為保護網路免於惡意攻擊,Cloud Next Generation Firewall 採用 Palo Alto Networks 的特徵型威脅偵測技術。特徵碼型威脅偵測功能會比對網路流量模式與已知的威脅特徵碼,藉此找出惡意行為。
本文將介紹威脅偵測功能,以及這些功能如何保護虛擬私有雲 (VPC) 網路中的資源。此外,您也會瞭解如何使用安全性設定檔覆寫預設動作,以及自訂威脅例外狀況和防毒行為。
您可以設定及管理下列威脅偵測功能:
預設特徵集
Cloud NGFW 提供一組預設的威脅特徵,可協助您保護網路工作負載,防範威脅。這些特徵可用於偵測安全漏洞和間諜軟體。如要查看 Cloud NGFW 中設定的所有威脅特徵,請前往威脅資料庫。如果您還沒有帳戶,請註冊新帳戶。
安全漏洞偵測特徵會偵測嘗試利用系統漏洞發動攻擊,或未經授權存取系統的行為。反間諜軟體特徵的作用則是在流量離開網路時,找出受感染的主機,而安全漏洞偵測特徵則可防範進入網路的威脅。
舉例來說,安全漏洞偵測特徵有助於防範緩衝區溢位、非法執行程式碼,以及其他試圖利用系統安全漏洞發動攻擊的行為。預設安全漏洞偵測特徵能為用戶端和伺服器,偵測所有已知的重大、高嚴重性和中等嚴重性威脅,以及任何低嚴重性和資訊嚴重性威脅。
反間諜軟體簽章可偵測遭入侵主機上的間諜軟體。這類間諜軟體可能會嘗試連線至外部命令與控制 (C2) 伺服器。
防毒簽章可偵測可執行檔和檔案類型中的病毒和惡意軟體。
每項威脅特徵碼也都有相關聯的預設動作。您可以透過安全性設定檔覆寫這些特徵碼的動作,並在防火牆政策規則中,將這些設定檔做為安全性設定檔群組的一部分。如果攔截到的流量中偵測到任何已設定的威脅特徵碼,防火牆端點就會對相符的封包執行安全性設定檔中指定的動作。
威脅嚴重性等級
威脅特徵的嚴重程度代表偵測到的事件風險,而 Cloud NGFW 會針對相符的流量產生警告。下表提供各個威脅嚴重性等級的簡要說明。
| 嚴重性 | 說明 |
|---|---|
| 重大 | 嚴重威脅會導致伺服器遭入侵並取得 root 權限。例如影響廣泛部署軟體的預設安裝,以及漏洞攻擊程式碼四處散布,攻擊者可輕易取得並利用。攻擊者通常不需要任何特殊驗證憑證,或對個別受害者有所瞭解,也不需要引導目標執行任何特殊功能。 |
| 高 | 可能成為重大威脅,但有緩解因素,例如利用難度高、無法讓攻擊者取得進階權限,或受害者人數有限。 |
| 中 | 影響程度不大,不會危害目標,或攻擊者必須與受害者位於相同的本機網路。這類攻擊只會影響非標準設定或不常見的應用程式,或能提供的存取權極其有限。 |
| 低 | 對組織基礎架構影響極小的警告級威脅。這類威脅通常需要本機或實體系統存取權,通常可能會引發受害者隱私權問題或資訊外洩。 |
| 參考用 | 不會構成立即威脅的可疑事件,但仍會加以回報,指出可能存在更深層的問題。 |
威脅例外狀況
如要抑制或增加特定威脅簽章 ID 的快訊,可以使用安全性設定檔覆寫與威脅相關聯的預設動作。您可以在威脅記錄中,找到 Cloud NGFW 偵測到的現有威脅簽章 ID。
Cloud NGFW 可顯示環境中偵測到的威脅。如要查看網路中偵測到的威脅,請參閱「查看威脅」。
防毒軟體
根據預設,只要在網路流量 (必須採用支援的通訊協定) 發現病毒威脅,Cloud NGFW 就會產生警告。您可以透過安全性設定檔覆寫這項預設動作,並根據網路通訊協定允許或拒絕網路流量。
支援的通訊協定
Cloud NGFW 支援下列通訊協定,可偵測防毒:
SMTPSMBPOP3IMAPHTTP2HTTPFTP
支援的動作
Cloud NGFW 支援下列防毒動作,適用於支援的通訊協定:
DEFAULT:Palo Alto Networks 防毒軟體動作的預設行為。如果 SMTP、IMAP 或 POP3 通訊協定流量中發現威脅,Cloud NGFW 會在威脅記錄中產生警示。如果 Cloud NGFW 在 FTP、HTTP 或 SMB 通訊協定流量中發現威脅,就會封鎖該流量。詳情請參閱 Palo Alto Networks 動作說明文件。
ALLOW:允許流量。DENY:拒絕流量。ALERT:在威脅記錄中產生警示。這是 Cloud NGFW 的預設行為。
使用防毒動作的最佳做法
建議您將防毒動作設為拒絕所有病毒威脅。請按照下列指引,判斷要拒絕流量還是產生快訊:
- 對於業務關鍵應用程式,請先將安全設定檔的動作設為
alert。這樣一來,您就能監控及評估威脅,同時不會中斷流量。確認安全設定檔符合業務和安全需求後,即可將安全設定檔的動作變更為deny。 - 對於非重要應用程式,請將安全設定檔的動作設為
deny。非重要應用程式可立即封鎖惡意流量。
如要設定快訊或拒絕所有支援網路通訊協定的網路流量,請使用下列指令:
如要為所有支援的通訊協定設定防毒威脅的快訊動作,請按照下列步驟操作:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action ALERT \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_ID更改下列內容:
NAME:安全設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。ORGANIZATION_ID:建立安全設定檔的機構。如果您使用專屬網址 ID 做為
name標記,可以省略organization標記。LOCATION:安全性設定檔的位置。位置一律設為「
global」。如果您使用專屬網址 ID 做為name標記,可以省略location標記。PROJECT_ID:用於安全設定檔配額和存取限制的專案 ID。
如要針對所有支援的通訊協定,對防毒威脅設定拒絕動作,請按照下列步驟操作:
gcloud network-security security-profiles threat-prevention add-override NAME \ --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \ --action DENY \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_ID更改下列內容:
NAME:安全設定檔的名稱,您可以將名稱指定為字串或專屬網址 ID。ORGANIZATION_ID:建立安全設定檔的機構。如果您使用專屬網址 ID 做為
name標記,可以省略organization標記。LOCATION:安全性設定檔的位置。位置一律設為「
global」。如果您使用專屬網址 ID 做為name標記,可以省略location標記。PROJECT_ID:用於安全設定檔配額和存取限制的專案 ID。
如要進一步瞭解如何設定覆寫,請參閱「在威脅防護安全設定檔中新增覆寫動作」。
內容更新頻率
Cloud NGFW 會自動更新所有特徵,無需人力介入,您可以專心分析及解決威脅,不必管理或更新特徵。
Cloud NGFW 會接收來自 Palo Alto Networks 的更新內容,並推送至所有現有的防火牆端點。更新延遲時間最長約為 48 小時。
查看記錄
Cloud NGFW 的多項功能都會產生警告,系統會將這些警告傳送至威脅記錄。如要進一步瞭解記錄功能,請參閱 Cloud Logging。