Menginvestigasi Notifikasi Ancaman

Halaman ini memberikan detail tentang cara menyelidiki pemberitahuan ancaman yang dihasilkan Cloud IDS.

Meninjau detail pemberitahuan

Anda dapat meninjau kolom JSON berikut dalam log pemberitahuan:

• threat_id - ID ancaman Palo Alto Networks yang unik.
• name - Nama ancaman.
• alert_severity - Tingkat keparahan ancaman. Salah satu dari INFORMATIONAL, LOW, MEDIUM, HIGH, atau CRITICAL.
• type - Jenis ancaman.
• category - Subjenis ancaman.
• alert_time - Waktu saat ancaman ditemukan.
• network - Jaringan pelanggan tempat ancaman ditemukan.
• source_ip_address - Alamat IP sumber traffic yang dicurigai. Saat Anda menggunakan load balancerGoogle Cloud , alamat IP klien yang sebenarnya tidak tersedia, dan alamat ini adalah alamat IP load balancer Anda.
• destination_ip_address - Alamat IP tujuan traffic yang dicurigai.
• source_port - Port sumber traffic yang dicurigai.
• destination_port - Porta tujuan traffic yang dicurigai.
• ip_protocol - Protokol IP traffic yang dicurigai.
• application - Jenis aplikasi traffic yang dicurigai—misalnya, SSH.
• direction - Arah traffic yang dicurigai (klien-ke-server atau server-ke-klien).
• session_id - ID numerik internal yang diterapkan ke setiap sesi.
• repeat_count - Jumlah sesi dengan IP sumber, IP tujuan, aplikasi, dan jenis yang sama yang terlihat dalam waktu 5 detik.
• uri_or_filename - URI atau nama file ancaman yang relevan, jika ada.
• cves - daftar CVE yang terkait dengan ancaman
• details - Informasi tambahan tentang jenis ancaman, yang diambil dari ThreatVault Palo Alto Networks.

Menelusuri Threat Vault Palo Alto Networks

Gunakan petunjuk berikut untuk menelusuri Common Vulnerabilities and Exposures (CVE), ID ancaman, nama ancaman, dan kategori ancaman.

1. Jika Anda belum memilikinya, buat akun di LiveCommunity Palo Alto Networks.

2. Akses Threat Vault Palo Alto Networks menggunakan akun Anda.

3. Di Threat Vault, telusuri salah satu nilai berikut berdasarkan informasi dari notifikasi ancaman Anda:

   • Satu atau beberapa CVE dari kolom cves
   • THREAT_ID dari kolom threat_id
   • THREAT_NAME dari kolom name
   • CATEGORY dari kolom category

4. Pastikan status tanda tangan bertuliskan Dirilis, bukan Dinonaktifkan.

   1. Jika Dinonaktifkan, tanda tangan tidak lagi valid dan dinonaktifkan. Saat Cloud IDS menerima update dari Palo Alto Networks, tanda tangan tersebut berhenti menghasilkan pemberitahuan.

5. Jika file memicu temuan, lakukan langkah-langkah berikut:

   1. Telusuri hash yang terkait dengan tanda tangan di situs VirusTotal untuk menentukan apakah ada yang berbahaya.
   2. Jika hash file yang memicu tanda tangan diketahui, bandingkan dengan hash di Threat Vault. Jika tidak cocok, berarti terjadi bentrokan tanda tangan, yang berarti bahwa file dan sampel berbahaya mungkin berisi nilai byte yang sama pada offset byte yang sama. Jika cocok dan file tidak berbahaya, itu adalah positif palsu dan Anda dapat mengabaikan notifikasi ancaman.

6. Jika ancaman DNS atau command-and-control memicu temuan, lakukan langkah-langkah berikut:

   1. Mengidentifikasi domain tujuan yang memicu tanda tangan pada komunikasi keluar dari endpoint.
   2. Selidiki reputasi domain dan alamat IP yang terlibat untuk mengembangkan pemahaman yang luas tentang potensi tingkat ancaman.

7. Jika traffic berdampak pada bisnis dan Anda yakin bahwa traffic tersebut tidak berbahaya, atau jika Anda bersedia menerima risiko, Anda dapat menambahkan Pengecualian Ancaman ke endpoint Cloud IDS untuk menonaktifkan ID ancaman.

8. Terapkan aturan Cloud Armor atau aturan Cloud NGFW untuk memblokir traffic berbahaya menggunakan alamat IP sumber dan tujuan koneksi dalam temuan.