Descripción general de las firmas de amenazas (original) (raw)

Para proteger tu red de ataques maliciosos, Cloud Next Generation Firewall usa las tecnologías de detección de amenazas basadas en firmas de Palo Alto Networks. La detección de amenazas basada en firmas identifica el comportamiento malicioso comparando los patrones de tráfico de red con firmas de amenazas conocidas.

En este documento, aprenderás sobre las funciones de detección de amenazas y cómo protegen los recursos en tu red de nube privada virtual (VPC). También aprenderás a usar perfiles de seguridad para anular acciones predeterminadas y personalizar excepciones de amenazas y el comportamiento del antivirus.

Puedes configurar y administrar las siguientes funciones de detección de amenazas:

Firmas de amenazas predeterminadas
Niveles de gravedad de amenazas admitidos
Excepciones de amenazas
Antivirus

Conjunto de firmas predeterminado

Cloud NGFW proporciona un conjunto predeterminado de firmas de amenazas que te ayudan a proteger las cargas de trabajo de la red contra las amenazas. Las firmas se usan para detectar vulnerabilidades y software espía. Para ver todas las firmas de amenazas configuradas en Cloud NGFW, ve a Almacenamiento de amenazas. Si aún no tienes una cuenta, regístrate para obtener una nueva.

Las firmas de detección de vulnerabilidades detectan intentos de explotar fallas del sistema, o bien obtener acceso no autorizado a los sistemas. Mientras que las firmas antiespía ayudan a identificar los hosts infectados cuando el tráfico sale de la red, las firmas de detección de vulnerabilidades protegen contra las amenazas que penetran en la red.
Por ejemplo, las firmas de detección de vulnerabilidades ayudan a proteger contra los desbordamientos de búfer, la ejecución de código ilegal y otros intentos de vulnerabilidades para el sistema. Las firmas predeterminadas de detección de vulnerabilidades proporcionan detección para los clientes y los servidores de todas las amenazas de gravedad crítica, alta y media, junto con cualquier amenaza de gravedad baja e informativa.
Las firmas anti software espía detectan el software espía en hosts vulnerados. Este software puede intentar comunicarse con servidores de control y comandos externos (C2).
Las firmas de antivirus detectan virus y software malicioso que se encuentran en ejecutables y tipos de archivos.

Cada firma de amenaza también tiene una acción predeterminada asociada. Puedes usar perfiles de seguridad para anular las acciones de estas firmas y hacer referencia a estos perfiles como parte de un grupo de perfiles de seguridad en una regla de política de firewall. Si se detecta alguna firma de amenaza configurada en el tráfico interceptado, el extremo de firewall realiza la acción correspondiente especificada en el perfil de seguridad en los paquetes coincidentes.

Niveles de gravedad de amenazas

La gravedad de una firma de amenaza indica el riesgo del evento detectado, y Cloud NGFW genera alertas para el tráfico coincidente. En la siguiente tabla, se resumen los niveles de gravedad de las amenazas.

Gravedad	Descripción
Crítico	Las amenazas graves provocan un compromiso raíz de los servidores. Por ejemplo, las amenazas que afectan las instalaciones predeterminadas de software ampliamente implementado y en las que el código de explotación está ampliamente disponible para los atacantes. Por lo general, el atacante no necesita ninguna credencial de autenticación especial ni conocimiento de las víctimas individuales, y no es necesario manipular el destino para realizar funciones especiales.
Alta	Amenazas que tienen la capacidad de ser esenciales, pero hay factores de mitigación. Por ejemplo, podrían ser difíciles de explotar, no dar como resultado privilegios elevados o no tener un grupo grande de víctimas.
Media	Amenazas menores en las que se minimiza el impacto y que no comprometen el objetivo, o vulnerabilidades que requieren que un atacante resida en la misma red local que la víctima. Estos ataques solo afectan a las configuraciones no estándar o a las aplicaciones ocultas, o proporcionan un acceso muy limitado.
Baja	Amenazas a nivel de advertencia que tienen muy poco impacto en la infraestructura de una organización. Por lo general, esas amenazas requieren acceso local o físico al sistema y, a menudo, pueden generar problemas de privacidad de las víctimas y filtraciones de información.
Informativo	Eventos sospechosos que no representan una amenaza inmediata, pero que se informan para indicar problemas más profundos que podrían existir.

Excepciones de amenazas

Si deseas suprimir o aumentar las alertas sobre IDs de firma de amenazas específicos, puedes usar perfiles de seguridad para anular las acciones predeterminadas asociadas con las amenazas. Puedes encontrar los IDs de firma de amenazas de las amenazas existentes que detecta Cloud NGFW en tus registros de amenazas.

Cloud NGFW proporciona visibilidad de las amenazas que se detectan en tu entorno. Para ver las amenazas detectadas en tu red, consulta Visualiza amenazas.

Antivirus

De forma predeterminada, Cloud NGFW genera una alerta cuando encuentra una amenaza de virus en el tráfico de red de cualquiera de sus protocolos compatibles. Puedes usar perfiles de seguridad para anular esta acción predeterminada y permitir o denegar el tráfico de red según el protocolo de red.

Protocolos admitidos

Cloud NGFW admite los siguientes protocolos para la detección de virus:

SMTP
SMB
POP3
IMAP
HTTP2
HTTP
FTP

Acciones admitidas

Cloud NGFW admite las siguientes acciones antivirus para sus protocolos compatibles:

DEFAULT: Es el comportamiento predeterminado de la acción del antivirus de Palo Alto Networks.
Si se encuentra una amenaza en el tráfico de los protocolos SMTP, IMAP o POP3, Cloud NGFW genera una alerta en los registros de amenazas. Si se detecta una amenaza en el tráfico de los protocolos FTP, HTTP o SMB, Cloud NGFW bloquea el tráfico. Para obtener más información, consulta la documentación de las acciones de Palo Alto Networks.
ALLOW: Permite el tráfico.
DENY: Deniega el tráfico.
ALERT: Genera una alerta en los registros de amenazas. Este es el comportamiento predeterminado de Cloud NGFW.

Prácticas recomendadas para usar las acciones del antivirus

Te recomendamos que configures las acciones del antivirus para rechazar todas las amenazas de virus. Usa la siguiente guía para determinar si rechazar el tráfico o generar una alerta:

Para las aplicaciones fundamentales para la empresa, comienza con el conjunto de acciones del perfil de seguridad establecido en alert. Este parámetro de configuración te permite supervisar y evaluar las amenazas sin interrumpir el tráfico. Después de confirmar que el perfil de seguridad cumple con los requisitos de tu empresa y de seguridad, puedes cambiar la acción del perfil de seguridad a deny.
Para las aplicaciones no críticas, establece la acción del perfil de seguridad en deny. Es seguro bloquear el tráfico malicioso de inmediato para las aplicaciones no críticas.

Para configurar una alerta o rechazar el tráfico de red para todos los protocolos de red admitidos, usa los siguientes comandos:

Para configurar una acción de alerta sobre amenazas de antivirus para todos los protocolos admitidos, haz lo siguiente:
gcloud network-security security-profiles threat-prevention add-override NAME \
--antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
--action ALERT \
--organization ORGANIZATION_ID \
--location LOCATION \
--project PROJECT_ID
Reemplaza lo siguiente:
- NAME: es el nombre del perfil de seguridad. puedes especificar el nombre como una cadena o como un identificador de URL único.
- ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.
  Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.
- LOCATION: es la ubicación del perfil de seguridad.
  La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca name, puedes omitir la marca location.
- PROJECT_ID: Es el ID del proyecto que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad.
Para configurar una acción de rechazo en las amenazas de antivirus para todos los protocolos admitidos, haz lo siguiente:
gcloud network-security security-profiles threat-prevention add-override NAME \
--antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
--action DENY \
--organization ORGANIZATION_ID \
--location LOCATION \
--project PROJECT_ID
Reemplaza lo siguiente:
- NAME: es el nombre del perfil de seguridad. puedes especificar el nombre como una cadena o como un identificador de URL único.
- ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.
  Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.
- LOCATION: es la ubicación del perfil de seguridad.
  La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca name, puedes omitir la marca location.
- PROJECT_ID: Es el ID del proyecto que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad.

Para obtener más información sobre cómo configurar la anulación, consulta Agrega acciones de anulación en un perfil de seguridad de prevención de amenazas.

Frecuencia de actualización del contenido

Cloud NGFW actualiza de forma automática todas las firmas sin intervención del usuario, lo que te permite enfocarte en analizar y resolver amenazas sin administrar o actualizar firmas.

Cloud NGFW recoge las actualizaciones de Palo Alto Networks y se envían a todos los extremos de firewall existentes. Se estima que la latencia de actualización es de hasta 48 horas.

Ver registros

Varias características de Cloud NGFW generan alertas, que se envían al registro de amenazas. Para obtener más información sobre el registro, consulta Cloud Logging.