威胁日志

借助威胁日志,您可以审核、验证和分析在网络中检测到的威胁。

若 Cloud 新一代防火墙检测到正在监控进行第 7 层检查的流量存在威胁,则会在原始项目中生成一个日志条目,其中包含威胁的详细信息。如需查看和检查威胁日志,请在 Logs Explorer 中搜索日志 networksecurity.googleapis.com/firewall_threat。您还可以在威胁页面上查看这些威胁日志。

本页介绍了在检测到威胁时生成的威胁日志的格式和结构。

威胁日志格式

Cloud NGFW 会在 Cloud Logging 中,为进出特定可用区的虚拟机 (VM) 实例的受监控流量中检测到的每个威胁创建日志记录条目。日志记录包含在 LogEntry 的 JSON 载荷字段中。

某些日志字段采用多字段格式,在给定字段中包含多段数据。例如,connection 字段采用 Connection 格式,它在单个字段中包含服务器 IP 地址和端口、客户端 IP 地址和端口以及协议编号。

下表介绍了威胁日志字段的格式。

字段 类型 说明
connection Connection 一个 5 元组,用于描述与检测到威胁的流量关联的连接参数。
action string 对检测到威胁的数据包执行的操作。此操作可以是安全配置文件中指定的默认操作替换操作
threatDetails ThreatDetails 检测到的威胁的详细信息。
securityProfileGroupDetails SecurityProfileGroupDetails 应用于被拦截流量的安全配置文件组的详细信息。
interceptVpc VpcDetails 与检测到威胁的虚拟机实例关联的虚拟私有云 (VPC) 网络的详细信息。

Connection 字段格式

下表介绍了 Connection 字段的格式。

字段 类型 说明
clientIp string 客户端 IP 地址。如果客户端是 Compute Engine 虚拟机,则 clientIp 是主要内部 IP 地址或虚拟机网络接口的别名 IP 范围内的地址。系统不显示外部 IP 地址。日志显示数据包标头上观察到的虚拟机实例的 IP 地址,类似于虚拟机实例上的 TCP 转储。
clientPort integer 客户端端口号。
serverIp string 服务器 IP 地址。如果服务器是 Compute Engine 虚拟机,则 serverIp 是主要内部 IP 地址或虚拟机网络接口的别名 IP 范围内的地址。即使使用外部 IP 地址进行连接,系统也不会显示此地址。
serverPort integer 服务器端口号。
protocol string 连接的 IP 协议

ThreatDetails 字段格式

下表介绍了 ThreatDetails 字段的格式。

字段 类型 说明
id string 唯一的 Palo Alto Networks 威胁标识符。
threat string 检测到的威胁的名称。
description string 检测到的威胁的详细说明。
direction string 流量方向。例如 client_to_serverserver_to_client
severity string 与检测到的威胁关联的严重级别。如需了解详情,请参阅威胁严重级别
detectionTime string 检测到威胁的时间。
category string 检测到的威胁的子类型。例如 CODE_EXECUTION
uriOrFilename string 相关威胁的 URI 或文件名(如果适用)。
type string 检测到的威胁类型。例如 SPYWARE
repeatCount integer 在五秒内出现相同客户端 IP 地址、服务器 IP 地址和威胁类型的会话数。
cves string 与威胁关联的常见漏洞和披露 (CVE) 列表。例如 CVE-2021-44228-Apache Log4j remote code execution vulnerability

SecurityProfileGroupDetails 字段格式

下表介绍了 SecurityProfileGroupDetails 字段的格式。

字段 类型 说明
securityProfileGroupId string 应用于流量的安全配置文件组名称。
organizationId integer 虚拟机实例所属的组织 ID。

VpcDetails 字段格式

下表介绍了 VpcDetails 字段的格式。

字段 类型 说明
vpc string 与被拦截流量关联的 VPC 网络的名称。
projectId string 与 VPC 网络关联的 Google Cloud 项目的名称。

后续步骤