En esta página, se proporcionan detalles para investigar las alertas de amenazas que genera IDS de Cloud.
Revisa los detalles de la alerta
Puedes revisar los siguientes campos JSON en el registro de alertas:
threat_id: Es el identificador único de amenazas de Palo Alto Networks.name: Es el nombre de la amenaza.alert_severity: Gravedad de la amenaza. Es uno de los siguientes:INFORMATIONAL,LOW,MEDIUM,HIGHoCRITICAL.type: Es el tipo de amenaza.category: Es el subtipo de la amenaza.alert_time: Es la fecha y hora en que se descubrió la amenaza.network: Es la red del cliente en la que se descubrió la amenaza.source_ip_address: Es la dirección IP de origen del tráfico sospechoso. Cuando usas un balanceador de cargasGoogle Cloud , la dirección IP real del cliente no está disponible, y esta dirección es la dirección IP de tu balanceador de cargas.destination_ip_address: Es la dirección IP de destino del tráfico sospechoso.source_port: Es el puerto de origen del tráfico sospechoso.destination_port: Es el puerto de destino del tráfico sospechoso.ip_protocol: Es el protocolo de IP del tráfico sospechoso.application: Es el tipo de aplicación del tráfico sospechoso, por ejemplo, SSH.direction: Dirección del tráfico sospechoso (del cliente al servidor o del servidor al cliente).session_id: Es un identificador numérico interno que se aplica a cada sesión.repeat_count: Cantidad de sesiones con la misma IP de origen, IP de destino, aplicación y tipo que se vieron en un lapso de 5 segundos.uri_or_filename: Es el URI o el nombre de archivo de la amenaza pertinente, si corresponde.cves: Es una lista de CVE asociadas con la amenaza.details: Es información adicional sobre el tipo de amenaza, extraída de ThreatVault de Palo Alto Networks.
Busca en Threat Vault de Palo Alto Networks
Sigue estas instrucciones para buscar vulnerabilidades y exposiciones comunes (CVE), IDs de amenazas, nombres de amenazas y categorías de amenazas.
Si aún no tienes una cuenta, crea una en la LiveCommunity de Palo Alto Networks.
Accede a Threat Vault de Palo Alto Networks con tu cuenta.
En Threat Vault, busca cualquiera de los siguientes valores según la información de tu alerta de amenazas:
- Uno o más
CVEdel campocves THREAT_IDdel campothreat_idTHREAT_NAMEdel camponameCATEGORYdel campocategory
- Uno o más
Verifica que el estado de la firma diga Lanzado y no Inhabilitado.
- Si se selecciona Inhabilitada, la firma ya no es válida y se inhabilita. Cuando el IDS de Cloud se pone al día con las actualizaciones de Palo Alto Networks, la firma deja de generar alertas.
Si un archivo activó el hallazgo, sigue estos pasos:
- Busca los hashes asociados a la firma en el sitio web de VirusTotal para determinar si alguno de ellos es malicioso.
- Si se conoce el hash del archivo que activó la firma, compárelo con los de Threat Vault. Si no coinciden, se trata de una colisión de firmas, lo que significa que el archivo y la muestra maliciosa podrían contener los mismos valores de bytes en los mismos desplazamientos de bytes. Si coinciden y el archivo no es malicioso, se trata de un falso positivo y puedes ignorar la alerta de amenaza.
Si una amenaza de comando y control o de DNS activó el hallazgo, sigue estos pasos:
- Identifica el dominio de destino que activó la firma en las comunicaciones salientes desde un extremo.
- Investiga la reputación de los dominios y las direcciones IP involucrados para comprender mejor el nivel de amenaza potencial.
Si el tráfico tiene un impacto en la empresa y tienes la certeza de que no es malicioso, o si deseas aceptar el riesgo, puedes agregar excepciones de amenazas a tu extremo de IDS de Cloud para inhabilitar el ID de amenaza.
Implementa una regla de Cloud Armor o una regla del NGFW de Cloud para bloquear el tráfico malicioso con las direcciones IP de origen y destino de la conexión que se indican en el hallazgo.