Investigar alertas de amenazas

En esta página se explica cómo investigar las alertas de amenazas que genera Cloud IDS.

Revisar los detalles de la alerta

Puedes consultar los siguientes campos JSON en el registro de alertas:

• threat_id: identificador de amenazas único de Palo Alto Networks.
• name: nombre de la amenaza.
• alert_severity - Gravedad de la amenaza. Uno de los valores INFORMATIONAL, LOW, MEDIUM, HIGH o CRITICAL.
• type: tipo de amenaza.
• category: subtipo de la amenaza.
• alert_time: hora en la que se descubrió la amenaza.
• network: red del cliente en la que se ha descubierto la amenaza.
• source_ip_address: dirección IP de origen del tráfico sospechoso. Cuando usas unGoogle Cloud balanceador de carga, la dirección IP real del cliente no está disponible y esta dirección es la dirección IP de tu balanceador de carga.
• destination_ip_address: dirección IP de destino del tráfico sospechoso.
• source_port: puerto de origen del tráfico sospechoso.
• destination_port: puerto de destino del tráfico sospechoso.
• ip_protocol: protocolo IP del tráfico sospechoso.
• application: tipo de aplicación del tráfico sospechoso (por ejemplo, SSH).
• direction: dirección del tráfico sospechoso (del cliente al servidor o del servidor al cliente).
• session_id: identificador numérico interno aplicado a cada sesión.
• repeat_count: número de sesiones con la misma IP de origen, IP de destino, aplicación y tipo vistas en un plazo de 5 segundos.
• uri_or_filename: URI o nombre de archivo de la amenaza pertinente, si procede.
• cves: lista de CVEs asociados a la amenaza.
• details: información adicional sobre el tipo de amenaza, extraída de ThreatVault de Palo Alto Networks.

Buscar en la bóveda de amenazas de Palo Alto Networks

Sigue estas instrucciones para buscar vulnerabilidades y exposiciones comunes (CVEs), IDs de amenazas, nombres de amenazas y categorías de amenazas.

1. Si aún no tienes una, crea una cuenta en LiveCommunity de Palo Alto Networks.

2. Accede a Threat Vault de Palo Alto Networks con tu cuenta.

3. En la Bóveda de Amenazas, busca cualquiera de los siguientes valores en función de la información de tu alerta de amenaza:

   • Uno o varios CVE del campo cves
   • THREAT_ID del campo threat_id
   • THREAT_NAME del campo name
   • CATEGORY del campo category

4. Comprueba que el estado de la firma sea Lanzada y no Inhabilitada.

   1. Si se selecciona Inhabilitada, la firma ya no será válida y se inhabilitará. Cuando Cloud IDS se pone al día con las actualizaciones de Palo Alto Networks, la firma deja de generar alertas.

5. Si un archivo ha activado la detección, sigue estos pasos:

   1. Busca los hashes asociados a la firma en el sitio web de VirusTotal para determinar si alguno de ellos es malicioso.
   2. Si se conoce el hash del archivo que activa la firma, compáralo con los de la Bóveda de Amenazas. Si no coinciden, se trata de una colisión de firmas, lo que significa que el archivo y la muestra maliciosa pueden contener los mismos valores de bytes en los mismos desplazamientos de bytes. Si coinciden y el archivo no es malicioso, se trata de un falso positivo y puedes ignorar la alerta de amenaza.

6. Si una amenaza de comando y control o de DNS ha activado la detección, sigue estos pasos:

   1. Identifica el dominio de destino que ha activado la firma en las comunicaciones salientes de un endpoint.
   2. Investiga la reputación de los dominios y las direcciones IP implicados para hacerte una idea general del nivel de amenaza potencial.

7. Si el tráfico tiene un impacto en tu empresa y estás convencido de que no es malicioso, o si quieres asumir el riesgo, puedes añadir excepciones de amenazas a tu endpoint de Cloud IDS para inhabilitar el ID de amenaza.

8. Implementa una regla de Cloud Armor o una regla de Cloud NGFW para bloquear el tráfico malicioso mediante las direcciones IP de origen y destino de la conexión que se indican en la detección.