借助威胁日志,您可以审核、验证和分析在网络中检测到的威胁。
若 Cloud 新一代防火墙检测到正在监控进行第 7 层检查的流量存在威胁,则会在原始项目中生成一个日志条目,其中包含威胁的详细信息。如需查看和检查威胁日志,请在 Logs Explorer 中搜索日志 networksecurity.googleapis.com/firewall_threat。您还可以在威胁页面上查看这些威胁日志。
本页介绍了在检测到威胁时生成的威胁日志的格式和结构。
威胁日志格式
Cloud NGFW 会在 Cloud Logging 中,为进出特定可用区的虚拟机 (VM) 实例的受监控流量中检测到的每个威胁创建日志记录条目。日志记录包含在 LogEntry 的 JSON 载荷字段中。
某些日志字段采用多字段格式,在给定字段中包含多段数据。例如,connection 字段采用 Connection 格式,它在单个字段中包含服务器 IP 地址和端口、客户端 IP 地址和端口以及协议编号。
下表介绍了威胁日志字段的格式。
| 字段 | 类型 | 说明 |
|---|---|---|
connection
|
Connection
|
一个 5 元组,用于描述与检测到威胁的流量关联的连接参数。 |
action
|
string
|
对检测到威胁的数据包执行的操作。此操作可以是安全配置文件中指定的默认操作或替换操作。 |
threatDetails
|
ThreatDetails
|
检测到的威胁的详细信息。 |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
应用于被拦截流量的安全配置文件组的详细信息。 |
interceptVpc
|
VpcDetails
|
与检测到威胁的虚拟机实例关联的虚拟私有云 (VPC) 网络的详细信息。 |
Connection 字段格式
下表介绍了 Connection 字段的格式。
| 字段 | 类型 | 说明 |
|---|---|---|
clientIp
|
string
|
客户端 IP 地址。如果客户端是 Compute Engine 虚拟机,则 clientIp 是主要内部 IP 地址或虚拟机网络接口的别名 IP 范围内的地址。系统不显示外部 IP 地址。日志显示数据包标头上观察到的虚拟机实例的 IP 地址,类似于虚拟机实例上的 TCP 转储。 |
clientPort
|
integer
|
客户端端口号。 |
serverIp
|
string
|
服务器 IP 地址。如果服务器是 Compute Engine 虚拟机,则 serverIp 是主要内部 IP 地址或虚拟机网络接口的别名 IP 范围内的地址。即使使用外部 IP 地址进行连接,系统也不会显示此地址。 |
serverPort
|
integer
|
服务器端口号。 |
protocol
|
string
|
连接的 IP 协议。 |
ThreatDetails 字段格式
下表介绍了 ThreatDetails 字段的格式。
| 字段 | 类型 | 说明 |
|---|---|---|
id
|
string
|
唯一的 Palo Alto Networks 威胁标识符。 |
threat
|
string
|
检测到的威胁的名称。 |
description
|
string
|
检测到的威胁的详细说明。 |
direction
|
string
|
流量方向。例如 client_to_server 或 server_to_client。
|
severity
|
string
|
与检测到的威胁关联的严重级别。如需了解详情,请参阅威胁严重级别。 |
detectionTime
|
string
|
检测到威胁的时间。 |
category
|
string
|
检测到的威胁的子类型。例如 CODE_EXECUTION。
|
uriOrFilename
|
string
|
相关威胁的 URI 或文件名(如果适用)。 |
type
|
string
|
检测到的威胁类型。例如 SPYWARE。
|
repeatCount
|
integer
|
在五秒内出现相同客户端 IP 地址、服务器 IP 地址和威胁类型的会话数。 |
cves
|
string
|
与威胁关联的常见漏洞和披露 (CVE) 列表。例如 CVE-2021-44228-Apache Log4j remote code execution vulnerability。
|
SecurityProfileGroupDetails 字段格式
下表介绍了 SecurityProfileGroupDetails 字段的格式。
| 字段 | 类型 | 说明 |
|---|---|---|
securityProfileGroupId
|
string
|
应用于流量的安全配置文件组名称。 |
organizationId
|
integer
|
虚拟机实例所属的组织 ID。 |
VpcDetails 字段格式
下表介绍了 VpcDetails 字段的格式。
| 字段 | 类型 | 说明 |
|---|---|---|
vpc
|
string
|
与被拦截流量关联的 VPC 网络的名称。 |
projectId
|
string
|
与 VPC 网络关联的 Google Cloud 项目的名称。 |