Investigar alertas de ameaças

Nesta página, fornecemos os detalhes sobre como investigar os alertas de ameaças gerados pelo Cloud IDS.

Analisar os detalhes do alerta

Você pode analisar os seguintes campos JSON no registro de alertas:

  • threat_id: o identificador exclusivo de ameaças da Palo Alto Networks.
  • name: nome da ameaça.
  • alert_severity: gravidade da ameaça. Pode ser: INFORMATIONAL, LOW, MEDIUM, HIGH ou CRITICAL.
  • type: tipo da ameaça.
  • category: subtipo da ameaça.
  • alert_time: hora em que a ameaça foi descoberta.
  • network: rede do cliente em que a ameaça foi descoberta.
  • source_ip_address: endereço IP de origem do tráfego suspeito. Quando você usa um balanceador de carga doGoogle Cloud , o endereço IP real do cliente não fica disponível. O endereço que você vê é do seu balanceador de carga.
  • destination_ip_address: endereço IP de destino do tráfego suspeito.
  • source_port: porta de origem do tráfego suspeito.
  • destination_port: porta de destino do tráfego suspeito.
  • ip_protocol: protocolo IP do tráfego suspeito.
  • application: tipo de aplicativo do tráfego suspeito, por exemplo, SSH.
  • direction: direção do tráfego suspeito (cliente para servidor ou servidor para cliente).
  • session_id: um identificador numérico interno aplicado a cada sessão.
  • repeat_count: número de sessões com o mesmo IP de origem, IP de destino, aplicativo e tipo vistos em 5 segundos.
  • uri_or_filename: o URI ou o nome de arquivo da ameaça relevante, se aplicável.
  • cves: uma lista de CVEs associadas à ameaça.
  • details: informações adicionais sobre o tipo de ameaça, extraídas do ThreatVault da Palo Alto Networks.

Pesquisar o Threat Vault da Palo Alto Networks

Use as instruções a seguir para pesquisar vulnerabilidades e exposições comuns (CVEs) e IDs, nomes e categorias de ameaças.

  1. Você precisa criar uma conta na LiveCommunity da Palo Alto Networks.

  2. Acesse o Threat Vault da Palo Alto Networks usando sua conta.

  3. No Threat Vault, pesquise qualquer um dos seguintes valores com base nas informações do alerta de ameaças:

    • Um ou mais CVE do campo cves
    • THREAT_ID do campo threat_id
    • THREAT_NAME do campo name
    • CATEGORY do campo category
  4. Verifique se o status da assinatura está como Liberada e não Desativada.

    1. Se Desativada, a assinatura não é mais válida. Quando o Cloud IDS recebe as atualizações da Palo Alto Networks, a assinatura para de gerar alertas.
  5. Se um arquivo tiver acionado a descoberta, siga estas etapas:

    1. Pesquise os hashes associados à assinatura no site VirusTotal para determinar se algum deles é malicioso.
    2. Se o hash do arquivo que acionou a assinatura for conhecido, compare-o com os hashes no Threat Vault. Se eles não forem iguais, indica uma colisão de assinatura, o que significa que o arquivo e a amostra maliciosa podem conter os mesmos valores de bytes nos mesmos deslocamentos. Se eles não forem iguais e o arquivo não for malicioso, é um falso positivo, e você pode ignorar o alerta de ameaça.
  6. Se uma ameaça de comando e controle ou DNS tiver acionado a descoberta, siga estas etapas:

    1. Identifique o domínio de destino que acionou a assinatura nas comunicações de saída de um endpoint.
    2. Verifique a reputação dos domínios e endereços IP envolvidos para ter uma visão geral do nível de ameaça em potencial.
  7. Se o tráfego tiver um impacto nos negócios e você tiver certeza de que ele não é malicioso, ou se estiver disposto a aceitar o risco, adicione Exceções de ameaças ao endpoint do Cloud IDS para desativar o ID da ameaça.

  8. Implemente uma regra do Cloud Armor ou uma regra do Cloud NGFW para bloquear o tráfego malicioso usando os endereços IP de origem e destino da conexão na descoberta.