Cette page fournit des informations détaillées sur l'examen des alertes générées par Cloud IDS.
Examiner les détails de l'alerte
Vous pouvez examiner les champs JSON suivants dans le journal des alertes :
threat_id: identifiant de menace unique de Palo Alto Networks.name: nom de la menace.alert_severity: gravité de la menace, à savoirINFORMATIONAL,LOW,MEDIUM,HIGHouCRITICAL.type: type de menace.category: sous-type de menace.alert_time: heure à laquelle la menace a été découverte.network: réseau client dans lequel la menace a été découverte.source_ip_address: adresse IP source du trafic suspecté. Lorsque vous utilisez unGoogle Cloud équilibreur de charge, la véritable adresse IP du client n'est pas disponible. Il s'agit en fait de l'adresse IP de votre équilibreur de charge.destination_ip_address: adresse IP de destination du trafic suspecté.source_port: port source du trafic suspecté.destination_port: port de destination du trafic suspecté.ip_protocol: protocole IP du trafic suspecté.application: type d'application du trafic suspecté (par exemple, SSH).direction: direction du trafic suspecté (du client vers le serveur ou du serveur vers le client).session_id: identifiant numérique interne appliqué à chaque session.repeat_count: nombre de sessions présentant la même adresse IP source, la même adresse IP de destination, la même application et le même type dans un intervalle de cinq secondes.uri_or_filename: URI ou nom de fichier de la menace concernée (le cas échéant).cves: liste des CVE associées à la menacedetails: informations supplémentaires sur le type de menace, issues de ThreatVault de Palo Alto Networks.
Consulter le Threat Vault de Palo Alto Networks
Suivez les instructions ci-dessous pour rechercher des failles et risques courants (CVE), des ID de menaces, des noms de menaces et des catégories de menaces.
Si vous n'avez pas encore de compte, créez-en un sur la page LiveCommunity de Palo Alto Networks.
Depuis votre compte, accédez au Threat Vault de Palo Alto Networks.
Dans le Threat Vault, recherchez une ou plusieurs des valeurs suivantes, selon les informations contenues dans votre alerte de menace :
- Un ou plusieurs
CVEdu champcves THREAT_IDdu champthreat_idTHREAT_NAMEdu champnameCATEGORYdu champcategory
- Un ou plusieurs
Vérifiez que l'état de la signature est Released (Publiée) et non Disabled (Désactivée).
- Si l'état est Disabled (Désactivée), la signature n'est plus valide et est alors désactivée. Lorsque Cloud IDS récupère les mises à jour de Palo Alto Networks, la signature cesse de générer des alertes.
Si un fichier a déclenché le résultat, procédez comme suit :
- Sur le site Web VirusTotal, recherchez les hachages associés à la signature pour déterminer s'ils sont malveillants.
- Si le hachage du fichier déclenchant la signature est connu, comparez-le aux hachages dans Threat Vault. S'ils ne correspondent pas, il s'agit d'une collision de signature. Cela signifie que le fichier et l'échantillon malveillant peuvent contenir les mêmes valeurs d'octet dans les mêmes décalages d'octet. Si les hachages correspondent et que le fichier n'est pas malveillant, il s'agit alors d'un faux positif et vous pouvez ignorer l'alerte de menace.
Si une menace de type "commande et contrôle" ou DNS a déclenché le résultat, procédez comme suit :
- Identifiez le domaine de destination qui a déclenché la signature sur les communications sortantes d'un point de terminaison.
- Étudiez la réputation des domaines et des adresses IP concernés pour mieux comprendre le niveau de menace potentiel.
Si le trafic a un impact sur votre activité et que vous êtes convaincu qu'il ne s'agit pas d'un trafic malveillant, ou si vous êtes prêt à accepter le risque posé, vous pouvez ajouter des exceptions à la menace à votre point de terminaison Cloud IDS afin de désactiver l'ID de menace.
Implémentez une règle Cloud Armor ou une règle Cloud NGFW pour bloquer le trafic malveillant à l'aide des adresses IP source et de destination de la connexion dans le résultat.