Bedrohungssignaturen

Zum Schutz Ihres Netzwerks vor böswilligen Angriffen verwendet die Cloud Next Generation Firewall signaturbasierte Technologien zur Bedrohungserkennung von Palo Alto Networks. Bei der signaturbasierten Bedrohungserkennung wird schädliches Verhalten erkannt, indem Netzwerkverkehr-Muster mit bekannten Bedrohungssignaturen abgeglichen werden.

In diesem Dokument erfahren Sie mehr über die Funktionen zur Bedrohungserkennung und wie sie Ressourcen in Ihrem VPC-Netzwerk (Virtual Private Cloud) schützen. Außerdem erfahren Sie, wie Sie mit Sicherheitsprofilen Standardaktionen überschreiben und Bedrohungsausnahmen sowie das Antivirenverhalten anpassen können.

Sie können die folgenden Funktionen zur Bedrohungserkennung konfigurieren und verwalten:

Standardsignatursatz

Cloud NGFW bietet einen Standardsatz von Bedrohungssignaturen, mit denen Sie Ihre Netzwerkarbeitslasten vor Bedrohungen schützen können. Die Signaturen werden verwendet, um Sicherheitslücken und Spyware zu erkennen. Um sich alle in Cloud NGFW konfigurierten Bedrohungssignaturen anzusehen, rufen Sie den Threat Vault auf. Wenn Sie noch kein Konto haben, registrieren Sie sich für ein neues Konto.

  • Signaturen zur Sicherheitslückenerkennung erkennen Versuche, Systemfehler zu auszunutzen oder unbefugten Zugriff auf Systeme zu erlangen. Anti-Spyware-Signaturen helfen dabei, infizierte Hosts zu identifizieren, wenn der Traffic das Netzwerk verlässt. Mit Signaturen zur Sicherheitslückenerkennung sind sie vor Bedrohungen geschützt, die in das Netzwerk eindringen.

    Signaturen zur Sicherheitslückenerkennung schützen beispielsweise vor Zwischenspeicherüberläufen, der illegalen Code-Ausführung und anderen Versuchen, die Systemsicherheitslücken auszunutzen. Die standardmäßigen Signaturen für die Sicherheitslückenerkennung bieten für Clients und Server die Erkennung aller bekannten Bedrohungen mit kritischem, hohem und mittlerem Schweregrad sowie von Bedrohungen mit niedrigem und Informationsschweregrad.

  • Anti-Spyware-Signaturen erkennen Spyware auf manipulierten Hosts. Solche Spyware versucht möglicherweise, externe C2-Server (Command-and-Control-Server) zu kontaktieren.

  • Antivirensignaturen erkennen Viren und Malware, die in ausführbaren Dateien und Dateitypen gefunden werden.

Jeder Bedrohungssignatur ist auch eine Standardaktion zugeordnet. Mit Sicherheitsprofilen können Sie die Aktionen für diese Signaturen überschreiben und in einer Firewallrichtlinienregel im Rahmen einer Sicherheitsprofilgruppe auf diese Profile verweisen. Wenn im abgefangenen Traffic eine konfigurierte Bedrohungssignatur erkannt wird, führt der Firewall-Endpunkt die entsprechende Aktion aus, die im Sicherheitsprofil für die übereinstimmenden Pakete angegeben ist.

Bedrohungsschweregrade

Der Schweregrad einer Bedrohungssignatur gibt das Risiko des erkannten Ereignisses an und Cloud NGFW generiert Benachrichtigungen für übereinstimmenden Traffic. In der folgenden Tabelle sind die Schweregrade der Bedrohungen zusammengefasst.

Schweregrad Beschreibung
Kritisch Ernsthafte Bedrohungen verursachen eine Root-Manipulation von Servern. Beispielsweise Bedrohungen, die die Standardinstallationen einer gängigen Software betreffen und bei denen Exploit-Code allgemein für Angreifer verfügbar ist. Der Angreifer benötigt in der Regel keine speziellen Authentifizierungsanmeldedaten oder Kenntnisse über die einzelnen Opfer. Das Ziel muss außerdem nicht so manipuliert werden, dass spezielle Funktionen ausgeführt werden.
Hoch Bedrohungen, die kritisch werden können, bei denen es aber Möglichkeiten zur Risikominderung gibt. Sie können beispielsweise schwierig auszunutzen sein, führen nicht zu höheren Berechtigungen oder haben keine große Zahl potenzieller Opfer.
Mittel Kleinere Bedrohungen, bei denen die Auswirkungen minimiert werden und das Ziel nicht manipuliert wird, oder Exploit, die erfordern, dass sich ein Angreifer im selben lokalen Netzwerk wie das Opfer befindet. Solche Angriffe betreffen nur nicht standardmäßige Konfigurationen oder ganz besondere Anwendungen oder ermöglichen nur einen eingeschränkten Zugriff.
Niedrig Bedrohungen auf Warnungsebene, die nur sehr geringe Auswirkungen auf die Infrastruktur einer Organisation haben. Solche Bedrohungen erfordern in der Regel den Zugriff auf lokale oder physische Systeme und können häufig zu Datenschutzproblemen bei den Opfern und zu Informationslecks führen.
Informationell Verdächtige Ereignisse, die keine unmittelbare Bedrohung darstellen, aber auf tiefergehende Probleme hinweisen können, die möglicherweise existieren.

Bedrohungsausnahmen

Wenn Sie Benachrichtigungen für bestimmte Bedrohungssignatur-IDs unterdrücken oder vermehrt erhalten möchten, können Sie Sicherheitsprofile verwenden, um die mit Bedrohungen verbundenen Standardaktionen zu überschreiben. Sie finden die Bedrohungssignatur-IDs vorhandener Bedrohungen, die von Cloud NGFW erkannt werden, in Ihren Bedrohungslogs.

Cloud NGFW bietet Einblick in Bedrohungen, die in Ihrer Umgebung erkannt werden. Informationen zu Bedrohungen, die in Ihrem Netzwerk erkannt wurden, finden Sie unter Bedrohungen ansehen.

Antivirus

Standardmäßig generiert Cloud NGFW eine Benachrichtigung, wenn eine Virusbedrohung im Netzwerkverkehr eines der unterstützten Protokolle gefunden wird. Mit Sicherheitsprofilen können Sie diese Standardaktion überschreiben und den Netzwerkverkehr basierend auf dem Netzwerkprotokoll zulassen oder ablehnen.

Unterstützte Protokolle

Cloud NGFW unterstützt die folgenden Protokolle für die Antivirus-Erkennung:

  • SMTP
  • SMB
  • POP3
  • IMAP
  • HTTP2
  • HTTP
  • FTP

Unterstützte Aktionen

Cloud NGFW unterstützt die folgenden Antivirus-Aktionen für die unterstützten Protokolle:

  • DEFAULT: Das Standardverhalten der Antivirus-Aktion von Palo Alto Networks.

    Wenn im Traffic des SMTP-, IMAP- oder POP3-Protokolls eine Bedrohung gefunden wird, generiert Cloud NGFW eine Benachrichtigung in den Bedrohungslogs. Wenn im Traffic des FTP-, HTTP- oder SMB-Protokolls eine Bedrohung gefunden wird, blockiert Cloud NGFW den Traffic. Weitere Informationen finden Sie in der Dokumentation zu den Aktionen von Palo Alto Networks.

  • ALLOW: Traffic zulassen.

  • DENY: Traffic ablehnen.

  • ALERT: Eine Benachrichtigung in den Bedrohungslogs generieren. Dies ist das Standardverhalten von Cloud NGFW.

Best Practices für die Verwendung der Antivirus-Aktionen

Wir empfehlen, die Antivirus-Aktionen so zu konfigurieren, dass alle Virusbedrohungen abgelehnt werden. Verwenden Sie die folgende Anleitung, um zu entscheiden, ob Sie den Traffic ablehnen oder eine Benachrichtigung generieren möchten:

  • Für geschäftskritische Anwendungen legen Sie die Aktion des Sicherheitsprofils zuerst auf alert fest. Mit dieser Einstellung können Sie Bedrohungen beobachten und bewerten, ohne den Traffic zu unterbrechen. Nachdem Sie bestätigt haben, dass das Sicherheitsprofil Ihren geschäftlichen und Sicherheitsanforderungen entspricht, können Sie die Aktion des Sicherheitsprofils in deny ändern.
  • Legen Sie für nicht kritische Anwendungen die Aktion des Sicherheitsprofils auf deny fest. Schädlicher Traffic für nicht kritische Anwendungen kann sofort blockiert werden.

Verwenden Sie die folgenden Befehle, um eine Benachrichtigung einzurichten oder den Netzwerkverkehr für alle unterstützten Netzwerkprotokolle abzulehnen:

  • So richten Sie eine Benachrichtigungsaktion für Antivirus-Bedrohungen für alle unterstützten Protokolle ein:

    gcloud network-security security-profiles threat-prevention add-override NAME \
        --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
        --action ALERT \
        --organization ORGANIZATION_ID \
        --location LOCATION \
        --project PROJECT_ID
    

    Ersetzen Sie Folgendes:

    • NAME: Name des Sicherheitsprofils. Sie können den Namen als String oder als eindeutige URL-ID angeben.

    • ORGANIZATION_ID: Die Organisation, in der das Sicherheitsprofil erstellt wird.

      Wenn Sie eine eindeutige URL-ID für das name Flag verwenden, können Sie das organization Flag weglassen.

    • LOCATION: Der Standort des Sicherheitsprofils.

      Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für das Flag name verwenden, können Sie das Flag location weglassen.

    • PROJECT_ID: Die Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für das Sicherheitsprofil verwendet werden soll.

  • So richten Sie eine Ablehnungsaktion für Antivirus-Bedrohungen für alle unterstützten Protokolle ein:

    gcloud network-security security-profiles threat-prevention add-override NAME \
        --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
        --action DENY \
        --organization ORGANIZATION_ID \
        --location LOCATION \
        --project PROJECT_ID
    

    Ersetzen Sie Folgendes:

    • NAME: Name des Sicherheitsprofils. Sie können den Namen als String oder als eindeutige URL-ID angeben.

    • ORGANIZATION_ID: Die Organisation, in der das Sicherheitsprofil erstellt wird.

      Wenn Sie eine eindeutige URL-ID für das name Flag verwenden, können Sie das organization Flag weglassen.

    • LOCATION: Der Standort des Sicherheitsprofils.

      Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für das Flag name verwenden, können Sie das Flag location weglassen.

    • PROJECT_ID: Die Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für das Sicherheitsprofil verwendet werden soll.

Weitere Informationen zum Einrichten der Überschreibung finden Sie unter Überschreibungsaktionen in einem Sicherheitsprofil zur Bedrohungsvermeidung hinzufügen.

Updatehäufigkeit von Inhalten

Cloud NGFW aktualisiert alle Signaturen automatisch ohne Nutzereingriff, sodass Sie sich auf die Analyse und Lösung von Bedrohungen konzentrieren können, ohne Signaturen verwalten oder aktualisieren zu müssen.

Updates von Palo Alto Networks werden von Cloud NGFW übernommen und an alle vorhandenen Firewall-Endpunkte übertragen. Die Updatelatenz beträgt geschätzt bis zu 48 Stunden.

Logs ansehen

Verschiedene Features von Cloud NGFW generieren Benachrichtigungen, die an das Bedrohungslog gesendet werden. Weitere Informationen zum Logging finden Sie unter Cloud Logging.

Nächste Schritte