위협 로그를 사용하면 네트워크에서 감지된 위협을 감사, 확인, 분석할 수 있습니다.
Cloud Next Generation Firewall은 레이어 7 검사를 위해 모니터링 중인 트래픽에 대한 위협을 감지하면 위협 세부정보가 있는 원래 프로젝트에 로그 항목을 생성합니다. 위협 로그를 보고 검사하려면 로그 탐색기에서 로그 networksecurity.googleapis.com/firewall_threat
를 검색합니다.
위협 페이지에서도 이러한 위협 로그를 볼 수 있습니다.
이 페이지에서는 위협이 감지될 때 생성되는 위협 로그의 형식과 구조를 설명합니다.
위협 로그 형식
Cloud NGFW는 특정 영역의 가상 머신(VM) 인스턴스와 주고받는 모니터링 트래픽에서 감지된 각 위협에 대해 Cloud Logging에 로그 기록 항목을 만듭니다. 로그 기록은 LogEntry의 JSON 페이로드 필드에 포함됩니다.
일부 로그 필드는 한 필드에 두 가지 이상의 데이터를 포함하는 다중 필드 형식입니다. 예를 들어 connection
필드는 Connection
형식이며 서버 IP 주소 및 포트, 클라이언트 IP 주소 및 포트, 프로토콜 번호가 단일 필드에 포함됩니다.
다음 표에서는 위협 로그 필드의 형식을 설명합니다.
필드 | 유형 | 설명 |
---|---|---|
connection
|
Connection
|
위협이 감지된 트래픽과 연결된 연결 파라미터를 설명하는 5-튜플입니다. |
action
|
string
|
위협이 감지된 패킷에서 수행된 작업입니다. 이 작업은 기본 작업 또는 보안 프로필에 지정된 재정의 작업일 수 있습니다. |
threatDetails
|
ThreatDetails
|
감지된 위협의 세부정보입니다. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
가로챈 트래픽에 적용된 보안 프로필 그룹의 세부정보입니다. |
interceptVpc
|
VpcDetails
|
위협이 감지된 VM 인스턴스와 연결된 가상 프라이빗 클라우드(VPC) 네트워크의 세부정보입니다. |
Connection
필드 형식
다음 표에서는 Connection
필드의 형식을 설명합니다.
필드 | 유형 | 설명 |
---|---|---|
clientIp
|
string
|
클라이언트 IP 주소입니다. 클라이언트가 Compute Engine VM인 경우 clientIp 는 기본 내부 IP 주소이거나 VM 네트워크 인터페이스의 별칭 IP 범위에 있는 주소입니다. 외부 IP 주소는 표시되지 않습니다. 로그에는 VM 인스턴스의 TCP 덤프와 유사한, 패킷 헤더에서 확인된 VM 인스턴스의 IP 주소가 표시됩니다.
|
clientPort
|
integer
|
클라이언트 포트 번호입니다. |
serverIp
|
string
|
서버 IP 주소입니다. 서버가 Compute Engine VM인 경우 serverIp 는 기본 내부 IP 주소이거나 VM 네트워크 인터페이스의 별칭 IP 범위에 있는 주소입니다. 외부 IP 주소는 연결에 사용된 경우에도 표시되지 않습니다.
|
serverPort
|
integer
|
서버 포트 번호입니다. |
protocol
|
string
|
연결의 IP 프로토콜입니다. |
ThreatDetails
필드 형식
다음 표에서는 ThreatDetails
필드의 형식을 설명합니다.
필드 | 유형 | 설명 |
---|---|---|
id
|
string
|
고유한 Palo Alto Networks 위협 식별자입니다. |
threat
|
string
|
감지된 위협의 이름입니다. |
description
|
string
|
감지된 위협에 대한 자세한 설명입니다. |
direction
|
string
|
트래픽의 방향. 예를 들면 client_to_server 또는 server_to_client 입니다.
|
severity
|
string
|
감지된 위협과 관련된 심각도입니다. 자세한 내용은 위협 심각도 수준을 참고하세요. |
detectionTime
|
string
|
위협이 감지된 시간입니다. |
category
|
string
|
감지된 위협의 하위유형입니다. 예를 들면 CODE_EXECUTION 입니다.
|
uriOrFilename
|
string
|
관련 위협의 URI 또는 파일 이름입니다(해당하는 경우). |
type
|
string
|
감지된 위협의 유형입니다. 예를 들면 SPYWARE 입니다.
|
repeatCount
|
integer
|
5초 이내에 확인된 클라이언트 IP 주소, 서버 IP 주소, 위협 유형이 동일한 세션 수입니다. |
cves
|
string
|
위협과 관련된 CVE(Common Vulnerabilities and Exposure) 목록입니다. 예를 들면 CVE-2021-44228-Apache Log4j remote code execution vulnerability 입니다.
|
SecurityProfileGroupDetails
필드 형식
다음 표에서는 SecurityProfileGroupDetails
필드의 형식을 설명합니다.
필드 | 유형 | 설명 |
---|---|---|
securityProfileGroupId
|
string
|
트래픽에 적용되는 보안 프로필 그룹 이름입니다. |
organizationId
|
integer
|
VM 인스턴스가 속한 조직 ID입니다. |
VpcDetails
필드 형식
다음 표에서는 VpcDetails
필드의 형식을 설명합니다.
필드 | 유형 | 설명 |
---|---|---|
vpc
|
string
|
가로챈 트래픽과 연결된 VPC 네트워크의 이름입니다. |
projectId
|
string
|
VPC 네트워크와 연결된 Google Cloud 프로젝트의 이름입니다. |