Il rilevamento delle minacce basato su firme è uno dei meccanismi più comunemente utilizzati per identificare comportamenti dannosi ed è quindi ampiamente utilizzato per prevenire gli attacchi alla rete. Le funzionalità di rilevamento delle minacce di Cloud Next Generation Firewall si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks.
Questa sezione elenca le firme di minacce predefinite, i livelli di gravità delle minacce supportati e le eccezioni alle minacce fornite da Cloud NGFW in collaborazione con Palo Alto Networks.
Firma predefinita impostata
Cloud NGFW fornisce un insieme predefinito di firme di minacce che ti aiutano a proteggere i tuoi carichi di lavoro di rete dalle minacce. Le firme vengono utilizzate per rilevare vulnerabilità e spyware. Per visualizzare tutte le firme delle minacce configurate in Cloud NGFW, vai alla vault delle minacce. Se non hai ancora un account, creane uno nuovo.
Le firme di rilevamento delle vulnerabilità rilevano i tentativi di sfruttare i difetti del sistema o di ottenere accesso non autorizzato ai sistemi. Sebbene le firme anti-spyware aiutino a identificare gli host infetti quando il traffico esce dalla rete, le firme di rilevamento delle vulnerabilità proteggono dalle minacce che penetrano nella rete.
Ad esempio, le firme di rilevamento delle vulnerabilità aiutano a proteggersi da overflow del buffer, esecuzione di codice illegale e altri tentativi di sfruttare le vulnerabilità del sistema. Le firme di rilevamento delle vulnerabilità predefinite forniscono il rilevamento per i client e i server di tutte le minacce note di gravità critica, elevata e media, nonché di eventuali minacce di gravità bassa e informativa.
Le firme antispyware rilevano gli spyware sugli host compromessi. Questo tipo di spyware potrebbe tentare di contattare server di comando e controllo (C2) esterni.
Le firme antivirus rilevano i virus e il malware presenti nei file eseguibili e nei tipi di file.
Le firme DNS rilevano le richieste DNS per la connessione a domini dannosi.
A ogni firma di minaccia è associata anche un'azione predefinita. Puoi utilizzare profili di sicurezza per eseguire l'override delle azioni per queste firme e fare riferimento a questi profili come parte di un gruppo di profili di sicurezza in una regola del criterio firewall. Se nel traffico intercettato viene rilevata una firma di minaccia configurata, l'endpoint firewall esegue l'azione corrispondente specificata nel profilo di sicurezza sui pacchetti corrispondenti.
Livelli di gravità delle minacce
La gravità di una firma di minaccia indica il rischio dell'evento rilevato e Cloud NGFW genera avvisi per il traffico corrispondente. La tabella seguente riassume i livelli di gravità delle minacce.
| Gravità | Descrizione |
|---|---|
| Critico | Minacce gravi causano la compromissione del root dei server. Ad esempio, minacce che colpiscono le installazioni predefinite di software ampiamente implementato e in cui il codice di exploit è ampiamente disponibile per gli aggressori. In genere l'utente malintenzionato non ha bisogno di credenziali di autenticazione speciali o di informazioni sulle singole vittime e non è necessario manipolare il target per eseguire funzioni speciali. |
| Alta | Minacce che hanno la capacità di diventare critiche, ma esistono fattori attenuanti. Ad esempio, potrebbero essere difficili da sfruttare, non comportare elevati privilegi o non avere un ampio pool di vittime. |
| Medio | Minacce minori in cui l'impatto è ridotto al minimo e che non compromettono la destinazione oppure exploit che richiedono che un malintenzionato si trovi sulla stessa rete locale della vittima. Questi attacchi interessano solo configurazioni non standard o applicazioni oscure oppure forniscono un accesso molto limitato. |
| Bassa | Minacce a livello di avviso che hanno un impatto molto ridotto sull'infrastruttura di un'organizzazione. Queste minacce in genere richiedono l'accesso locale o fisico al sistema e possono spesso causare problemi di privacy e fughe di informazioni per le vittime. |
| Informativo | Eventi sospetti che non rappresentano una minaccia immediata, ma che vengono segnalati per indicare la possibile presenza di problemi più profondi. |
Eccezioni alle minacce
Se vuoi eliminare o aumentare gli avvisi su ID firma di minacce specifici, puoi utilizzare i profili di sicurezza per eseguire l'override delle azioni predefinite associate alle minacce. Puoi trovare gli ID delle firme di minaccia delle minacce esistenti rilevate da Cloud NGFW nei log delle minacce.
Cloud NGFW fornisce visibilità sulle minacce rilevate nel tuo ambiente. Per visualizzare le minacce rilevate nella tua rete, vedi Visualizzare le minacce.
Frequenza di aggiornamento dei contenuti
Cloud NGFW aggiorna automaticamente tutte le firme senza alcun intervento da parte dell'utente, consentendoti di concentrarti sull'analisi e sulla risoluzione delle minacce senza gestire o aggiornare le firme.
Gli aggiornamenti di Palo Alto Networks vengono rilevati da Cloud NGFW e pushed a tutti gli endpoint firewall esistenti. La latenza dell'aggiornamento è stimata essere fino a 48 ore.
Visualizza i log
Diverse funzionalità di Cloud NGFW generano avvisi, che vengono inviati al log delle minacce. Per ulteriori informazioni sul logging, consulta Cloud Logging.
Passaggi successivi
- Visualizzare le minacce
- Panoramica del servizio di prevenzione delle intrusioni
- Configura il servizio di prevenzione delle intrusioni