Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS.
Présentation des signatures de menaces
La détection des menaces basée sur les signatures est l'un des mécanismes les plus couramment utilisés pour identifier les comportements malveillants. Elle est donc largement utilisée pour prévenir les attaques réseau. Les fonctionnalités de détection des menaces de Cloud Next Generation Firewall sont basées sur les technologies de prévention des menaces de Palo Alto Networks.
Cette section présente la liste des signatures de menaces par défaut, des niveaux de gravité des menaces compatibles et des exceptions aux menaces fournies par Cloud NGFW en partenariat avec Palo Alto Networks.
Ensemble de signatures par défaut
Cloud NGFW fournit un ensemble de signatures de menaces par défaut qui vous aident à protéger vos charges de travail réseau contre les menaces. Les signatures sont utilisées pour détecter les failles et les logiciels espions. Pour afficher toutes les signatures de menaces configurées dans Cloud NGFW, accédez au coffre-fort de menace.
Si vous ne possédez pas déjà un compte, créez-en un.
Les signatures de détection des failles détectent les tentatives d'exploitation des failles du système ou d'accès non autorisé aux systèmes. Alors que les signatures anti-espions permettent d'identifier les hôtes infectés lorsque le trafic quitte le réseau, les signatures de détection des failles protègent contre les menaces qui pénètrent le réseau.
Par exemple, les signatures de détection des failles permettent de vous protéger contre les dépassements de mémoire tampon, l'exécution illégale de code et d'autres tentatives d'exploitation des failles du système. Les signatures de détection des failles par défaut permettent de détecter, pour les clients et les serveurs, toutes les menaces connues de gravité critique, élevée et moyenne, ainsi que toutes les menaces de gravité faible et informationnelle.
Les signatures anti-espions détectent les logiciels espions sur les hôtes compromis.
Ces logiciels espions peuvent tenter de contacter des serveurs de commande et de contrôle (C2) externes.
Les signatures antivirus détectent les virus et les logiciels malveillants trouvés dans les exécutables et les types de fichiers.
Les signatures DNS détectent les requêtes DNS visant à se connecter à des domaines malveillants.
Chaque signature de menace est également associée à une action par défaut. Vous pouvez utiliser des profils de sécurité pour remplacer les actions liées à ces signatures et référencer ces profils au sein d'un groupe de profils de sécurité dans une règle de stratégie de pare-feu. Si une signature de menace configurée est détectée dans le trafic intercepté, le point de terminaison de pare-feu effectue l'action correspondante spécifiée dans le profil de sécurité sur les paquets correspondants.
Niveaux de gravité des menaces
La gravité d'une signature de menace indique le niveau de risque de l'événement détecté et Cloud NGFW génère des alertes pour le trafic correspondant.
Le tableau suivant récapitule les niveaux de gravité des menaces.
| Gravité |
Description |
| Critique |
Les menaces graves entraînent une compromission des serveurs. Il peut s'agir, par exemple, de menaces qui affectent les installations par défaut de logiciels largement déployés et dont le code d'exploitation est largement accessible aux pirates informatiques. Le pirate n'a généralement pas besoin d'identifiants d'authentification particuliers ou de connaissances sur les victimes individuelles, et la cible n'a pas besoin d'être manipulée pour accomplir des fonctions particulières.
|
| Élevée |
Menaces qui ont la capacité de devenir critiques, mais qui présentent des facteurs atténuants. Par exemple, elles peuvent être difficiles à exploiter, ne pas donner lieu à une élévation des privilèges, ou ne pas toucher un grand nombre de victimes. |
| Moyenne |
Menaces mineures dont l'impact est minimisé et qui ne compromettent pas la cible, ou exploits nécessitant qu'un pirate informatique réside sur le même réseau local que la victime Ces attaques n'affectent que les configurations non standard ou les applications méconnues, ou bien elles offrent un accès très limité. |
| Faible |
Menaces de niveau "avertissement" qui ont très peu d'impact sur l'infrastructure d'une organisation. Ces menaces nécessitent généralement un accès local ou physique au système et peuvent souvent entraîner des problèmes de confidentialité pour les victimes et des fuites d'informations. |
| Informationnelle |
Événements suspects qui ne constituent pas une menace immédiate, mais qui sont signalés pour indiquer des problèmes potentiels plus profonds. |
Exception(s) à la menace
Si vous souhaitez supprimer ou augmenter les alertes sur des ID de signature de menace spécifiques, vous pouvez utiliser les profils de sécurité pour remplacer les actions par défaut associées aux menaces. Vous pouvez trouver les ID de signature de menace des menaces existantes détectées par Cloud NGFW dans vos journaux de menaces.
Cloud NGFW permet de voir quelles sont les menaces détectées dans votre environnement. Pour afficher les menaces détectées dans votre réseau, consultez la section Afficher les menaces.
Fréquence de mise à jour des contenus
Cloud NGFW met automatiquement à jour toutes les signatures sans aucune intervention de l'utilisateur. Vous pouvez ainsi vous concentrer sur l'analyse et la résolution des menaces sans gérer ni mettre à jour les signatures.
Les mises à jour de Palo Alto Networks sont récupérées par Cloud NGFW et transmises à tous les points de terminaison de pare-feu existants. La latence de mise à jour est estimée à 48 heures maximum.
Afficher les journaux
Plusieurs fonctionnalités de Cloud NGFW génèrent des alertes, qui sont envoyées au journal des menaces. Pour en savoir plus sur la journalisation, consultez la section Cloud Logging.
Étapes suivantes
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/03/03 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Il n'y a pas l'information dont j'ai besoin","missingTheInformationINeed","thumb-down"],["Trop compliqué/Trop d'étapes","tooComplicatedTooManySteps","thumb-down"],["Obsolète","outOfDate","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Mauvais exemple/Erreur de code","samplesCodeIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/03/03 (UTC)."],[[["\u003cp\u003eCloud NGFW uses a default set of threat signatures from Palo Alto Networks to detect vulnerabilities, spyware, and viruses in network traffic.\u003c/p\u003e\n"],["\u003cp\u003eThreat signatures have severity levels, ranging from "Critical" to "Informational," which indicate the risk and impact of the detected event.\u003c/p\u003e\n"],["\u003cp\u003eSecurity profiles can be used to override the default actions associated with threats, allowing for customized responses such as alerting or denying traffic.\u003c/p\u003e\n"],["\u003cp\u003eCloud NGFW automatically updates threat signatures from Palo Alto Networks, with an estimated update latency of up to 48 hours.\u003c/p\u003e\n"],["\u003cp\u003eCloud NGFW generates alerts for detected threats, which are sent to the threat log, and can be viewed for further analysis.\u003c/p\u003e\n"]]],[],null,["# Threat signatures overview\n\nSignature-based threat detection is one of the most commonly used mechanisms to\nidentify malicious behavior, and is therefore widely used to prevent\nnetwork attacks. Cloud Next Generation Firewall's threat detection capabilities are powered\nby Palo Alto Networks threat prevention technologies.\n\nThis section lists the default threat signatures, supported threat severity\nlevels, and threat exceptions provided by Cloud NGFW in partnership\nwith Palo Alto Networks.\n\nDefault signature set\n---------------------\n\nCloud NGFW provides a default set of\n[threat signatures](https://docs.paloaltonetworks.com/pan-os/10-0/pan-os-admin/threat-prevention/threat-signatures.html)\nthat help you to safeguard your network workloads from threats. The\nsignatures are used to detect vulnerabilities and spyware. To view\nall the threat signatures configured in Cloud NGFW,\ngo to the [threat vault](https://threatvault.paloaltonetworks.com/).\nIf you don't already have an account, sign-up for a new account.\n\n- **Vulnerability detection signatures** detect attempts to exploit system\n flaws or gain unauthorized access to systems. While anti-spyware signatures\n help identify infected hosts when traffic leaves the network, vulnerability\n detection signatures safeguard against threats that penetrate the network.\n\n For example, vulnerability detection signatures help protect against buffer\n overflows, illegal code execution, and other attempts to exploit system\n vulnerabilities. The default vulnerability detection signatures provide\n detection for clients and servers from all known\n critical-, high-, and medium-severity threats along with any low- and\n informational-severity threats.\n- **Anti-spyware signatures** detect spyware on compromised hosts.\n Such spyware might try to contact external command-and-control (C2) servers.\n\n- **Antivirus signatures** detect viruses and malware found in executables\n and file types.\n\nEach threat signature also has a [default action](https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-web-interface-help/objects/objects-security-profiles/actions-in-security-profiles)\nassociated with it. You can use\n[security profiles](/firewall/docs/about-security-profiles) to override\nthe actions for these signatures, and reference these profiles as part of a\n[security profile group](/firewall/docs/about-security-profile-groups)\nin a firewall policy rule. If any configured threat\nsignature is detected in the intercepted traffic, the [firewall endpoint](/firewall/docs/about-firewall-endpoints)\nperforms the corresponding action specified in the security profile on the\nmatched packets.\n\nThreat severity levels\n----------------------\n\nA threat signature's severity indicates the risk of the detected event, and\nCloud NGFW generates alerts for matching traffic.\nThe following table summarizes the threat severity levels.\n\nThreat exceptions\n-----------------\n\nIf you want to suppress or increase alerts on specific threat signature IDs, you\ncan use [security profiles](/firewall/docs/about-security-profiles) to override\nthe default actions associated with threats. You can find the threat signature\nIDs of existing threats detected by Cloud NGFW in your threat logs.\n\nCloud NGFW provides visibility on threats that are detected in your\nenvironment. To view threats detected in your network, see [View threats](/firewall/docs/view-threats).\n\nAntivirus\n---------\n\nBy default, Cloud NGFW generates an alert when it finds a virus\nthreat in the network traffic of any of its supported protocols. You\ncan use [security profiles](/firewall/docs/about-security-profiles) to override\nthis default action, and allow or deny the network traffic based on the network\nprotocol.\n\n### Supported protocols\n\nCloud NGFW supports the following protocols for antivirus detection:\n\n- `SMTP`\n- `SMB`\n- `POP3`\n- `IMAP`\n- `HTTP2`\n- `HTTP`\n- `FTP`\n\n### Supported actions\n\nCloud NGFW supports the following antivirus actions for its\nsupported protocols:\n\n- `DEFAULT`: the default behavior of Palo Alto Networks antivirus action.\n\n If a threat is found in the SMTP, IMAP, or\n POP3 protocol traffic, Cloud NGFW generates an alert in the\n threat logs. If a threat is found in the FTP, HTTP, or SMB protocol\n traffic, Cloud NGFW blocks the traffic.\n For more information, see the [Palo Alto Networks actions\n documentation](https://docs.paloaltonetworks.com/network-security/security-policy/administration/security-profiles/security-profile-antivirus).\n- `ALLOW`: allow the traffic.\n\n- `DENY`: deny the traffic.\n\n- `ALERT`: generate an alert in the threat logs. This is the default behavior\n of Cloud NGFW.\n\n### Best practices for using the antivirus actions\n\nWe recommend that you configure the antivirus actions\nto deny all virus threats. Use the following guidance to determine whether to\ndeny the traffic or generate an alert:\n\n- For business-critical applications, start with the security profile's action set to `alert`. This setting lets you monitor and assess threats without disrupting the traffic. After you confirm that the security profile meets your business and security requirements, you can change the security profile's action to `deny`.\n- For non-critical applications, set the security profile's action to `deny`. It's safe to block malicious traffic for non-critical applications immediately.\n\nTo set up an alert or to deny network traffic for all supported network\nprotocols, use the following commands:\n\n- To set up an alert action on antivirus threats for all supported protocols:\n\n ```\n gcloud network-security security-profiles threat-prevention add-override NAME \\\n --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \\\n --action ALERT \\\n --organization ORGANIZATION_ID \\\n --location LOCATION \\\n --project PROJECT_ID\n ```\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eNAME\u003c/var\u003e: the name of the security profile; you can specify\n the name as a string or as a unique URL identifier.\n\n - \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the organization where the security\n profile is created.\n\n If you use a unique URL identifier for the\n `name` flag, you can omit the `organization` flag.\n - \u003cvar translate=\"no\"\u003eLOCATION\u003c/var\u003e: the location of the security profile.\n\n Location is always set to `global`. If you use a unique URL identifier\n for the `name` flag, you can omit the `location` flag.\n - \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: the project ID to use\n for quotas and access restrictions on the security profile.\n\n- To set up a deny action on antivirus threats for all supported protocols:\n\n ```\n gcloud network-security security-profiles threat-prevention add-override NAME \\\n --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \\\n --action DENY \\\n --organization ORGANIZATION_ID \\\n --location LOCATION \\\n --project PROJECT_ID\n ```\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eNAME\u003c/var\u003e: the name of the security profile; you can specify\n the name as a string or as a unique URL identifier.\n\n - \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the organization where the security\n profile is created.\n\n If you use a unique URL identifier for the\n `name` flag, you can omit the `organization` flag.\n - \u003cvar translate=\"no\"\u003eLOCATION\u003c/var\u003e: the location of the security profile.\n\n Location is always set to `global`. If you use a unique URL identifier\n for the `name` flag, you can omit the `location` flag.\n - \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: the project ID to use\n for quotas and access restrictions on the security profile.\n\nFor more information about how to set up the override, see [Add override actions\nin a security\nprofile](/firewall/docs/configure-security-profiles#add-overrides).\n\nContent update frequency\n------------------------\n\nCloud NGFW automatically updates all signatures without any user\nintervention, enabling you to focus on analyzing and resolving threats\nwithout managing or updating signatures.\n\nUpdates from Palo Alto Networks are picked up by Cloud NGFW and\npushed to all the existing firewall endpoints. Update latency is estimated\nto be up to 48 hours.\n\nView logs\n---------\n\nSeveral features of Cloud NGFW generate alerts, which are sent to\nthe threat log. For more information about logging, see\n[Cloud Logging](/logging/docs/overview).\n\nWhat's next\n-----------\n\n- [View threats](/firewall/docs/view-threats)\n- [Intrusion detection and prevention service overview](/firewall/docs/about-intrusion-prevention)\n- [Configure intrusion detection and prevention service](/firewall/docs/configure-intrusion-prevention)"]]
