위협 로그

위협 로그를 사용하면 네트워크에서 감지된 위협을 감사, 확인, 분석할 수 있습니다.

Cloud Next Generation Firewall은 레이어 7 검사를 위해 모니터링 중인 트래픽에 대한 위협을 감지하면 위협 세부정보가 있는 원래 프로젝트에 로그 항목을 생성합니다. 위협 로그를 보고 검사하려면 로그 탐색기에서 로그 networksecurity.googleapis.com/firewall_threat를 검색합니다. 위협 페이지에서도 이러한 위협 로그를 볼 수 있습니다.

이 페이지에서는 위협이 감지될 때 생성되는 위협 로그의 형식과 구조를 설명합니다.

위협 로그 형식

Cloud NGFW는 특정 영역의 가상 머신(VM) 인스턴스와 주고받는 모니터링 트래픽에서 감지된 각 위협에 대해 Cloud Logging에 로그 기록 항목을 만듭니다. 로그 기록은 LogEntry의 JSON 페이로드 필드에 포함됩니다.

일부 로그 필드는 한 필드에 두 가지 이상의 데이터를 포함하는 다중 필드 형식입니다. 예를 들어 connection 필드는 Connection 형식이며 서버 IP 주소 및 포트, 클라이언트 IP 주소 및 포트, 프로토콜 번호가 단일 필드에 포함됩니다.

다음 표에서는 위협 로그 필드의 형식을 설명합니다.

필드 유형 설명
connection Connection 위협이 감지된 트래픽과 연결된 연결 파라미터를 설명하는 5-튜플입니다.
action string 위협이 감지된 패킷에서 수행된 작업입니다. 이 작업은 기본 작업 또는 보안 프로필에 지정된 재정의 작업일 수 있습니다.
threatDetails ThreatDetails 감지된 위협의 세부정보입니다.
securityProfileGroupDetails SecurityProfileGroupDetails 가로챈 트래픽에 적용된 보안 프로필 그룹의 세부정보입니다.
interceptVpc VpcDetails 위협이 감지된 VM 인스턴스와 연결된 가상 프라이빗 클라우드(VPC) 네트워크의 세부정보입니다.

Connection 필드 형식

다음 표에서는 Connection 필드의 형식을 설명합니다.

필드 유형 설명
clientIp string 클라이언트 IP 주소입니다. 클라이언트가 Compute Engine VM인 경우 clientIp는 기본 내부 IP 주소이거나 VM 네트워크 인터페이스의 별칭 IP 범위에 있는 주소입니다. 외부 IP 주소는 표시되지 않습니다. 로그에는 VM 인스턴스의 TCP 덤프와 유사한, 패킷 헤더에서 확인된 VM 인스턴스의 IP 주소가 표시됩니다.
clientPort integer 클라이언트 포트 번호입니다.
serverIp string 서버 IP 주소입니다. 서버가 Compute Engine VM인 경우 serverIp는 기본 내부 IP 주소이거나 VM 네트워크 인터페이스의 별칭 IP 범위에 있는 주소입니다. 외부 IP 주소는 연결에 사용된 경우에도 표시되지 않습니다.
serverPort integer 서버 포트 번호입니다.
protocol string 연결의 IP 프로토콜입니다.

ThreatDetails 필드 형식

다음 표에서는 ThreatDetails 필드의 형식을 설명합니다.

필드 유형 설명
id string 고유한 Palo Alto Networks 위협 식별자입니다.
threat string 감지된 위협의 이름입니다.
description string 감지된 위협에 대한 자세한 설명입니다.
direction string 트래픽의 방향. 예를 들면 client_to_server 또는 server_to_client입니다.
severity string 감지된 위협과 관련된 심각도입니다. 자세한 내용은 위협 심각도 수준을 참고하세요.
detectionTime string 위협이 감지된 시간입니다.
category string 감지된 위협의 하위유형입니다. 예를 들면 CODE_EXECUTION입니다.
uriOrFilename string 관련 위협의 URI 또는 파일 이름입니다(해당하는 경우).
type string 감지된 위협의 유형입니다. 예를 들면 SPYWARE입니다.
repeatCount integer 5초 이내에 확인된 클라이언트 IP 주소, 서버 IP 주소, 위협 유형이 동일한 세션 수입니다.
cves string 위협과 관련된 CVE(Common Vulnerabilities and Exposure) 목록입니다. 예를 들면 CVE-2021-44228-Apache Log4j remote code execution vulnerability입니다.

SecurityProfileGroupDetails 필드 형식

다음 표에서는 SecurityProfileGroupDetails 필드의 형식을 설명합니다.

필드 유형 설명
securityProfileGroupId string 트래픽에 적용되는 보안 프로필 그룹 이름입니다.
organizationId integer VM 인스턴스가 속한 조직 ID입니다.

VpcDetails 필드 형식

다음 표에서는 VpcDetails 필드의 형식을 설명합니다.

필드 유형 설명
vpc string 가로챈 트래픽과 연결된 VPC 네트워크의 이름입니다.
projectId string VPC 네트워크와 연결된 Google Cloud 프로젝트의 이름입니다.

다음 단계