La détection des menaces basée sur les signatures est l'un des mécanismes les plus couramment utilisés pour identifier les comportements malveillants. Elle est donc largement utilisée pour prévenir les attaques réseau. Les fonctionnalités de détection des menaces de Cloud Next Generation Firewall sont basées sur les technologies de prévention des menaces de Palo Alto Networks.
Cette section présente la liste des signatures de menaces par défaut, des niveaux de gravité des menaces compatibles et des exceptions aux menaces fournies par Cloud NGFW en partenariat avec Palo Alto Networks.
Ensemble de signatures par défaut
Cloud NGFW fournit un ensemble de signatures de menaces par défaut qui vous aident à protéger vos charges de travail réseau contre les menaces. Les signatures sont utilisées pour détecter les failles et les logiciels espions. Pour afficher toutes les signatures de menaces configurées dans Cloud NGFW, accédez au coffre-fort de menace. Si vous ne possédez pas déjà un compte, créez-en un.
Les signatures de détection des failles détectent les tentatives d'exploitation des failles du système ou d'accès non autorisé aux systèmes. Alors que les signatures anti-espions permettent d'identifier les hôtes infectés lorsque le trafic quitte le réseau, les signatures de détection des failles protègent contre les menaces qui pénètrent le réseau.
Par exemple, les signatures de détection des failles permettent de vous protéger contre les dépassements de mémoire tampon, l'exécution illégale de code et d'autres tentatives d'exploitation des failles du système. Les signatures de détection des failles par défaut permettent de détecter, pour les clients et les serveurs, toutes les menaces connues de gravité critique, élevée et moyenne, ainsi que toutes les menaces de gravité faible et informationnelle.
Les signatures anti-espions détectent les logiciels espions sur les hôtes compromis. Ces logiciels espions peuvent tenter de contacter des serveurs de commande et de contrôle (C2) externes.
Les signatures antivirus détectent les virus et les logiciels malveillants trouvés dans les exécutables et les types de fichiers.
Chaque signature de menace est également associée à une action par défaut. Vous pouvez utiliser des profils de sécurité pour remplacer les actions liées à ces signatures et référencer ces profils au sein d'un groupe de profils de sécurité dans une règle de stratégie de pare-feu. Si une signature de menace configurée est détectée dans le trafic intercepté, le point de terminaison de pare-feu effectue l'action correspondante spécifiée dans le profil de sécurité sur les paquets correspondants.
Niveaux de gravité des menaces
La gravité d'une signature de menace indique le niveau de risque de l'événement détecté et Cloud NGFW génère des alertes pour le trafic correspondant. Le tableau suivant récapitule les niveaux de gravité des menaces.
| Gravité | Description |
|---|---|
| Critique | Les menaces graves entraînent une compromission des serveurs. Il peut s'agir, par exemple, de menaces qui affectent les installations par défaut de logiciels largement déployés et dont le code d'exploitation est largement accessible aux pirates informatiques. Le pirate n'a généralement pas besoin d'identifiants d'authentification particuliers ou de connaissances sur les victimes individuelles, et la cible n'a pas besoin d'être manipulée pour accomplir des fonctions particulières. |
| Élevée | Menaces qui ont la capacité de devenir critiques, mais qui présentent des facteurs atténuants. Par exemple, elles peuvent être difficiles à exploiter, ne pas donner lieu à une élévation des privilèges, ou ne pas toucher un grand nombre de victimes. |
| Moyenne | Menaces mineures dont l'impact est minimisé et qui ne compromettent pas la cible, ou exploits nécessitant qu'un pirate informatique réside sur le même réseau local que la victime Ces attaques n'affectent que les configurations non standard ou les applications méconnues, ou bien elles offrent un accès très limité. |
| Faible | Menaces de niveau "avertissement" qui ont très peu d'impact sur l'infrastructure d'une organisation. Ces menaces nécessitent généralement un accès local ou physique au système et peuvent souvent entraîner des problèmes de confidentialité pour les victimes et des fuites d'informations. |
| Informationnelle | Événements suspects qui ne constituent pas une menace immédiate, mais qui sont signalés pour indiquer des problèmes potentiels plus profonds. |
Exception(s) à la menace
Si vous souhaitez supprimer ou augmenter les alertes sur des ID de signature de menace spécifiques, vous pouvez utiliser les profils de sécurité pour remplacer les actions par défaut associées aux menaces. Vous pouvez trouver les ID de signature de menace des menaces existantes détectées par Cloud NGFW dans vos journaux de menaces.
Cloud NGFW permet de voir quelles sont les menaces détectées dans votre environnement. Pour afficher les menaces détectées dans votre réseau, consultez la section Afficher les menaces.
Antivirus
Par défaut, Cloud NGFW génère une alerte lorsqu'il détecte une menace virale dans le trafic réseau associé à l'un des protocoles qu'il prend en charge. Vous pouvez utiliser des profils de sécurité pour remplacer cette action par défaut et autoriser ou refuser le trafic réseau en fonction du protocole réseau.
Protocoles compatibles
Cloud NGFW est compatible avec les protocoles suivants pour la détection antivirus :
SMTPSMBPOP3IMAPHTTP2HTTPFTP
Action compatible
Cloud NGFW est compatible avec les actions antivirus suivantes pour les protocoles acceptés :
DEFAULT: comportement par défaut de l'action de l'antivirus Palo Alto Networks.Si une menace est détectée dans le trafic des protocoles SMTP, IMAP ou POP3, Cloud NGFW génère une alerte dans les journaux des menaces. Si une menace est détectée dans le trafic des protocoles FTP, HTTP ou SMB, Cloud NGFW bloque le trafic. Pour en savoir plus, consultez la documentation sur les actions Palo Alto Networks.
ALLOW: autoriser le trafic.DENY: refuser le trafic.ALERT: générer une alerte dans les journaux des menaces. Il s'agit du comportement par défaut de Cloud NGFW.
Bonnes pratiques pour utiliser les actions antivirus
Nous vous recommandons de configurer les actions antivirus pour refuser toutes les menaces virales. Suivez les instructions ci-dessous pour déterminer si vous devez refuser le trafic ou générer une alerte :
- Pour les applications critiques, commencez par définir l'ensemble d'actions du profil de sécurité sur
alert. Ce paramètre vous permet de surveiller et d'évaluer les menaces sans interrompre le trafic. Une fois que vous avez vérifié que le profil de sécurité répond aux exigences de votre entreprise et de sécurité, vous pouvez définir l'action du profil de sécurité surdeny. - Pour les applications non critiques, définissez l'action du profil de sécurité sur
deny. Vous pouvez bloquer le trafic malveillant pour les applications non critiques immédiatement.
Pour configurer une alerte ou refuser le trafic réseau pour tous les protocoles réseau compatibles, utilisez les commandes suivantes :
Pour configurer une action d'alerte sur les menaces antivirus pour tous les protocoles compatibles :
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action ALERT \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_IDRemplacez les éléments suivants :
NAME: nom du profil de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.ORGANIZATION_ID: organisation dans laquelle le profil de sécurité est créé.Si vous utilisez un identifiant d'URL unique pour l'option
name, vous pouvez omettre l'optionorganization.LOCATION: emplacement du profil de sécurité.L'emplacement est toujours défini sur
global. Si vous utilisez un identifiant d'URL unique pour l'optionname, vous pouvez omettre l'optionlocation.PROJECT_ID: ID de projet à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité.
Pour configurer une action de refus sur les menaces antivirus pour tous les protocoles compatibles :
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action DENY \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_IDRemplacez les éléments suivants :
NAME: nom du profil de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.ORGANIZATION_ID: organisation dans laquelle le profil de sécurité est créé.Si vous utilisez un identifiant d'URL unique pour l'option
name, vous pouvez omettre l'optionorganization.LOCATION: emplacement du profil de sécurité.L'emplacement est toujours défini sur
global. Si vous utilisez un identifiant d'URL unique pour l'optionname, vous pouvez omettre l'optionlocation.PROJECT_ID: ID de projet à utiliser pour les quotas et les restrictions d'accès sur le profil de sécurité.
Pour savoir comment configurer le remplacement, consultez Ajouter des actions de remplacement dans un profil de sécurité de prévention des menaces.
Fréquence de mise à jour des contenus
Cloud NGFW met automatiquement à jour toutes les signatures sans aucune intervention de l'utilisateur. Vous pouvez ainsi vous concentrer sur l'analyse et la résolution des menaces sans gérer ni mettre à jour les signatures.
Les mises à jour de Palo Alto Networks sont récupérées par Cloud NGFW et transmises à tous les points de terminaison de pare-feu existants. La latence de mise à jour est estimée à 48 heures maximum.
Afficher les journaux
Plusieurs fonctionnalités de Cloud NGFW génèrent des alertes, qui sont envoyées au journal des menaces. Pour en savoir plus sur la journalisation, consultez la section Cloud Logging.
Étapes suivantes
- Afficher les menaces
- Présentation du service de détection et de prévention des intrusions
- Configurer le service de détection et de prévention des intrusions