threat_id: o identificador exclusivo de ameaças da Palo Alto Networks.
name: nome da ameaça.
alert_severity: gravidade da ameaça. Pode ser: INFORMATIONAL, LOW,
MEDIUM, HIGH ou CRITICAL.
type: tipo da ameaça.
category: subtipo da ameaça.
alert_time: hora em que a ameaça foi descoberta.
network: rede do cliente em que a ameaça foi descoberta.
source_ip_address: endereço IP de origem do tráfego suspeito. Quando você usa um
balanceador de carga doGoogle Cloud , o endereço IP real do cliente não fica
disponível. O endereço que você vê é do seu balanceador de carga.
destination_ip_address: endereço IP de destino do tráfego suspeito.
source_port: porta de origem do tráfego suspeito.
destination_port: porta de destino do tráfego suspeito.
ip_protocol: protocolo IP do tráfego suspeito.
application: tipo de aplicativo do tráfego suspeito, por exemplo, SSH.
direction: direção do tráfego suspeito (cliente para servidor ou
servidor para cliente).
session_id: um identificador numérico interno aplicado a cada sessão.
repeat_count: número de sessões com o mesmo IP de origem, IP de destino,
aplicativo e tipo vistos em 5 segundos.
uri_or_filename: o URI ou o nome de arquivo da ameaça relevante, se aplicável.
cves: uma lista de CVEs associadas à ameaça.
details: informações adicionais sobre o tipo de ameaça, extraídas do ThreatVault da Palo
Alto Networks.
Pesquisar o Threat Vault da Palo Alto Networks
Use as instruções a seguir para pesquisar vulnerabilidades e exposições comuns (CVEs) e
IDs, nomes e categorias de ameaças.
Você precisa criar uma conta na LiveCommunity da
Palo Alto Networks.
Acesse o Threat Vault da
Palo Alto Networks
usando sua conta.
No Threat Vault, pesquise qualquer um dos seguintes valores com base nas informações do
alerta de ameaças:
Um ou mais CVE do campo cves
THREAT_ID do campo threat_id
THREAT_NAME do campo name
CATEGORY do campo category
Verifique se o status da assinatura está como Liberada e não Desativada.
Se Desativada, a assinatura não é mais válida.
Quando o Cloud IDS recebe as atualizações da Palo Alto Networks, a assinatura para de gerar alertas.
Se um arquivo tiver acionado a descoberta, siga estas etapas:
Pesquise os hashes associados à assinatura no
site VirusTotal para determinar se algum deles é malicioso.
Se o hash do arquivo que acionou a assinatura for conhecido, compare-o com os
hashes no Threat Vault. Se eles não forem iguais, indica uma
colisão de assinatura,
o que significa que o arquivo e a amostra maliciosa podem conter os mesmos valores de bytes nos mesmos deslocamentos.
Se eles não forem iguais e o arquivo não for malicioso, é um falso positivo, e você pode ignorar o alerta de ameaça.
Se uma ameaça de comando e controle ou DNS tiver acionado a descoberta, siga estas etapas:
Identifique o domínio de destino que acionou a assinatura nas
comunicações de saída de um endpoint.
Verifique a reputação dos domínios e endereços IP envolvidos para ter uma
visão geral do nível de ameaça em potencial.
Se o tráfego tiver um impacto nos negócios e você tiver certeza de que ele não é
malicioso, ou se estiver disposto a aceitar o risco, adicione
Exceções de ameaças
ao endpoint do Cloud IDS para desativar o ID da ameaça.
Implemente uma regra do Cloud Armor ou uma
regra do Cloud NGFW para
bloquear o tráfego malicioso usando os endereços IP de origem e destino da conexão
na descoberta.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-29 UTC."],[[["\u003cp\u003eThis page outlines the process for investigating threat alerts generated by Cloud IDS, focusing on reviewing the details and taking action.\u003c/p\u003e\n"],["\u003cp\u003eAlert details include fields like \u003ccode\u003ethreat_id\u003c/code\u003e, \u003ccode\u003ename\u003c/code\u003e, \u003ccode\u003ealert_severity\u003c/code\u003e, \u003ccode\u003esource_ip_address\u003c/code\u003e, \u003ccode\u003edestination_ip_address\u003c/code\u003e, and many other identifiers in the JSON alert logs, providing comprehensive information on each threat.\u003c/p\u003e\n"],["\u003cp\u003eThe Palo Alto Networks Threat Vault can be searched using CVEs, threat IDs, threat names, or categories found in the alert logs to gain deeper insights into specific threats.\u003c/p\u003e\n"],["\u003cp\u003eFor file-based threats, the associated file hashes can be checked on VirusTotal and compared in the Threat Vault to determine if they are malicious or if it may be a signature collision or false positive.\u003c/p\u003e\n"],["\u003cp\u003eFor actionable results on traffic that is not considered malicious, there is the option to add Threat Exceptions in Cloud IDS or to block the traffic using Google Cloud Armor or Cloud NGFW rules.\u003c/p\u003e\n"]]],[],null,["# Investigate Threat Alerts\n\nThis page provides details about how to investigate the threat alerts that Cloud IDS\ngenerates.\n\nReview alert details\n--------------------\n\nYou can review the following JSON fields in the [alert log](/intrusion-detection-system/docs/logging):\n\n- `threat_id` - Unique Palo Alto Networks threat identifier.\n- `name` - Threat name.\n- `alert_severity` - Severity of the threat. One of `INFORMATIONAL`, `LOW`, `MEDIUM`, `HIGH`, or `CRITICAL`.\n- `type` - Type of the threat.\n- `category` - Sub-type of the threat.\n- `alert_time` - Time when the threat was discovered.\n- `network` - Customer network in which the threat was discovered.\n- `source_ip_address` - Suspected traffic's source IP address. When you use a Google Cloud load balancer, the true client IP address is not available, and this address is the IP address of your load balancer.\n- `destination_ip_address` - Suspected traffic's destination IP address.\n- `source_port` - Suspected traffic's source port.\n- `destination_port` - Suspected traffic's destination port.\n- `ip_protocol` - Suspected traffic's IP protocol.\n- `application` - Suspected traffic's application type---for example, SSH.\n- `direction` - Suspected traffic's direction (client-to-server or server-to-client).\n- `session_id` - An internal numerical identifier applied to each session.\n- `repeat_count` - Number of sessions with the same source IP, destination IP, application, and type seen within 5 seconds.\n- `uri_or_filename` - URI or filename of the relevant threat, if applicable.\n- `cves` - a list of CVEs associated with the threat\n- `details` - Additional information about the type of threat, taken from Palo Alto Networks' ThreatVault.\n\nSearch the Palo Alto Networks Threat Vault\n------------------------------------------\n\nUse the following instructions to search for Common Vulnerabilities and Exposures (CVEs),\nthreat IDs, threat names, and threat categories.\n\n1. If you don't already have an account, create an account on Palo Alto Networks'\n [LiveCommunity](https://live.paloaltonetworks.com/).\n\n2. Access the Palo Alto Networks\n [Threat Vault](https://www.paloaltonetworks.com/blog/threat-vault/)\n using your account.\n\n3. In the Threat Vault, search for any of the following values based on information from\n your threat alert:\n\n - One or more \u003cvar translate=\"no\"\u003eCVE\u003c/var\u003e from the `cves` field\n - \u003cvar translate=\"no\"\u003eTHREAT_ID\u003c/var\u003e from the `threat_id` field\n - \u003cvar translate=\"no\"\u003eTHREAT_NAME\u003c/var\u003e from the `name` field\n - \u003cvar translate=\"no\"\u003eCATEGORY\u003c/var\u003e from the `category` field\n4. Verify that the signature status says **Released** and not **Disabled**.\n\n 1. If **Disabled**, the signature is no longer valid and is disabled. When Cloud IDS catches up on updates from Palo Alto Networks, the signature stops generating alerts.\n5. If a file triggered the finding, perform the following steps:\n\n 1. Search for the hashes that are associated with the signature on the VirusTotal website to determine whether any of them are malicious.\n 2. If the hash of the file triggering the signature is known, compare it to those in Threat Vault. If they don't match it's a [signature collision](https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3SCAS), which means that the file and the malicious sample might contain the same byte values in the same byte offsets. If they do match and the file isn't malicious, it's a false positive and you can disregard the threat alert..\n6. If a command-and-control or DNS threat triggered the finding, perform the following steps:\n\n 1. Identify the destination domain that triggered the signature on outbound communications from an endpoint.\n 2. Investigate the reputation of domains and IP addresses involved to develop a broad understanding of the potential threat level.\n7. If the traffic has a business impact and you are convinced that the traffic isn't\n malicious, or if you are willing to accept the risk, you can add\n [Threat Exceptions](/intrusion-detection-system/docs/configuring-ids#optional_configure_threat_exceptions)\n to your Cloud IDS endpoint to disable the threat ID, .\n\n8. Implement a [Cloud Armor rule](/armor/docs/rules-language-reference) or a\n [Cloud NGFW rule](/firewall/docs/firewall-policies-rule-details) to\n block the malicious traffic using the connection source and destination IP addresses\n in the finding."]]