Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על חתימות של איומים

כדי להגן על הרשת מפני מתקפות זדוניות, Cloud Next Generation Firewall משתמש בטכנולוגיות לזיהוי איומים שמבוססות על חתימות של Palo Alto Networks. זיהוי איומים מבוסס-חתימות מזהה התנהגות זדונית על ידי התאמה של דפוסי תעבורת רשת לחתימות ידועות של איומים.

במסמך הזה מוסבר על התכונות של זיהוי איומים ואיך הן מגנות על משאבים ברשת של הענן הווירטואלי הפרטי (VPC). בנוסף, נלמד איך להשתמש בפרופילי אבטחה כדי לבטל פעולות ברירת מחדל ולהתאים אישית חריגים לאיומים והתנהגות של אנטי וירוס.

אתם יכולים להגדיר ולנהל את התכונות הבאות לזיהוי איומים:

חתימות ברירת מחדל של איומים
רמות החומרה הנתמכות של איומים
החרגת איומים
Antivirus

הגדרת חתימה כברירת המחדל

‫Cloud NGFW כולל קבוצה של חתימות איומים שמוגדרות כברירת מחדל, ועוזרות לכם להגן על עומסי העבודה ברשת מפני איומים. החתימות משמשות לגילוי נקודות חולשה ורוגלות. כדי לראות את כל חתימות האיומים שהוגדרו ב-Cloud NGFW, עוברים אל מאגר האיומים. אם עדיין אין לכם חשבון, אתם צריכים להירשם ליצירת חשבון חדש.

החתימות לגילוי נקודות חולשה מזהות ניסיונות לנצל פגמים במערכת או להשיג גישה לא מורשית למערכות. לעומת החתימות לגילוי רוגלות, שעוזרות לזהות איומים שכבר נמצאים ברשת דרך תעבורת הנתונים היוצאת, החתימות לגילוי נקודות חולשה מגינות מאיומים שמנסים לחדור לרשת.

לדוגמה, החתימות האלה עוזרות להגן מפני עומסי יתר במאגר הנתונים הזמני, הרצות לא חוקיות של קוד וניסיונות אחרים לנצל נקודות חולשה במערכת. חתימות ברירת המחדל מאפשרות ללקוחות ולשרתים לזהות איומים בכל רמות החומרה הידועות: קריטיות, גבוהות ובינוניות, וגם איומים ברמות חומרה נמוכות וברמת מידע.
החתימות לגילוי רוגלות משמשות לזיהוי רוגלות במארחים שנפגעו. רוגלות כאלה עלולות לנסות ליצור קשר עם שרתי C2 (שליטה ובקרה) חיצוניים.
חתימות אנטי-וירוס מזהות וירוסים ותוכנות זדוניות שנמצאים בקובצי הפעלה ובסוגי קבצים.

לכל חתימת איום משויכת גם פעולת ברירת מחדל. אפשר להשתמש בפרופילי אבטחה כדי לשנות את הפעולות שמתבצעות לגבי החתימות האלה, ולהפנות לפרופילים האלה כחלק מקבוצת פרופילי אבטחה בכלל של מדיניות חומת האש. אם מזוהה חתימת איום שהוגדרה בתעבורה שיירטה, נקודת הקצה של חומת האש מבצעת את הפעולה התואמת שצוינה בפרופיל האבטחה על החבילות התואמות.

רמות החומרה של איומים

רמת החומרה של חתימת איום מציינת את מידת הסיכון באירוע שזוהה. Cloud NGFW יוצר התראות לגבי תעבורת הנתונים המתאימה. בטבלה הבאה מוסבר על רמות החומרה השונות של האיומים.

חוּמרה	תיאור
קריטית	איומים חמורים גורמים לפריצה לשרתים. לדוגמה, איומים שמשפיעים על התקנות ברירת מחדל של תוכנות שנפרסות בצורה רחבה, או איומים שמאפשרים לתוקפים לנצל את הקוד. בדרך כלל התוקף לא צריך פרטי כניסה מיוחדים או ידע על הקורבנות הספציפיים, והקורבן לא צריך לבצע פעולות מיוחדות.
גבוהה	איומים שיש להם פוטנציאל להפוך לקריטיים, אבל בגלל גורמים ממתנים הסיכון קטן יותר. לדוגמה, יכול להיות שקשה לנצל אותם, שהם לא גורמים להרחבת ההרשאות או שהם לא משפיעים על מספר גדול של קורבנות.
בינוני	איומים קלים שבהם ההשפעה ממוזערת ולא מסכנת את היעד, או ניצול שדורש מהתוקף להיות באותה רשת מקומית כמו הקורבן. התקפות כאלה משפיעות רק על הגדרות לא סטנדרטיות או על אפליקציות לא ברורות, או שהן מספקות גישה מוגבלת מאוד.
נמוכה	איומים שיש להם מעט מאוד השפעה על התשתית של הארגון, אבל עדיין כדאי להזהיר מפניהם. בדרך כלל, איומים כאלה דורשים גישה מקומית או פיזית למערכת, והרבה פעמים הם עלולים לפגוע בפרטיות של הקורבן ולגרום לדליפת מידע.
לצורך מידע	אירועים חשודים שאין בהם איום מיידי, אבל עדיין מדוּוחים כדי להצביע על בעיות עמוקות יותר שאולי קיימות.

החרגת איומים

אם רוצים להשבית או להגביר את ההתראות על מזהי חתימות ספציפיים של איומים, אפשר להשתמש בפרופילי אבטחה כדי לשנות את פעולות ברירת המחדל שמשויכות לאיומים. מזהי חתימות האיומים של איומים קיימים שזוהו ב-Cloud NGFW מפורטים ביומני האיומים.

‫Cloud NGFW מספק תובנות לגבי איומים שזוהו בסביבה שלכם. כדי לראות את האיומים שזוהו ברשת, אפשר לעיין במאמר בנושא הצגת איומים.

אנטי-וירוס

כברירת מחדל, Cloud NGFW יוצר התראה כשהוא מוצא איום של וירוס בתעבורת הנתונים ברשת של אחד מהפרוטוקולים הנתמכים שלו. אתם יכולים להשתמש בפרופילי אבטחה כדי לשנות את פעולת ברירת המחדל הזו, ולאשר או לדחות את תעבורת הרשת על סמך פרוטוקול הרשת.

פרוטוקולים נתמכים

‫Cloud NGFW תומך בפרוטוקולים הבאים לזיהוי אנטי-וירוס:

SMTP
SMB
POP3
IMAP
HTTP2
HTTP
FTP

פעולות נתמכות

‫Cloud NGFW תומך בפעולות הבאות של אנטי וירוס בפרוטוקולים הנתמכים שלו:

‫DEFAULT: התנהגות ברירת המחדל של פעולת האנטי-וירוס של Palo Alto Networks.

אם נמצא איום בתעבורת הנתונים של פרוטוקול SMTP,‏ IMAP או POP3,‏ Cloud NGFW יוצר התראה ביומני האיומים. אם מזוהה איום בתעבורת הנתונים של פרוטוקול FTP,‏ HTTP או SMB,‏ Cloud NGFW חוסם את התעבורה. מידע נוסף זמין במסמכי התיעוד של פעולות Palo Alto Networks.
‫ALLOW: לאפשר את התנועה.
‫DENY: דחיית התנועה.
‫ALERT: ליצור התראה ביומני האיומים. זוהי התנהגות ברירת המחדל של Cloud NGFW.

שיטות מומלצות לשימוש בפעולות של האנטי-וירוס

מומלץ להגדיר את פעולות האנטי-וירוס כך שידחו את כל האיומים של וירוסים. ההנחיות הבאות יעזרו לכם להחליט אם לדחות את התעבורה או ליצור התראה:

באפליקציות שחיוניות לעסק, מתחילים עם קבוצת הפעולות של פרופיל האבטחה שמוגדרת ל-alert. ההגדרה הזו מאפשרת לכם לעקוב אחרי איומים ולהעריך אותם בלי לשבש את התנועה. אחרי שמוודאים שפרופיל האבטחה עומד בדרישות העסקיות והאבטחתיות שלכם, אפשר לשנות את הפעולה של פרופיל האבטחה לdeny.
באפליקציות לא קריטיות, מגדירים את הפעולה של פרופיל האבטחה לערך deny. בטוח לחסום תנועה זדונית באפליקציות לא קריטיות באופן מיידי.

כדי להגדיר התראה או לדחות תנועת רשת לכל פרוטוקולי הרשת הנתמכים, משתמשים בפקודות הבאות:

כדי להגדיר פעולת התראה על איומי אנטי-וירוס לכל הפרוטוקולים הנתמכים:
```
gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action ALERT \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫NAME: השם של פרופיל האבטחה. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.
- ‫ORGANIZATION_ID: הארגון שבו נוצר פרופיל האבטחה.
  
  אם משתמשים במזהה ייחודי של כתובת URL עבור הדגל name, אפשר להשמיט את הדגל organization.
- ‫LOCATION: המיקום של פרופיל האבטחה.
  
  המיקום תמיד מוגדר לערך global. אם משתמשים במזהה ייחודי של כתובת URL עבור הדגל name, אפשר להשמיט את הדגל location.
- ‫PROJECT_ID: מזהה הפרויקט שמשמש למכסות ולהגבלות גישה בפרופיל האבטחה.
כדי להגדיר פעולת דחייה לאיומים של אנטי-וירוס לכל הפרוטוקולים הנתמכים:
```
gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action DENY \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫NAME: השם של פרופיל האבטחה. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.
- ‫ORGANIZATION_ID: הארגון שבו נוצר פרופיל האבטחה.
  
  אם משתמשים במזהה ייחודי של כתובת URL עבור הדגל name, אפשר להשמיט את הדגל organization.
- ‫LOCATION: המיקום של פרופיל האבטחה.
  
  המיקום תמיד מוגדר לערך global. אם משתמשים במזהה ייחודי של כתובת URL עבור הדגל name, אפשר להשמיט את הדגל location.
- ‫PROJECT_ID: מזהה הפרויקט שמשמש למכסות ולהגבלות גישה בפרופיל האבטחה.

מידע נוסף על הגדרת שינוי ברירת המחדל זמין במאמר בנושא הוספת פעולות לשינוי ברירת המחדל בפרופיל אבטחה למניעת איומים.

תדירות העדכון של התוכן

כל החתימות מתעדכנות אוטומטית ב-Cloud NGFW, ואתם לא צריכים לבצע שום פעולה. ככה אתם יכולים להתמקד בניתוח ובטיפול באיומים, בלי לבזבז זמן על ניהול או עדכון של החתימות.

העדכונים מתקבלים ב-Cloud NGFW מ-Palo Alto Networks ונשלחים לכל נקודות הקצה הקיימות של חומת האש. זמן ההמתנה לקבלת העדכונים הוא עד 48 שעות.

צפייה ביומנים

חלק מהתכונות של Cloud NGFW יוצרות התראות שנשלחות ליומן האיומים. מידע נוסף על רישום ביומנים של Cloud Logging

סקירה כללית על חתימות של איומים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.