Esaminare gli avvisi di minacce

Questa pagina fornisce dettagli su come esaminare gli avvisi di minaccia generati da Cloud IDS.

Rivedi i dettagli dell'avviso

Puoi esaminare i seguenti campi JSON nel log degli avvisi:

• threat_id: identificatore univoco delle minacce di Palo Alto Networks.
• name: nome della minaccia.
• alert_severity: gravità della minaccia. Uno dei valori INFORMATIONAL, LOW, MEDIUM, HIGH o CRITICAL.
• type: tipo di minaccia.
• category: sottotipo della minaccia.
• alert_time - Ora in cui è stata scoperta la minaccia.
• network - Rete del cliente in cui è stata rilevata la minaccia.
• source_ip_address: indirizzo IP di origine del traffico sospetto. Quando utilizzi un bilanciatore del caricoGoogle Cloud , l'indirizzo IP client effettivo non è disponibile e questo indirizzo è l'indirizzo IP del bilanciatore del carico.
• destination_ip_address: indirizzo IP di destinazione del traffico sospetto.
• source_port - Porta di origine del traffico sospetto.
• destination_port: porta di destinazione del traffico sospetto.
• ip_protocol: protocollo IP del traffico sospetto.
• application: il tipo di applicazione del traffico sospetto, ad esempio SSH.
• direction: direzione del traffico sospetto (dal client al server o dal server al client).
• session_id: un identificatore numerico interno applicato a ogni sessione.
• repeat_count - Numero di sessioni con lo stesso IP di origine, IP di destinazione, applicazione e tipo visualizzati entro 5 secondi.
• uri_or_filename: URI o nome file della minaccia pertinente, se applicabile.
• cves: un elenco di CVE associati alla minaccia
• details: informazioni aggiuntive sul tipo di minaccia, tratte da ThreatVault di Palo Alto Networks.

Cercare nel Threat Vault di Palo Alto Networks

Segui le istruzioni riportate di seguito per cercare vulnerabilità ed esposizioni comuni (CVE), ID minaccia, nomi di minacce e categorie di minacce.

1. Se non ne hai già uno, crea un account su LiveCommunity di Palo Alto Networks.

2. Accedi a Threat Vault di Palo Alto Networks utilizzando il tuo account.

3. In Threat Vault, cerca uno dei seguenti valori in base alle informazioni dell'avviso di minaccia:

   • Uno o più CVE dal campo cves
   • THREAT_ID dal campo threat_id
   • THREAT_NAME dal campo name
   • CATEGORY dal campo category

4. Verifica che lo stato della firma sia Rilasciata e non Disattivata.

   1. Se è selezionata l'opzione Disattivato, la firma non è più valida ed è disattivata. Quando Cloud IDS recupera gli aggiornamenti di Palo Alto Networks, la firma smette di generare avvisi.

5. Se un file ha attivato il risultato, svolgi i seguenti passaggi:

   1. Cerca gli hash associati alla firma sul sito web VirusTotal per determinare se alcuni di essi sono dannosi.
   2. Se l'hash del file che attiva la firma è noto, confrontalo con quelli di Threat Vault. Se non corrispondono, si verifica una collisione di firma, il che significa che il file e il campione dannoso potrebbero contenere gli stessi valori di byte negli stessi offset di byte. Se corrispondono e il file non è dannoso, si tratta di un falso positivo e puoi ignorare l'avviso di minaccia.

6. Se il risultato è stato attivato da una minaccia di comando e controllo o DNS, segui questi passaggi:

   1. Identifica il dominio di destinazione che ha attivato la firma sulle comunicazioni in uscita da un endpoint.
   2. Esamina la reputazione dei domini e degli indirizzi IP coinvolti per sviluppare una comprensione generale del potenziale livello di minaccia.

7. Se il traffico ha un impatto sull'attività e sei convinto che non sia dannoso o se vuoi accettare il rischio, puoi aggiungere eccezioni alle minacce all'endpoint Cloud IDS per disattivare l'ID minaccia.

8. Implementa una regola Cloud Armor o una regola Cloud NGFW per bloccare il traffico dannoso utilizzando gli indirizzi IP di origine e di destinazione della connessione nel risultato.