脅威のログ

脅威ログを使用すると、ネットワークで検出された脅威を監査、検証、分析できます。

Cloud Next Generation Firewall は、レイヤ 7 の検査用にモニタリングされているトラフィックで脅威を検出すると、送信元プロジェクトに脅威の詳細を含むログエントリを生成します。脅威ログを表示して確認するには、ログ エクスプローラでログ networksecurity.googleapis.com/firewall_threat を検索します。これらの脅威ログは、[脅威] ページでも確認できます。

このページでは、脅威の検出時に生成される脅威ログの形式と構造について説明します。

脅威ログの形式

Cloud NGFW は、特定のゾーンにある仮想マシン(VM)インスタンスとの間でモニタリングしているトラフィックに脅威を検出すると、そのたびに Cloud Logging にログレコードのエントリを作成します。ログレコードは、LogEntry の JSON ペイロード フィールドに含まれます。

一部のログフィールドはマルチ フィールド形式であり、所定のフィールドに複数のデータが含まれます。たとえば、connection フィールドは Connection 形式で、サーバーの IP アドレスとポート、クライアントの IP アドレスとポート、プロトコル番号が 1 つのフィールドに格納されます。

次の表に、脅威ログのフィールドの形式を示します。

フィールド 種類 説明
connection Connection 脅威が検出されたトラフィックに関連付けられた接続パラメータを表す 5 タプル。
action string 脅威が検出されたパケットに対して実行されるアクション。このアクションは、セキュリティ プロファイルで指定されたデフォルト アクションか、オーバーライド アクションのいずれかになります。
threatDetails ThreatDetails 検出された脅威の詳細。
securityProfileGroupDetails SecurityProfileGroupDetails インターセプトされたトラフィックに適用されたセキュリティ プロファイル グループの詳細。
interceptVpc VpcDetails 脅威が検出された VM インスタンスに関連付けられた Virtual Private Cloud(VPC)ネットワークの詳細。

Connection フィールドの形式

次の表に、Connection フィールドの形式を示します。

フィールド 種類 説明
clientIp string クライアントの IP アドレス。クライアントが Compute Engine VM の場合、clientIp はプライマリ内部 IP アドレスか、VM のネットワーク インターフェースのエイリアス IP 範囲のアドレスです。外部 IP アドレスは表示されません。ログには、VM インスタンスの TCP ダンプと同様に、パケット ヘッダーで確認された VM インスタンスの IP アドレスが含まれます。
clientPort integer クライアントのポート番号。
serverIp string サーバーの IP アドレス。サーバーが Compute Engine VM の場合、serverIp はプライマリ内部 IP アドレスか、VM のネットワーク インターフェースのエイリアス IP 範囲のアドレスです。外部 IP アドレスは、接続の確立で使用されていても表示されません。
serverPort integer サーバーポート番号。
protocol string 接続の IP プロトコル

ThreatDetails フィールドの形式

次の表に、ThreatDetails フィールドの形式を示します。

フィールド 種類 説明
id string 一意の Palo Alto Networks 脅威識別子。
threat string 検出された脅威の名前。
description string 検出された脅威の詳細な説明。
direction string トラフィックの方向。たとえば、client_to_server や、server_to_client です。
severity string 検出された脅威に関連する重大度。詳細については、脅威の重大度レベルをご覧ください。
detectionTime string 脅威が検出された時刻。
category string 検出された脅威のサブタイプ。例: CODE_EXECUTION
uriOrFilename string 関連する脅威の URI またはファイル名(該当する場合)。
type string 検出された脅威の種類。例: SPYWARE
repeatCount integer 同じクライアント IP アドレス、サーバー IP アドレス、脅威タイプで、5 秒以内に確認されたセッションの数。
cves string 脅威に関連する共通脆弱性識別子(CVE)のリスト。例: CVE-2021-44228-Apache Log4j remote code execution vulnerability

SecurityProfileGroupDetails フィールドの形式

次の表に、SecurityProfileGroupDetails フィールドの形式を示します。

フィールド 種類 説明
securityProfileGroupId string トラフィックに適用されるセキュリティ プロファイル グループ名。
organizationId integer VM インスタンスが属する組織 ID。

VpcDetails フィールドの形式

次の表に、VpcDetails フィールドの形式を示します。

フィールド 種類 説明
vpc string インターセプトされたトラフィックに関連付けられている VPC ネットワークの名前。
projectId string VPC ネットワークに関連付けられている Google Cloud プロジェクトの名前。

次のステップ