Diese Seite wurde von der Cloud Translation API übersetzt.

Bedrohungssignaturen

Die signaturbasierte Bedrohungserkennung ist eine der am häufigsten verwendeten Methoden zur Identifizierung von böswilligem Verhalten. Sie wird daher häufig genutzt, um Netzwerkangriffe zu verhindern. Die Cloud Next Generation Firewall-Funktionen zur Bedrohungserkennung basieren auf den Technologien zur Bedrohungsvermeidung von Palo Alto Networks.

In diesem Abschnitt sind die standardmäßigen Bedrohungssignaturen, unterstützten Schweregrade und Bedrohungsausnahmen aufgeführt, die von Cloud NGFW in Zusammenarbeit mit Palo Alto Networks bereitgestellt werden.

Standardsignatursatz

Cloud NGFW bietet einen Standardsatz von Bedrohungssignaturen, mit denen Sie Ihre Netzwerkarbeitslasten vor Bedrohungen schützen können. Die Signaturen werden verwendet, um Sicherheitslücken und Spyware zu erkennen. Um sich alle in Cloud NGFW konfigurierten Bedrohungssignaturen anzusehen, rufen Sie den Threat Vault auf. Wenn Sie noch kein Konto haben, registrieren Sie sich für ein neues Konto.

Signaturen zur Sicherheitslückenerkennung erkennen Versuche, Systemfehler zu auszunutzen oder unbefugten Zugriff auf Systeme zu erlangen. Anti-Spyware-Signaturen helfen dabei, infizierte Hosts zu identifizieren, wenn der Traffic das Netzwerk verlässt. Mit Signaturen zur Sicherheitslückenerkennung sind sie vor Bedrohungen geschützt, die in das Netzwerk eindringen.

Signaturen zur Sicherheitslückenerkennung schützen beispielsweise vor Zwischenspeicherüberläufen, der illegalen Codeausführung und anderen Versuchen, die Systemsicherheitslücken auszunutzen. Die standardmäßigen Signaturen für die Sicherheitslückenerkennung bieten für Clients und Server die Erkennung aller bekannten Bedrohungen mit kritischem, hohem und mittlerem Schweregrad sowie von Bedrohungen mit niedrigem und Informationsschweregrad.
Anti-Spyware-Signaturen erkennen Spyware auf manipulierten Hosts. Solche Spyware versucht möglicherweise, externe C2-Server (Command-and-Control-Server) zu kontaktieren.
Antivirensignaturen erkennen Viren und Malware, die in ausführbaren Dateien und Dateitypen gefunden werden.

Jeder Bedrohungssignatur ist auch eine Standardaktion zugeordnet. Mit Sicherheitsprofilen können Sie die Aktionen für diese Signaturen überschreiben und in einer Firewallregel im Rahmen einer Sicherheitsprofilgruppe auf diese Profile verweisen. Wenn im abgefangenen Traffic eine konfigurierte Bedrohungssignatur erkannt wird, führt der Firewall-Endpunkt die entsprechende Aktion aus, die im Sicherheitsprofil für die übereinstimmenden Pakete angegeben ist.

Bedrohungsschweregrade

Der Schweregrad einer Bedrohungssignatur gibt das Risiko des erkannten Ereignisses an und Cloud NGFW generiert Benachrichtigungen für übereinstimmenden Traffic. In der folgenden Tabelle sind die Schweregrade der Bedrohungen zusammengefasst.

Schweregrad	Beschreibung
Kritisch	Ernsthafte Bedrohungen verursachen eine Root-Manipulation von Servern. Beispielsweise Bedrohungen, die die Standardinstallationen einer gängigen Software betreffen und bei denen Exploit-Code allgemein für Angreifer verfügbar ist. Der Angreifer benötigt in der Regel keine speziellen Authentifizierungsanmeldedaten oder Kenntnisse über die einzelnen Opfer. Das Ziel muss außerdem nicht so manipuliert werden, dass spezielle Funktionen ausgeführt werden.
Hoch	Bedrohungen, die kritisch werden können, bei denen es aber Möglichkeiten zur Risikominderung gibt. Sie können beispielsweise schwierig auszunutzen sein, führen nicht zu höheren Berechtigungen oder haben keine große Zahl potenzieller Opfer.
Mittel	Kleinere Bedrohungen, bei denen die Auswirkungen minimiert werden und das Ziel nicht manipuliert wird, oder Exploit, die erfordern, dass sich ein Angreifer im selben lokalen Netzwerk wie das Opfer befindet. Solche Angriffe betreffen nur nicht standardmäßige Konfigurationen oder ganz besondere Anwendungen oder ermöglichen nur einen eingeschränkten Zugriff.
Niedrig	Bedrohungen auf Warnungsebene, die nur sehr geringe Auswirkungen auf die Infrastruktur einer Organisation haben. Solche Bedrohungen erfordern in der Regel den Zugriff auf lokale oder physische Systeme und können häufig zu Datenschutzproblemen bei den Opfern und zu Informationslecks führen.
Informationell	Verdächtige Ereignisse, die keine unmittelbare Bedrohung darstellen, aber auf tiefergehende Probleme hinweisen können, die möglicherweise existieren.

Bedrohungsausnahmen

Wenn Sie Benachrichtigungen für bestimmte Bedrohungssignatur-IDs unterdrücken oder vermehrt erhalten möchten, können Sie Sicherheitsprofile verwenden, um die mit Bedrohungen verbundenen Standardaktionen zu überschreiben. Sie finden die Bedrohungssignatur-IDs vorhandener Bedrohungen, die von Cloud NGFW erkannt werden, in Ihren Bedrohungslogs.

Cloud NGFW bietet Einblick in Bedrohungen, die in Ihrer Umgebung erkannt werden. Informationen zu Bedrohungen, die in Ihrem Netzwerk erkannt wurden, finden Sie unter Bedrohungen ansehen.

Antivirus

Standardmäßig generiert Cloud NGFW eine Benachrichtigung, wenn eine Virusbedrohung im Netzwerktraffic eines der unterstützten Protokolle gefunden wird. Sie können Sicherheitsprofile verwenden, um diese Standardaktion zu überschreiben und den Netzwerkverkehr basierend auf dem Netzwerkprotokoll zuzulassen oder abzulehnen.

Unterstützte Protokolle

Cloud NGFW unterstützt die folgenden Protokolle für die Antivirenerkennung:

SMTP
SMB
POP3
IMAP
HTTP2
HTTP
FTP

Unterstützte Aktionen

Cloud NGFW unterstützt die folgenden Antivirenaktionen für die unterstützten Protokolle:

DEFAULT: Das Standardverhalten der Antivirus-Aktion von Palo Alto Networks.

Wenn eine Bedrohung im SMTP-, IMAP- oder POP3-Protokolltraffic gefunden wird, generiert Cloud NGFW eine Benachrichtigung in den Bedrohungslogs. Wenn eine Bedrohung im Traffic des FTP-, HTTP- oder SMB-Protokolls gefunden wird, blockiert Cloud NGFW den Traffic. Weitere Informationen finden Sie in der Dokumentation zu Palo Alto Networks-Aktionen.
ALLOW: Traffic zulassen.
DENY: den Traffic ablehnen.
ALERT: Eine Benachrichtigung in den Threat-Logs generieren. Dies ist das Standardverhalten von Cloud NGFW.

Best Practices für die Verwendung der Antivirenaktionen

Wir empfehlen, die Antivirenaktionen so zu konfigurieren, dass alle Virenbedrohungen abgewiesen werden. Anhand der folgenden Anleitung können Sie entscheiden, ob Sie den Traffic ablehnen oder eine Benachrichtigung generieren möchten:

Bei geschäftskritischen Anwendungen sollte die Aktionsgruppe des Sicherheitsprofils auf alert festgelegt werden. Mit dieser Einstellung können Sie Bedrohungen überwachen und bewerten, ohne den Traffic zu unterbrechen. Nachdem Sie bestätigt haben, dass das Sicherheitsprofil die Anforderungen Ihres Unternehmens und Ihre Sicherheitsanforderungen erfüllt, können Sie die Aktion des Sicherheitsprofils in deny ändern.
Legen Sie für nicht kritische Anwendungen die Aktion des Sicherheitsprofils auf deny fest. Bei nicht kritischen Anwendungen können Sie schädlichen Traffic sofort blockieren.

Verwenden Sie die folgenden Befehle, um eine Benachrichtigung einzurichten oder den Netzwerkverkehr für alle unterstützten Netzwerkprotokolle zu blockieren:

So richten Sie eine Benachrichtigungsaktion für Antivirus-Bedrohungen für alle unterstützten Protokolle ein:
```
gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action ALERT \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID
```
Ersetzen Sie Folgendes:
- NAME: Name des Sicherheitsprofils. Sie können den Namen als String oder als eindeutige URL-ID angeben.
- ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil erstellt wird.
  
  Wenn Sie eine eindeutige URL-ID für das Flag name verwenden, können Sie das Flag organization weglassen.
- LOCATION: der Standort des Sicherheitsprofils.
  
  Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für das Flag name verwenden, können Sie das Flag location weglassen.
- PROJECT_ID: die Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für das Sicherheitsprofil verwendet wird.
So richten Sie eine Ablehnungsaktion für Antivirenbedrohungen für alle unterstützten Protokolle ein:
```
gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action DENY \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID
```
Ersetzen Sie Folgendes:
- NAME: Name des Sicherheitsprofils. Sie können den Namen als String oder als eindeutige URL-ID angeben.
- ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil erstellt wird.
  
  Wenn Sie eine eindeutige URL-ID für das Flag name verwenden, können Sie das Flag organization weglassen.
- LOCATION: der Standort des Sicherheitsprofils.
  
  Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für das Flag name verwenden, können Sie das Flag location weglassen.
- PROJECT_ID: die Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für das Sicherheitsprofil verwendet wird.

Weitere Informationen zum Einrichten der Überschreibung finden Sie unter Überschreibungsaktionen in einem Sicherheitsprofil für die Bedrohungsprävention hinzufügen.

Häufigkeit von Inhaltsaktualisierungen

Cloud NGFW aktualisiert alle Signaturen automatisch ohne Nutzereingriff, sodass Sie sich auf die Analyse und Lösung von Bedrohungen konzentrieren können, ohne Signaturen verwalten oder aktualisieren zu müssen.

Updates von Palo Alto Networks werden von Cloud NGFW übernommen und an alle vorhandenen Firewall-Endpunkte übertragen. Die Updatelatenz beträgt geschätzt bis zu 48 Stunden.

Logs ansehen

Verschiedene Features von Cloud NGFW generieren Benachrichtigungen, die an das Bedrohungslog gesendet werden. Weitere Informationen zum Logging finden Sie unter Cloud Logging.

Bedrohungssignaturen Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.