Cloud IDS 威脅偵測

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

Cloud IDS 發現項目是由 Cloud IDS 產生，這項安全防護服務會監控Google Cloud 資源的來回流量，找出威脅。Cloud IDS 偵測到威脅時，會將威脅相關資訊 (例如來源 IP 位址、目的地地址和通訊埠編號) 傳送至 Event Threat Detection，後者會產生威脅發現結果。

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看發現項目」一文的指示，開啟 Cloud IDS: THREAT_ID 發現項目。

2. 在「摘要」分頁的發現項目詳細資料中，查看下列區段列出的值：

   • 偵測到的內容，特別是下列欄位：
     • 通訊協定：使用的網路通訊協定
     • 事件時間：事件發生的時間
     • 說明：有關發現結果的詳細資訊
     • 嚴重性：快訊的嚴重程度
     • 目的地 IP：網路流量的目標 IP
     • 目的地通訊埠：網路流量的目標通訊埠
     • 來源 IP：網路流量的來源 IP
     • 來源通訊埠：網路流量的來源通訊埠
   • 受影響的資源，尤其是下列欄位：
     • 資源完整名稱：包含網路和威脅的專案
   • 相關連結，尤其是下列欄位：
     • Cloud Logging URI：Cloud IDS 記錄檔項目的連結，這些項目包含搜尋 Palo Alto Networks Threat Vault 所需的資訊
   • 偵測服務
     • 發現項目類別：Cloud IDS 威脅名稱

3. 如要查看調查結果的完整 JSON，請按一下「JSON」分頁標籤。

步驟 2：查詢攻擊和回應方法

查看調查結果詳細資料後，請參閱 Cloud IDS 說明文件，瞭解如何調查威脅快訊，以決定適當的因應措施。

如要進一步瞭解偵測到的事件，請點選調查結果詳細資料中「Cloud Logging URI」欄位的連結，查看原始記錄項目。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。