Panoramica delle firme per le minacce

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Il rilevamento delle minacce basato su firme è uno dei meccanismi più comunemente utilizzati per identificare i comportamenti dannosi ed è quindi ampiamente utilizzato per prevenire gli attacchi alla rete. Le funzionalità di rilevamento delle minacce di Cloud Next Generation Firewall si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks.

Questa sezione elenca le firme di minacce predefinite, i livelli di gravità delle minacce supportati e le eccezioni alle minacce fornite da Cloud NGFW in collaborazione con Palo Alto Networks.

Firma predefinita impostata

Cloud NGFW fornisce un insieme predefinito di firme di minacce che ti aiutano a proteggere i tuoi carichi di lavoro di rete dalle minacce. Le firme vengono utilizzate per rilevare vulnerabilità e spyware. Per visualizzare tutte le firme delle minacce configurate in Cloud NGFW, vai alla vault delle minacce. Se non hai ancora un account, creane uno nuovo.

• Le firme di rilevamento delle vulnerabilità rilevano i tentativi di sfruttare i difetti del sistema o di ottenere accesso non autorizzato ai sistemi. Sebbene le firme anti-spyware aiutino a identificare gli host infetti quando il traffico esce dalla rete, le firme di rilevamento delle vulnerabilità proteggono dalle minacce che penetrano nella rete.

  Ad esempio, le firme di rilevamento delle vulnerabilità aiutano a proteggersi da overflow del buffer, esecuzione di codice illegale e altri tentativi di sfruttare le vulnerabilità del sistema. Le firme di rilevamento delle vulnerabilità predefinite forniscono il rilevamento per i client e i server di tutte le minacce note di gravità critica, elevata e media, nonché di eventuali minacce di gravità bassa e informativa.

• Le firme antispyware rilevano gli spyware sugli host compromessi. Questo tipo di spyware potrebbe tentare di contattare server di comando e controllo (C2) esterni.

• Le firme antivirus rilevano i virus e il malware presenti nei file eseguibili.

A ogni firma di minaccia è associata anche un'azione predefinita. Puoi utilizzare profili di sicurezza per eseguire l'override delle azioni per queste firme e fare riferimento a questi profili come parte di un gruppo di profili di sicurezza in una regola del criterio firewall. Se nel traffico intercettato viene rilevata una firma di minaccia configurata, l'endpoint firewall esegue l'azione corrispondente specificata nel profilo di sicurezza sui pacchetti corrispondenti.

Livelli di gravità delle minacce

La gravità di una firma di minaccia indica il rischio dell'evento rilevato e Cloud NGFW genera avvisi per il traffico corrispondente. La tabella seguente riassume i livelli di gravità delle minacce.

Gravità	Descrizione
Critico	Minacce gravi causano la compromissione del root dei server. Ad esempio, le minacce che colpiscono le installazioni predefinite di software ampiamente implementato e in cui il codice di exploit è ampiamente disponibile per gli aggressori. In genere l'utente malintenzionato non ha bisogno di credenziali di autenticazione speciali o di conoscere le singole vittime e il target non deve essere manipolato per eseguire funzioni speciali.
Alta	Minacce che hanno la capacità di diventare critiche, ma esistono fattori attenuanti. Ad esempio, potrebbero essere difficili da sfruttare, non comportare l'ottenimento di privilegi elevati o non avere un ampio pool di vittime.
Medio	Minacce minori in cui l'impatto è ridotto al minimo e che non compromettono la destinazione oppure exploit che richiedono che un malintenzionato si trovi sulla stessa rete locale della vittima. Questi attacchi interessano solo configurazioni non standard o applicazioni oscure oppure forniscono un accesso molto limitato.
Bassa	Minacce di livello avviso che hanno un impatto molto ridotto sull'infrastruttura di un'organizzazione. Queste minacce in genere richiedono l'accesso locale o fisico al sistema e possono spesso causare problemi di privacy e fughe di informazioni per le vittime.
Informativo	Eventi sospetti che non rappresentano una minaccia immediata, ma che vengono segnalati per indicare la possibile presenza di problemi più profondi.

Eccezioni alle minacce

Se vuoi eliminare o aumentare gli avvisi su ID firma di minacce specifici, puoi utilizzare i profili di sicurezza per eseguire l'override delle azioni predefinite associate alle minacce. Puoi trovare gli ID delle firme di minaccia delle minacce esistenti rilevate da Cloud NGFW nei log delle minacce.

Cloud NGFW fornisce visibilità sulle minacce rilevate nel tuo ambiente. Per visualizzare le minacce rilevate nella tua rete, vedi Visualizzare le minacce.

Antivirus

Per impostazione predefinita, Cloud NGFW genera un avviso quando rileva una minaccia di virus nel traffico di rete. Tuttavia, puoi utilizzare i profili di sicurezza per ignorare questa azione predefinita e consentire o negare il traffico di rete in base al protocollo di rete.

Cloud NGFW supporta i seguenti protocolli per il rilevamento degli antivirus:

• SMTP
• SMB
• POP3
• IMAP
• HTTP2
• HTTP
• FTP

Best practice per l'utilizzo delle azioni antivirus

Ti consigliamo di configurare le azioni antivirus per negare tutte le minacce di virus. Segui le indicazioni riportate di seguito per determinare se rifiutare il traffico o generare un avviso:

• Per le applicazioni business critical, inizia con l'azione del profilo di sicurezza impostata su alert. Questa impostazione ti consente di monitorare e valutare le minacce senza interrompere il traffico. Dopo aver verificato che il profilo di sicurezza soddisfi i requisiti della tua attività e della sicurezza, puoi impostare l'azione del profilo di sicurezza su deny.
• Per le applicazioni non critiche, imposta l'azione del profilo di sicurezza su deny. È sicuro bloccare immediatamente il traffico dannoso per le applicazioni non critiche.

Per configurare un avviso o per negare il traffico di rete per tutti i protocolli di rete supportati, utilizza i seguenti comandi:

• Per configurare un'azione di avviso per le minacce antivirus per tutti i protocolli supportati:

  gcloud network-security security-profiles threat-prevention add-override NAME \
      --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
      --action ALERT \
      --organization ORGANIZATION_ID \
      --location LOCATION \
      --project PROJECT_ID
  

  Sostituisci quanto segue:

  • NAME: il nome del profilo di sicurezza. Puoi specificare il nome come stringa o come identificatore URL univoco.

  • ORGANIZATION_ID: l'organizzazione in cui viene creato il profilo di sicurezza.

    Se utilizzi un identificatore URL univoco per il name flag, puoi omettere il flag organization.

  • LOCATION: la posizione del profilo di sicurezza.

    La posizione è sempre impostata su global. Se utilizzi un identificatore URL univoco per il flag name, puoi omettere il flag location.

  • PROJECT_ID: l'ID progetto da utilizzare per le quote e le limitazioni di accesso nel profilo di sicurezza.

• Per configurare un'azione di rifiuto per le minacce antivirus per tutti i protocolli supportati:

  gcloud network-security security-profiles threat-prevention add-override NAME \
      --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
      --action DENY \
      --organization ORGANIZATION_ID \
      --location LOCATION \
      --project PROJECT_ID
  

  Sostituisci quanto segue:

  • NAME: il nome del profilo di sicurezza. Puoi specificare il nome come stringa o come identificatore URL univoco.

  • ORGANIZATION_ID: l'organizzazione in cui viene creato il profilo di sicurezza.

    Se utilizzi un identificatore URL univoco per il name flag, puoi omettere il flag organization.

  • LOCATION: la posizione del profilo di sicurezza.

    La posizione è sempre impostata su global. Se utilizzi un identificatore URL univoco per il flag name, puoi omettere il flag location.

  • PROJECT_ID: l'ID progetto da utilizzare per le quote e le limitazioni di accesso nel profilo di sicurezza.

Per saperne di più su come configurare l'override, consulta Aggiungere azioni di override in un profilo di sicurezza.

Frequenza di aggiornamento dei contenuti

Cloud NGFW aggiorna automaticamente tutte le firme senza alcun intervento da parte dell'utente, consentendoti di concentrarti sull'analisi e sulla risoluzione delle minacce senza gestire o aggiornare le firme.

Gli aggiornamenti di Palo Alto Networks vengono rilevati da Cloud NGFW e pushed a tutti gli endpoint firewall esistenti. La latenza dell'aggiornamento è stimata essere fino a 48 ore.

Visualizza i log

Diverse funzionalità di Cloud NGFW generano avvisi, che vengono inviati al log delle minacce. Per ulteriori informazioni sul logging, consulta Cloud Logging.

Passaggi successivi

• Visualizzare le minacce
• Panoramica del servizio di prevenzione delle intrusioni
• Configura il servizio di prevenzione delle intrusioni