Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.
Visão geral
As descobertas do Cloud IDS são geradas pelo Cloud IDS, que é um serviço de segurança que monitora o tráfego de entrada e saída dos recursos doGoogle Cloud em busca de ameaças. Quando o Cloud IDS detecta uma ameaça, ele envia informações sobre ela, como endereço IP de origem, endereço de destino e número da porta, para a detecção de ameaças a eventos, que gera uma descoberta de ameaça.
Como responder
Para responder a essa descoberta, faça o seguinte:
Etapa 1: verificar os detalhes da descoberta
Abra a descoberta
Cloud IDS: THREAT_ID, conforme instruído em Como verificar descobertas.Nos detalhes da descoberta, na guia Resumo, revise os valores listados nas seguintes seções:
- O que foi detectado, especialmente os seguintes campos:
- Protocolo: o protocolo de rede usado
- Horário do evento: quando o evento ocorreu
- Descrição: mais informações sobre a descoberta
- Gravidade: gravidade do alerta
- IP de destino: o IP de destino do tráfego de rede
- Porta de destino: a porta de destino do tráfego de rede
- IP de origem: o IP de origem do tráfego de rede
- Porta de origem: a porta de origem do tráfego de rede
- Recurso afetado, especialmente os seguintes campos:
- Nome completo do recurso: o projeto que contém a rede com a ameaça
- Links relacionados, principalmente os seguintes campos:
- URI do Cloud Logging: link para entradas do Cloud IDS Logging. Essas entradas têm as informações necessárias para pesquisar o Armazenamento de ameaças da Palo Alto Networks
- Detecção de serviço
- Categoria da descoberta: o nome da ameaça do Cloud IDS
- O que foi detectado, especialmente os seguintes campos:
Para ver o JSON completo da descoberta, clique na guia JSON.
Etapa 2: procurar métodos de ataque e resposta
Depois de analisar os detalhes da descoberta, consulte a documentação do Cloud IDS sobre como investigar alertas de ameaças para determinar uma resposta apropriada.
Para mais informações sobre o evento detectado na entrada de registro original, clique no link no campo URI do Cloud Logging nos detalhes da descoberta.
A seguir
- Saiba como trabalhar com descobertas de ameaças no Security Command Center.
- Consulte o índice de descobertas de ameaças.
- Saiba como analisar uma descoberta no console Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.