Informações gerais sobre as assinaturas de ameaças
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
A detecção de ameaças baseada em assinaturas é um dos mecanismos mais usados para identificar comportamentos maliciosos. Ela é amplamente usada para evitar ataques a redes. Os recursos de detecção de ameaças do Cloud Next Generation Firewall usam
as tecnologias de prevenção de ameaças da Palo Alto Networks.
Veja nesta seção as assinaturas padrão de ameaças, os níveis de gravidade de ameaças compatíveis e as exceções de ameaças fornecidas pelo Cloud Firewall em parceria com a Palo Alto Networks.
Conjunto padrão de assinaturas
O Cloud Firewall fornece um conjunto padrão de assinaturas de ameaças que ajudam a proteger suas cargas de trabalho de rede contra ameaças. As assinaturas são usadas para detectar vulnerabilidades e spyware. Para ver todas as assinaturas de ameaças configuradas no Cloud Firewall, acesse o cofre de ameaças.
Se você ainda não tiver uma conta, inscreva-se para criar uma nova.
As assinaturas de detecção de vulnerabilidades detectam tentativas de explorar falhas do sistema ou conseguir acesso não autorizado aos sistemas. As assinaturas antispyware ajudam a identificar hosts infectados quando o tráfego sai da rede. Já as assinaturas de detecção de vulnerabilidades protegem contra ameaças que invadem a rede.
Por exemplo, as assinaturas de detecção de vulnerabilidades ajudam a proteger contra estouro de buffer, execução ilegal de códigos e outras tentativas de explorar vulnerabilidades do sistema. As assinaturas de detecção de vulnerabilidades padrão fornecem detecção para clientes e servidores de todas as ameaças críticas, de alta e média gravidade, além de ameaças de gravidade baixa e informativa.
As assinaturas antispyware detectam spyware em hosts comprometidos.
Esses spywares podem entrar em contato com servidores de comando e controle (C2) externos.
As assinaturas antivírus detectam vírus e malware encontrados em executáveis e tipos de arquivos.
As assinaturas DNS detectam solicitações de DNS para conexão a domínios maliciosos.
Cada assinatura de ameaça também tem uma ação padrão associada. É possível usar
perfis de segurança para substituir
as ações dessas assinaturas e fazer referência a eles como parte de um
grupo de perfis de segurança.
em uma regra de política de firewall. Se qualquer assinatura de ameaça configurada for detectada no tráfego interceptado, o endpoint do firewall executará a ação correspondente especificada no perfil de segurança nos pacotes correspondentes.
Níveis de gravidade de ameaças
A gravidade de uma assinatura de ameaça indica o risco do evento detectado, e o Cloud Firewall gera alertas para o tráfego correspondente.
A tabela a seguir resume os níveis de gravidade de ameaças.
Gravidade
Descrição
Crítica
Ameaças graves causam comprometimento dos servidores no nível raiz. Por exemplo, ameaças que afetam as instalações padrão de software amplamente implantado e onde o código de exploração está amplamente disponível para os invasores. O invasor geralmente não precisa de credenciais de autenticação especiais ou de conhecimentos sobre as vítimas individuais. Além disso, o alvo não precisa ser manipulado para a execução de funções especiais.
Alta
Ameaças que podem se tornar críticas, mas há fatores atenuantes. Por exemplo, elas podem ser difíceis de explorar, não resultam em privilégios elevados ou não têm um grande pool de vítimas.
Médio
Pequenas ameaças em que o impacto é minimizado e não compromete o alvo ou explorações que exigem que um invasor resida na mesma rede local que a vítima. Esses ataques afetam apenas configurações não padrão ou aplicativos ocultos, ou fornecem acesso muito limitado.
Baixa
Ameaças de alerta com pouco impacto na infraestrutura de uma organização. Essas ameaças geralmente exigem acesso ao sistema físico ou local e podem resultar em problemas de privacidade da vítima e vazamentos de informações.
Informativa
Eventos suspeitos que não representam uma ameaça imediata, mas que são relatados para indicar problemas mais profundos que podem existir.
Exceções de ameaças
Se você quiser suprimir ou aumentar os alertas sobre códigos específicos de assinatura de ameaças, use os perfis de segurança para modificar as ações padrão associadas a ameaças. Nos registros de ameaças, é possível encontrar os IDs das assinaturas de ameaças
detectadas pelo Cloud Firewall.
O Cloud Firewall fornece visibilidade de ameaças detectadas no seu ambiente. Para ver as ameaças detectadas na sua rede, consulte Visualizar ameaças.
Frequência de atualização do conteúdo
O Cloud Firewall atualiza automaticamente todas as assinaturas sem qualquer intervenção do usuário, permitindo que você se concentre em analisar e resolver ameaças sem gerenciar ou atualizar assinaturas.
As atualizações da Palo Alto Networks são selecionadas pelo Cloud Firewall e enviadas para todos os endpoints do firewall atuais. Estima-se que a latência de atualização seja de até 48 horas.
Ver registros
Vários recursos do Cloud Firewall geram alertas que são enviados para o registro de ameaças. Para mais informações sobre a geração de registros, consulte Cloud Logging.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-03-03 UTC."],[[["\u003cp\u003eCloud NGFW uses a default set of threat signatures from Palo Alto Networks to detect vulnerabilities, spyware, and viruses in network traffic.\u003c/p\u003e\n"],["\u003cp\u003eThreat signatures have severity levels, ranging from "Critical" to "Informational," which indicate the risk and impact of the detected event.\u003c/p\u003e\n"],["\u003cp\u003eSecurity profiles can be used to override the default actions associated with threats, allowing for customized responses such as alerting or denying traffic.\u003c/p\u003e\n"],["\u003cp\u003eCloud NGFW automatically updates threat signatures from Palo Alto Networks, with an estimated update latency of up to 48 hours.\u003c/p\u003e\n"],["\u003cp\u003eCloud NGFW generates alerts for detected threats, which are sent to the threat log, and can be viewed for further analysis.\u003c/p\u003e\n"]]],[],null,["# Threat signatures overview\n\nSignature-based threat detection is one of the most commonly used mechanisms to\nidentify malicious behavior, and is therefore widely used to prevent\nnetwork attacks. Cloud Next Generation Firewall's threat detection capabilities are powered\nby Palo Alto Networks threat prevention technologies.\n\nThis section lists the default threat signatures, supported threat severity\nlevels, and threat exceptions provided by Cloud NGFW in partnership\nwith Palo Alto Networks.\n\nDefault signature set\n---------------------\n\nCloud NGFW provides a default set of\n[threat signatures](https://docs.paloaltonetworks.com/pan-os/10-0/pan-os-admin/threat-prevention/threat-signatures.html)\nthat help you to safeguard your network workloads from threats. The\nsignatures are used to detect vulnerabilities and spyware. To view\nall the threat signatures configured in Cloud NGFW,\ngo to the [threat vault](https://threatvault.paloaltonetworks.com/).\nIf you don't already have an account, sign-up for a new account.\n\n- **Vulnerability detection signatures** detect attempts to exploit system\n flaws or gain unauthorized access to systems. While anti-spyware signatures\n help identify infected hosts when traffic leaves the network, vulnerability\n detection signatures safeguard against threats that penetrate the network.\n\n For example, vulnerability detection signatures help protect against buffer\n overflows, illegal code execution, and other attempts to exploit system\n vulnerabilities. The default vulnerability detection signatures provide\n detection for clients and servers from all known\n critical-, high-, and medium-severity threats along with any low- and\n informational-severity threats.\n- **Anti-spyware signatures** detect spyware on compromised hosts.\n Such spyware might try to contact external command-and-control (C2) servers.\n\n- **Antivirus signatures** detect viruses and malware found in executables\n and file types.\n\nEach threat signature also has a [default action](https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-web-interface-help/objects/objects-security-profiles/actions-in-security-profiles)\nassociated with it. You can use\n[security profiles](/firewall/docs/about-security-profiles) to override\nthe actions for these signatures, and reference these profiles as part of a\n[security profile group](/firewall/docs/about-security-profile-groups)\nin a firewall policy rule. If any configured threat\nsignature is detected in the intercepted traffic, the [firewall endpoint](/firewall/docs/about-firewall-endpoints)\nperforms the corresponding action specified in the security profile on the\nmatched packets.\n\nThreat severity levels\n----------------------\n\nA threat signature's severity indicates the risk of the detected event, and\nCloud NGFW generates alerts for matching traffic.\nThe following table summarizes the threat severity levels.\n\nThreat exceptions\n-----------------\n\nIf you want to suppress or increase alerts on specific threat signature IDs, you\ncan use [security profiles](/firewall/docs/about-security-profiles) to override\nthe default actions associated with threats. You can find the threat signature\nIDs of existing threats detected by Cloud NGFW in your threat logs.\n\nCloud NGFW provides visibility on threats that are detected in your\nenvironment. To view threats detected in your network, see [View threats](/firewall/docs/view-threats).\n\nAntivirus\n---------\n\nBy default, Cloud NGFW generates an alert when it finds a virus\nthreat in the network traffic of any of its supported protocols. You\ncan use [security profiles](/firewall/docs/about-security-profiles) to override\nthis default action, and allow or deny the network traffic based on the network\nprotocol.\n\n### Supported protocols\n\nCloud NGFW supports the following protocols for antivirus detection:\n\n- `SMTP`\n- `SMB`\n- `POP3`\n- `IMAP`\n- `HTTP2`\n- `HTTP`\n- `FTP`\n\n### Supported actions\n\nCloud NGFW supports the following antivirus actions for its\nsupported protocols:\n\n- `DEFAULT`: the default behavior of Palo Alto Networks antivirus action.\n\n If a threat is found in the SMTP, IMAP, or\n POP3 protocol traffic, Cloud NGFW generates an alert in the\n threat logs. If a threat is found in the FTP, HTTP, or SMB protocol\n traffic, Cloud NGFW blocks the traffic.\n For more information, see the [Palo Alto Networks actions\n documentation](https://docs.paloaltonetworks.com/network-security/security-policy/administration/security-profiles/security-profile-antivirus).\n- `ALLOW`: allow the traffic.\n\n- `DENY`: deny the traffic.\n\n- `ALERT`: generate an alert in the threat logs. This is the default behavior\n of Cloud NGFW.\n\n### Best practices for using the antivirus actions\n\nWe recommend that you configure the antivirus actions\nto deny all virus threats. Use the following guidance to determine whether to\ndeny the traffic or generate an alert:\n\n- For business-critical applications, start with the security profile's action set to `alert`. This setting lets you monitor and assess threats without disrupting the traffic. After you confirm that the security profile meets your business and security requirements, you can change the security profile's action to `deny`.\n- For non-critical applications, set the security profile's action to `deny`. It's safe to block malicious traffic for non-critical applications immediately.\n\nTo set up an alert or to deny network traffic for all supported network\nprotocols, use the following commands:\n\n- To set up an alert action on antivirus threats for all supported protocols:\n\n ```\n gcloud network-security security-profiles threat-prevention add-override NAME \\\n --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \\\n --action ALERT \\\n --organization ORGANIZATION_ID \\\n --location LOCATION \\\n --project PROJECT_ID\n ```\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eNAME\u003c/var\u003e: the name of the security profile; you can specify\n the name as a string or as a unique URL identifier.\n\n - \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the organization where the security\n profile is created.\n\n If you use a unique URL identifier for the\n `name` flag, you can omit the `organization` flag.\n - \u003cvar translate=\"no\"\u003eLOCATION\u003c/var\u003e: the location of the security profile.\n\n Location is always set to `global`. If you use a unique URL identifier\n for the `name` flag, you can omit the `location` flag.\n - \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: the project ID to use\n for quotas and access restrictions on the security profile.\n\n- To set up a deny action on antivirus threats for all supported protocols:\n\n ```\n gcloud network-security security-profiles threat-prevention add-override NAME \\\n --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \\\n --action DENY \\\n --organization ORGANIZATION_ID \\\n --location LOCATION \\\n --project PROJECT_ID\n ```\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eNAME\u003c/var\u003e: the name of the security profile; you can specify\n the name as a string or as a unique URL identifier.\n\n - \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the organization where the security\n profile is created.\n\n If you use a unique URL identifier for the\n `name` flag, you can omit the `organization` flag.\n - \u003cvar translate=\"no\"\u003eLOCATION\u003c/var\u003e: the location of the security profile.\n\n Location is always set to `global`. If you use a unique URL identifier\n for the `name` flag, you can omit the `location` flag.\n - \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: the project ID to use\n for quotas and access restrictions on the security profile.\n\nFor more information about how to set up the override, see [Add override actions\nin a security\nprofile](/firewall/docs/configure-security-profiles#add-overrides).\n\nContent update frequency\n------------------------\n\nCloud NGFW automatically updates all signatures without any user\nintervention, enabling you to focus on analyzing and resolving threats\nwithout managing or updating signatures.\n\nUpdates from Palo Alto Networks are picked up by Cloud NGFW and\npushed to all the existing firewall endpoints. Update latency is estimated\nto be up to 48 hours.\n\nView logs\n---------\n\nSeveral features of Cloud NGFW generate alerts, which are sent to\nthe threat log. For more information about logging, see\n[Cloud Logging](/logging/docs/overview).\n\nWhat's next\n-----------\n\n- [View threats](/firewall/docs/view-threats)\n- [Intrusion detection and prevention service overview](/firewall/docs/about-intrusion-prevention)\n- [Configure intrusion detection and prevention service](/firewall/docs/configure-intrusion-prevention)"]]
