Log delle minacce

I log delle minacce ti consentono di controllare, verificare e analizzare le minacce rilevate nella tua rete.

Quando Cloud Next Generation Firewall rileva una minaccia nel traffico che viene monitorato per l'ispezione di livello 7, genera una voce di log nel progetto di origine con i dettagli della minaccia. Per visualizzare ed esaminare i log delle minacce, in Esplora log, cerca il log networksecurity.googleapis.com/firewall_threat. Puoi visualizzare questi log delle minacce anche nella pagina Minacce.

Questa pagina spiega il formato e la struttura dei log delle minacce che sono generati quando viene rilevata una minaccia.

Formato dei log delle minacce

Cloud NGFW crea una voce nel record di log in Cloud Logging per ogni minaccia rilevata sul il traffico monitorato da o verso un'istanza di una macchina virtuale (VM) in una zona specifica. I record di log sono inclusi nel campo del payload JSON di un LogEntry.

Alcuni campi di log sono in un formato con più campi, con più di un dato in un determinato campo. Ad esempio, il campo connection è del tipo Connection , che contiene l'indirizzo IP del server e la porta, l'indirizzo IP del client e porta e il numero di protocollo in un unico campo.

La tabella seguente descrive il formato dei campi del log delle minacce.

Campo Tipo Descrizione
connection Connection Un quintuple che descrive i parametri di connessione associati al traffico in cui viene rilevata la minaccia.
action string L'azione eseguita sul pacchetto in cui viene rilevata la minaccia. Questa azione può essere l'azione predefinita o l'azione di override specificata nel profilo di sicurezza.
threatDetails ThreatDetails I dettagli della minaccia rilevata.
securityProfileGroupDetails SecurityProfileGroupDetails I dettagli del gruppo di profili di sicurezza applicati al traffico intercettato.
interceptVpc VpcDetails I dettagli della rete Virtual Private Cloud (VPC) associata all'istanza VM in cui viene rilevata la minaccia.

Formato del campo Connection

La tabella seguente descrive il formato del campo Connection.

Campo Tipo Descrizione
clientIp string L'indirizzo IP del client. Se il client è una VM di Compute Engine, clientIp è l'indirizzo IP interno principale o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene visualizzato. I log mostrano l'indirizzo IP dell'istanza VM osservato nell'intestazione del pacchetto, in modo simile al dump TCP nell'istanza VM.
clientPort integer Il numero di porta del client.
serverIp string L'indirizzo IP del server. Se il server è una VM Compute Engine, serverIp è l'indirizzo IP interno principale o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene mostrato anche se viene utilizzato per effettuare la connessione.
serverPort integer Il numero di porta del server.
protocol string Il protocollo IP della connessione.

Formato del campo ThreatDetails

La tabella seguente descrive il formato del campo ThreatDetails.

Campo Tipo Descrizione
id string L'identificatore univoco della minaccia Palo Alto Networks.
threat string Il nome della minaccia rilevata.
description string Una descrizione dettagliata della minaccia rilevata.
direction string La direzione del traffico. Ad esempio, client_to_server o server_to_client.
severity string La gravità associata alla minaccia rilevata. Per ulteriori informazioni, consulta la sezione Livelli di gravità delle minacce.
detectionTime string L'ora in cui viene rilevata la minaccia.
category string Il sottotipo della minaccia rilevata. Ad esempio, CODE_EXECUTION.
uriOrFilename string L'URI o il nome file della minaccia pertinente (se applicabile).
type string Il tipo di minaccia rilevata. Ad esempio, SPYWARE.
repeatCount integer Il numero di sessioni con lo stesso indirizzo IP client, indirizzo IP server e tipo di minaccia rilevati entro cinque secondi.
cves string Un elenco di vulnerabilità ed esposizione comuni (CVE) associate alla minaccia. Ad esempio, CVE-2021-44228-Apache Log4j remote code execution vulnerability.

Formato del campo SecurityProfileGroupDetails

Nella tabella seguente viene descritto il formato dell'elemento SecurityProfileGroupDetails .

Campo Tipo Descrizione
securityProfileGroupId string Il nome del gruppo di profili di sicurezza applicato al traffico.
organizationId integer L'ID organizzazione a cui appartiene l'istanza VM.

Formato del campo VpcDetails

La tabella seguente descrive il formato del campo VpcDetails.

Campo Tipo Descrizione
vpc string Il nome della rete VPC associata al traffico intercettato.
projectId string Il nome del progetto Google Cloud associato alla rete VPC.

Passaggi successivi