Mit Bedrohungslogs können Sie die in Ihrem Netzwerk erkannten Bedrohungen im Blick behalten, prüfen und analysieren.
Wenn Cloud Next Generation Firewall eine Bedrohung für den für die Layer-7-Prüfung überwachten Traffic erkennt, wird ein Logeintrag im Ursprungsprojekt mit den Details der Bedrohung generiert. Suchen Sie im Log-Explorer nach dem Log networksecurity.googleapis.com/firewall_threat, um die Bedrohungslogs aufzurufen und zu prüfen.
Sie können diese Bedrohungslogs auch auf der Seite Bedrohungen aufrufen.
Auf dieser Seite werden das Format und die Struktur der Bedrohungslogs erläutert, die bei der Erkennung einer Bedrohung generiert werden.
Format von Bedrohungslogs
Cloud NGFW erstellt in Cloud Logging für jede Bedrohung, die im überwachten Traffic zu oder von einer VM-Instanz in einer bestimmten Zone erkannt wird, einen Logeintrag. Logeinträge werden im JSON-Nutzlastfeld eines LogEntry erfasst.
Einige Logfelder haben ein Mehrfeldformat mit mehr als einem Datenelement in einem bestimmten Feld. Das Feld connection hat beispielsweise das Format Connection. Dieses Format enthält die Server-IP-Adresse und den Serverport, die IP-Adresse des Clients und den Port sowie die Protokollnummer in einem einzigen Feld.
In der folgenden Tabelle wird das Format der Bedrohungslogfelder beschrieben.
| Feld | Typ | Beschreibung |
|---|---|---|
connection
|
Connection
|
Ein 5-Tupel, das die Verbindungsparameter beschreibt, die dem Traffic zugeordnet sind, bei dem die Bedrohung erkannt wird. |
action
|
string
|
Die Aktion, die für das Paket ausgeführt wird, in dem die Bedrohung erkannt wird. Diese Aktion kann entweder die Standardaktion oder die im Sicherheitsprofil angegebene Überschreibungsaktion sein. Weitere Informationen zu Standardaktionen finden Sie unter Standardsignatursatz. |
threatDetails
|
ThreatDetails
|
Details der erkannten Bedrohung. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
Die Details der Sicherheitsprofilgruppe, die auf den abgefangenen Traffic angewendet wird. |
interceptVpc
|
VpcDetails
|
Die Details des VPC-Netzwerks (Virtual Private Cloud), das der VM-Instanz zugeordnet ist, in der die Bedrohung erkannt wird. |
Format des Felds Connection
In der folgenden Tabelle wird das Format des Felds Connection beschrieben.
| Feld | Typ | Beschreibung |
|---|---|---|
clientIp
|
string
|
Die IP-Adresse des Clients. Wenn der Client eine Compute Engine-VM ist, ist clientIp entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben. Die Logs zeigen die im Paketheader angegebene IP-Adresse der VM-Instanz an, ähnlich wie beim TCP-Dump auf der VM-Instanz.
|
clientPort
|
integer
|
Die Portnummer des Clients. |
serverIp
|
string
|
Die IP-Adresse des Servers. Wenn die Quelle eine Compute Engine-VM ist, ist serverIp entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde.
|
serverPort
|
integer
|
Die Serverportnummer. |
protocol
|
string
|
Das IP-Protokoll der Verbindung. |
Format des Felds ThreatDetails
In der folgenden Tabelle wird das Format des Felds ThreatDetails beschrieben.
| Feld | Typ | Beschreibung |
|---|---|---|
id
|
string
|
Die eindeutige Bedrohungs-ID von Palo Alto Networks. |
threat
|
string
|
Der Name der erkannten Bedrohung. |
description
|
string
|
Eine detaillierte Beschreibung der erkannten Bedrohung. |
direction
|
string
|
Die Richtung des Traffics. Beispiel: client_to_server oder server_to_client.
|
severity
|
string
|
Der mit der erkannten Bedrohung verknüpfte Schweregrad. Weitere Informationen finden Sie unter Bedrohungsschweregrade. |
detectionTime
|
string
|
Der Zeitpunkt, zu dem die Bedrohung erkannt wird. |
category
|
string
|
Der Untertyp der erkannten Bedrohung. Beispiel: CODE_EXECUTION.
|
uriOrFilename
|
string
|
Der URI oder Dateiname der entsprechenden Bedrohung (falls zutreffend). |
type
|
string
|
Der Typ der erkannten Bedrohung. Beispiel: SPYWARE.
|
repeatCount
|
integer
|
Die Anzahl der Sitzungen mit derselben Client-IP-Adresse, Server-IP-Adresse und Bedrohungstyp, die innerhalb von fünf Sekunden angezeigt werden. |
cves
|
string
|
Eine Liste mit häufigen Sicherheitslücken und Bedrohungen (Common Vulnerabilities and Exposures, CVEs), die mit der Bedrohung verbunden sind. Beispiel: CVE-2021-44228-Apache Log4j remote code execution vulnerability.
|
Format des Felds SecurityProfileGroupDetails
In der folgenden Tabelle wird das Format des Felds SecurityProfileGroupDetails beschrieben.
| Feld | Typ | Beschreibung |
|---|---|---|
securityProfileGroupId
|
string
|
Der Name der Sicherheitsprofilgruppe, die auf den Traffic angewendet wird. |
organizationId
|
integer
|
Die Organisations-ID, zu der die VM-Instanz gehört. |
Format des Felds VpcDetails
In der folgenden Tabelle wird das Format des Felds VpcDetails beschrieben.
| Feld | Typ | Beschreibung |
|---|---|---|
vpc
|
string
|
Der Name des VPC-Netzwerks, das dem abgefangenen Traffic zugeordnet ist. |
projectId
|
string
|
Der Name des Google Cloud-Projekts, das dem VPC-Netzwerk zugeordnet ist. |