調查威脅警示

本頁面詳細說明如何調查 Cloud IDS 產生的威脅警報。

查看警告詳細資料

您可以在警示記錄中查看下列 JSON 欄位:

  • threat_id:Palo Alto Networks 的專屬威脅 ID。
  • name - 威脅名稱。
  • alert_severity - 威脅的嚴重程度。只能設為 INFORMATIONALLOWMEDIUMHIGHCRITICAL 其中之一。
  • type:威脅類型。
  • category:威脅的子類型。
  • alert_time - 發現威脅的時間。
  • network:發現威脅的客戶網路。
  • source_ip_address:可疑流量的來源 IP 位址。使用Google Cloud 負載平衡器時,系統無法取得真正的用戶端 IP 位址,而會顯示負載平衡器的 IP 位址。
  • destination_ip_address:可疑流量的目的地 IP 位址。
  • source_port - 可疑流量的來源通訊埠。
  • destination_port - 可疑流量的目的地通訊埠。
  • ip_protocol - 可疑流量的 IP 通訊協定。
  • application:可疑流量的應用程式類型,例如 SSH。
  • direction - 可疑流量的方向 (用戶端對伺服器或伺服器對用戶端)。
  • session_id:套用至每個工作階段的內部數字 ID。
  • repeat_count:在 5 秒內,具有相同來源 IP、目的地 IP、應用程式和類型的工作階段數量。
  • uri_or_filename:相關威脅的 URI 或檔案名稱 (如適用)。
  • cves - 與威脅相關的 CVE 清單
  • details:威脅類型的其他資訊,取自 Palo Alto Networks 的 ThreatVault。

搜尋 Palo Alto Networks Threat Vault

請按照下列操作說明搜尋常見安全漏洞與弱點 (CVE)、威脅 ID、威脅名稱和威脅類別。

  1. 如果您還沒有帳戶,請前往 Palo Alto Networks 的 LiveCommunity 建立帳戶。

  2. 使用您的帳戶存取 Palo Alto Networks Threat Vault

  3. 在威脅保管箱中,根據威脅快訊的資訊搜尋下列任一值:

    • cves 欄位的一或多個 CVE
    • threat_id 欄位的 THREAT_ID
    • name 欄位的 THREAT_NAME
    • category 欄位的 CATEGORY

  4. 確認簽章狀態是否顯示「已發布」,而不是「已停用」

    1. 如果為「停用」,則簽名已失效並遭到停用。當 Cloud IDS 追上 Palo Alto Networks 的更新時,特徵就會停止產生警示。

  5. 如果是檔案觸發了這項警告,請執行下列步驟:

    1. 在 VirusTotal 網站上搜尋與簽章相關聯的雜湊,判斷是否有任何雜湊含有惡意內容。
    2. 如果已知觸發簽章的檔案雜湊,請將其與 Threat Vault 中的雜湊進行比較。如果不相符,就表示發生簽章衝突,也就是說檔案和惡意樣本可能在相同的位元組偏移位置包含相同的位元組值。如果兩者資料相符,且檔案並非惡意程式,則為誤判,您可以忽略威脅警告。

  6. 如果這項警告是由指揮控制或 DNS 威脅觸發,請執行下列步驟:

    1. 找出在端點的傳出通訊中觸發簽章的目的網域。
    2. 調查相關網域和 IP 位址的聲譽,全面瞭解潛在的威脅等級。

  7. 如果流量會對業務造成影響,但您確信流量並非惡意,或您願意接受風險,可以為 Cloud IDS 端點新增威脅例外狀況,停用威脅 ID。

  8. 實作 Google Cloud Armor 規則Cloud NGFW 規則,以便封鎖使用檢測結果中連線來源和目的地 IP 位址的惡意流量。