Deteções de ameaças do Cloud IDS

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

As conclusões do Cloud IDS são geradas pelo Cloud IDS, que é um serviço de segurança que monitoriza o tráfego de e para os seus Google Cloud recursos em busca de ameaças. Quando o Cloud IDS deteta uma ameaça, envia informações sobre a ameaça, como o endereço IP de origem, o endereço de destino e o número da porta, para a Deteção de ameaças de eventos, que gera uma descoberta de ameaça.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra a deteção Cloud IDS: THREAT_ID, conforme indicado em Rever deteções.

2. Nos detalhes da descoberta, no separador Resumo, reveja os valores indicados nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:
     • Protocolo: o protocolo de rede usado
     • Hora do evento: quando o evento ocorreu
     • Descrição: mais informações sobre a descoberta
     • Gravidade: qual a gravidade do alerta
     • IP de destino: o IP de destino do tráfego de rede
     • Porta de destino: a porta de destino do tráfego de rede
     • IP de origem: o IP de origem do tráfego de rede
     • Porta de origem: a porta de origem do tráfego de rede
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o projeto que contém a rede com a ameaça
   • Links relacionados, especialmente os seguintes campos:
     • URI do Cloud Logging: link para entradas do Cloud IDS Logging. Estas entradas têm as informações necessárias para pesquisar o Threat Vault da Palo Alto Networks
   • Serviço de deteção
     • Categoria dos resultados O nome da ameaça do Cloud IDS

3. Para ver o JSON completo da descoberta, clique no separador JSON.

Passo 2: procure métodos de ataque e resposta

Depois de rever os detalhes da deteção, consulte a documentação do Cloud IDS sobre a investigação de alertas de ameaças para determinar uma resposta adequada.

Pode encontrar mais informações sobre o evento detetado na entrada do registo original clicando no link no campo URI do Cloud Logging nos detalhes da descoberta.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.