Détections de menaces Cloud IDS

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Les résultats Cloud IDS sont générés par Cloud IDS, un service de sécurité qui surveille le trafic vers et depuis vos ressourcesGoogle Cloud pour détecter les menaces. Lorsque Cloud IDS détecte une menace, il envoie des informations à son sujet (adresse IP source, adresse de destination et numéro de port, par exemple) à Event Threat Detection, qui génère ensuite un résultat de menace.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez le résultat Cloud IDS: THREAT_ID, comme indiqué dans Examiner les résultats.

2. Dans les détails du résultat, dans l'onglet Résumé, examinez les valeurs listées dans les sections suivantes :

   • Risque détecté, en particulier les champs suivants :
     • Protocole : protocole réseau utilisé
     • Heure de l'événement : moment où l'événement s'est produit
     • Description : informations supplémentaires sur le problème
     • Gravité : gravité de l'alerte
     • Adresse IP de destination : adresse IP cible du trafic réseau
     • Port de destination : port cible du trafic réseau
     • Adresse IP source : adresse IP source du trafic réseau
     • Port source : port source du trafic réseau
   • Ressource concernée, en particulier le champs suivant :
     • Nom complet de la ressource : projet contenant le réseau avec la menace
   • Liens associés, en particulier les champs suivants :
     • URI Cloud Logging : lien vers les entrées Cloud IDS Logging. Ces entrées contiennent les informations nécessaires pour rechercher le Threat Vault de Palo Alto Networks.
   • Service de détection
     • Catégorie du résultat : nom de la menace Cloud IDS

3. Pour afficher le code JSON complet du résultat, cliquez sur l'onglet JSON.

Étape 2 : Rechercher des méthodes d'attaque et de réponse

Après avoir examiné les détails du résultat, consultez la documentation Cloud IDS sur l'examen des alertes de menace pour déterminer la réponse appropriée.

Pour en savoir plus sur l'événement détecté, cliquez sur le lien du champ URI Cloud Logging dans les détails du résultat.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
• Consultez l'index des résultats de détection de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.