Cloud IDS-Bedrohungserkennungen

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Cloud IDS-Ergebnisse werden von Cloud IDS generiert. Cloud IDS ist ein Sicherheitsdienst, der den Traffic zu und von IhrenGoogle Cloud -Ressourcen auf Bedrohungen überwacht. Wenn Cloud IDS eine Bedrohung erkennt, werden Informationen zur Bedrohung, z. B. die Quell-IP-Adresse, die Zieladresse und die Portnummer, an Event Threat Detection gesendet, das dann ein Bedrohungsergebnis generiert.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie das Cloud IDS: THREAT_ID-Ergebnis, wie unter Ergebnisse prüfen beschrieben.

2. Sehen Sie sich in den Ergebnisdetails auf dem Tab Zusammenfassung die aufgeführten Werte in den folgenden Abschnitten an:

   • Was wurde erkannt?, insbesondere die folgenden Felder:
     • Protokoll: Das verwendete Netzwerkprotokoll
     • Ereigniszeit: Zeitpunkt des Ereignisses
     • Beschreibung: Weitere Informationen zum Ergebnis
     • Schweregrad: Der Schweregrad der Benachrichtigung
     • Ziel-IP: Die Ziel-IP-Adresse des Netzwerkverkehrs
     • Zielport: Der Zielport des Netzwerkverkehrs
     • Quell-IP: Die Quell-IP-Adresse des Netzwerk-Traffics
     • Quellport: Der Quellport des Netzwerk-Traffics
   • Betroffene Ressource, insbesondere die folgenden Felder:
     • Vollständiger Ressourcenname: Das Projekt, das das Netzwerk mit der Bedrohung enthält
   • Weitere Informationen, insbesondere die folgenden Felder:
     • Cloud Logging-URI: Link zu Cloud IDS-Logging-Einträgen. Diese Einträge enthalten die erforderlichen Informationen, um in Threat Vault von Palo Alto Networks zu suchen.
   • Detection Service
     • Ergebniskategorie: Der Cloud IDS-Bedrohungsname

3. Klicken Sie auf den Tab JSON, um das vollständige JSON für das Ergebnis aufzurufen.

Schritt 2: Angriffs- und Reaktionsmethoden recherchieren

Nachdem Sie die Details des Ergebnisses geprüft haben, finden Sie in der Cloud IDS-Dokumentation zum Untersuchen von Bedrohungsbenachrichtigungen Informationen zur Bestimmung einer geeigneten Reaktion.

Weitere Informationen zum erkannten Ereignis finden Sie im ursprünglichen Logeintrag. Klicken Sie dazu in den Details des Findings auf den Link im Feld Cloud Logging-URI.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren