Los registros de amenazas te permiten auditar, verificar y analizar las amenazas detectadas en tu red.
Cuando el firewall de nueva generación de Cloud detecta una amenaza en el tráfico que
se supervisa para la inspección de la capa 7, genera una entrada de registro
en el proyecto de origen con los detalles de la amenaza. Para ver y examinar
los registros de amenazas, en el Explorador de registros,
busca el registro networksecurity.googleapis.com/firewall_threat.
También puedes ver estos registros de amenazas en la página Amenazas.
En esta página, se explica el formato y la estructura de los registros de amenazas que se generan cuando se detecta una amenaza.
Formato de registro de amenazas
Cloud NGFW crea una entrada de registro en Cloud Logging para cada amenaza detectada en el tráfico supervisado desde o hacia una instancia de máquina virtual (VM) en una zona específica. Los registros se incluyen en el campo de carga útil de JSON de una LogEntry.
Algunos campos de registro se encuentran en formato de varios campos y poseen más de un dato
en un campo específico. Por ejemplo, el campo connection tiene el formato Connection,
que contiene el puerto y la dirección IP del servidor, la dirección IP
y el puerto del cliente y el número de protocolo en un solo campo.
En la siguiente tabla, se describe el formato de los campos de registro de amenazas.
| Campo | Tipo | Descripción |
|---|---|---|
connection
|
Connection
|
Una tupla de 5 que describe los parámetros de conexión asociados con el tráfico en el que se detecta la amenaza. |
action
|
string
|
La acción que se ejecuta en el paquete en el que se detecta la amenaza. Esta acción puede ser la predeterminada o la de anulación especificada en el perfil de seguridad. Para obtener más información sobre las acciones predeterminadas, consulta Conjunto de firmas predeterminado. |
threatDetails
|
ThreatDetails
|
Los detalles de la amenaza detectada. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
Los detalles del grupo de perfiles de seguridad que se aplicaron al tráfico interceptado. |
interceptVpc
|
VpcDetails
|
Los detalles de la red de nube privada virtual (VPC) asociada con la instancia de VM en la que se detecta la amenaza. |
Formato del campo Connection
En la siguiente tabla, se describe el formato del campo Connection.
| Campo | Tipo | Descripción |
|---|---|---|
clientIp
|
string
|
La dirección IP de cliente. Si el cliente es una VM de Compute Engine, clientIp es la dirección IP interna principal o una dirección en un rango de alias de IP de la interfaz de red de la VM. No se muestra la dirección IP externa. Los registros muestran la dirección IP de la instancia de VM como se observa en el encabezado del paquete, similar al volcado de TCP en la instancia de VM.
|
clientPort
|
integer
|
El número de puerto del cliente. |
serverIp
|
string
|
La dirección IP del servidor. Si el servidor es una VM de Compute Engine, serverIp es la dirección IP interna principal o una dirección en un rango de alias de IP de la interfaz de red de la VM. La dirección IP externa no se muestra aunque se haya usado para establecer la conexión.
|
serverPort
|
integer
|
El número de puerto del servidor. |
protocol
|
string
|
El protocolo IP de la conexión. |
Formato del campo ThreatDetails
En la siguiente tabla, se describe el formato del campo ThreatDetails.
| Campo | Tipo | Descripción |
|---|---|---|
id
|
string
|
El identificador único de amenazas de Palo Alto Networks. |
threat
|
string
|
El nombre de la amenaza detectada. |
description
|
string
|
Una descripción detallada de la amenaza detectada. |
direction
|
string
|
La dirección del tráfico. Por ejemplo, client_to_server o server_to_client.
|
severity
|
string
|
La gravedad asociada con la amenaza detectada. Para obtener más información, consulta Niveles de gravedad de amenazas. |
detectionTime
|
string
|
El momento en que se detecta la amenaza. |
category
|
string
|
El subtipo de la amenaza detectada. Por ejemplo, CODE_EXECUTION.
|
uriOrFilename
|
string
|
El URI o el nombre de archivo de la amenaza relevante (si corresponde). |
type
|
string
|
El tipo de amenaza detectada. Por ejemplo, SPYWARE.
|
repeatCount
|
integer
|
La cantidad de sesiones con la misma dirección IP del cliente, dirección IP del servidor y tipo de amenaza vistos en cinco segundos. |
cves
|
string
|
Una lista de vulnerabilidades y riesgos comunes (CVE) asociados con la amenaza. Por ejemplo, CVE-2021-44228-Apache Log4j remote code execution vulnerability.
|
Formato del campo SecurityProfileGroupDetails
En la siguiente tabla, se describe el formato del campo
SecurityProfileGroupDetails.
| Campo | Tipo | Descripción |
|---|---|---|
securityProfileGroupId
|
string
|
El nombre del grupo de perfiles de seguridad que se aplica al tráfico. |
organizationId
|
integer
|
El ID de la organización al que pertenece la instancia de VM. |
Formato del campo VpcDetails
En la siguiente tabla, se describe el formato del campo VpcDetails.
| Campo | Tipo | Descripción |
|---|---|---|
vpc
|
string
|
El nombre de la red de VPC asociada con el tráfico interceptado. |
projectId
|
string
|
El nombre del proyecto de Google Cloud asociado a la red de VPC. |