I log delle minacce consentono di controllare, verificare e analizzare le minacce rilevate nel tuo in ogni rete.
Quando Cloud Next Generation Firewall rileva una minaccia nel traffico che viene
monitorato per l'ispezione di livello 7, genera una voce di log
nel progetto di origine con i dettagli della minaccia. Per visualizzare ed esaminare
I log delle minacce in Esplora log,
cerca il log networksecurity.googleapis.com/firewall_threat.
Puoi visualizzare i log delle minacce anche nella pagina Minacce.
Questa pagina spiega il formato e la struttura dei log delle minacce che sono generati quando viene rilevata una minaccia.
Formato dei log delle minacce
Cloud NGFW crea una voce nel record di log in Cloud Logging per ogni minaccia rilevata sul il traffico monitorato da o verso un'istanza di una macchina virtuale (VM) in una zona specifica. I record di log sono inclusi nel campo del payload JSON di un LogEntry.
Alcuni campi del log sono in un formato a più campi, con più di un dato
in un determinato campo. Ad esempio, il campo connection è del tipo Connection
, che contiene l'indirizzo IP del server e la porta, l'indirizzo IP del client
e porta e il numero di protocollo in un unico campo.
La tabella seguente descrive il formato dei campi del log delle minacce.
| Campo | Tipo | Descrizione |
|---|---|---|
connection
|
Connection
|
Una tupla a 5 tuple che descrive i parametri di connessione associati al traffico in cui viene rilevata la minaccia. |
action
|
string
|
L'azione eseguita sul pacchetto in cui viene rilevata la minaccia. Questa azione può essere l'azione predefinita o l'azione di override specificata nel profilo di sicurezza. Per ulteriori informazioni sulle azioni predefinite, vedi Set di firma predefinita. |
threatDetails
|
ThreatDetails
|
I dettagli della minaccia rilevata. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
I dettagli del gruppo di profili di sicurezza applicati al traffico intercettato. |
interceptVpc
|
VpcDetails
|
Dettagli della rete Virtual Private Cloud (VPC) associata all'istanza VM in cui viene rilevata la minaccia. |
Formato del campo Connection
Nella tabella seguente viene descritto il formato del campo Connection.
| Campo | Tipo | Descrizione |
|---|---|---|
clientIp
|
string
|
L'indirizzo IP del client. Se il client è una VM di Compute Engine, clientIp è l'indirizzo IP interno principale o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene visualizzato. I log mostrano l'indirizzo IP dell'istanza VM come osservato nell'intestazione del pacchetto, in modo simile al dump TCP sull'istanza VM.
|
clientPort
|
integer
|
Il numero di porta del client. |
serverIp
|
string
|
L'indirizzo IP del server. Se il server è una VM Compute Engine, serverIp è l'indirizzo IP interno principale o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene mostrato anche se viene utilizzato per effettuare la connessione.
|
serverPort
|
integer
|
Il numero di porta del server. |
protocol
|
string
|
Il protocollo IP della connessione. |
Formato del campo ThreatDetails
Nella tabella seguente viene descritto il formato del campo ThreatDetails.
| Campo | Tipo | Descrizione |
|---|---|---|
id
|
string
|
L'identificatore univoco delle minacce di Palo Alto Networks. |
threat
|
string
|
Il nome della minaccia rilevata. |
description
|
string
|
Una descrizione dettagliata della minaccia rilevata. |
direction
|
string
|
La direzione del traffico. Ad esempio, client_to_server o server_to_client.
|
severity
|
string
|
La gravità associata alla minaccia rilevata. Per ulteriori informazioni, vedi Livelli di gravità delle minacce. |
detectionTime
|
string
|
L'ora in cui viene rilevata la minaccia. |
category
|
string
|
Il sottotipo della minaccia rilevata. Ad esempio, CODE_EXECUTION.
|
uriOrFilename
|
string
|
L'URI o il nome del file della minaccia pertinente (se applicabile). |
type
|
string
|
Il tipo di minaccia rilevata. Ad esempio, SPYWARE.
|
repeatCount
|
integer
|
Il numero di sessioni con lo stesso indirizzo IP client, indirizzo IP del server e tipo di minaccia rilevato in cinque secondi. |
cves
|
string
|
Un elenco di vulnerabilità ed esposizione comuni (CVE) associate alla minaccia. Ad esempio, CVE-2021-44228-Apache Log4j remote code execution vulnerability.
|
Formato del campo SecurityProfileGroupDetails
Nella tabella seguente viene descritto il formato dell'elemento SecurityProfileGroupDetails
.
| Campo | Tipo | Descrizione |
|---|---|---|
securityProfileGroupId
|
string
|
Il nome del gruppo di profili di sicurezza applicato al traffico. |
organizationId
|
integer
|
L'ID organizzazione a cui appartiene l'istanza VM. |
Formato del campo VpcDetails
Nella tabella seguente viene descritto il formato del campo VpcDetails.
| Campo | Tipo | Descrizione |
|---|---|---|
vpc
|
string
|
Il nome della rete VPC associata al traffico intercettato. |
projectId
|
string
|
Il nome del progetto Google Cloud associato alla rete VPC. |