Nesta página, você verá detalhes sobre como investigar os alertas de ameaças gerados pelo Cloud IDS.
Analisar os detalhes do alerta
É possível analisar os seguintes campos JSON no registro de alertas:
threat_id
: identificador exclusivo de ameaças da Palo Alto Networks.name
: nome da ameaça.alert_severity
: gravidade da ameaça. SeráINFORMATIONAL
,LOW
,MEDIUM
,HIGH
ouCRITICAL
.type
: tipo de ameaça.category
: subtipo da ameaça.alert_time
: hora em que a ameaça foi descoberta.network
: rede do cliente em que a ameaça foi descoberta.source_ip_address
: endereço IP de origem do tráfego suspeito. Quando você usa um balanceador de carga do Google Cloud, o endereço IP verdadeiro do cliente não está disponível, e esse endereço é o endereço IP do balanceador de carga.destination_ip_address
: endereço IP de destino do tráfego suspeito.source_port
: porta de origem do tráfego suspeito.destination_port
: porta de destino suspeita de tráfego.ip_protocol
: protocolo IP do tráfego suspeito.application
: tipo de aplicativo do tráfego suspeito, por exemplo, SSH.direction
: direção do tráfego suspeito (cliente para servidor ou servidor para cliente).session_id
: um identificador numérico interno aplicado a cada sessão.repeat_count
: número de sessões com o mesmo IP de origem, IP de destino, aplicativo e tipo visto em cinco segundos.uri_or_filename
: URI ou nome de arquivo da ameaça relevante, se aplicável.cves
: uma lista de CVEs associadas à ameaçadetails
– Informações adicionais sobre o tipo de ameaça, extraídas do ThreatVault da Palo Alto Networks.
Pesquisar no Palo Alto Networks Threat Vault
Use as instruções a seguir para pesquisar vulnerabilidades e exposições comuns (CVEs, na sigla em inglês), IDs de ameaças, nomes e categorias de ameaça.
Se você ainda não tiver uma conta, crie uma no LiveCommunity da Palo Alto Networks.
Acesse o Threat Vault da Palo Alto Networks usando sua conta.
No Threat Vault, pesquise qualquer um dos seguintes valores com base nas informações do seu alerta de ameaças:
- Um ou mais
CVE
do campocves
THREAT_ID
do campothreat_id
THREAT_NAME
do camponame
CATEGORY
do campocategory
- Um ou mais
Verifique se o status da assinatura é Liberado, e não Desativado.
- Se Desativada, a assinatura não será mais válida e será desativada. Quando o Cloud IDS encontra as atualizações da Palo Alto Networks, a assinatura deixa de gerar alertas.
Se um arquivo acionou a descoberta, siga estas etapas:
- Pesquise os hashes associados à assinatura no site do VirusTotal para determinar se algum deles é malicioso.
- Se o hash do arquivo que aciona a assinatura for conhecido, compare-o com os do Vault de ameaças. Se eles não corresponderem, é uma colisão de assinaturas, o que significa que o arquivo e a amostra maliciosa podem conter os mesmos valores de byte nos mesmos deslocamentos de byte. Se forem iguais e o arquivo não for malicioso, é um falso positivo e você pode desconsiderar o alerta de ameaça.
Se uma ameaça de comando e controle ou DNS tiver acionado a descoberta, siga estas etapas:
- Identifique o domínio de destino que acionou a assinatura em comunicações de saída de um endpoint.
- Investigue a reputação dos domínios e endereços IP envolvidos para entender melhor o nível de ameaça em potencial.
Se o tráfego tiver um impacto nos negócios, e você estiver convencido de que o tráfego não é malicioso, ou se estiver disposto a aceitar o risco, adicione Exceções de ameaças ao endpoint do Cloud IDS para desativar o ID da ameaça.
Implemente uma regra do Google Cloud Armor ou uma regra NGFW do Cloud para bloquear o tráfego malicioso usando os endereços IP de origem e destino da conexão na descoberta.