Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan tanda tangan ancaman

Deteksi ancaman berbasis tanda tangan adalah salah satu mekanisme yang paling umum digunakan untuk mengidentifikasi perilaku berbahaya, dan oleh karena itu banyak digunakan untuk mencegah serangan jaringan. Kemampuan deteksi ancaman Cloud Next Generation Firewall didukung oleh teknologi pencegahan ancaman Palo Alto Networks.

Bagian ini mencantumkan tanda tangan ancaman default, tingkat keparahan ancaman yang didukung, dan pengecualian ancaman yang disediakan oleh Cloud NGFW melalui kemitraan dengan Palo Alto Networks.

Tanda tangan default ditetapkan

Cloud NGFW menyediakan serangkaian tanda tangan ancaman default yang membantu Anda mengamankan workload jaringan dari ancaman. Tanda tangan digunakan untuk mendeteksi kerentanan dan spyware. Untuk melihat semua tanda tangan ancaman yang dikonfigurasi di Cloud NGFW, buka vault ancaman. Jika Anda belum memiliki akun, daftar untuk membuat akun baru.

Tanda tangan deteksi kerentanan mendeteksi upaya untuk mengeksploitasi kelemahan sistem atau mendapatkan akses tidak sah ke sistem. Meskipun tanda tangan anti-spyware membantu mengidentifikasi host yang terinfeksi saat lalu lintas keluar dari jaringan, tanda tangan deteksi kerentanan melindungi dari ancaman yang menembus jaringan.

Misalnya, tanda tangan deteksi kerentanan membantu melindungi dari buffer overflow, eksekusi kode ilegal, dan upaya lain untuk mengeksploitasi kerentanan sistem. Tanda tangan deteksi kerentanan default menyediakan deteksi untuk klien dan server dari semua ancaman tingkat keparahan kritis, tinggi, dan sedang yang diketahui beserta ancaman tingkat keparahan rendah dan informasi.
Tanda tangan anti-spyware mendeteksi spyware di host yang disusupi. Spyware tersebut mungkin mencoba menghubungi server command-and-control (C2) eksternal.
Tanda tangan antivirus mendeteksi virus dan malware yang ditemukan dalam file yang dapat dieksekusi dan jenis file.

Setiap tanda tangan ancaman juga memiliki tindakan default yang terkait dengannya. Anda dapat menggunakan profil keamanan untuk mengganti tindakan untuk tanda tangan ini, dan merujuk profil ini sebagai bagian dari grup profil keamanan dalam aturan kebijakan firewall. Jika ada tanda tangan ancaman yang dikonfigurasi terdeteksi dalam traffic yang dicegat, endpoint firewall akan melakukan tindakan yang sesuai yang ditentukan dalam profil keamanan pada paket yang cocok.

Tingkat keparahan ancaman

Tingkat keparahan tanda tangan ancaman menunjukkan risiko peristiwa yang terdeteksi, dan Cloud NGFW membuat pemberitahuan untuk traffic yang cocok. Tabel berikut merangkum tingkat keparahan ancaman.

Keparahan	Deskripsi
Kritis	Ancaman serius menyebabkan kompromi root server. Misalnya, ancaman yang memengaruhi penginstalan default software yang di-deploy secara luas dan kode eksploitasi tersedia secara luas bagi penyerang. Penyerang biasanya tidak memerlukan kredensial autentikasi khusus atau pengetahuan tentang korban individu, dan target tidak perlu dimanipulasi untuk melakukan fungsi khusus.
Tinggi	Ancaman yang berpotensi menjadi kritis, tetapi ada faktor-faktor yang mengurangi risiko. Misalnya, kerentanan tersebut mungkin sulit dieksploitasi, tidak menyebabkan peningkatan hak istimewa, atau tidak memiliki banyak korban.
Sedang	Ancaman kecil yang dampaknya diminimalkan dan tidak membahayakan target, atau eksploitasi yang mengharuskan penyerang berada di jaringan lokal yang sama dengan korban. Serangan semacam itu hanya memengaruhi konfigurasi non-standar atau aplikasi yang tidak jelas, atau memberikan akses yang sangat terbatas.
Rendah	Ancaman tingkat peringatan yang berdampak sangat kecil pada infrastruktur organisasi. Ancaman semacam itu biasanya memerlukan akses sistem lokal atau fisik dan sering kali mengakibatkan masalah privasi korban dan kebocoran informasi.
Informatif	Peristiwa mencurigakan yang tidak menimbulkan ancaman langsung, tetapi dilaporkan untuk menunjukkan masalah yang lebih dalam yang mungkin ada.

Pengecualian ancaman

Jika Anda ingin menekan atau meningkatkan notifikasi pada ID tanda tangan ancaman tertentu, Anda dapat menggunakan profil keamanan untuk mengganti tindakan default yang terkait dengan ancaman. Anda dapat menemukan ID tanda tangan ancaman dari ancaman yang ada yang terdeteksi oleh Cloud NGFW di log ancaman Anda.

Cloud NGFW memberikan visibilitas pada ancaman yang terdeteksi di lingkungan Anda. Untuk melihat ancaman yang terdeteksi di jaringan Anda, lihat Melihat ancaman.

Antivirus

Secara default, Cloud NGFW menghasilkan pemberitahuan saat menemukan ancaman virus dalam traffic jaringan dari protokol yang didukungnya. Anda dapat menggunakan profil keamanan untuk mengganti tindakan default ini, dan mengizinkan atau menolak traffic jaringan berdasarkan protokol jaringan.

Protokol yang didukung

Cloud NGFW mendukung protokol berikut untuk deteksi antivirus:

SMTP
SMB
POP3
IMAP
HTTP2
HTTP
FTP

Tindakan yang didukung

Cloud NGFW mendukung tindakan antivirus berikut untuk protokol yang didukung:

DEFAULT: perilaku default tindakan antivirus Palo Alto Networks.

Jika ancaman ditemukan dalam traffic protokol SMTP, IMAP, atau POP3, Cloud NGFW akan membuat pemberitahuan dalam log ancaman. Jika ancaman ditemukan dalam traffic protokol FTP, HTTP, atau SMB, Cloud NGFW akan memblokir traffic tersebut. Untuk mengetahui informasi selengkapnya, lihat dokumentasi tindakan Palo Alto Networks.
ALLOW: mengizinkan traffic.
DENY: menolak traffic.
ALERT: membuat pemberitahuan di log ancaman. Ini adalah perilaku default Cloud NGFW.

Praktik terbaik untuk menggunakan tindakan antivirus

Sebaiknya Anda mengonfigurasi tindakan antivirus untuk menolak semua ancaman virus. Gunakan panduan berikut untuk menentukan apakah akan menolak traffic atau membuat pemberitahuan:

Untuk aplikasi penting bisnis, mulai dengan tindakan profil keamanan yang ditetapkan ke alert. Setelan ini memungkinkan Anda memantau dan menilai ancaman tanpa mengganggu traffic. Setelah mengonfirmasi bahwa profil keamanan memenuhi persyaratan bisnis dan keamanan Anda, Anda dapat mengubah tindakan profil keamanan menjadi deny.
Untuk aplikasi yang tidak penting, tetapkan tindakan profil keamanan ke deny. Aman untuk memblokir traffic berbahaya untuk aplikasi non-kritis secara langsung.

Untuk menyiapkan pemberitahuan atau menolak traffic jaringan untuk semua protokol jaringan yang didukung, gunakan perintah berikut:

Untuk menyiapkan tindakan pemberitahuan pada ancaman antivirus untuk semua protokol yang didukung:
```
gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action ALERT \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID
```
Ganti kode berikut:
- NAME: nama profil keamanan; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik.
- ORGANIZATION_ID: organisasi tempat profil keamanan dibuat.
  
  Jika menggunakan ID URL unik untuk flag name, Anda dapat menghapus flag organization.
- LOCATION: lokasi profil keamanan.
  
  Lokasi selalu ditetapkan ke global. Jika menggunakan ID URL unik untuk tanda name, Anda dapat menghapus tanda location.
- PROJECT_ID: ID project yang akan digunakan untuk kuota dan batasan akses pada profil keamanan.
Untuk menyiapkan tindakan penolakan pada ancaman antivirus untuk semua protokol yang didukung:
```
gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action DENY \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID
```
Ganti kode berikut:
- NAME: nama profil keamanan; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik.
- ORGANIZATION_ID: organisasi tempat profil keamanan dibuat.
  
  Jika menggunakan ID URL unik untuk flag name, Anda dapat menghapus flag organization.
- LOCATION: lokasi profil keamanan.
  
  Lokasi selalu ditetapkan ke global. Jika menggunakan ID URL unik untuk tanda name, Anda dapat menghapus tanda location.
- PROJECT_ID: ID project yang akan digunakan untuk kuota dan batasan akses pada profil keamanan.

Untuk mengetahui informasi selengkapnya tentang cara menyiapkan penggantian, lihat Menambahkan tindakan penggantian dalam profil keamanan.

Frekuensi update konten

Cloud NGFW otomatis mengupdate semua tanda tangan tanpa intervensi pengguna, sehingga Anda dapat berfokus pada analisis dan penyelesaian ancaman tanpa mengelola atau mengupdate tanda tangan.

Update dari Palo Alto Networks diambil oleh Cloud NGFW dan diteruskan ke semua endpoint firewall yang ada. Latensi pembaruan diperkirakan hingga 48 jam.

Melihat log

Beberapa fitur Cloud NGFW menghasilkan pemberitahuan, yang dikirim ke log ancaman. Untuk mengetahui informasi selengkapnya tentang logging, lihat Cloud Logging.

Ringkasan tanda tangan ancaman Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.