Mit Bedrohungslogs können Sie die in Ihrem Netzwerk erkannten Bedrohungen im Blick behalten, prüfen und analysieren.
Wenn Cloud Next Generation Firewall eine Bedrohung im Traffic erkennt, der für die Layer-7-Prüfung überwacht wird, generiert sie einen Logeintrag im ursprünglichen Projekt mit den Details zur Bedrohung. Suchen Sie im Log-Explorer nach dem Log networksecurity.googleapis.com/firewall_threat, um die Bedrohungslogs anzuzeigen und zu prüfen.
Sie können diese Bedrohungsprotokolle auch auf der Seite Bedrohungen aufrufen.
Auf dieser Seite werden das Format und die Struktur der Bedrohungsprotokolle erläutert, die generiert werden, wenn eine Bedrohung erkannt wird.
Format von Bedrohungslogs
Cloud NGFW erstellt in Cloud Logging einen Logeintrag für jede Bedrohung, die für den überwachten Traffic zu oder von einer VM-Instanz in einer bestimmten Zone erkannt wird. Logeinträge werden im JSON-Nutzlastfeld eines LogEntry erfasst.
Einige Logfelder haben ein Mehrfeldformat mit mehr als einem Datenelement in einem bestimmten Feld. Das Feld connection hat beispielsweise das Format Connection. Dieses Format enthält die IP-Adresse und den Port des Servers, die IP-Adresse und den Port des Clients sowie die Protokollnummer in einem einzelnen Feld.
In der folgenden Tabelle wird das Format der Bedrohungslogfelder beschrieben.
| Feld | Typ | Beschreibung |
|---|---|---|
connection
|
Connection
|
Ein 5-Tupel, das die Verbindungsparameter beschreibt, die dem Traffic zugeordnet sind, bei dem die Bedrohung erkannt wird. |
action
|
string
|
Die Aktion, die für das Paket ausgeführt wurde, in dem die Bedrohung erkannt wird. Diese Aktion kann entweder die Standardaktion oder die im Sicherheitsprofil angegebene Überschreibungsaktion sein. |
threatDetails
|
ThreatDetails
|
Details zur erkannten Bedrohung. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
Die Details der Sicherheitsprofilgruppe, die auf den abgefangenen Traffic angewendet wird. |
interceptVpc
|
VpcDetails
|
Die Details des Virtual Private Cloud-Netzwerks (VPC), das mit der VM-Instanz verknüpft ist, in der die Bedrohung erkannt wird. |
Format des Felds Connection
In der folgenden Tabelle wird das Format des Felds Connection beschrieben.
| Feld | Typ | Beschreibung |
|---|---|---|
clientIp
|
string
|
Die IP-Adresse des Clients. Wenn der Client eine Compute Engine-VM ist, ist clientIp entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben. Die Logs enthalten die im Paketheader beobachtete IP-Adresse der VM-Instanz, ähnlich wie der TCP-Dump auf der VM-Instanz.
|
clientPort
|
integer
|
Die Clientportnummer. |
serverIp
|
string
|
Die IP-Adresse des Servers. Wenn die Quelle eine Compute Engine-VM ist, ist serverIp entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde.
|
serverPort
|
integer
|
Die Server-Portnummer. |
protocol
|
string
|
Das IP-Protokoll der Verbindung. |
Format des Felds ThreatDetails
In der folgenden Tabelle wird das Format des Felds ThreatDetails beschrieben.
| Feld | Typ | Beschreibung |
|---|---|---|
id
|
string
|
Die eindeutige Bedrohungs-ID von Palo Alto Networks. |
threat
|
string
|
Der Name der erkannten Bedrohung. |
description
|
string
|
Eine detaillierte Beschreibung der erkannten Bedrohung. |
direction
|
string
|
Die Richtung des Traffics. Beispiel: client_to_server oder server_to_client.
|
severity
|
string
|
Der Schweregrad der erkannten Bedrohung. Weitere Informationen finden Sie unter Schweregrade von Bedrohungen. |
detectionTime
|
string
|
Die Zeit, zu der die Bedrohung erkannt wird. |
category
|
string
|
Der Untertyp der erkannten Bedrohung. Beispiel: CODE_EXECUTION.
|
uriOrFilename
|
string
|
Der URI oder Dateiname der relevanten Bedrohung (falls zutreffend). |
type
|
string
|
Die Art der erkannten Bedrohung. Beispiel: SPYWARE.
|
repeatCount
|
integer
|
Die Anzahl der Sitzungen mit derselben Client-IP-Adresse, Server-IP-Adresse und Bedrohungstyp, die innerhalb von fünf Sekunden erfasst wurden. |
cves
|
string
|
Eine Liste der Common Vulnerabilities and Exposures (CVEs), die mit der Bedrohung in Verbindung stehen. Beispiel: CVE-2021-44228-Apache Log4j remote code execution vulnerability.
|
Format des Felds SecurityProfileGroupDetails
In der folgenden Tabelle wird das Format des Felds SecurityProfileGroupDetails beschrieben.
| Feld | Typ | Beschreibung |
|---|---|---|
securityProfileGroupId
|
string
|
Der Name der Sicherheitsprofilgruppe, die auf den Traffic angewendet wird. |
organizationId
|
integer
|
Die Organisations-ID, zu der die VM-Instanz gehört. |
Format des Felds VpcDetails
In der folgenden Tabelle wird das Format des Felds VpcDetails beschrieben.
| Feld | Typ | Beschreibung |
|---|---|---|
vpc
|
string
|
Der Name des VPC-Netzwerks, das dem abgefangenen Traffic zugeordnet ist. |
projectId
|
string
|
Der Name des Google Cloud-Projekts, das mit dem VPC-Netzwerk verknüpft ist. |