基于签名的威胁检测是识别恶意行为的最常用机制之一,因此广泛用于防范网络攻击。Cloud 新一代防火墙的威胁检测功能由 Palo Alto Networks 威胁防御技术提供支持。
本部分列出了 Cloud NGFW 与 Palo Alto Networks 合作提供的默认威胁签名、支持的威胁严重级别和威胁例外情况。
默认签名集
Cloud NGFW 提供了一组默认的威胁签名,可帮助您保护网络工作负载免受威胁。签名用于检测漏洞和间谍软件。如需查看 Cloud NGFW 中配置的所有威胁签名,请查看威胁保险柜。如果您还没有账号,请注册一个新账号。
漏洞检测签名可检测尝试利用系统缺陷或未经授权访问系统的行为。反间谍软件签名可在流量离开网络时识别受感染的主机,而漏洞检测签名则能够防范入侵网络的威胁。
例如,漏洞检测签名可防范缓冲区溢出、非法代码执行,以及利用系统漏洞的其他威胁。默认漏洞检测签名为客户端和服务器检测所有严重级别为“严重”“高”和“中等”的知名威胁,以及任何严重级别为“低”和“信息”的威胁。
反间谍软件签名可检测被入侵的主机上的间谍软件。此类间谍软件可能会尝试联系外部“命令和控制”(C2) 服务器。
防病毒签名可检测可执行文件和文件类型中的病毒和恶意软件。
每个威胁签名还具有与之关联的默认操作。您可以使用安全配置文件替换这些签名的操作,并在防火墙政策规则中引用安全配置文件组中的这些配置文件。如果在拦截的流量中检测到任何已配置的威胁签名,防火墙端点会对匹配的数据包执行安全配置文件中指定的操作。
威胁严重级别
威胁签名的严重级别表示检测到的事件的风险,Cloud NGFW 会针对匹配的流量生成提醒。下表总结了威胁严重级别。
| 严重程度 | 说明 |
|---|---|
| 严重 | 严重威胁会导致服务器的根入侵。例如,影响广泛部署的软件的默认安装的威胁,以及攻击者大肆利用漏洞代码的情形。攻击者通常不需要任何特殊的身份验证凭据,也不需要知道具体受害者的信息,并且不需要操纵目标来执行任何特殊功能。 |
| 高 | 可能发展为严重威胁但存在制约因素的威胁。例如,它们可能难以利用、不会导致权限提升,或者受害者没那么多。 |
| 中 | 影响降至最低限度并且没有入侵目标的轻微威胁,或者需要攻击者与受害者位于同一本地网络的漏洞。此类攻击仅影响非标准配置或安装量较少的应用,或者提供的访问权限非常有限。 |
| 低 | 对组织基础架构影响很小的警告级别威胁。此类威胁通常需要访问本地或物理系统,并且通常会导致受害者的隐私问题和信息泄露。 |
| 信息 | 不会造成直接威胁的可疑事件,但仍然报告这些事件,以指示可能存在更深层次的问题。 |
威胁例外情况
如果您想要减少或增加对特定威胁签名 ID 的提醒,则可以使用安全配置文件来替换与威胁关联的默认操作。您可以在威胁日志中找到 Cloud NGFW 检测到的现有威胁的威胁签名 ID。
Cloud NGFW 可让您查看在您的环境中检测到的威胁。如需查看在您的网络中检测到的威胁,请参阅查看威胁。
杀毒软件
默认情况下,Cloud NGFW 在其支持的任何协议的网络流量中发现病毒威胁时都会生成提醒。您可以使用安全配置文件替换此默认操作,并根据网络协议允许或拒绝网络流量。
支持的协议
Cloud NGFW 支持以下协议以进行病毒检测:
SMTPSMBPOP3IMAPHTTP2HTTPFTP
支持的操作
Cloud NGFW 支持针对其支持的协议执行以下防病毒操作:
DEFAULT:Palo Alto Networks 杀毒软件操作的默认行为。如果 Cloud NGFW 在 SMTP、IMAP 或 POP3 协议流量中发现威胁,则会在威胁日志中生成提醒。如果 Cloud NGFW 在 FTP、HTTP 或 SMB 协议流量中发现威胁,则会阻止该流量。如需了解详情,请参阅 Palo Alto Networks 操作文档。
ALLOW:允许流量。DENY:拒绝流量。ALERT:在威胁日志中生成提醒。这是 Cloud NGFW 的默认行为。
使用防病毒操作的最佳实践
建议您将防病毒操作配置为拒绝所有病毒威胁。请按照以下指导确定是拒绝流量还是生成提醒:
- 对于业务关键型应用,请先将安全配置文件的操作集设置为
alert。此设置可让您在不中断流量的情况下监控和评估威胁。确认安全配置符合您的业务和安全要求后,您可以将安全配置的操作更改为deny。 - 对于非关键型应用,请将安全配置文件的操作设置为
deny。 对于非关键应用,可以立即安全地屏蔽恶意流量。
如需设置提醒或拒绝所有受支持的网络协议的网络流量,请使用以下命令:
如需针对所有受支持的协议设置有关防病毒威胁的提醒操作,请执行以下操作:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action ALERT \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_ID替换以下内容:
NAME:安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:创建安全配置文件的组织。如果您为
name标志使用唯一网址标识符,则可以省略organization标志。LOCATION:安全配置文件的位置。位置始终设置为
global。如果您为name标志使用唯一网址标识符,则可以省略location标志。PROJECT_ID:用于安全配置文件的配额和访问权限限制的项目 ID。
如需针对所有受支持的协议设置拒绝防病毒威胁的操作,请执行以下操作:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action DENY \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_ID替换以下内容:
NAME:安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:创建安全配置文件的组织。如果您为
name标志使用唯一网址标识符,则可以省略organization标志。LOCATION:安全配置文件的位置。位置始终设置为
global。如果您为name标志使用唯一网址标识符,则可以省略location标志。PROJECT_ID:用于安全配置文件的配额和访问权限限制的项目 ID。
如需详细了解如何设置替换,请参阅在威胁防护安全配置文件中添加替换操作。
内容更新频率
Cloud NGFW 会自动更新所有签名,不需要用户干预。因此您可以专注于分析和解决威胁,而无需管理或更新签名。
Cloud NGFW 从 Palo Alto Networks 获取更新,并推送到所有现有防火墙端点。更新延迟时间预计不超过 48 小时。
查看日志
Cloud NGFW 的某些功能会生成提醒,这些提醒会发送到威胁日志。如需详细了解日志记录,请参阅 Cloud Logging。