本页详细介绍了如何调查 Cloud IDS 生成的威胁提醒。
查看提醒的详细信息
您可以在提醒日志中查看以下 JSON 字段:
threat_id- 唯一的 Palo Alto Networks 威胁标识符。name- 威胁名称。alert_severity- 威胁的严重程度。INFORMATIONAL、LOW、MEDIUM、HIGH或CRITICAL之一。type- 威胁类型。category- 威胁的子类型。alert_time- 发现威胁的时间。network- 发现威胁的客户网络。source_ip_address- 可疑流量的来源 IP 地址。使用Google Cloud 负载均衡器时,真实客户端 IP 地址不可用,此地址是负载均衡器的 IP 地址。destination_ip_address- 可疑流量的目标 IP 地址。source_port- 可疑流量的源端口。destination_port- 可疑流量的目标端口。ip_protocol- 可疑流量的 IP 协议。application- 可疑流量的应用类型,例如 SSH。direction- 可疑流量的方向(客户端到服务器或服务器到客户端)。session_id- 应用于每个会话的内部数字标识符。repeat_count- 在 5 秒内出现相同源 IP、目的地 IP、应用和类型的会话数。uri_or_filename- 相关威胁的 URI 或文件名(如果适用)。cves- 与威胁关联的 CVE 列表details- 有关威胁类型的其他信息,摘自 Palo Alto Networks 的 ThreatVault。
搜索 Palo Alto Networks Threat Vault
请按照以下说明搜索常见漏洞和披露 (CVE)、威胁 ID、威胁名称和威胁类别。
如果您还没有账号,请在 Palo Alto Networks LiveCommunity 上创建一个账号。
使用您的账号访问 Palo Alto Networks Threat Vault。
在 Threat Vault 中,根据威胁提醒中的信息搜索以下任意值:
cves字段中的一个或多个CVEthreat_id字段中的THREAT_IDname字段中的THREAT_NAMEcategory字段中的CATEGORY
验证签名状态是否为已发布,而不是已停用。
- 如果为已停用,则签名已失效并处于停用状态。当 Cloud IDS 赶上 Palo Alto Networks 的更新后,该签名便会停止生成提醒。
如果某个文件触发了发现结果,请执行以下步骤:
- 在 VirusTotal 网站上搜索与签名相关联的哈希值,以确定其中是否有恶意哈希值。
- 如果已知触发签名的文件的哈希值,请将其与 Threat Vault 中的哈希值进行比较。如果不匹配,则表示存在签名冲突,这意味着该文件和恶意样本可能在相同的字节偏移量中包含相同的字节值。如果它们一致,并且文件并非恶意文件,则表示这是误报,您可以忽略相应威胁提醒。
如果命令和控制或 DNS 威胁触发了该发现结果,请执行以下步骤:
- 确定触发从端点发出的出站通信签名的目标网域。
- 调查相关网域和 IP 地址的声誉,以便全面了解潜在威胁级别。
如果流量对业务有影响,并且您确信流量并非恶意流量,或者您愿意接受风险,则可以向 Cloud IDS 端点添加威胁例外情况,以停用威胁 ID。
实现 Google Cloud Armor 规则或 Cloud NGFW 规则,以使用发现中的连接源和目标 IP 地址阻止恶意流量。