Log ancaman memungkinkan Anda mengaudit, memverifikasi, dan menganalisis ancaman yang terdeteksi di jaringan Anda.
Saat mendeteksi ancaman pada traffic yang sedang
dipantau untuk inspeksi Lapisan 7, Cloud Next Generation Firewall akan membuat entri log
di project asal dengan detail ancaman. Untuk melihat dan memeriksa log ancaman, di Logs Explorer, telusuri log networksecurity.googleapis.com/firewall_threat
.
Anda juga dapat melihat log ancaman ini di halaman Ancaman.
Halaman ini menjelaskan format dan struktur log ancaman yang dibuat saat ancaman terdeteksi.
Format log ancaman
Cloud NGFW membuat entri data log di Cloud Logging untuk setiap ancaman yang terdeteksi pada traffic yang dipantau ke atau dari instance virtual machine (VM) di zona tertentu. Data log disertakan dalam kolom payload JSON dari LogEntry.
Beberapa kolom log menggunakan format multi-kolom, dengan lebih dari satu bagian data dalam kolom tertentu. Misalnya, kolom connection
memiliki format Connection
, yang berisi alamat IP dan port server, alamat IP dan port klien, serta nomor protokol dalam satu kolom.
Tabel berikut menjelaskan format kolom log ancaman.
Kolom | Jenis | Deskripsi |
---|---|---|
connection
|
Connection
|
5-tuple yang menjelaskan parameter koneksi yang terkait dengan traffic tempat ancaman terdeteksi. |
action
|
string
|
Tindakan yang dilakukan pada paket tempat ancaman terdeteksi. Tindakan ini dapat berupa tindakan default atau tindakan penggantian yang ditentukan dalam profil keamanan. |
threatDetails
|
ThreatDetails
|
Detail ancaman yang terdeteksi. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
Detail grup profil keamanan yang diterapkan ke traffic yang dicegat. |
interceptVpc
|
VpcDetails
|
Detail jaringan Virtual Private Cloud (VPC) yang terkait dengan instance VM tempat ancaman terdeteksi. |
Format kolom Connection
Tabel berikut menjelaskan format kolom Connection
.
Kolom | Jenis | Deskripsi |
---|---|---|
clientIp
|
string
|
Alamat IP klien. Jika klien adalah VM Compute Engine, clientIp adalah alamat IP internal utama atau alamat dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan. Log menampilkan alamat IP instance VM seperti yang diamati pada header paket, mirip dengan dump TCP di instance VM.
|
clientPort
|
integer
|
Nomor port klien. |
serverIp
|
string
|
Alamat IP server. Jika server adalah VM Compute Engine, serverIp adalah alamat IP internal utama atau alamat dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan meskipun digunakan untuk membuat koneksi.
|
serverPort
|
integer
|
Nomor port server. |
protocol
|
string
|
Protokol IP koneksi. |
Format kolom ThreatDetails
Tabel berikut menjelaskan format kolom ThreatDetails
.
Kolom | Jenis | Deskripsi |
---|---|---|
id
|
string
|
ID ancaman Palo Alto Networks yang unik. |
threat
|
string
|
Nama ancaman yang terdeteksi. |
description
|
string
|
Deskripsi mendetail tentang ancaman yang terdeteksi. |
direction
|
string
|
Arah traffic. Misalnya client_to_server atau server_to_client .
|
severity
|
string
|
Tingkat keparahan yang terkait dengan ancaman yang terdeteksi. Untuk mengetahui informasi selengkapnya, lihat Tingkat keparahan ancaman. |
detectionTime
|
string
|
Waktu saat ancaman terdeteksi. |
category
|
string
|
Subjenis ancaman yang terdeteksi. Misalnya, CODE_EXECUTION .
|
uriOrFilename
|
string
|
URI atau nama file ancaman yang relevan (jika ada). |
type
|
string
|
Jenis ancaman yang terdeteksi. Misalnya, SPYWARE .
|
repeatCount
|
integer
|
Jumlah sesi dengan alamat IP klien, alamat IP server, dan jenis ancaman yang sama yang terlihat dalam waktu lima detik. |
cves
|
string
|
Daftar Kerentanan dan Eksposur Umum (CVE) yang terkait dengan ancaman. Contoh, CVE-2021-44228-Apache Log4j remote code execution vulnerability .
|
Format kolom SecurityProfileGroupDetails
Tabel berikut menjelaskan format kolom SecurityProfileGroupDetails
.
Kolom | Jenis | Deskripsi |
---|---|---|
securityProfileGroupId
|
string
|
Nama grup profil keamanan yang diterapkan ke traffic. |
organizationId
|
integer
|
ID organisasi tempat instance VM berada. |
Format kolom VpcDetails
Tabel berikut menjelaskan format kolom VpcDetails
.
Kolom | Jenis | Deskripsi |
---|---|---|
vpc
|
string
|
Nama jaringan VPC yang terkait dengan traffic yang dicegat. |
projectId
|
string
|
Nama project Google Cloud yang terkait dengan jaringan VPC. |