Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ringkasan tanda tangan ancaman

Untuk melindungi jaringan Anda dari serangan berbahaya, Cloud Next Generation Firewall menggunakan teknologi deteksi ancaman berbasis signature dari Palo Alto Networks. Deteksi ancaman berbasis signature mengidentifikasi perilaku berbahaya dengan mencocokkan pola traffic jaringan dengan signature ancaman yang diketahui.

Dalam dokumen ini, Anda akan mempelajari fitur deteksi ancaman dan cara fitur tersebut melindungi resource di jaringan Virtual Private Cloud (VPC) Anda. Anda juga akan mempelajari cara menggunakan profil keamanan untuk mengganti tindakan default dan menyesuaikan pengecualian ancaman serta perilaku antivirus.

Anda dapat mengonfigurasi dan mengelola fitur deteksi ancaman berikut:

Signature ancaman default
Tingkat keparahan ancaman yang didukung
Pengecualian ancaman
Antivirus

Kumpulan signature default

Cloud NGFW menyediakan kumpulan signature ancaman default yang membantu Anda melindungi workload jaringan dari ancaman. Signature digunakan untuk mendeteksi kerentanan dan spyware. Untuk melihat semua signature ancaman yang dikonfigurasi di Cloud NGFW, buka threat vault. Jika belum memiliki akun, daftar untuk mendapatkan akun baru.

Signature deteksi kerentanan mendeteksi upaya untuk mengeksploitasi kelemahan sistem atau mendapatkan akses tidak sah ke sistem. Meskipun signature anti-spyware membantu mengidentifikasi host yang terinfeksi saat traffic keluar dari jaringan, signature deteksi kerentanan melindungi dari ancaman yang masuk ke jaringan.

Misalnya, signature deteksi kerentanan membantu melindungi dari overflow buffer, eksekusi kode ilegal, dan upaya lain untuk mengeksploitasi kerentanan sistem. Signature deteksi kerentanan default menyediakan deteksi untuk klien dan server dari semua ancaman dengan tingkat keparahan kritis (critical), tinggi (high), dan sedang (medium) yang diketahui, beserta ancaman dengan tingkat keparahan rendah (low) dan informatif (informational).
Signature anti-spyware mendeteksi spyware di host yang disusupi. Spyware tersebut mungkin mencoba menghubungi server command-and-control (C2) eksternal.
Signature antivirus mendeteksi virus dan malware yang ditemukan dalam file yang dapat dieksekusi dan jenis file.

Setiap signature ancaman juga memiliki tindakan default yang terkait dengannya. Anda dapat menggunakan profil keamanan untuk mengganti tindakan untuk signature ini, dan mereferensikan profil ini sebagai bagian dari grup profil keamanan dalam aturan kebijakan firewall. Jika signature ancaman yang dikonfigurasi terdeteksi dalam traffic yang dicegat, endpoint firewall akan melakukan tindakan yang sesuai yang ditentukan dalam profil keamanan pada paket yang cocok.

Tingkat keparahan ancaman

Tingkat keparahan signature ancaman menunjukkan risiko peristiwa yang terdeteksi, dan Cloud NGFW membuat pemberitahuan untuk traffic yang cocok. Tabel berikut merangkum tingkat keparahan ancaman.

Keparahan	Deskripsi
Kritis	Ancaman serius menyebabkan kompromi root server. Misalnya, ancaman yang memengaruhi penginstalan default software yang di-deploy secara luas dan kode eksploit tersedia secara luas bagi penyerang. Penyerang biasanya tidak memerlukan kredensial autentikasi khusus atau pengetahuan tentang setiap korban, dan target tidak perlu dimanipulasi untuk melakukan fungsi khusus apa pun.
Tinggi	Ancaman yang berpotensi menjadi kritis, tetapi ada faktor-faktor yang mengurangi risikonya. Misalnya, ancaman tersebut mungkin sulit dieksploitasi, tidak mengakibatkan peningkatan hak istimewa, atau tidak memiliki banyak korban.
Sedang	Ancaman ringan yang dampaknya diminimalkan dan tidak membahayakan target, atau eksploit yang mengharuskan penyerang berada di jaringan lokal yang sama dengan korban. Serangan tersebut hanya memengaruhi konfigurasi non-standar atau aplikasi yang tidak jelas, atau memberikan akses yang sangat terbatas.
Rendah	Ancaman tingkat peringatan yang berdampak sangat kecil pada infrastruktur organisasi. Ancaman tersebut biasanya memerlukan akses sistem lokal atau fisik dan sering kali menyebabkan masalah privasi korban dan kebocoran informasi.
Informatif	Peristiwa mencurigakan yang tidak menimbulkan ancaman langsung, tetapi yang dilaporkan untuk menunjukkan masalah yang lebih dalam yang mungkin ada.

Pengecualian ancaman

Jika ingin menekan atau meningkatkan pemberitahuan pada ID signature ancaman tertentu, Anda dapat menggunakan profil keamanan untuk mengganti tindakan default yang terkait dengan ancaman. Anda dapat menemukan ID signature ancaman dari ancaman yang ada yang terdeteksi oleh Cloud NGFW di log ancaman Anda.

Cloud NGFW memberikan visibilitas pada ancaman yang terdeteksi di lingkungan Anda. Untuk melihat ancaman yang terdeteksi di jaringan Anda, lihat Melihat ancaman.

Antivirus

Secara default, Cloud NGFW akan membuat pemberitahuan saat menemukan ancaman virus dalam traffic jaringan dari salah satu protokol yang didukungnya. Anda dapat menggunakan profil keamanan untuk mengganti tindakan default ini, dan mengizinkan atau menolak traffic jaringan berdasarkan protokol jaringan.

Protokol yang didukung

Cloud NGFW mendukung protokol berikut untuk deteksi antivirus:

SMTP
SMB
POP3
IMAP
HTTP2
HTTP
FTP

Tindakan yang didukung

Cloud NGFW mendukung tindakan antivirus berikut untuk protokol yang didukungnya:

DEFAULT: perilaku default tindakan antivirus Palo Alto Networks.

Jika ancaman ditemukan dalam traffic protokol SMTP, IMAP, atau POP3, Cloud NGFW akan membuat pemberitahuan di log ancaman. Jika ancaman ditemukan dalam traffic protokol FTP, HTTP, atau SMB, Cloud NGFW akan memblokir traffic. Untuk mengetahui informasi selengkapnya, lihat dokumentasi tindakan Palo Alto Networks.
ALLOW: mengizinkan traffic.
DENY: menolak traffic.
ALERT: membuat pemberitahuan di log ancaman. Ini adalah perilaku default Cloud NGFW.

Praktik terbaik untuk menggunakan tindakan antivirus

Sebaiknya konfigurasi tindakan antivirus untuk menolak semua ancaman virus. Gunakan panduan berikut untuk menentukan apakah akan menolak traffic atau membuat pemberitahuan:

Untuk aplikasi yang penting bagi bisnis, mulai dengan tindakan profil keamanan yang ditetapkan ke alert. Setelan ini memungkinkan Anda memantau dan menilai ancaman tanpa mengganggu traffic. Setelah mengonfirmasi bahwa profil keamanan memenuhi persyaratan bisnis dan keamanan Anda, Anda dapat mengubah tindakan profil keamanan menjadi deny.
Untuk aplikasi yang tidak penting, tetapkan tindakan profil keamanan ke deny. Anda dapat memblokir traffic berbahaya untuk aplikasi yang tidak penting secara langsung.

Untuk menyiapkan pemberitahuan atau menolak traffic jaringan untuk semua protokol jaringan yang didukung, gunakan perintah berikut:

Untuk menyiapkan tindakan pemberitahuan pada ancaman antivirus untuk semua protokol yang didukung:
```
gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action ALERT \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID
```
Ganti kode berikut:
- NAME: nama profil keamanan; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik.
- ORGANIZATION_ID: organisasi tempat profil keamanan dibuat.
  
  Jika menggunakan ID URL unik untuk flag name, Anda dapat menghapus flag organization.
- LOCATION: lokasi profil keamanan.
  
  Lokasi selalu ditetapkan ke global. Jika menggunakan ID URL unik untuk flag name, Anda dapat menghapus flag location.
- PROJECT_ID: project ID yang akan digunakan untuk kuota dan batasan akses pada profil keamanan.
Untuk menyiapkan tindakan penolakan pada ancaman antivirus untuk semua protokol yang didukung:
```
gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action DENY \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID
```
Ganti kode berikut:
- NAME: nama profil keamanan; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik.
- ORGANIZATION_ID: organisasi tempat profil keamanan dibuat.
  
  Jika menggunakan ID URL unik untuk flag name, Anda dapat menghapus flag organization.
- LOCATION: lokasi profil keamanan.
  
  Lokasi selalu ditetapkan ke global. Jika menggunakan ID URL unik untuk flag name, Anda dapat menghapus flag location.
- PROJECT_ID: project ID yang akan digunakan untuk kuota dan batasan akses pada profil keamanan.

Untuk mengetahui informasi selengkapnya tentang cara menyiapkan penggantian, lihat Menambahkan tindakan penggantian di profil keamanan pencegahan ancaman.

Frekuensi update konten

Cloud NGFW secara otomatis mengupdate semua signature tanpa intervensi pengguna, sehingga Anda dapat fokus menganalisis dan menyelesaikan ancaman tanpa mengelola atau mengupdate signature.

Update dari Palo Alto Networks diambil oleh Cloud NGFW dan diterapkan ke semua endpoint firewall yang ada. Latensi update diperkirakan hingga 48 jam.

Melihat log

Beberapa fitur Cloud NGFW menghasilkan pemberitahuan, yang dikirim ke log ancaman. Untuk mengetahui informasi selengkapnya tentang logging, lihat Cloud Logging.

Ringkasan tanda tangan ancaman Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.