkannte Bedrohungen in Ihren Bedrohungslogs. Es sind maximal 99 Zeichen zulässig
Ausnahmen pro IDS-Endpunkt.
Häufigkeit von Inhaltsupdates
Cloud IDS aktualisiert automatisch alle Signaturen ohne Nutzer Maßnahme, sodass sich die Nutzenden auf die Analyse und Behebung von Bedrohungen konzentrieren können ohne Signaturen verwalten oder aktualisieren zu müssen. Inhaltsaktualisierungen beinhalten die Anwendungs-ID und Bedrohungssignaturen, einschließlich Schwachstellen- und Anti-Spyware-Signaturen.
Updates von Palo Alto Networks werden täglich von Cloud IDS abgerufen und an alle vorhandenen IDS-Endpunkte gesendet. Die maximale Updatelatenz beträgt bis zu 48 Stunden.
Logging
Mehrere Features von Cloud IDS generieren Benachrichtigungen, die an die Bedrohung gesendet werden. Protokoll. Weitere Informationen zum Logging finden Sie unter Cloud IDS-Logging.
Beschränkungen
- Wenn Sie Cloud Next Generation Firewall L7-Inspektionsrichtlinien und Cloud IDS verwenden Endpunktrichtlinien, sorgen Sie dafür, dass die Richtlinien nicht für denselben Traffic gelten. Wenn die Richtlinien überschneiden, die L7-Prüfungsrichtlinie hat Vorrang und der Traffic werden nicht gespiegelt.
Nächste Schritte
- Informationen zum Einrichten von Cloud IDS finden Sie unter Cloud IDS konfigurieren