Log ancaman memungkinkan Anda mengaudit, memverifikasi, dan menganalisis ancaman yang terdeteksi di jaringan Anda.
Saat mendeteksi ancaman pada traffic yang sedang dipantau untuk inspeksi Lapisan 7, Cloud Next Generation Firewall akan menghasilkan entri log dalam project asal yang berisi detail ancaman tersebut. Untuk melihat dan memeriksa
log ancaman, di Logs Explorer,
telusuri log networksecurity.googleapis.com/firewall_threat
.
Anda juga dapat melihat log ancaman ini di halaman Ancaman.
Halaman ini menjelaskan format dan struktur log ancaman yang dibuat saat ancaman terdeteksi.
Format log ancaman
Cloud NGFW membuat entri catatan log di Cloud Logging untuk setiap ancaman yang terdeteksi pada traffic yang dimonitor ke atau dari instance virtual machine (VM) di zona tertentu. Data log disertakan dalam kolom payload JSON pada LogEntry.
Beberapa kolom log memiliki format multi-kolom, dengan lebih dari satu bagian data
dalam kolom tertentu. Misalnya, kolom connection
adalah format Connection
, yang berisi port dan alamat IP server, port dan alamat IP klien, serta nomor protokol dalam satu kolom.
Tabel berikut menjelaskan format kolom log ancaman.
Kolom | Jenis | Deskripsi |
---|---|---|
connection
|
Connection
|
5-tuple yang menjelaskan parameter koneksi yang terkait dengan traffic tempat ancaman terdeteksi. |
action
|
string
|
Tindakan yang dilakukan pada paket tempat ancaman terdeteksi. Tindakan ini dapat berupa tindakan default atau tindakan penggantian yang ditentukan di profil keamanan. Untuk informasi selengkapnya tentang tindakan default, lihat Kumpulan tanda tangan default. |
threatDetails
|
ThreatDetails
|
Detail ancaman yang terdeteksi. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
Detail grup profil keamanan yang diterapkan ke traffic yang disadap. |
interceptVpc
|
VpcDetails
|
Detail jaringan Virtual Private Cloud (VPC) yang terkait dengan instance VM tempat ancaman terdeteksi. |
Format kolom Connection
Tabel berikut menjelaskan format kolom Connection
.
Kolom | Jenis | Deskripsi |
---|---|---|
clientIp
|
string
|
Alamat IP klien. Jika klien adalah VM Compute Engine, clientIp adalah alamat IP internal utama atau alamat dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan. Log tersebut menampilkan alamat IP instance VM seperti yang diamati pada header paket, mirip dengan dump TCP di instance VM.
|
clientPort
|
integer
|
Nomor port klien. |
serverIp
|
string
|
Alamat IP server. Jika servernya adalah VM Compute Engine, serverIp adalah alamat IP internal utama atau alamat dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan meskipun digunakan dalam pembuatan koneksi.
|
serverPort
|
integer
|
Nomor port server. |
protocol
|
string
|
Protokol IP koneksi. |
Format kolom ThreatDetails
Tabel berikut menjelaskan format kolom ThreatDetails
.
Kolom | Jenis | Deskripsi |
---|---|---|
id
|
string
|
ID ancaman Palo Alto Networks yang unik. |
threat
|
string
|
Nama ancaman yang terdeteksi. |
description
|
string
|
Deskripsi mendetail tentang ancaman yang terdeteksi. |
severity
|
string
|
Tingkat keparahan yang terkait dengan ancaman yang terdeteksi. Untuk mengetahui informasi selengkapnya, lihat Tingkat keparahan ancaman. |
detectionTime
|
string
|
Waktu saat ancaman terdeteksi. |
category
|
string
|
Subjenis ancaman yang terdeteksi. Misalnya, CODE_EXECUTION .
|
uriOrFilename
|
string
|
URI atau nama file ancaman yang relevan (jika ada). |
type
|
string
|
Jenis ancaman yang terdeteksi. Misalnya, SPYWARE .
|
repeatCount
|
integer
|
Jumlah sesi dengan alamat IP klien, alamat IP server, dan jenis ancaman yang sama yang terlihat dalam lima detik. |
cves
|
string
|
Daftar Kerentanan dan Eksposur Umum (CVE) yang terkait dengan ancaman. Contoh, CVE-2021-44228-Apache Log4j remote code execution vulnerability .
|
Format kolom SecurityProfileGroupDetails
Tabel berikut menjelaskan format kolom
SecurityProfileGroupDetails
.
Kolom | Jenis | Deskripsi |
---|---|---|
securityProfileGroupId
|
string
|
Nama grup profil keamanan yang diterapkan ke traffic. |
organizationId
|
integer
|
ID organisasi tempat instance VM berada. |
Format kolom VpcDetails
Tabel berikut menjelaskan format kolom VpcDetails
.
Kolom | Jenis | Deskripsi |
---|---|---|
vpc
|
string
|
Nama jaringan VPC yang terkait dengan traffic yang disadap. |
projectId
|
string
|
Nama project Google Cloud yang dikaitkan dengan jaringan VPC. |