A detecção de ameaças baseada em assinaturas é um dos mecanismos mais usados para identificar comportamentos maliciosos. Ela é amplamente usada para evitar ataques a redes. Os recursos de detecção de ameaças do Cloud Next Generation Firewall usam as tecnologias de prevenção de ameaças da Palo Alto Networks.
Veja nesta seção as assinaturas padrão de ameaças, os níveis de gravidade de ameaças compatíveis e as exceções de ameaças fornecidas pelo Cloud Firewall em parceria com a Palo Alto Networks.
Conjunto padrão de assinaturas
O Cloud Firewall fornece um conjunto padrão de assinaturas de ameaças que ajudam a proteger suas cargas de trabalho de rede contra ameaças. As assinaturas são usadas para detectar vulnerabilidades e spyware. Para ver todas as assinaturas de ameaças configuradas no Cloud Firewall, acesse o cofre de ameaças. Se você ainda não tiver uma conta, inscreva-se para criar uma nova.
As assinaturas de detecção de vulnerabilidades detectam tentativas de explorar falhas do sistema ou conseguir acesso não autorizado aos sistemas. As assinaturas antispyware ajudam a identificar hosts infectados quando o tráfego sai da rede. Já as assinaturas de detecção de vulnerabilidades protegem contra ameaças que invadem a rede.
Por exemplo, as assinaturas de detecção de vulnerabilidades ajudam a proteger contra estouro de buffer, execução ilegal de códigos e outras tentativas de explorar vulnerabilidades do sistema. As assinaturas de detecção de vulnerabilidades padrão fornecem detecção para clientes e servidores de todas as ameaças críticas, de alta e média gravidade, além de ameaças de gravidade baixa e informativa.
As assinaturas antispyware detectam spyware em hosts comprometidos. Esses spywares podem entrar em contato com servidores de comando e controle (C2) externos.
As assinaturas antivírus detectam vírus e malware encontrados em executáveis e tipos de arquivos.
Cada assinatura de ameaça também tem uma ação padrão associada. É possível usar perfis de segurança para substituir as ações dessas assinaturas e fazer referência a eles como parte de um grupo de perfis de segurança. em uma regra de política de firewall. Se qualquer assinatura de ameaça configurada for detectada no tráfego interceptado, o endpoint do firewall executará a ação correspondente especificada no perfil de segurança nos pacotes correspondentes.
Níveis de gravidade de ameaças
A gravidade de uma assinatura de ameaça indica o risco do evento detectado, e o Cloud Firewall gera alertas para o tráfego correspondente. A tabela a seguir resume os níveis de gravidade de ameaças.
| Gravidade | Descrição |
|---|---|
| Crítica | Ameaças graves causam comprometimento dos servidores no nível raiz. Por exemplo, ameaças que afetam as instalações padrão de software amplamente implantado e onde o código de exploração está amplamente disponível para os invasores. O invasor geralmente não precisa de credenciais de autenticação especiais ou de conhecimentos sobre as vítimas individuais. Além disso, o alvo não precisa ser manipulado para a execução de funções especiais. |
| Alta | Ameaças que podem se tornar críticas, mas há fatores atenuantes. Por exemplo, elas podem ser difíceis de explorar, não resultam em privilégios elevados ou não têm um grande pool de vítimas. |
| Médio | Pequenas ameaças em que o impacto é minimizado e não compromete o alvo ou explorações que exigem que um invasor resida na mesma rede local que a vítima. Esses ataques afetam apenas configurações não padrão ou aplicativos ocultos, ou fornecem acesso muito limitado. |
| Baixa | Ameaças de alerta com pouco impacto na infraestrutura de uma organização. Essas ameaças geralmente exigem acesso ao sistema físico ou local e podem resultar em problemas de privacidade da vítima e vazamentos de informações. |
| Informativa | Eventos suspeitos que não representam uma ameaça imediata, mas que são relatados para indicar problemas mais profundos que podem existir. |
Exceções de ameaças
Se você quiser suprimir ou aumentar os alertas sobre códigos específicos de assinatura de ameaças, use os perfis de segurança para modificar as ações padrão associadas a ameaças. Nos registros de ameaças, é possível encontrar os IDs das assinaturas de ameaças detectadas pelo Cloud Firewall.
O Cloud Firewall fornece visibilidade de ameaças detectadas no seu ambiente. Para ver as ameaças detectadas na sua rede, consulte Visualizar ameaças.
Antivírus
Por padrão, o Cloud NGFW gera um alerta quando encontra uma ameaça de vírus no tráfego de rede de qualquer protocolo com suporte. É possível usar perfis de segurança para substituir essa ação padrão e permitir ou negar o tráfego de rede com base no protocolo de rede.
Protocolos compatíveis
O Cloud NGFW é compatível com os seguintes protocolos para detecção de antivírus:
SMTPSMBPOP3IMAPHTTP2HTTPFTP
Ações compatíveis
O Cloud NGFW é compatível com as seguintes ações de antivírus para os protocolos aceitos:
DEFAULT: o comportamento padrão da ação antivírus da Palo Alto Networks.Se uma ameaça for encontrada no tráfego de protocolos SMTP, IMAP ou POP3, o Cloud NGFW vai gerar um alerta nos registros de ameaças. Se uma ameaça for encontrada no tráfego dos protocolos FTP, HTTP ou SMB, o Cloud NGFW vai bloquear o tráfego. Para mais informações, consulte a documentação de ações da Palo Alto Networks.
ALLOW: permitir o tráfego.DENY: negar o tráfego.ALERT: gera um alerta nos registros de ameaças. Esse é o comportamento padrão do Cloud NGFW.
Práticas recomendadas para usar as ações de antivírus
Recomendamos que você configure as ações do antivírus para negar todas as ameaças de vírus. Use as orientações a seguir para determinar se você quer negar o tráfego ou gerar um alerta:
- Para aplicativos essenciais aos negócios, comece com o conjunto de ações do perfil de segurança definido como
alert. Essa configuração permite monitorar e avaliar ameaças sem interromper o tráfego. Depois de confirmar que o perfil de segurança atende aos requisitos de negócios e segurança, mude a ação do perfil paradeny. - Para aplicativos não essenciais, defina a ação do perfil de segurança como
deny. É seguro bloquear o tráfego malicioso para aplicativos não essenciais imediatamente.
Para configurar um alerta ou negar o tráfego de rede para todos os protocolos de rede compatíveis, use os seguintes comandos:
Para configurar uma ação de alerta em ameaças de antivírus para todos os protocolos compatíveis:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action ALERT \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_IDSubstitua:
NAME: o nome do perfil de segurança; é possível especificar o nome como uma string ou um identificador de URL exclusivo.ORGANIZATION_ID: a organização em que o perfil de segurança é criado.Se você usar um identificador de URL exclusivo para a sinalização
name, será possível omitir a sinalizaçãoorganization.LOCATION: o local do perfil de segurança.O local está sempre definido como
global. Se você usar um identificador de URL exclusivo para a flagname, omita a flaglocation.PROJECT_ID: o ID do projeto a ser usado para cotas e restrições de acesso no perfil de segurança.
Para configurar uma ação de negação em ameaças de antivírus para todos os protocolos compatíveis:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action DENY \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_IDSubstitua:
NAME: o nome do perfil de segurança; é possível especificar o nome como uma string ou um identificador de URL exclusivo.ORGANIZATION_ID: a organização em que o perfil de segurança é criado.Se você usar um identificador de URL exclusivo para a sinalização
name, será possível omitir a sinalizaçãoorganization.LOCATION: o local do perfil de segurança.O local está sempre definido como
global. Se você usar um identificador de URL exclusivo para a flagname, omita a flaglocation.PROJECT_ID: o ID do projeto a ser usado para cotas e restrições de acesso no perfil de segurança.
Para mais informações sobre como configurar a substituição, consulte Adicionar ações de substituição a um perfil de segurança de prevenção de ameaças.
Frequência de atualização do conteúdo
O Cloud Firewall atualiza automaticamente todas as assinaturas sem qualquer intervenção do usuário, permitindo que você se concentre em analisar e resolver ameaças sem gerenciar ou atualizar assinaturas.
As atualizações da Palo Alto Networks são selecionadas pelo Cloud Firewall e enviadas para todos os endpoints do firewall atuais. Estima-se que a latência de atualização seja de até 48 horas.
Ver registros
Vários recursos do Cloud Firewall geram alertas que são enviados para o registro de ameaças. Para mais informações sobre a geração de registros, consulte Cloud Logging.
A seguir
- Ver ameaças
- Visão geral do serviço de detecção e prevenção de invasões
- Configurar o serviço de detecção e prevenção contra invasões