本頁面詳細說明如何調查 Cloud IDS 產生的威脅快訊。
查看快訊詳細資料
可以在快訊記錄查看下列 JSON 欄位:
threat_id- 唯一的 Palo Alto Networks 威脅 ID。name- 威脅名稱。alert_severity- 威脅嚴重程度。INFORMATIONAL、LOW、MEDIUM、HIGH或CRITICAL其中之一。type- 威脅類型。category- 威脅的子類型。alert_time- 發現威脅的時間。network- 發現威脅的客戶網路。source_ip_address- 可疑流量的來源 IP 位址。使用Google Cloud 負載平衡器時,系統不會提供真正的用戶端 IP 位址,而是提供負載平衡器的 IP 位址。destination_ip_address- 可疑流量的目的地 IP 位址。source_port- 可疑流量的來源通訊埠。destination_port- 可疑流量的目標通訊埠。ip_protocol- 可疑流量的 IP 通訊協定。application- 可疑流量的應用程式類型,例如 SSH。direction- 可疑流量的方向 (用戶端到伺服器或伺服器到用戶端)。session_id- 適用於每個工作階段的內部數值 ID。repeat_count- 在 5 秒內顯示有相同來源 IP、目的地 IP、應用程式和類型的工作階段數。uri_or_filename- 相關威脅的 URI 或檔案名稱 (如適用)。cves- 與威脅相關聯的 CVE 清單details- 威脅類型的其他資訊,取自 Palo Alto Networks 的 ThreatVault。
搜尋 Palo Alto Networks Threat Vault
請按照下列操作說明,搜尋常見的安全漏洞與弱點 (CVE)、威脅 ID、威脅名稱和威脅類別。
如果沒有帳戶,請在 Palo Alto Networks 的 LiveCommunity 建立帳戶。
使用您的帳戶存取 Palo Alto Networks Threat Vault。
在 Threat Vault 中,根據威脅快訊中的資訊搜尋下列任一值:
- 「
cves」欄位中的一或多個CVE - 「
threat_id」欄位中的THREAT_ID - 「
name」欄位中的THREAT_NAME - 「
category」欄位中的CATEGORY
- 「
驗證簽章狀態為「已發布」,而非「已停用」。
- 如果為「已停用」,簽章就會失效並停用。Cloud IDS 推出 Palo Alto Networks 的更新後,簽章就會停止產生快訊。
如果檔案已觸發此發現項目,請按照下列步驟執行:
- 在 VirusTotal 網站搜尋與簽章相關聯的雜湊,判斷是否有任何雜湊為惡意。
- 如果已知觸發簽章的檔案雜湊,請將其與 Threat Vault 中的雜湊比對。如果兩者不相符,就是發生簽章衝突,表示檔案和惡意樣本可能在相同的位元組偏移中包含相同的位元組值。如果兩者相符且檔案並非惡意,則為誤判,您可以忽略威脅警告。
如果發現項目是由指令與控制或 DNS 威脅所觸發,請執行下列步驟:
- 找出觸發端點傳出通訊簽章的目的地網域。
- 調查相關網域和 IP 位址的信譽,全面瞭解潛在威脅程度。
如果流量對業務造成影響,但您確信流量並非惡意,或願意承擔風險,可以在 Cloud IDS 端點新增威脅例外狀況,停用威脅 ID。
導入 Cloud Armor 規則或 Cloud NGFW 規則,使用發現項目中的連線來源和目的地 IP 位址,封鎖惡意流量。