La detección de amenazas basada en firmas es uno de los mecanismos más comunes para identificar comportamientos maliciosos y, por lo tanto, se usa ampliamente para evitar ataques de red. Las capacidades de detección de amenazas de Cloud Next Generation Firewall cuentan con las tecnologías de prevención de amenazas de Palo Alto Networks.
En esta sección, se enumeran las firmas de amenazas predeterminadas, los niveles de gravedad de amenazas compatibles y las excepciones de amenazas que proporciona Cloud NGFW en asociación con Palo Alto Networks.
Conjunto de firmas predeterminado
Cloud NGFW proporciona un conjunto predeterminado de firmas de amenazas que te ayudan a proteger las cargas de trabajo de la red contra las amenazas. Las firmas se usan para detectar vulnerabilidades y software espía. Para ver todas las firmas de amenazas configuradas en Cloud NGFW, ve a Almacenamiento de amenazas. Si aún no tienes una cuenta, regístrate para obtener una nueva.
Las firmas de detección de vulnerabilidades detectan intentos de explotar fallas del sistema, o bien obtener acceso no autorizado a los sistemas. Mientras que las firmas antiespía ayudan a identificar los hosts infectados cuando el tráfico sale de la red, las firmas de detección de vulnerabilidades protegen contra las amenazas que penetran en la red.
Por ejemplo, las firmas de detección de vulnerabilidades ayudan a proteger contra los desbordamientos de búfer, la ejecución de código ilegal y otros intentos de vulnerabilidades para el sistema. Las firmas predeterminadas de detección de vulnerabilidades proporcionan detección para los clientes y los servidores de todas las amenazas de gravedad crítica, alta y media, junto con cualquier amenaza de gravedad baja e informativa.
Las firmas anti software espía detectan el software espía en hosts vulnerados. Este software puede intentar comunicarse con servidores de control y comandos externos (C2).
Las firmas de antivirus detectan virus y software malicioso que se encuentran en ejecutables y tipos de archivos.
Cada firma de amenaza también tiene una acción predeterminada asociada. Puedes usar perfiles de seguridad para anular las acciones de estas firmas y hacer referencia a estos perfiles como parte de un grupo de perfiles de seguridad en una regla de política de firewall. Si se detecta alguna firma de amenaza configurada en el tráfico interceptado, el extremo de firewall realiza la acción correspondiente especificada en el perfil de seguridad en los paquetes coincidentes.
Niveles de gravedad de amenazas
La gravedad de una firma de amenaza indica el riesgo del evento detectado, y Cloud NGFW genera alertas para el tráfico coincidente. En la siguiente tabla, se resumen los niveles de gravedad de las amenazas.
| Gravedad | Descripción |
|---|---|
| Crítico | Las amenazas graves provocan un compromiso raíz de los servidores. Por ejemplo, las amenazas que afectan las instalaciones predeterminadas de software ampliamente implementado y en las que el código de explotación está ampliamente disponible para los atacantes. Por lo general, el atacante no necesita ninguna credencial de autenticación especial ni conocimiento de las víctimas individuales, y no es necesario manipular el destino para realizar funciones especiales. |
| Alta | Amenazas que tienen la capacidad de ser esenciales, pero hay factores de mitigación. Por ejemplo, podrían ser difíciles de explotar, no dar como resultado privilegios elevados o no tener un grupo grande de víctimas. |
| Media | Amenazas menores en las que se minimiza el impacto y que no comprometen el objetivo, o vulnerabilidades que requieren que un atacante resida en la misma red local que la víctima. Estos ataques solo afectan a las configuraciones no estándar o a las aplicaciones ocultas, o proporcionan un acceso muy limitado. |
| Baja | Amenazas a nivel de advertencia que tienen muy poco impacto en la infraestructura de una organización. Por lo general, esas amenazas requieren acceso local o físico al sistema y, a menudo, pueden generar problemas de privacidad de las víctimas y filtraciones de información. |
| Informativo | Eventos sospechosos que no representan una amenaza inmediata, pero que se informan para indicar problemas más profundos que podrían existir. |
Excepciones de amenazas
Si deseas suprimir o aumentar las alertas sobre IDs de firma de amenazas específicos, puedes usar perfiles de seguridad para anular las acciones predeterminadas asociadas con las amenazas. Puedes encontrar los IDs de firma de amenazas de las amenazas existentes que detecta Cloud NGFW en tus registros de amenazas.
Cloud NGFW proporciona visibilidad de las amenazas que se detectan en tu entorno. Para ver las amenazas detectadas en tu red, consulta Visualiza amenazas.
Antivirus
De forma predeterminada, Cloud NGFW genera una alerta cuando encuentra una amenaza de virus en el tráfico de red de cualquiera de sus protocolos compatibles. Puedes usar perfiles de seguridad para anular esta acción predeterminada y permitir o denegar el tráfico de red según el protocolo de red.
Protocolos admitidos
Cloud NGFW admite los siguientes protocolos para la detección de virus:
SMTPSMBPOP3IMAPHTTP2HTTPFTP
Acciones admitidas
Cloud NGFW admite las siguientes acciones antivirus para sus protocolos compatibles:
DEFAULT: Es el comportamiento predeterminado de la acción del antivirus de Palo Alto Networks.Si se encuentra una amenaza en el tráfico de los protocolos SMTP, IMAP o POP3, Cloud NGFW genera una alerta en los registros de amenazas. Si se detecta una amenaza en el tráfico de los protocolos FTP, HTTP o SMB, Cloud NGFW bloquea el tráfico. Para obtener más información, consulta la documentación de las acciones de Palo Alto Networks.
ALLOW: Permite el tráfico.DENY: Deniega el tráfico.ALERT: Genera una alerta en los registros de amenazas. Este es el comportamiento predeterminado de Cloud NGFW.
Prácticas recomendadas para usar las acciones del antivirus
Te recomendamos que configures las acciones del antivirus para rechazar todas las amenazas de virus. Usa la siguiente guía para determinar si rechazar el tráfico o generar una alerta:
- Para las aplicaciones fundamentales para la empresa, comienza con el conjunto de acciones del perfil de seguridad establecido en
alert. Este parámetro de configuración te permite supervisar y evaluar amenazas sin interrumpir el tráfico. Después de confirmar que el perfil de seguridad cumple con los requisitos de tu empresa y de seguridad, puedes cambiar la acción del perfil de seguridad adeny. - En el caso de las aplicaciones no críticas, establece la acción del perfil de seguridad en
deny. Es seguro bloquear el tráfico malicioso de inmediato para las aplicaciones no críticas.
Para configurar una alerta o rechazar el tráfico de red para todos los protocolos de red admitidos, usa los siguientes comandos:
Para configurar una acción de alerta sobre amenazas de antivirus para todos los protocolos compatibles, haz lo siguiente:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action ALERT \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_IDReemplaza lo siguiente:
NAME: es el nombre del perfil de seguridad. puedes especificar el nombre como una cadena o como un identificador de URL único.ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.Si usas un identificador de URL único para la marca
name, puedes omitir la marcaorganization.LOCATION: es la ubicación del perfil de seguridad.La ubicación siempre está configurada como
global. Si usas un identificador de URL único para la marcaname, puedes omitir la marcalocation.PROJECT_ID: Es el ID del proyecto que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad.
Para configurar una acción de rechazo en las amenazas de antivirus para todos los protocolos admitidos, haz lo siguiente:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action DENY \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_IDReemplaza lo siguiente:
NAME: es el nombre del perfil de seguridad. puedes especificar el nombre como una cadena o como un identificador de URL único.ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.Si usas un identificador de URL único para la marca
name, puedes omitir la marcaorganization.LOCATION: es la ubicación del perfil de seguridad.La ubicación siempre está configurada como
global. Si usas un identificador de URL único para la marcaname, puedes omitir la marcalocation.PROJECT_ID: Es el ID del proyecto que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad.
Para obtener más información sobre cómo configurar la anulación, consulta Agrega acciones de anulación en un perfil de seguridad de prevención de amenazas.
Frecuencia de actualización del contenido
Cloud NGFW actualiza de forma automática todas las firmas sin intervención del usuario, lo que te permite enfocarte en analizar y resolver amenazas sin administrar o actualizar firmas.
Cloud NGFW recoge las actualizaciones de Palo Alto Networks y se envían a todos los extremos de firewall existentes. Se estima que la latencia de actualización es de hasta 48 horas.
Ver registros
Varias características de Cloud NGFW generan alertas, que se envían al registro de amenazas. Para obtener más información sobre el registro, consulta Cloud Logging.
¿Qué sigue?
- Ver amenazas
- Descripción general del servicio de detección y prevención de intrusiones
- Configura el servicio de detección y prevención de intrusiones