En esta página, se proporcionan detalles sobre cómo investigar las alertas de amenazas que genera el IDS de Cloud.
Revisar los detalles de las alertas
Puedes revisar los siguientes campos JSON en el registro de alertas:
threat_id
: Identificador de amenaza único de Palo Alto Networks.name
: Nombre de la amenaza.alert_severity
: gravedad de la amenaza. Puede serINFORMATIONAL
,LOW
,MEDIUM
,HIGH
oCRITICAL
.type
: tipo de amenaza.category
: Subtipo de amenaza.alert_time
: la hora en que se descubrió la amenaza.network
: red del cliente en la que se descubrió la amenaza.source_ip_address
: es la dirección IP de origen de tráfico potencial. Cuando usas un balanceador de cargas de Google Cloud, la dirección IP de cliente real no está disponible, y esta es la dirección IP de tu balanceador de cargas.destination_ip_address
: es la dirección IP de destino de tráfico que se sospecha.source_port
: es el puerto de origen que se sospecha que es de tráfico.destination_port
: es el puerto de destino que se sospecha que proviene de tráfico.ip_protocol
: es el protocolo de IP de tráfico sospechoso.application
: Es el tipo de aplicación de tráfico potencial, por ejemplo, SSH.direction
: Indica la dirección del tráfico que se sospecha (cliente a servidor o servidor a cliente).session_id
: Es un identificador numérico interno que se aplica a cada sesión.repeat_count
: cantidad de sesiones con la misma IP de origen, IP de destino, aplicación y tipo observadas en 5 segundos.uri_or_filename
: Es el URI o el nombre de archivo de la amenaza relevante, si corresponde.cves
: Una lista de CVE asociados con la amenazadetails
: información adicional sobre el tipo de amenaza, tomada del ThreatVault de Palo Alto Networks.
Buscar en la bóveda de amenazas de Palo Alto Networks
Usa las siguientes instrucciones para buscar vulnerabilidades y exposiciones comunes (CVE), IDs de amenazas, nombres de amenazas y categorías de amenazas.
Si aún no tienes una cuenta, créala en LiveCommunity de Palo Alto Networks.
Accede a Threat Vault de Palo Alto Networks con tu cuenta.
En Threat Vault, busca cualquiera de los siguientes valores según la información de la alerta de amenaza:
- Uno o más
CVE
del campocves
THREAT_ID
desde el campothreat_id
THREAT_NAME
desde el camponame
CATEGORY
desde el campocategory
- Uno o más
Verifica que el estado de la firma diga Released y no Disabled.
- Si está Inhabilitada, la firma ya no es válida y se inhabilita. Cuando IDS de Cloud se pone al día con las actualizaciones de Palo Alto Networks, la firma deja de generar alertas.
Si un archivo activó el hallazgo, sigue estos pasos:
- Busca los hashes asociados con la firma en el sitio web de VirusTotal para determinar si alguno es malicioso.
- Si se conoce el hash del archivo que activa la firma, compáralo con los de Threat Vault. Si no coinciden, es una colisión de firma, lo que significa que el archivo y la muestra maliciosa podrían contener los mismos valores de bytes en los mismos desplazamientos de bytes. Si coinciden y el archivo no es malicioso, se trata de un falso positivo, y puedes ignorar la alerta de amenaza.
Si una amenaza de comando y control o de DNS activó el hallazgo, sigue estos pasos:
- Identifica el dominio de destino que activó la firma en las comunicaciones salientes desde un extremo.
- Investiga la reputación de los dominios y las direcciones IP involucradas para desarrollar una amplia comprensión del nivel de amenaza potencial.
Si el tráfico tiene un impacto en el negocio y estás convencido de que no es malicioso, o si estás dispuesto a aceptar el riesgo, puedes agregar excepciones de amenazas a tu extremo del IDS de Cloud para inhabilitar el ID de amenaza.
Implementa una regla de Google Cloud Armor o una regla de Cloud NGFW para bloquear el tráfico malicioso mediante las direcciones IP de origen y destino de la conexión en el resultado.