Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Panoramica delle firme per le minacce

Per proteggere la rete da attacchi dannosi, Cloud Next Generation Firewall utilizza le tecnologie di rilevamento delle minacce basate su firme di Palo Alto Networks. Il rilevamento delle minacce basato su firme identifica i comportamenti dannosi confrontando i pattern del traffico di rete con le firme delle minacce note.

In questo documento scoprirai le funzionalità di rilevamento delle minacce e come proteggono le risorse nella rete Virtual Private Cloud (VPC). Scoprirai anche come utilizzare i profili di sicurezza per eseguire l'override delle azioni predefinite e personalizzare le eccezioni alle minacce e il comportamento antivirus.

Puoi configurare e gestire le seguenti funzionalità di rilevamento delle minacce:

Firme delle minacce predefinite
Livelli di gravità delle minacce supportati
Eccezioni alle minacce
Antivirus

Set di firme predefinito

Cloud NGFW fornisce un set predefinito di firme delle minacce che ti aiutano a proteggere i carichi di lavoro di rete dalle minacce. Le firme vengono utilizzate per rilevare vulnerabilità e spyware. Per visualizzare tutte le firme delle minacce configurate in Cloud NGFW, vai al vault delle minacce. Se non hai ancora un account, registrati per crearne uno nuovo.

Le firme di rilevamento delle vulnerabilità rilevano i tentativi di sfruttare i difetti del sistema o di ottenere l'accesso non autorizzato ai sistemi. Mentre le firme anti-spyware aiutano a identificare gli host infetti quando il traffico esce dalla rete, le firme di rilevamento delle vulnerabilità proteggono dalle minacce che entrano nella rete.

Ad esempio, le firme di rilevamento delle vulnerabilità contribuiscono a proteggere da overflow del buffer, esecuzione di codice illegale e altri tentativi di sfruttare le vulnerabilità del sistema. Le firme di rilevamento delle vulnerabilità predefinite consentono a client e server di rilevare tutte le minacce note con gravità critica, elevata e media, nonché le minacce con gravità bassa e informativa.
Le firme anti-spyware rilevano spyware sugli host compromessi. Questi spyware potrebbero tentare di contattare server di comando e controllo (C2) esterni.
Le firme antivirus rilevano virus e malware trovati in file eseguibili e tipi di file.

Ogni firma delle minacce ha anche un'azione predefinita associata. Puoi utilizzare i profili di sicurezza per eseguire l'override delle azioni per queste firme e fare riferimento a questi profili come parte di un gruppo di profili di sicurezza in una regola della policy del firewall. Se viene rilevata una firma delle minacce configurata nel traffico intercettato, l'endpoint firewallesegue l'azione corrispondente specificata nel profilo di sicurezza sui pacchetti corrispondenti.

Livelli di gravità delle minacce

La gravità di una firma delle minacce indica il rischio dell'evento rilevato e Cloud NGFW genera avvisi per il traffico corrispondente. La tabella seguente riepiloga i livelli di gravità delle minacce.

Gravità	Descrizione
Critico	Le minacce gravi causano la compromissione root dei server. Ad esempio, le minacce che interessano le installazioni predefinite di software ampiamente distribuiti e in cui il codice di exploit è ampiamente disponibile per gli aggressori. L'utente malintenzionato in genere non ha bisogno di credenziali di autenticazione speciali o di informazioni sulle singole vittime né deve manipolare il target per fargli eseguire funzioni speciali.
Alta	Riguarda le minacce che possono diventare critiche, ma che non lo sono ancora per via di fattori mitiganti fattori. Ad esempio, potrebbero essere difficili da sfruttare, non causano l'assegnazione di privilegi elevati o non hanno come target un vasto gruppo di vittime.
Media	Minacce di minore entità il cui l'impatto è ridotto al minimo e che non compromettono il target. Sono exploit che prevedono che un malintenzionato si trovi nella stessa rete locale della vittima. Questi attacchi interessano solo configurazioni non standard o applicazioni oscure oppure forniscono un accesso molto limitato access.
Bassa	Minacce a livello di avviso che hanno un impatto minimo sull'infrastruttura di un 'organizzazione. Di solito richiedono l'accesso al sistema locale o fisico e spesso possono causare problemi di privacy e fuga di informazioni per le vittime.
Informativo	Eventi sospetti che non rappresentano una minaccia immediata, ma che vengono segnalati per indicare problemi più profondi che potrebbero esistere.

Eccezioni alle minacce

Se vuoi sopprimere o aumentare gli avvisi per ID di firme delle minacce specifici, puoi utilizzare i profili di sicurezza per eseguire l'override delle azioni predefinite associate alle minacce. Puoi trovare gli ID delle firme delle minacce esistenti rilevate da Cloud NGFW nei log delle minacce.

Cloud NGFW fornisce visibilità sulle minacce rilevate nel tuo ambiente. Per visualizzare le minacce rilevate nella rete, consulta Visualizza minacce.

Antivirus

Per impostazione predefinita, Cloud NGFW genera un avviso quando rileva una minaccia di virus nel traffico di rete di uno qualsiasi dei suoi protocolli supportati. Puoi utilizzare i profili di sicurezza per eseguire l'override di questa azione predefinita e consentire o negare il traffico di rete in base al protocollo di rete.

Protocolli supportati

Cloud NGFW supporta i seguenti protocolli per il rilevamento antivirus:

SMTP
SMB
POP3
IMAP
HTTP2
HTTP
FTP

Azioni supportate

Cloud NGFW supporta le seguenti azioni antivirus per i protocolli supportati:

DEFAULT: il comportamento predefinito dell'azione antivirus di Palo Alto Networks.

Se viene rilevata una minaccia nel traffico del protocollo SMTP, IMAP o POP3, Cloud NGFW genera un avviso nei log delle minacce. Se viene rilevata una minaccia nel traffico del protocollo FTP, HTTP o SMB, Cloud NGFW blocca il traffico. Per saperne di più, consulta la documentazione sulle azioni di Palo Alto Networks .
ALLOW: consente il traffico.
DENY: nega il traffico.
ALERT: genera un avviso nei log delle minacce. Questo è il comportamento predefinito di Cloud NGFW.

Best practice per l'utilizzo delle azioni antivirus

Ti consigliamo di configurare le azioni antivirus in modo da negare tutte le minacce di virus. Utilizza le seguenti indicazioni per determinare se negare il traffico o generare un avviso:

Per le applicazioni mission critical, inizia con l'azione del profilo di sicurezza impostata su alert. Questa impostazione ti consente di monitorare e valutare le minacce senza interrompere il traffico. Dopo aver verificato che il profilo di sicurezza soddisfi i requisiti aziendali e di sicurezza, puoi modificare l'azione del profilo di sicurezza in deny.
Per le applicazioni non critiche, imposta l'azione del profilo di sicurezza su deny. È sicuro bloccare immediatamente il traffico dannoso per le applicazioni non critiche.

Per configurare un'azione di avviso o negare il traffico di rete per tutti i protocolli di rete supportati, utilizza i seguenti comandi:

Per configurare un'azione di avviso per le minacce antivirus per tutti i protocolli supportati:
```
gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action ALERT \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID
```
Sostituisci quanto segue:
- NAME: il nome del profilo di sicurezza; puoi specificare il nome come stringa o come identificatore URL univoco.
- ORGANIZATION_ID: l'organizzazione in cui viene creato il profilo di sicurezza.
  
  Se utilizzi un identificatore URL univoco per il name flag, puoi omettere il organization flag.
- LOCATION: la località del profilo di sicurezza.
  
  La località è sempre impostata su global. Se utilizzi un identificatore URL univoco per il flag name, puoi omettere il flag location.
- PROJECT_ID: l'ID progetto da utilizzare per le quote e le limitazioni di accesso al profilo di sicurezza.
Per configurare un'azione di negazione per le minacce antivirus per tutti i protocolli supportati:
```
gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action DENY \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID
```
Sostituisci quanto segue:
- NAME: il nome del profilo di sicurezza; puoi specificare il nome come stringa o come identificatore URL univoco.
- ORGANIZATION_ID: l'organizzazione in cui viene creato il profilo di sicurezza.
  
  Se utilizzi un identificatore URL univoco per il name flag, puoi omettere il organization flag.
- LOCATION: la località del profilo di sicurezza.
  
  La località è sempre impostata su global. Se utilizzi un identificatore URL univoco per il flag name, puoi omettere il flag location.
- PROJECT_ID: l'ID progetto da utilizzare per le quote e le limitazioni di accesso al profilo di sicurezza.

Per saperne di più su come configurare l'override, consulta Aggiungere azioni di override in un profilo di sicurezza per la prevenzione delle minacce.

Frequenza di aggiornamento dei contenuti

Cloud NGFW aggiorna automaticamente tutte le firme senza alcun intervento da parte degli utenti, che perciò possono concentrarsi sull'analisi e sulla risoluzione delle minacce senza gestire o aggiornare le firme.

Gli aggiornamenti di Palo Alto Networks vengono acquisiti da Cloud NGFW e inviati a tutti gli endpoint firewall esistenti. La latenza di aggiornamento stimata è di 48 ore.

Visualizza i log

Diverse funzionalità di Cloud NGFW generano avvisi, che vengono inviati al log delle minacce. Per saperne di più sul logging, consulta Cloud Logging.

Panoramica delle firme per le minacce Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.