Log ancaman

Log ancaman memungkinkan Anda mengaudit, memverifikasi, dan menganalisis ancaman yang terdeteksi di jaringan Anda.

Saat mendeteksi ancaman pada traffic yang sedang dipantau untuk inspeksi Lapisan 7, Cloud Next Generation Firewall akan membuat entri log di project asal dengan detail ancaman. Untuk melihat dan memeriksa log ancaman, di Logs Explorer, telusuri log networksecurity.googleapis.com/firewall_threat. Anda juga dapat melihat log ancaman ini di halaman Ancaman.

Halaman ini menjelaskan format dan struktur log ancaman yang dibuat saat ancaman terdeteksi.

Format log ancaman

Cloud NGFW membuat entri data log di Cloud Logging untuk setiap ancaman yang terdeteksi pada traffic yang dipantau ke atau dari instance virtual machine (VM) di zona tertentu. Data log disertakan dalam kolom payload JSON dari LogEntry.

Beberapa kolom log menggunakan format multi-kolom, dengan lebih dari satu bagian data dalam kolom tertentu. Misalnya, kolom connection memiliki format Connection, yang berisi alamat IP dan port server, alamat IP dan port klien, serta nomor protokol dalam satu kolom.

Tabel berikut menjelaskan format kolom log ancaman.

Kolom Jenis Deskripsi
connection Connection 5-tuple yang menjelaskan parameter koneksi yang terkait dengan traffic tempat ancaman terdeteksi.
action string Tindakan yang dilakukan pada paket tempat ancaman terdeteksi. Tindakan ini dapat berupa tindakan default atau tindakan penggantian yang ditentukan dalam profil keamanan.
threatDetails ThreatDetails Detail ancaman yang terdeteksi.
securityProfileGroupDetails SecurityProfileGroupDetails Detail grup profil keamanan yang diterapkan ke traffic yang dicegat.
interceptVpc VpcDetails Detail jaringan Virtual Private Cloud (VPC) yang terkait dengan instance VM tempat ancaman terdeteksi.

Format kolom Connection

Tabel berikut menjelaskan format kolom Connection.

Kolom Jenis Deskripsi
clientIp string Alamat IP klien. Jika klien adalah VM Compute Engine, clientIp adalah alamat IP internal utama atau alamat dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan. Log menampilkan alamat IP instance VM seperti yang diamati pada header paket, mirip dengan dump TCP di instance VM.
clientPort integer Nomor port klien.
serverIp string Alamat IP server. Jika server adalah VM Compute Engine, serverIp adalah alamat IP internal utama atau alamat dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan meskipun digunakan untuk membuat koneksi.
serverPort integer Nomor port server.
protocol string Protokol IP koneksi.

Format kolom ThreatDetails

Tabel berikut menjelaskan format kolom ThreatDetails.

Kolom Jenis Deskripsi
id string ID ancaman Palo Alto Networks yang unik.
threat string Nama ancaman yang terdeteksi.
description string Deskripsi mendetail tentang ancaman yang terdeteksi.
direction string Arah traffic. Misalnya client_to_server atau server_to_client.
severity string Tingkat keparahan yang terkait dengan ancaman yang terdeteksi. Untuk mengetahui informasi selengkapnya, lihat Tingkat keparahan ancaman.
detectionTime string Waktu saat ancaman terdeteksi.
category string Subjenis ancaman yang terdeteksi. Misalnya, CODE_EXECUTION.
uriOrFilename string URI atau nama file ancaman yang relevan (jika ada).
type string Jenis ancaman yang terdeteksi. Misalnya, SPYWARE.
repeatCount integer Jumlah sesi dengan alamat IP klien, alamat IP server, dan jenis ancaman yang sama yang terlihat dalam waktu lima detik.
cves string Daftar Kerentanan dan Eksposur Umum (CVE) yang terkait dengan ancaman. Contoh, CVE-2021-44228-Apache Log4j remote code execution vulnerability.

Format kolom SecurityProfileGroupDetails

Tabel berikut menjelaskan format kolom SecurityProfileGroupDetails.

Kolom Jenis Deskripsi
securityProfileGroupId string Nama grup profil keamanan yang diterapkan ke traffic.
organizationId integer ID organisasi tempat instance VM berada.

Format kolom VpcDetails

Tabel berikut menjelaskan format kolom VpcDetails.

Kolom Jenis Deskripsi
vpc string Nama jaringan VPC yang terkait dengan traffic yang dicegat.
projectId string Nama project Google Cloud yang terkait dengan jaringan VPC.

Langkah selanjutnya