Esta página se ha traducido con Cloud Translation API.

Descripción general de las firmas de amenazas

La detección de amenazas basada en firmas es uno de los mecanismos más utilizados para identificar comportamientos maliciosos y, por lo tanto, se usa con frecuencia para evitar ataques a la red. Las funciones de detección de amenazas de Cloud Next Generation Firewall se basan en las tecnologías de prevención de amenazas de Palo Alto Networks.

En esta sección se enumeran las firmas de amenazas predeterminadas, los niveles de gravedad de las amenazas admitidos y las excepciones de amenazas proporcionadas por Cloud NGFW en colaboración con Palo Alto Networks.

Firma predeterminada definida

Cloud NGFW proporciona un conjunto predeterminado de firmas de amenazas que te ayudan a proteger tus cargas de trabajo de red frente a las amenazas. Las firmas se usan para detectar vulnerabilidades y software espía. Para ver todas las firmas de amenazas configuradas en Cloud NGFW, ve al almacén de amenazas. Si aún no tienes una cuenta, regístrate para crear una.

Las firmas de detección de vulnerabilidades detectan intentos de aprovechar las vulnerabilidades del sistema o de obtener acceso no autorizado a los sistemas. Mientras que las firmas antispyware ayudan a identificar los hosts infectados cuando el tráfico sale de la red, las firmas de detección de vulnerabilidades protegen contra las amenazas que penetran en la red.

Por ejemplo, las firmas de detección de vulnerabilidades ayudan a proteger frente a desbordamientos de búfer, ejecuciones de código ilegales y otros intentos de explotar vulnerabilidades del sistema. Las firmas de detección de vulnerabilidades predeterminadas proporcionan detección para clientes y servidores de todas las amenazas conocidas de gravedad crítica, alta y media, así como de cualquier amenaza de gravedad baja e informativa.
Las firmas antiespía detectan software espía en hosts vulnerados. Este tipo de spyware puede intentar ponerse en contacto con servidores externos de comando y control (C2).
Las firmas de antivirus detectan virus y malware en archivos ejecutables y de otros tipos.

Cada firma de amenaza también tiene una acción predeterminada asociada. Puedes usar perfiles de seguridad para anular las acciones de estas firmas y hacer referencia a estos perfiles como parte de un grupo de perfiles de seguridad en una regla de política de cortafuegos. Si se detecta alguna firma de amenaza configurada en el tráfico interceptado, el endpoint de firewall realiza la acción correspondiente especificada en el perfil de seguridad en los paquetes coincidentes.

Niveles de gravedad de las amenazas

La gravedad de una firma de amenaza indica el riesgo del evento detectado y Cloud NGFW genera alertas para el tráfico coincidente. En la siguiente tabla se resumen los niveles de gravedad de las amenazas.

Gravedad	Descripción
Crítica	Las amenazas graves provocan la vulneración de la raíz de los servidores. Por ejemplo, las amenazas que afectan a las instalaciones predeterminadas de software ampliamente implementado y en las que el código de explotación está disponible para los atacantes. Por lo general, el atacante no necesita ninguna credencial de autenticación especial ni información sobre las víctimas individuales, y no es necesario manipular al objetivo para que realice ninguna función especial.
Alta	Amenazas que pueden convertirse en críticas, pero que tienen factores atenuantes. Por ejemplo, pueden ser difíciles de aprovechar, no provocar una elevación de privilegios o no tener un gran número de víctimas.
Medio	Amenazas leves cuyo impacto se minimiza y que no comprometen el objetivo, o exploits que requieren que el atacante se encuentre en la misma red local que la víctima. Estos ataques solo afectan a configuraciones no estándar o a aplicaciones poco conocidas, o bien proporcionan un acceso muy limitado.
Bajo	Amenazas de nivel de advertencia que tienen muy poco impacto en la infraestructura de una organización. Estas amenazas suelen requerir acceso local o físico al sistema y, a menudo, provocan problemas de privacidad y filtraciones de información de las víctimas.
Informativa	Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para indicar problemas más graves que podrían existir.

Excepciones de amenazas

Si quieres suprimir o aumentar las alertas de IDs de firmas de amenazas específicos, puedes usar perfiles de seguridad para anular las acciones predeterminadas asociadas a las amenazas. Puedes encontrar los IDs de firma de amenazas de las amenazas detectadas por Cloud NGFW en tus registros de amenazas.

Cloud NGFW ofrece visibilidad sobre las amenazas que se detectan en tu entorno. Para ver las amenazas detectadas en tu red, consulta Ver amenazas.

Antivirus

De forma predeterminada, Cloud NGFW genera una alerta cuando detecta una amenaza de virus en el tráfico de red de cualquiera de sus protocolos compatibles. Puedes usar perfiles de seguridad para anular esta acción predeterminada y permitir o denegar el tráfico de red en función del protocolo de red.

Protocolos admitidos

Cloud NGFW admite los siguientes protocolos para la detección de antivirus:

SMTP
SMB
POP3
IMAP
HTTP2
HTTP
FTP

Acciones admitidas

Cloud NGFW admite las siguientes acciones antivirus para los protocolos que admite:

DEFAULT: el comportamiento predeterminado de la acción antivirus de Palo Alto Networks.

Si se detecta una amenaza en el tráfico de los protocolos SMTP, IMAP o POP3, Cloud NGFW genera una alerta en los registros de amenazas. Si se detecta una amenaza en el tráfico de los protocolos FTP, HTTP o SMB, Cloud NGFW bloquea el tráfico. Para obtener más información, consulta la documentación sobre las acciones de Palo Alto Networks.
ALLOW: permite el tráfico.
DENY: deniega el tráfico.
ALERT: genera una alerta en los registros de amenazas. Este es el comportamiento predeterminado de Cloud NGFW.

Prácticas recomendadas para usar las acciones antivirus

Te recomendamos que configures las acciones del antivirus para denegar todas las amenazas de virus. Sigue estas directrices para determinar si debes denegar el tráfico o generar una alerta:

En el caso de las aplicaciones esenciales para el negocio, empieza con el conjunto de acciones del perfil de seguridad definido como alert. Este ajuste te permite monitorizar y evaluar las amenazas sin interrumpir el tráfico. Una vez que hayas confirmado que el perfil de seguridad cumple los requisitos de tu empresa y de seguridad, puedes cambiar la acción del perfil de seguridad a deny.
En el caso de las aplicaciones no críticas, define la acción del perfil de seguridad como deny. Puedes bloquear el tráfico malicioso de las aplicaciones no críticas de forma inmediata.

Para configurar una alerta o denegar el tráfico de red de todos los protocolos de red admitidos, usa los siguientes comandos:

Para configurar una acción de alerta sobre amenazas de antivirus para todos los protocolos admitidos, sigue estos pasos:
```
gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action ALERT \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID
```
Haz los cambios siguientes:
- NAME: el nombre del perfil de seguridad. Puede especificar el nombre como una cadena o como un identificador de URL único.
- ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad.
  
  Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.
- LOCATION: la ubicación del perfil de seguridad.
  
  La ubicación siempre está definida como global. Si usas un identificador de URL único para la marca name, puedes omitir la marca location.
- PROJECT_ID: el ID del proyecto que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad.
Para configurar una acción de denegación en las amenazas de antivirus para todos los protocolos admitidos, sigue estos pasos:
```
gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action DENY \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID
```
Haz los cambios siguientes:
- NAME: el nombre del perfil de seguridad. Puede especificar el nombre como una cadena o como un identificador de URL único.
- ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad.
  
  Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.
- LOCATION: la ubicación del perfil de seguridad.
  
  La ubicación siempre está definida como global. Si usas un identificador de URL único para la marca name, puedes omitir la marca location.
- PROJECT_ID: el ID del proyecto que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad.

Para obtener más información sobre cómo configurar la anulación, consulta Añadir acciones de anulación a un perfil de seguridad.

Frecuencia de actualización del contenido

Cloud NGFW actualiza automáticamente todas las firmas sin que el usuario tenga que hacer nada, lo que te permite centrarte en analizar y resolver amenazas sin tener que gestionar ni actualizar firmas.

Cloud NGFW recibe las actualizaciones de Palo Alto Networks y las envía a todos los endpoints de cortafuegos. La latencia de las actualizaciones se estima en un máximo de 48 horas.

Ver registros

Varias funciones de Cloud NGFW generan alertas, que se envían al registro de amenazas. Para obtener más información sobre el registro, consulta Cloud Logging.

Descripción general de las firmas de amenazas Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.