Esta página foi traduzida pela API Cloud Translation.

Registos de ameaças

Os registos de ameaças permitem-lhe auditar, validar e analisar as ameaças detetadas na sua rede.

Quando a firewall de nova geração do Google Cloud deteta uma ameaça no tráfego que está a ser monitorizado para inspeção da camada 7, gera uma entrada de registo no projeto de origem com os detalhes da ameaça. Para ver e examinar os registos de ameaças, no Explorador de registos, pesquise o registo networksecurity.googleapis.com/firewall_threat. Também pode ver estes registos de ameaças na página Ameaças.

Esta página explica o formato e a estrutura dos registos de ameaças gerados quando uma ameaça é detetada.

Formato do registo de ameaças

O NGFW da nuvem cria uma entrada de registo no Cloud Logging para cada ameaça detetada no tráfego monitorizado para ou a partir de uma instância de máquina virtual (VM) numa zona específica. Os registos de registo estão incluídos no campo de payload JSON de um LogEntry.

Alguns campos de registo estão num formato de vários campos, com mais do que um conjunto de dados num determinado campo. Por exemplo, o campo connection está no formato Connection, que contém o endereço IP e a porta do servidor, o endereço IP e a porta do cliente, e o número do protocolo num único campo.

A tabela seguinte descreve o formato dos campos do registo de ameaças.

Campo	Tipo	Descrição
`connection`	`Connection`	Uma tupla de 5 elementos que descreve os parâmetros de ligação associados ao tráfego onde a ameaça é detetada.
`action`	`string`	A ação realizada no pacote onde a ameaça é detetada. Esta ação pode ser a ação predefinida ou a ação de substituição especificada no perfil de segurança. Nota: quando é detetada uma ameaça com a ação de substituição `DENY`, o campo `action` apresenta `DROP`, uma vez que o pacote é rejeitado, e é gerado um alerta.
`threatDetails`	`ThreatDetails`	Os detalhes da ameaça detetada.
`securityProfileGroupDetails`	`SecurityProfileGroupDetails`	Os detalhes do grupo de perfis de segurança aplicado ao tráfego intercetado.
`interceptVpc`	`VpcDetails`	Os detalhes da rede da nuvem virtual privada (VPC) associada à instância de VM onde a ameaça é detetada.
`interceptInstance`	`InterceptInstance`	Os detalhes da instância de VM onde a ameaça é detetada.

Formato do campo `Connection`

A tabela seguinte descreve o formato do campo Connection.

Campo	Tipo	Descrição
`clientIp`	`string`	O endereço IP do cliente. Se o cliente for uma VM do Compute Engine, `clientIp` é o endereço IP interno principal ou um endereço num intervalo de IPs de alias da interface de rede da VM. O endereço IP externo não é apresentado. Os registos mostram o endereço IP da instância de VM, conforme observado no cabeçalho do pacote, semelhante ao TCP dump na instância de VM.
`clientPort`	`integer`	O número da porta do cliente.
`serverIp`	`string`	O endereço IP do servidor. Se o servidor for uma VM do Compute Engine, `serverIp` é o endereço IP interno principal ou um endereço num intervalo de IPs de alias da interface de rede da VM. O endereço IP externo não é apresentado, mesmo que seja usado para estabelecer a ligação.
`serverPort`	`integer`	O número da porta do servidor.
`protocol`	`string`	O protocolo IP da ligação.

Formato do campo `ThreatDetails`

A tabela seguinte descreve o formato do campo ThreatDetails.

Campo	Tipo	Descrição
`id`	`string`	O identificador de ameaças exclusivo da Palo Alto Networks.
`threat`	`string`	O nome da ameaça detetada.
`description`	`string`	Uma descrição detalhada da ameaça detetada.
`direction`	`string`	A direção do trânsito. Por exemplo, `client_to_server` ou `server_to_client`.
`application`	`string`	A aplicação associada à ameaça detetada.
`severity`	`string`	A gravidade associada à ameaça detetada. Para mais informações, consulte o artigo Níveis de gravidade das ameaças.
`detectionTime`	`string`	A hora em que a ameaça é detetada.
`category`	`string`	O subtipo da ameaça detetada. Por exemplo, `CODE_EXECUTION`.
`uriOrFilename`	`string`	O URI ou o nome do ficheiro da ameaça relevante (se aplicável).
`type`	`string`	O tipo de ameaça detetada. Por exemplo, `SPYWARE`.
`repeatCount`	`integer`	O número de sessões com o mesmo endereço IP do cliente, endereço IP do servidor e tipo de ameaça observados no prazo de cinco segundos.
`cves`	`string`	Uma lista de vulnerabilidades e exposições comuns (CVEs) associadas à ameaça. Por exemplo, `CVE-2021-44228-Apache Log4j remote code execution vulnerability`.

Formato do campo `SecurityProfileGroupDetails`

A tabela seguinte descreve o formato do campo SecurityProfileGroupDetails.

Campo	Tipo	Descrição
`securityProfileGroupId`	`string`	O nome do grupo de perfis de segurança que é aplicado ao tráfego.
`organizationId`	`integer`	O ID da organização à qual a instância de VM pertence.

Formato do campo `VpcDetails`

A tabela seguinte descreve o formato do campo VpcDetails.

Campo	Tipo	Descrição
`vpc`	`string`	O nome da rede VPC associada ao tráfego intercetado.
`projectId`	`string`	O nome do Google Cloud projeto associado à rede VPC.

Formato do campo `InterceptInstance`

A tabela seguinte descreve o formato do campo InterceptInstance.

Campo	Tipo	Descrição
`projectId`	`string`	O nome do Google Cloud projeto associado ao tráfego intercetado.
`vm`	`string`	O nome da instância de VM associada ao tráfego intercetado.

Correlação do registo de ameaças com um registo de firewall

Quando um pacote corresponde a uma regra de firewall com o registo ativado, o Cloud NGFW regista uma entrada de Registo de regras de firewall. Esta entrada inclui campos como o endereço IP de origem, o endereço IP de destino e a hora da inspeção de pacotes. Para ver estes registos de regras de firewall, consulte o artigo Ver registos.

Se tiver uma regra de política de firewall para inspeção da camada 7 com o registo ativado, o NGFW da nuvem regista primeiro a entrada de registo de regras de firewall para o pacote correspondente. Em seguida, envia o pacote para o ponto final da firewall para inspeção da camada 7. O ponto final da firewall analisa o pacote em busca de ameaças. Se for detetada uma ameaça, é criado um registo de ameaças separado. Este registo de ameaças inclui campos como o tipo de ameaça, a origem da ameaça e o destino da ameaça. Para ver os registos de ameaças, consulte a secção Ver ameaças.

Pode comparar os campos no registo de regras da firewall e no registo de ameaças para identificar o pacote que acionou a ameaça e tomar as medidas adequadas para a resolver.

Por exemplo, tem uma regra de política de firewall configurada com as seguintes definições:

Endereço IP de origem: 192.0.2.0
Porta de origem: 47644
Endereço IP de destino: 192.0.2.1
Porta de destino: 80
Registo: Enabled

Para ver os registos de ameaças associados a esta regra, navegue para a página Explorador de registos. No painel Consulta, cole a seguinte consulta no campo do editor de consultas.

    resource.type="networksecurity.googleapis.com/FirewallEndpoint"
    jsonPayload.source_ip_address="192.0.2.0"
    jsonPayload.source_port="47644"
    jsonPayload.destination_ip_address="192.0.2.1"
    jsonPayload.destination_port="80"

A secção Resultados da consulta apresenta o seguinte registo de ameaças:

    {
      insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
      jsonPayload: {
      action: "reset-server"
      alert_severity: "HIGH"
      alert_time: "2023-11-28T19:07:15Z"
      category: "info-leak"
      ▸ cves: [6]
      }
      destination_ip_address: "192.0.2.1"
      destination_port: "80"
      details:
      "This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
      attacker to access sensitive information and conduct further attacks."
      direction: "CLIENT_TO_SERVER"
      ip_protocol: "tcp"
      name: "Microsoft Windows win.ini Access Attempt Detected"
      network: "projects/XXXX/global/networks/fwplus-vpc.
      repeat_count: "1"
      security_profile_group:
      "organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
      source_ip_address: "192.0.2.0"
      source_port: "47644"
      threat_id: "30851"
      type: "vulnerability"
      uri_or_filename:
      logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
      receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
      ▸ resource: {2}
    }
    timestamp: "2023-11-28T19:08:47.560012184Z"

Da mesma forma, para ver os registos da firewall associados a esta regra, navegue para a página Logs Explorer. No painel Consulta, cole a seguinte consulta no campo do editor de consultas.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

A secção Resultados da consulta apresenta o seguinte registo da firewall:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id:XXXX
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Com as consultas do registo de ameaças e do registo da firewall, pode ver a correlação entre elas. A tabela seguinte mapeia os campos do registo da firewall para os campos do registo de ameaças correspondentes.

Campo do registo de firewall	Campo do registo de ameaças	Descrição
`src_ip`	`source_ip_address`	O endereço IP de origem no registo da firewall está correlacionado com o endereço IP de origem no registo de ameaças para identificar a origem da potencial ameaça
`src_port`	`source_port`	A porta de origem no registo da firewall está correlacionada com a porta de origem no registo de ameaças para identificar a porta de origem usada na potencial ameaça
`dest_ip`	`destination_ip_address`	O endereço IP de destino no registo da firewall está correlacionado com o endereço IP de destino no registo de ameaças para identificar o alvo da potencial ameaça
`dest_port`	`destination_port`	A porta de destino no registo da firewall está correlacionada com a porta de destino no registo de ameaças para identificar a porta de destino usada na potencial ameaça

Registos de ameaças Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Formato do registo de ameaças

Formato do campo Connection

Formato do campo ThreatDetails

Formato do campo SecurityProfileGroupDetails

Formato do campo VpcDetails

Formato do campo InterceptInstance