Il rilevamento delle minacce basato su firme è uno dei meccanismi più comunemente utilizzati per identificare comportamenti dannosi ed è quindi ampiamente utilizzato per prevenire attacchi di rete. Le funzionalità di rilevamento delle minacce di Cloud Next Generation Firewall si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks.
Questa sezione elenca le firme delle minacce predefinite, i livelli di gravità delle minacce supportati e le eccezioni alle minacce fornite da Cloud NGFW in collaborazione con Palo Alto Networks.
Firma predefinita impostata
Cloud NGFW fornisce un insieme predefinito di firme delle minacce che ti aiutano a proteggere i tuoi carichi di lavoro di rete dalle minacce. Le firme vengono utilizzate per rilevare vulnerabilità e spyware. Per visualizzare tutte le firme delle minacce configurate in Cloud NGFW, vai al vault delle minacce. Se non hai ancora un account, registrati per crearne uno nuovo.
Le firme di rilevamento delle vulnerabilità rilevano i tentativi di sfruttare i difetti del sistema o di ottenere l'accesso non autorizzato ai sistemi. Mentre le firme anti-spyware aiutano a identificare gli host infetti quando il traffico esce dalla rete, le firme di rilevamento delle vulnerabilità proteggono dalle minacce che penetrano nella rete.
Ad esempio, le firme di rilevamento delle vulnerabilità contribuiscono a proteggere da overflow del buffer, esecuzione di codice illegale e altri tentativi di sfruttare le vulnerabilità del sistema. Le firme di rilevamento delle vulnerabilità predefinite forniscono il rilevamento per client e server di tutte le minacce note di gravità critica, elevata e media, nonché di tutte le minacce di gravità bassa e informativa.
Le firme antispyware rilevano gli spyware sugli host compromessi. Questi spyware potrebbero tentare di contattare server di comando e controllo (C2) esterni.
Le firme antivirus rilevano virus e malware trovati negli eseguibili e nei tipi di file.
A ogni firma di minaccia è associata anche un'azione predefinita. Puoi utilizzare i profili di sicurezza per ignorare le azioni per queste firme e fare riferimento a questi profili come parte di un gruppo di profili di sicurezza in una regola dei criteri firewall. Se nel traffico intercettato viene rilevata una firma di minaccia configurata, l'endpoint firewall esegue l'azione corrispondente specificata nel profilo di sicurezza sui pacchetti corrispondenti.
Livelli di gravità minaccia
La gravità di una firma di minaccia indica il rischio dell'evento rilevato e Cloud NGFW genera avvisi per il traffico corrispondente. La tabella seguente riepiloga i livelli di gravità delle minacce.
| Gravità | Descrizione |
|---|---|
| Critico | Le minacce gravi causano la compromissione root dei server. Ad esempio, minacce che interessano le installazioni predefinite di software ampiamente implementati e in cui il codice exploit è ampiamente disponibile per gli autori degli attacchi. L'autore dell'attacco in genere non ha bisogno di credenziali di autenticazione speciali o di informazioni sulle singole vittime e non è necessario manipolare il bersaglio per fargli eseguire funzioni speciali. |
| Alta | Minacce che hanno la capacità di diventare critiche, ma esistono fattori mitigatori. Ad esempio, potrebbero essere difficili da sfruttare, non comportare privilegi elevati o non avere un ampio pool di vittime. |
| Media | Minacce minori in cui l'impatto è ridotto al minimo e che non compromettono il target o exploit che richiedono a un malintenzionato di risiedere sulla stessa rete locale della vittima. Questi attacchi interessano solo configurazioni non standard o applicazioni oscure oppure forniscono un accesso molto limitato. |
| Bassa | Minacce a livello di avviso che hanno un impatto minimo sull'infrastruttura di un'organizzazione. Queste minacce di solito richiedono l'accesso fisico o locale al sistema e possono spesso causare problemi di privacy e fughe di informazioni per le vittime. |
| Informativo | Eventi sospetti che non rappresentano una minaccia immediata, ma che vengono segnalati per indicare problemi più profondi che potrebbero esistere. |
Eccezioni alle minacce
Se vuoi eliminare o aumentare gli avvisi relativi a ID firma di minaccia specifici, puoi utilizzare i profili di sicurezza per eseguire l'override delle azioni predefinite associate alle minacce. Puoi trovare gli ID delle firme delle minacce esistenti rilevate da Cloud NGFW nei log delle minacce.
Cloud NGFW offre visibilità sulle minacce rilevate nel tuo ambiente. Per visualizzare le minacce rilevate nella tua rete, vedi Visualizzare le minacce.
Antivirus
Per impostazione predefinita, Cloud NGFW genera un avviso quando rileva una minaccia di virus nel traffico di rete di uno qualsiasi dei suoi protocolli supportati. Puoi utilizzare i profili di sicurezza per eseguire l'override di questa azione predefinita e consentire o negare il traffico di rete in base al protocollo di rete.
Protocolli supportati
Cloud NGFW supporta i seguenti protocolli per il rilevamento antivirus:
SMTPSMBPOP3IMAPHTTP2HTTPFTP
Azioni supportate
Cloud NGFW supporta le seguenti azioni antivirus per i protocolli supportati:
DEFAULT: il comportamento predefinito dell'azione antivirus di Palo Alto Networks.Se viene rilevata una minaccia nel traffico dei protocolli SMTP, IMAP o POP3, Cloud NGFW genera un avviso nei log delle minacce. Se viene rilevata una minaccia nel traffico dei protocolli FTP, HTTP o SMB, Cloud NGFW blocca il traffico. Per ulteriori informazioni, consulta la documentazione sulle azioni di Palo Alto Networks.
ALLOW: consenti il traffico.DENY: nega il traffico.ALERT: genera un avviso nei log delle minacce. Questo è il comportamento predefinito di Cloud NGFW.
Best practice per l'utilizzo delle azioni antivirus
Ti consigliamo di configurare le azioni antivirus in modo da negare tutte le minacce di virus. Utilizza le seguenti indicazioni per determinare se negare il traffico o generare un avviso:
- Per le applicazioni business critical, inizia con l'insieme di azioni del profilo di sicurezza
impostato su
alert. Questa impostazione ti consente di monitorare e valutare le minacce senza interrompere il traffico. Dopo aver confermato che il profilo di sicurezza soddisfa i requisiti di sicurezza e della tua attività, puoi modificare l'azione del profilo di sicurezza indeny. - Per le applicazioni non critiche, imposta l'azione del profilo di sicurezza su
deny. È sicuro bloccare immediatamente il traffico dannoso per le applicazioni non critiche.
Per configurare un avviso o negare il traffico di rete per tutti i protocolli di rete supportati, utilizza i seguenti comandi:
Per configurare un'azione di avviso sulle minacce antivirus per tutti i protocolli supportati:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action ALERT \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_IDSostituisci quanto segue:
NAME: il nome del profilo di sicurezza; puoi specificare il nome come stringa o come identificatore URL univoco.ORGANIZATION_ID: l'organizzazione in cui viene creato il profilo di sicurezza.Se utilizzi un identificatore URL univoco per il flag
name, puoi omettere il flagorganization.LOCATION: la posizione del profilo di sicurezza.La posizione è sempre impostata su
global. Se utilizzi un identificatore URL univoco per il flagname, puoi omettere il flaglocation.PROJECT_ID: l'ID progetto da utilizzare per le quote e le limitazioni di accesso nel profilo di sicurezza.
Per configurare un'azione di negazione sulle minacce antivirus per tutti i protocolli supportati:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action DENY \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_IDSostituisci quanto segue:
NAME: il nome del profilo di sicurezza; puoi specificare il nome come stringa o come identificatore URL univoco.ORGANIZATION_ID: l'organizzazione in cui viene creato il profilo di sicurezza.Se utilizzi un identificatore URL univoco per il flag
name, puoi omettere il flagorganization.LOCATION: la posizione del profilo di sicurezza.La posizione è sempre impostata su
global. Se utilizzi un identificatore URL univoco per il flagname, puoi omettere il flaglocation.PROJECT_ID: l'ID progetto da utilizzare per le quote e le limitazioni di accesso nel profilo di sicurezza.
Per saperne di più su come configurare l'override, vedi Aggiungere azioni di override in un profilo di sicurezza.
Frequenza di aggiornamento dei contenuti
Cloud NGFW aggiorna automaticamente tutte le firme senza alcun intervento dell'utente, consentendoti di concentrarti sull'analisi e sulla risoluzione delle minacce senza gestire o aggiornare le firme.
Gli aggiornamenti di Palo Alto Networks vengono rilevati da Cloud NGFW e trasferiti a tutti gli endpoint firewall esistenti. La latenza dell'aggiornamento è stimata fino a 48 ore.
Visualizza i log
Diverse funzionalità di Cloud NGFW generano avvisi, che vengono inviati al log delle minacce. Per ulteriori informazioni sulla registrazione, consulta Cloud Logging.
Passaggi successivi
- Visualizza minacce
- Panoramica del servizio di rilevamento e prevenzione delle intrusioni
- Configurare il servizio di rilevamento e prevenzione delle intrusioni