このページでは、Cloud IDS によって生成される脅威アラートを調査する方法について説明します。
アラートの詳細を確認する
アラートログでは、次の JSON フィールドを確認できます。
threat_id- 一意の Palo Alto Networks 脅威識別子。name- 脅威の名前。alert_severity- 脅威の重大度。INFORMATIONAL、LOW、MEDIUM、HIGH、CRITICALのいずれかです。type- 脅威のタイプ。category- 脅威のサブタイプ。alert_time- 脅威が検出された時刻。network- 脅威が検出されたネットワーク。source_ip_address- 疑わしいトラフィックの送信元 IP アドレス。Google Cloud のロードバランサを使用する場合、クライアントの実際の IP アドレスは利用できないため、このアドレスはロードバランサの IP アドレスになります。destination_ip_address- 疑わしいトラフィックの宛先 IP アドレス。source_port- 疑わしいトラフィックの送信元ポート。destination_port- 疑わしいトラフィックの宛先ポート。ip_protocol- 疑わしいトラフィックの IP プロトコル。application- 疑わしいトラフィックのアプリケーションのタイプ(SSH など)。direction- 疑わしいトラフィックの方向(クライアントからサーバー、またはサーバーからクライアント)。session_id- 各セッションに適用される内部の数値 ID。repeat_count- 5 秒以内に確認された、送信元 IP、宛先 IP、アプリケーション、タイプが同じセッションの数。uri_or_filename- 関連する脅威の URI またはファイル名(該当する場合)。cves- 脅威に関連付けられた CVE のリスト。details- Palo Alto Networks の ThreatVault から取得した、脅威のタイプに関するその他の情報。
Palo Alto Networks Threat Vault を検索する
次の手順で、共通脆弱性識別子(CVE)、脅威 ID、脅威名、脅威カテゴリを検索します。
Palo Alto Networks の LiveCommunity アカウントをまだ持っていない場合は、作成してください。
このアカウントを使用して、Palo Alto Networks の Threat Vault にアクセスします。
Threat Vault で、脅威アラートの情報に基づいて次のいずれかの値を検索します。
cvesフィールドの 1 つ以上のCVEthreat_idフィールドのTHREAT_IDnameフィールドのTHREAT_NAMEcategoryフィールドのCATEGORY
署名のステータスが [リリース済み] であり、[無効] ではないことを確認します。
- [無効] の場合、署名は無効になります。Cloud IDS が Palo Alto Networks の更新に追いつくと、署名によるアラートの生成は停止されます。
ファイルにより検出結果がトリガーされた場合は、次のようにします。
- VirusTotal ウェブサイトで署名に関連付けられているハッシュを検索し、悪意のあるものかどうかを判断します。
- 署名をトリガーするファイルのハッシュがわかっている場合は、これを Threat Vault のハッシュと比較します。一致しない場合は、署名の競合が発生していると判断できます。つまり、ファイルと悪意のあるサンプルに、同じバイト オフセットの同じバイト値が含まれている場合があります。一致する場合でファイルが悪意のあるものではない場合は偽陽性のため、脅威アラートを無視できます。
コマンド&コントロールの脅威または DNS の脅威が検索に該当した場合は、次のように対処します。
- エンドポイントからのアウトバウンド通信で署名をトリガーした宛先ドメインを特定します。
- 潜在的な脅威レベルについて理解を深めるために、関与しているドメインと IP アドレスの評価を調査します。
ビジネスに影響があり悪意がないトラフィックであると判断した場合、またはリスクを受け入れても問題ない場合は、Cloud IDS エンドポイントに脅威の例外を追加することで脅威 ID を無効にできます。
Google Cloud Armor ルールまたは Cloud NGFW ルールを実装し、検出結果内の接続送信元と宛先 IP アドレスを使用して悪意のあるトラフィックをブロックします。