위협 로그를 사용하면 네트워크에서 감지된 위협을 감사, 확인, 분석할 수 있습니다.
Cloud Next Generation Firewall은 레이어 7 검사를 위해 모니터링 중인 트래픽에 대한 위협을 감지하면 위협 세부정보가 있는 원래 프로젝트에 로그 항목을 생성합니다. 위협 로그를 보고 검사하려면 로그 탐색기에서 로그 networksecurity.googleapis.com/firewall_threat를 검색합니다.
위협 페이지에서도 이러한 위협 로그를 볼 수 있습니다.
이 페이지에서는 위협이 감지될 때 생성되는 위협 로그의 형식과 구조를 설명합니다.
위협 로그 형식
Cloud NGFW는 특정 영역의 가상 머신(VM) 인스턴스와 주고받는 모니터링 트래픽에서 감지된 각 위협에 대해 Cloud Logging에 로그 기록 항목을 만듭니다. 로그 기록은 LogEntry의 JSON 페이로드 필드에 포함됩니다.
일부 로그 필드는 한 필드에 두 가지 이상의 데이터를 포함하는 다중 필드 형식입니다. 예를 들어 connection 필드는 Connection 형식이며 서버 IP 주소 및 포트, 클라이언트 IP 주소 및 포트, 프로토콜 번호가 단일 필드에 포함됩니다.
다음 표에서는 위협 로그 필드의 형식을 설명합니다.
| 필드 | 유형 | 설명 |
|---|---|---|
connection
|
Connection
|
위협이 감지된 트래픽과 연결된 연결 파라미터를 설명하는 5-튜플입니다. |
action
|
string
|
위협이 감지된 패킷에서 수행된 작업입니다. 이 작업은 기본 작업 또는 보안 프로필에 지정된 재정의 작업일 수 있습니다. |
threatDetails
|
ThreatDetails
|
감지된 위협의 세부정보입니다. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
가로챈 트래픽에 적용된 보안 프로필 그룹의 세부정보입니다. |
interceptVpc
|
VpcDetails
|
위협이 감지된 VM 인스턴스와 연결된 가상 프라이빗 클라우드(VPC) 네트워크의 세부정보입니다. |
Connection 필드 형식
다음 표에서는 Connection 필드의 형식을 설명합니다.
| 필드 | 유형 | 설명 |
|---|---|---|
clientIp
|
string
|
클라이언트 IP 주소입니다. 클라이언트가 Compute Engine VM인 경우 clientIp는 기본 내부 IP 주소이거나 VM 네트워크 인터페이스의 별칭 IP 범위에 있는 주소입니다. 외부 IP 주소는 표시되지 않습니다. 로그에는 VM 인스턴스의 TCP 덤프와 유사한, 패킷 헤더에서 확인된 VM 인스턴스의 IP 주소가 표시됩니다.
|
clientPort
|
integer
|
클라이언트 포트 번호입니다. |
serverIp
|
string
|
서버 IP 주소입니다. 서버가 Compute Engine VM인 경우 serverIp는 기본 내부 IP 주소이거나 VM 네트워크 인터페이스의 별칭 IP 범위에 있는 주소입니다. 외부 IP 주소는 연결에 사용된 경우에도 표시되지 않습니다.
|
serverPort
|
integer
|
서버 포트 번호입니다. |
protocol
|
string
|
연결의 IP 프로토콜입니다. |
ThreatDetails 필드 형식
다음 표에서는 ThreatDetails 필드의 형식을 설명합니다.
| 필드 | 유형 | 설명 |
|---|---|---|
id
|
string
|
고유한 Palo Alto Networks 위협 식별자입니다. |
threat
|
string
|
감지된 위협의 이름입니다. |
description
|
string
|
감지된 위협에 대한 자세한 설명입니다. |
direction
|
string
|
트래픽의 방향. 예를 들면 client_to_server 또는 server_to_client입니다.
|
severity
|
string
|
감지된 위협과 관련된 심각도입니다. 자세한 내용은 위협 심각도 수준을 참고하세요. |
detectionTime
|
string
|
위협이 감지된 시간입니다. |
category
|
string
|
감지된 위협의 하위유형입니다. 예를 들면 CODE_EXECUTION입니다.
|
uriOrFilename
|
string
|
관련 위협의 URI 또는 파일 이름입니다(해당하는 경우). |
type
|
string
|
감지된 위협의 유형입니다. 예를 들면 SPYWARE입니다.
|
repeatCount
|
integer
|
5초 이내에 확인된 클라이언트 IP 주소, 서버 IP 주소, 위협 유형이 동일한 세션 수입니다. |
cves
|
string
|
위협과 관련된 CVE(Common Vulnerabilities and Exposure) 목록입니다. 예를 들면 CVE-2021-44228-Apache Log4j remote code execution vulnerability입니다.
|
SecurityProfileGroupDetails 필드 형식
다음 표에서는 SecurityProfileGroupDetails 필드의 형식을 설명합니다.
| 필드 | 유형 | 설명 |
|---|---|---|
securityProfileGroupId
|
string
|
트래픽에 적용되는 보안 프로필 그룹 이름입니다. |
organizationId
|
integer
|
VM 인스턴스가 속한 조직 ID입니다. |
VpcDetails 필드 형식
다음 표에서는 VpcDetails 필드의 형식을 설명합니다.
| 필드 | 유형 | 설명 |
|---|---|---|
vpc
|
string
|
가로챈 트래픽과 연결된 VPC 네트워크의 이름입니다. |
projectId
|
string
|
VPC 네트워크와 연결된 Google Cloud 프로젝트의 이름입니다. |