I log delle minacce ti consentono di controllare, verificare e analizzare le minacce rilevate nella tua rete.
Quando Cloud Next Generation Firewall rileva una minaccia nel traffico che viene
monitorato per l'ispezione di livello 7, genera una voce di log
nel progetto di origine con i dettagli della minaccia. Per visualizzare ed esaminare
i log delle minacce, in Esplora log,
cerca il log networksecurity.googleapis.com/firewall_threat.
Puoi visualizzare questi log delle minacce anche nella pagina Minacce.
Questa pagina spiega il formato e la struttura dei log delle minacce che sono generati quando viene rilevata una minaccia.
Formato dei log delle minacce
Cloud NGFW crea una voce nel record di log in Cloud Logging per ogni minaccia rilevata sul il traffico monitorato da o verso un'istanza di una macchina virtuale (VM) in una zona specifica. I record di log sono inclusi nel campo del payload JSON di un LogEntry.
Alcuni campi di log sono in un formato con più campi, con più di un dato
in un determinato campo. Ad esempio, il campo connection è del tipo Connection
, che contiene l'indirizzo IP del server e la porta, l'indirizzo IP del client
e porta e il numero di protocollo in un unico campo.
La tabella seguente descrive il formato dei campi del log delle minacce.
| Campo | Tipo | Descrizione |
|---|---|---|
connection
|
Connection
|
Un quintuple che descrive i parametri di connessione associati al traffico in cui viene rilevata la minaccia. |
action
|
string
|
L'azione eseguita sul pacchetto in cui viene rilevata la minaccia. Questa azione può essere l'azione predefinita o l'azione di override specificata nel profilo di sicurezza. |
threatDetails
|
ThreatDetails
|
I dettagli della minaccia rilevata. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
I dettagli del gruppo di profili di sicurezza applicati al traffico intercettato. |
interceptVpc
|
VpcDetails
|
I dettagli della rete Virtual Private Cloud (VPC) associata all'istanza VM in cui viene rilevata la minaccia. |
Formato del campo Connection
La tabella seguente descrive il formato del campo Connection.
| Campo | Tipo | Descrizione |
|---|---|---|
clientIp
|
string
|
L'indirizzo IP del client. Se il client è una VM di Compute Engine, clientIp è l'indirizzo IP interno principale o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene visualizzato. I log mostrano l'indirizzo IP dell'istanza VM osservato nell'intestazione del pacchetto, in modo simile al dump TCP nell'istanza VM.
|
clientPort
|
integer
|
Il numero di porta del client. |
serverIp
|
string
|
L'indirizzo IP del server. Se il server è una VM Compute Engine, serverIp è l'indirizzo IP interno principale o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene mostrato anche se viene utilizzato per effettuare la connessione.
|
serverPort
|
integer
|
Il numero di porta del server. |
protocol
|
string
|
Il protocollo IP della connessione. |
Formato del campo ThreatDetails
La tabella seguente descrive il formato del campo ThreatDetails.
| Campo | Tipo | Descrizione |
|---|---|---|
id
|
string
|
L'identificatore univoco della minaccia Palo Alto Networks. |
threat
|
string
|
Il nome della minaccia rilevata. |
description
|
string
|
Una descrizione dettagliata della minaccia rilevata. |
direction
|
string
|
La direzione del traffico. Ad esempio, client_to_server o server_to_client.
|
severity
|
string
|
La gravità associata alla minaccia rilevata. Per ulteriori informazioni, consulta la sezione Livelli di gravità delle minacce. |
detectionTime
|
string
|
L'ora in cui viene rilevata la minaccia. |
category
|
string
|
Il sottotipo della minaccia rilevata. Ad esempio, CODE_EXECUTION.
|
uriOrFilename
|
string
|
L'URI o il nome file della minaccia pertinente (se applicabile). |
type
|
string
|
Il tipo di minaccia rilevata. Ad esempio, SPYWARE.
|
repeatCount
|
integer
|
Il numero di sessioni con lo stesso indirizzo IP client, indirizzo IP server e tipo di minaccia rilevati entro cinque secondi. |
cves
|
string
|
Un elenco di vulnerabilità ed esposizione comuni (CVE) associate alla minaccia. Ad esempio, CVE-2021-44228-Apache Log4j remote code execution vulnerability.
|
Formato del campo SecurityProfileGroupDetails
Nella tabella seguente viene descritto il formato dell'elemento SecurityProfileGroupDetails
.
| Campo | Tipo | Descrizione |
|---|---|---|
securityProfileGroupId
|
string
|
Il nome del gruppo di profili di sicurezza applicato al traffico. |
organizationId
|
integer
|
L'ID organizzazione a cui appartiene l'istanza VM. |
Formato del campo VpcDetails
La tabella seguente descrive il formato del campo VpcDetails.
| Campo | Tipo | Descrizione |
|---|---|---|
vpc
|
string
|
Il nome della rete VPC associata al traffico intercettato. |
projectId
|
string
|
Il nome del progetto Google Cloud associato alla rete VPC. |