Deteksi ancaman berbasis tanda tangan adalah salah satu mekanisme yang paling umum digunakan untuk mengidentifikasi perilaku berbahaya, sehingga banyak digunakan untuk mencegah serangan jaringan. Kemampuan deteksi ancaman Cloud Next Generation Firewall didukung oleh teknologi pencegahan ancaman Palo Alto Networks.
Bagian ini mencantumkan tanda tangan ancaman default, tingkat keparahan ancaman yang didukung, dan pengecualian ancaman yang disediakan oleh Cloud NGFW dalam kemitraan dengan Palo Alto Networks.
Tanda tangan default ditetapkan
Cloud NGFW menyediakan kumpulan default tanda tangan ancaman yang membantu Anda melindungi workload jaringan dari ancaman. Tanda tangan digunakan untuk mendeteksi kerentanan dan spyware. Untuk melihat semua tanda tangan ancaman yang dikonfigurasi di Cloud NGFW, buka repositori ancaman. Jika Anda belum memiliki akun, daftar untuk membuat akun baru.
Signature deteksi kerentanan mendeteksi upaya untuk mengeksploitasi kelemahan sistem atau mendapatkan akses tidak sah ke sistem. Meskipun tanda tangan anti-spyware membantu mengidentifikasi host yang terinfeksi saat traffic keluar dari jaringan, tanda tangan deteksi kerentanan melindungi dari ancaman yang menembus jaringan.
Misalnya, tanda tangan deteksi kerentanan membantu melindungi dari overflow buffer, eksekusi kode ilegal, dan upaya lain untuk mengeksploitasi kerentanan sistem. Tanda tangan deteksi kerentanan default memberikan deteksi untuk klien dan server dari semua ancaman tingkat keparahan kritis, tinggi, dan sedang yang diketahui beserta ancaman tingkat keparahan rendah dan informatif.
Tanda tangan anti-spyware mendeteksi spyware di host yang disusupi. Spyware tersebut mungkin mencoba menghubungi server command-and-control (C2) eksternal.
Tanda tangan antivirus mendeteksi virus dan malware yang ditemukan dalam jenis file dan file yang dapat dieksekusi.
Setiap tanda tangan ancaman juga memiliki tindakan default yang terkait dengannya. Anda dapat menggunakan profil keamanan untuk mengganti tindakan untuk tanda tangan ini, dan mereferensikan profil ini sebagai bagian dari grup profil keamanan dalam aturan kebijakan firewall. Jika tanda tangan ancaman yang dikonfigurasi terdeteksi dalam traffic yang dicegat, endpoint firewall akan melakukan tindakan yang sesuai yang ditentukan dalam profil keamanan pada paket yang cocok.
Tingkat keparahan ancaman
Tingkat keparahan tanda tangan ancaman menunjukkan risiko peristiwa yang terdeteksi, dan Cloud NGFW menghasilkan pemberitahuan untuk traffic yang cocok. Tabel berikut merangkum tingkat keparahan ancaman.
| Keparahan | Deskripsi |
|---|---|
| Kritis | Ancaman serius menyebabkan server disusupi root. Misalnya, ancaman yang memengaruhi penginstalan default software yang di-deploy secara luas dan tempat kode eksploitasi tersedia secara luas bagi penyerang. Penyerang biasanya tidak memerlukan kredensial autentikasi atau pengetahuan khusus tentang setiap korban, dan target tidak perlu dimanipulasi untuk melakukan fungsi khusus. |
| Tinggi | Ancaman yang memiliki kemampuan untuk menjadi kritis, tetapi ada faktor mitigasi. Misalnya, kerentanan tersebut mungkin sulit dieksploitasi, tidak menghasilkan hak istimewa yang ditingkatkan, atau tidak memiliki kumpulan korban yang besar. |
| Sedang | Ancaman kecil yang dampaknya diminimalkan dan tidak membahayakan target, atau eksploitasi yang mengharuskan penyerang berada di jaringan lokal yang sama dengan korban. Serangan tersebut hanya memengaruhi konfigurasi non-standar atau aplikasi yang tidak jelas, atau memberikan akses yang sangat terbatas. |
| Rendah | Ancaman tingkat peringatan yang memiliki dampak sangat kecil pada infrastruktur organisasi. Ancaman tersebut biasanya memerlukan akses sistem lokal atau fisik dan sering kali dapat menyebabkan masalah privasi korban dan kebocoran informasi. |
| Informatif | Peristiwa mencurigakan yang tidak menimbulkan ancaman langsung, tetapi dilaporkan untuk menunjukkan masalah yang lebih mendalam yang mungkin ada. |
Pengecualian ancaman
Jika ingin menyembunyikan atau meningkatkan notifikasi pada ID tanda tangan ancaman tertentu, Anda dapat menggunakan profil keamanan untuk mengganti tindakan default yang terkait dengan ancaman. Anda dapat menemukan ID tanda tangan antivirus ancaman yang ada yang terdeteksi oleh Cloud NGFW di log ancaman.
Cloud NGFW memberikan visibilitas tentang ancaman yang terdeteksi di lingkungan Anda. Untuk melihat ancaman yang terdeteksi di jaringan Anda, lihat Melihat ancaman.
Antivirus
Secara default, Cloud NGFW akan menghasilkan pemberitahuan saat menemukan ancaman virus dalam traffic jaringan. Namun, Anda dapat menggunakan profil keamanan untuk mengganti tindakan default ini, dan mengizinkan atau menolak traffic jaringan berdasarkan protokol jaringan.
Cloud NGFW mendukung protokol berikut untuk deteksi antivirus:
SMTPSMBPOP3IMAPHTTP2HTTPFTP
Praktik terbaik untuk menggunakan tindakan antivirus
Sebaiknya konfigurasikan tindakan antivirus untuk menolak semua ancaman virus. Gunakan panduan berikut untuk menentukan apakah akan menolak traffic atau membuat pemberitahuan:
- Untuk aplikasi yang penting bagi bisnis, mulai dengan tindakan profil keamanan
yang ditetapkan ke
alert. Setelan ini memungkinkan Anda memantau dan menilai ancaman tanpa mengganggu traffic. Setelah mengonfirmasi bahwa profil keamanan memenuhi persyaratan bisnis dan keamanan Anda, Anda dapat mengubah tindakan profil keamanan menjadideny. - Untuk aplikasi yang tidak penting, tetapkan tindakan profil keamanan ke
deny. Anda dapat langsung memblokir traffic berbahaya untuk aplikasi non-kritis.
Untuk menyiapkan pemberitahuan atau menolak traffic jaringan untuk semua protokol jaringan yang didukung, gunakan perintah berikut:
Untuk menyiapkan tindakan pemberitahuan tentang ancaman antivirus untuk semua protokol yang didukung:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action ALERT \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_IDGanti kode berikut:
NAME: nama profil keamanan; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik.ORGANIZATION_ID: organisasi tempat profil keamanan dibuat.Jika menggunakan ID URL unik untuk flag
name, Anda dapat menghapus flagorganization.LOCATION: lokasi profil keamanan.Lokasi selalu ditetapkan ke
global. Jika menggunakan ID URL unik untuk flagname, Anda dapat menghapus flaglocation.PROJECT_ID: project ID yang akan digunakan untuk kuota dan batasan akses pada profil keamanan.
Untuk menyiapkan tindakan penolakan pada ancaman antivirus untuk semua protokol yang didukung:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action DENY \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_IDGanti kode berikut:
NAME: nama profil keamanan; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik.ORGANIZATION_ID: organisasi tempat profil keamanan dibuat.Jika menggunakan ID URL unik untuk flag
name, Anda dapat menghapus flagorganization.LOCATION: lokasi profil keamanan.Lokasi selalu ditetapkan ke
global. Jika menggunakan ID URL unik untuk flagname, Anda dapat menghapus flaglocation.PROJECT_ID: project ID yang akan digunakan untuk kuota dan batasan akses pada profil keamanan.
Untuk mengetahui informasi selengkapnya tentang cara menyiapkan penggantian, lihat Menambahkan tindakan penggantian dalam profil keamanan.
Frekuensi pembaruan konten
Cloud NGFW otomatis mengupdate semua tanda tangan tanpa intervensi pengguna, sehingga Anda dapat berfokus untuk menganalisis dan menyelesaikan ancaman tanpa mengelola atau mengupdate tanda tangan.
Update dari Palo Alto Networks diambil oleh Cloud NGFW dan dikirim ke semua endpoint firewall yang ada. Latensi pembaruan diperkirakan berlangsung hingga 48 jam.
Melihat log
Beberapa fitur Cloud NGFW menghasilkan pemberitahuan, yang dikirim ke log ancaman. Untuk mengetahui informasi selengkapnya tentang logging, lihat Cloud Logging.
Langkah berikutnya
- Melihat ancaman
- Ringkasan layanan pencegahan penyusupan
- Mengonfigurasi layanan pencegahan penyusupan