Menyelidiki Pemberitahuan Ancaman

Halaman ini memberikan detail tentang cara menyelidiki pemberitahuan ancaman yang dihasilkan Cloud IDS.

Meninjau detail pemberitahuan

Anda dapat meninjau kolom JSON berikut dalam log pemberitahuan:

• threat_id - ID ancaman yang unik dari Palo Alto Networks.
• name - Nama ancaman.
• alert_severity - Tingkat keparahan ancaman. Salah satu dari INFORMATIONAL, LOW, MEDIUM, HIGH, atau CRITICAL.
• type - Jenis ancaman.
• category - Subjenis ancaman.
• alert_time - Waktu saat ancaman ditemukan.
• network - Jaringan pelanggan tempat ancaman ditemukan.
• source_ip_address - Alamat IP sumber traffic yang dicurigai. Saat Anda menggunakan load balancerGoogle Cloud , alamat IP klien yang sebenarnya tidak tersedia, dan alamat ini adalah alamat IP load balancer Anda.
• destination_ip_address - Alamat IP tujuan traffic yang dicurigai.
• source_port - Port sumber traffic yang dicurigai.
• destination_port - Port tujuan traffic yang dicurigai.
• ip_protocol - Protokol IP traffic yang dicurigai.
• application - Jenis aplikasi traffic yang dicurigai—misalnya, SSH.
• direction - Arah traffic yang dicurigai (klien ke server atau server ke klien).
• session_id - ID numerik internal yang diterapkan ke setiap sesi.
• repeat_count - Jumlah sesi dengan IP sumber, IP tujuan, aplikasi, dan jenis yang sama yang terlihat dalam waktu 5 detik.
• uri_or_filename - URI atau nama file ancaman yang relevan, jika ada.
• cves - daftar CVE yang terkait dengan ancaman
• details - Informasi tambahan tentang jenis ancaman, yang diambil dari ThreatVault Palo Alto Networks.

Menelusuri Vault Ancaman Palo Alto Networks

Gunakan petunjuk berikut untuk menelusuri Common Vulnerabilities and Exposures (CVE), ID ancaman, nama ancaman, dan kategori ancaman.

1. Jika Anda belum memiliki akun, buat akun di LiveCommunity Palo Alto Networks.

2. Akses Vault Ancaman Palo Alto Networks menggunakan akun Anda.

3. Di Vault Ancaman, telusuri salah satu nilai berikut berdasarkan informasi dari pemberitahuan ancaman Anda:

   • Satu atau beberapa CVE dari kolom cves
   • THREAT_ID dari kolom threat_id
   • THREAT_NAME dari kolom name
   • CATEGORY dari kolom category

4. Pastikan status signature bertuliskan Dirilis, bukan Dinonaktifkan.

   1. Jika Dinonaktifkan, signature tidak lagi valid dan dinonaktifkan. Saat Cloud IDS menerima update dari Palo Alto Networks, signature tersebut berhenti menghasilkan pemberitahuan.

5. Jika file memicu temuan, lakukan langkah-langkah berikut:

   1. Telusuri hash yang terkait dengan signature di situs VirusTotal untuk menentukan apakah ada hash yang berbahaya.
   2. Jika hash file yang memicu signature diketahui, bandingkan dengan hash di Vault Ancaman. Jika tidak cocok, berarti terjadi bentrokan signature, yang berarti bahwa file dan sampel berbahaya mungkin berisi nilai byte yang sama pada offset byte yang sama. Jika cocok dan file tidak berbahaya, itu adalah positif palsu dan Anda dapat mengabaikan pemberitahuan ancaman.

6. Jika ancaman DNS atau command-and-control memicu temuan, lakukan langkah-langkah berikut:

   1. Mengidentifikasi domain tujuan yang memicu signature pada komunikasi keluar dari endpoint.
   2. Selidiki reputasi domain dan alamat IP yang terlibat untuk mengembangkan pemahaman yang luas tentang potensi tingkat ancaman.

7. Jika traffic berdampak pada bisnis dan Anda yakin bahwa traffic tersebut tidak berbahaya, atau jika Anda bersedia menerima risiko, Anda dapat menambahkan Pengecualian Ancaman ke endpoint Cloud IDS untuk menonaktifkan ID ancaman.

8. Terapkan aturan Cloud Armor atau aturan Cloud NGFW untuk memblokir traffic berbahaya menggunakan alamat IP sumber dan tujuan koneksi dalam temuan.