חקירת התראות על איומים

בדף הזה מוסבר איך לבדוק את הפרטים של ההתראות על איומים, שנוצרות על ידי Cloud IDS.

בדיקת פרטי ההתראה

יומן ההתראות מכיל את הפרטים הבאים, בשדות JSON:

  • threat_id – מזהה ייחודי של האיום ב-Palo Alto Networks.
  • name – שם האיום.
  • alert_severity – רמת החומרה של האיום (אחד מהערכים הבאים: INFORMATIONAL, ‏LOW, ‏MEDIUM, ‏HIGH או CRITICAL).
  • type – סוג האיום.
  • category – תת-הסוג של האיום.
  • alert_time – מתי התגלה האיום.
  • network – הרשת של הלקוח שבה התגלה האיום.
  • source_ip_address – כתובת ה-IP של המקור של תעבורת הנתונים החשודה. אם אתם משתמשים במאזן העומסים (LB) שלGoogle Cloud , לא תראו את כתובת ה-IP האמיתית של הלקוח אלא את כתובת ה-IP של מאזן העומסים.
  • destination_ip_address – כתובת ה-IP של היעד של תעבורת הנתונים החשודה.
  • source_port – יציאת המקור של תעבורת הנתונים החשודה.
  • destination_port – יציאת היעד של תעבורת הנתונים החשודה.
  • ip_protocol – פרוטוקול ה-IP של תעבורת הנתונים החשודה.
  • application – סוג האפליקציה של תעבורת הנתונים החשודה, לדוגמה SSH.
  • direction – הכיוון של תעבורת הנתונים החשודה (מהלקוח לשרת או מהשרת ללקוח).
  • session_id – מספר פנימי שמוקצה לכל סשן.
  • repeat_count – מספר הסשנים באתר עם אותה כתובת IP של המקור, כתובת IP של היעד, האפליקציה והסוג שנצפו בפרק זמן של 5 שניות.
  • uri_or_filename – ה-URI או שם הקובץ של האיום הרלוונטי, אם יש.
  • cves – רשימה של נקודות חולשה נפוצות (CVE) שמשויכות לאיום.
  • details – מידע נוסף על סוג האיום, שנלקח מ-Threat Vault של Palo Alto Networks.

חיפוש ב-Threat Vault של Palo Alto Networks

כך מחפשים את המזהים, השמות והקטגוריות של האיומים, ונקודות חולשה נפוצות (CVE):

  1. אם אין חשבון ב-LiveCommunity של Palo Alto Networks, יוצרים אחד.

  2. נכנסים ל-Threat Vault של Palo Alto Networks באמצעות אותו החשבון.

  3. במאגר האיומים של Threat Vault, מחפשים את הערכים השונים בהתאם לפרטי ההתראה על האיום:

    • CVE מהשדה cves (אחד או יותר)
    • THREAT_ID מהשדה threat_id
    • THREAT_NAME מהשדה name
    • CATEGORY מהשדה category

  4. מוודאים שסטטוס החתימה הוא Released ולא Disabled.

    1. אם הוא Disabled, החתימה מושבתת ולא בתוקף. כשהעדכון מ-Palo Alto Networks יסתנכרן ב-Cloud IDS, החתימה תפסיק ליצור התראות.

  5. אם קובץ מסוים גרם לממצא, מבצעים את הפעולות האלה:

    1. מחפשים את הנתונים המגובבים שקשורים לחתימה באתר VirusTotal כדי לבדוק אם יש שם נתונים זדוניים.
    2. אם יודעים מה הגיבוב של הקובץ שגרם לחתימה, משווים אותו לנתונים המגובבים ב-Threat Vault. אם הם לא זהים, יש התנגשות חתימות. כלומר, יכול להיות שהקובץ והנתונים הזדוניים מכילים את אותם בייטים באותם היסטים (offset). אם הם זהים והקובץ לא זדוני, זו טעות בזיהוי – אפשר להתעלם מההתראה על האיום.

  6. אם איום מסוג "שליטה ובקרה" או DNS גרם לממצא:

    1. מוצאים את דומיין היעד שגרם לחתימה בתעבורת הנתונים היוצאת מנקודת קצה.
    2. בודקים את המוניטין של הדומיינים וכתובות ה-IP הרלוונטיים בשביל להבין מה רמת האיום הפוטנציאלית.

  7. אם לתעבורת הנתונים יש השפעה על העסק ומשוכנעים שהיא לא זדונית, או אם מוכנים לקחת את הסיכון: מוסיפים לנקודת הקצה של Cloud IDS חריגות כדי להפסיק לקבל התראות על האיום הזה.

  8. משתמשים בכלל של Cloud Armor או של Cloud NGFW, כדי לחסום את תעבורת הנתונים הזדונית באמצעות כתובות ה-IP של חיבור המקור ושל היעד בממצא.