威脅特徵總覽

特徵型威脅偵測是識別惡意行為最常用的機制之一,因此廣泛用於防範網路攻擊。Cloud Next Generation Firewall 的威脅偵測功能是由 Palo Alto Networks 的威脅防護技術提供支援。

本節列出 Cloud NGFW 與 Palo Alto Networks 合作提供的預設威脅簽章、支援的威脅嚴重程度,以及威脅例外狀況。

預設簽名設定

Cloud NGFW 提供預設的威脅特徵碼,可協助保護網路工作負載免受威脅。簽章可用於偵測安全漏洞和間諜軟體。如要查看 Cloud NGFW 中設定的所有威脅特徵碼,請前往威脅保管庫。如果沒有帳戶,請註冊新帳戶。

  • 安全漏洞偵測簽章會偵測試圖利用系統缺陷或擅自存取系統的行為。雖然反間諜軟體簽章有助於在流量離開網路時識別受感染的主機,但弱點偵測簽章可防範滲透網路的威脅。

    舉例來說,漏洞偵測簽章有助於防範緩衝區溢位、非法程式碼執行,以及其他試圖利用系統漏洞的行為。預設安全漏洞偵測簽章可偵測所有已知重大、高度和中度嚴重性威脅,以及任何低度和資訊嚴重性威脅的用戶端和伺服器。

  • 間諜防護軟體簽章可偵測遭入侵主機上的間諜軟體。這類間諜軟體可能會嘗試聯絡外部命令和控制 (C2) 伺服器。

  • 防毒簽章可偵測可執行檔和檔案類型中的病毒和惡意軟體。

每個威脅簽章也都有相關聯的預設動作。您可以透過安全性設定檔覆寫這些簽章的動作,並在防火牆政策規則中,將這些設定檔參照為安全性設定檔群組的一部分。如果在攔截的流量中偵測到任何已設定的威脅特徵碼,防火牆端點就會對相符的封包執行安全設定檔中指定的對應動作。

威脅嚴重性等級

威脅簽章的嚴重程度代表偵測到的事件風險,而 Cloud NGFW 會針對相符的流量產生快訊。下表摘要說明威脅嚴重程度。

嚴重性 說明
重大 嚴重威脅會導致伺服器遭到根層級入侵。舉例來說,影響廣泛部署軟體預設安裝的威脅,以及攻擊者可輕易取得的攻擊程式碼。攻擊者通常不需要任何特殊驗證憑證或受害者的相關知識,也不需要操縱目標執行任何特殊功能。
可能成為重大威脅,但有減輕影響的因素。舉例來說,這類問題可能難以利用、不會導致權限提升,或沒有大量受害者。
影響程度較輕微的威脅,不會危及目標,或需要攻擊者與受害者位於相同本機網路的攻擊。這類攻擊只會影響非標準設定或不明應用程式,或是提供非常有限的存取權。
對機構基礎架構影響極小的警告層級威脅。這類威脅通常需要本機或實體系統存取權,且往往會導致受害者隱私權問題和資訊外洩。
參考用 不會立即造成威脅,但會回報可疑事件,指出可能存在更深層的問題。

威脅例外狀況

如要抑制或增加特定威脅簽章 ID 的快訊,可以使用安全性設定檔覆寫與威脅相關聯的預設動作。您可以在威脅記錄中,找到 Cloud NGFW 偵測到的現有威脅威脅簽章 ID。

Cloud NGFW 可讓您掌握環境中偵測到的威脅。如要查看網路中偵測到的威脅,請參閱「查看威脅」。

防毒軟體

根據預設,只要在支援的通訊協定網路流量中發現病毒威脅,Cloud NGFW 就會產生警告。您可以透過安全性設定檔覆寫這項預設動作,並根據網路通訊協定允許或拒絕網路流量。

支援的通訊協定

Cloud NGFW 支援下列通訊協定,可偵測防毒軟體:

  • SMTP
  • SMB
  • POP3
  • IMAP
  • HTTP2
  • HTTP
  • FTP

支援的動作

Cloud NGFW 支援下列防毒動作,適用於支援的通訊協定:

  • DEFAULT:Palo Alto Networks 防毒軟體動作的預設行為。

    如果 SMTP、IMAP 或 POP3 通訊協定流量中發現威脅,Cloud NGFW 會在威脅記錄中產生警示。如果 FTP、HTTP 或 SMB 通訊協定流量中發現威脅,Cloud NGFW 會封鎖該流量。詳情請參閱 Palo Alto Networks 動作說明文件

  • ALLOW:允許流量。

  • DENY:拒絕流量。

  • ALERT:在威脅記錄中產生警報。這是 Cloud NGFW 的預設行為。

使用防毒動作的最佳做法

建議您將防毒動作設為拒絕所有病毒威脅。請按照下列指引,判斷要拒絕流量還是產生快訊:

  • 如果是業務關鍵應用程式,請先將安全設定檔的動作集設為 alert。這項設定可讓您監控及評估威脅,而不中斷流量。確認安全設定檔符合貴商家和安全需求後,即可將安全設定檔的動作變更為 deny
  • 如果是非重要應用程式,請將安全設定檔的動作設為 deny。 您可以立即封鎖一般應用程式的惡意流量。

如要設定快訊或拒絕所有支援網路通訊協定的網路流量,請使用下列指令:

  • 如要為所有支援的通訊協定設定防毒威脅的快訊動作,請按照下列步驟操作:

    gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action ALERT \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

    更改下列內容:

    • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

    • ORGANIZATION_ID:建立安全設定檔的機構。

      如果您使用不重複的網址 ID 做為 name 標記,可以省略 organization 標記。

    • LOCATION:安全性設定檔的位置。

      位置一律設為「global」。如果您使用專屬網址 ID 做為 name 標記,可以省略 location 標記。

    • PROJECT_ID:用於安全設定檔配額和存取限制的專案 ID。

  • 如要針對所有支援的通訊協定,對防毒威脅設定拒絕動作,請按照下列步驟操作:

    gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action DENY \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

    更改下列內容:

    • NAME:安全性設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。

    • ORGANIZATION_ID:建立安全設定檔的機構。

      如果您使用不重複的網址 ID 做為 name 標記,可以省略 organization 標記。

    • LOCATION:安全性設定檔的位置。

      位置一律設為「global」。如果您使用專屬網址 ID 做為 name 標記,可以省略 location 標記。

    • PROJECT_ID:用於安全設定檔配額和存取限制的專案 ID。

如要進一步瞭解如何設定覆寫,請參閱「在安全設定檔中新增覆寫動作」。

內容更新頻率

Cloud NGFW 會自動更新所有簽章,不需要使用者介入,讓您專心分析及解決威脅,不必管理或更新簽章。

Cloud NGFW 會接收 Palo Alto Networks 的更新,並推送至所有現有的防火牆端點。更新延遲時間預估最多為 48 小時。

查看記錄

Cloud NGFW 的多項功能會產生快訊,並傳送至威脅記錄。如要進一步瞭解記錄,請參閱 Cloud Logging

後續步驟