本頁面詳細說明如何調查 Cloud IDS 產生的威脅警告。
查看警告詳細資料
您可以在警告記錄查看下列 JSON 欄位:
threat_id:Palo Alto Networks 的威脅專屬 ID。name:威脅名稱。alert_severity:威脅嚴重性,分為INFORMATIONAL(參考用)、LOW(低)、MEDIUM(中)、HIGH(高) 或CRITICAL(重大)。type:威脅類型。category:威脅子類型。alert_time:發現威脅的時間。network:威脅所在的客戶網路。source_ip_address:可疑流量的來源 IP 位址。如果使用Google Cloud 負載平衡器,系統便無法提供真正的用戶端 IP 位址,這個欄位會顯示負載平衡器的 IP 位址。destination_ip_address:可疑流量的目的地 IP 位址。source_port:可疑流量的來源通訊埠。destination_port:可疑流量的目標通訊埠。ip_protocol:可疑流量的 IP 通訊協定。application:可疑流量的應用程式類型,例如 SSH。direction:可疑流量的方向 (用戶端到伺服器,或伺服器到用戶端)。session_id:套用於各個工作階段的內部數值 ID。repeat_count:系統在 5 秒內偵測到來源 IP、目的地 IP、應用程式和類型相同的工作階段數。uri_or_filename:相關威脅的 URI 或檔案名稱 (如適用)。cves:與威脅相關的 CVE 清單details:威脅類型的其他資訊 (取自 Palo Alto Networks 的 Threat Vault)。
搜尋 Palo Alto Networks Threat Vault
如要搜尋常見的安全漏洞與弱點 (CVE)、威脅 ID、威脅名稱和威脅類別,請按照下列說明操作。
如果沒有帳戶,請在 Palo Alto Networks 的 LiveCommunity 建立帳戶。
使用您的帳戶登入 Palo Alto Networks Threat Vault。
在 Threat Vault 中,根據威脅警告的資訊搜尋下列任一欄位值:
- 「
cves」欄位中一或多個CVE - 「
threat_id」欄位的THREAT_ID - 「
name」欄位的THREAT_NAME - 「
category」欄位的CATEGORY
- 「
確認特徵狀態為「Released」(已發布),而非「Disabled」(已停用)。
- 如為「Disabled」(已停用),表示特徵已失效並停用。Cloud IDS 取得 Palo Alto Networks 的更新內容後,系統就會停止根據該特徵產生警告。
如果觸發偵測結果的是檔案,請按照下列步驟操作:
- 在 VirusTotal 網站搜尋與該特徵相關聯的雜湊,判斷是否有任何惡意雜湊。
- 如果已知觸發特徵的檔案雜湊,請與 Threat Vault 中的雜湊比對。如果兩者不相符,表示有特徵衝突,即檔案和惡意樣本在相同的位元組偏移位置可能有相同的位元組值。若兩者相符且檔案並非惡意,則表示這是誤判,可以忽略威脅警告。
如果觸發偵測結果的是命令與控制或 DNS 威脅,請按照下列步驟操作:
- 找出觸發這個特徵的端點對外通訊目的地網域。
- 調查相關網域和 IP 位址的信譽,全面瞭解潛在威脅程度。
如果流量對業務造成影響,但您確信這並非惡意流量,或願意承擔風險,可以為 Cloud IDS 端點加入威脅例外狀況,停用威脅 ID。
根據偵測結果中的連線來源和目的地 IP 位址,套用 Cloud Armor 規則或 Cloud NGFW 規則來封鎖惡意流量。