调查威胁提醒

本页面详细介绍了如何调查 Cloud IDS 生成的威胁提醒。

查看提醒详情

您可以在提醒日志中查看以下 JSON 字段:

  • threat_id - 唯一的 Palo Alto Networks 威胁标识符。
  • name - 威胁名称。
  • alert_severity - 威胁的严重程度。INFORMATIONALLOWMEDIUMHIGHCRITICAL 之一。
  • type - 威胁类型。
  • category - 威胁的子类型。
  • alert_time - 发现威胁的时间。
  • network - 发现威胁的客户网络。
  • source_ip_address - 可疑流量的来源 IP 地址。使用Google Cloud 负载均衡器时,真实客户端 IP 地址不可用,此地址是负载均衡器的 IP 地址。
  • destination_ip_address - 可疑流量的目标 IP 地址。
  • source_port - 可疑流量的来源端口。
  • destination_port - 可疑流量的目标端口。
  • ip_protocol - 可疑流量的 IP 协议。
  • application - 可疑流量的应用类型,例如 SSH。
  • direction - 可疑流量的方向(从客户端到服务器或从服务器到客户端)。
  • session_id - 应用于每个会话的内部数字标识符。
  • repeat_count - 在 5 秒内出现相同来源 IP、目标 IP、应用和类型的会话数。
  • uri_or_filename - 相关威胁的 URI 或文件名(如果适用)。
  • cves - 与威胁关联的 CVE 的列表
  • details - 有关威胁类型的其他信息,获取自 Palo Alto Networks 的 ThreatVault。

搜索 Palo Alto Networks 威胁库

请按照以下说明搜索常见漏洞和披露 (CVE)、威胁 ID、威胁名称和威胁类别。

  1. 如果您还没有账号,请在 Palo Alto Networks 的 LiveCommunity 上创建一个账号。

  2. 使用您的账号访问 Palo Alto Networks 威胁库

  3. 在 Threat Vault 中,根据威胁提醒中的信息搜索以下任意值:

    • cves 字段中的一个或多个 CVE
    • threat_id 字段中的 THREAT_ID
    • name 字段中的 THREAT_NAME
    • category 字段中的 CATEGORY

  4. 验证签名状态是否为已发布,而不是已停用

    1. 如果为已停用,则表示签名不再有效,并且处于停用状态。在 Cloud IDS 同步了 Palo Alto Networks 的更新后,相应签名会停止生成提醒。

  5. 如果某个文件触发了发现结果,请执行以下步骤:

    1. 在 VirusTotal 网站上搜索与签名关联的哈希,以确定其中是否有恶意哈希。
    2. 如果已知触发签名的文件的哈希值,请将其与 Threat Vault 中的哈希值进行比较。如果不匹配,则表示存在签名冲突,这意味着该文件和恶意样本可能在相同的字节偏移量中包含相同的字节值。如果它们一致,并且文件并非恶意文件,则表示这是误报,您可以忽略相应威胁提醒。

  6. 如果命令和控制威胁或 DNS 威胁触发了发现结果,请执行以下步骤:

    1. 确定触发了端点出站通信签名的目标网域。
    2. 调查所涉及网域和 IP 地址的声誉,以便大致了解潜在的威胁级别。

  7. 如果流量对业务有较大影响,并且您确信流量不是恶意流量,或者您愿意承担一定风险,则可以向 Cloud IDS 端点添加威胁例外情况,以豁免相应威胁 ID。

  8. 实现 Cloud Armor 规则Cloud NGFW 规则,以阻止使用发现结果中的连接来源和目标 IP 地址的恶意流量。