Les journaux de menaces vous permettent de réaliser des audits, des vérifications et des analyses sur les menaces détectées dans votre réseau.
Lorsque le pare-feu Cloud nouvelle génération détecte une menace sur le trafic surveillé pour l'inspection de couche 7, il génère une entrée de journal dans le projet d'origine avec les détails de la menace. Pour afficher et examiner les journaux de menaces, recherchez le journal networksecurity.googleapis.com/firewall_threat dans l'explorateur de journaux.
Vous pouvez également consulter ces journaux de menaces sur la page Menaces.
Cette page explique le format et la structure des journaux de menaces générés lorsqu'une menace est détectée.
Format du journal des menaces
Cloud NGFW crée une entrée d'enregistrement de journal dans Cloud Logging pour chaque menace détectée sur le trafic surveillé vers ou depuis une instance de machine virtuelle (VM) dans une zone spécifique. Les enregistrements de journal sont inclus dans le champ de charge utile JSON d'un objet LogEntry.
Le format "multi-champs" de certains champs affiche plusieurs données dans un même champ. Par exemple, le champ connection est au format Connection, qui contient l'adresse IP et le port du serveur, l'adresse IP et le port du client, ainsi que le numéro de protocole, dans un seul champ.
Le tableau suivant décrit le format des champs du journal des menaces.
| Champ | Type | Description |
|---|---|---|
connection
|
Connection
|
Quintuple décrivant les paramètres de connexion associés au trafic où la menace est détectée. |
action
|
string
|
Action effectuée sur le paquet dans lequel la menace est détectée. Il peut s'agir de l'action par défaut ou de l'action de remplacement spécifiée dans le profil de sécurité. |
threatDetails
|
ThreatDetails
|
Détails de la menace détectée. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
Détails du groupe de profils de sécurité appliqué au trafic intercepté. |
interceptVpc
|
VpcDetails
|
Informations sur le réseau cloud privé virtuel (VPC) associé à l'instance de VM dans laquelle la menace est détectée. |
Format du champ Connection
Le tableau suivant décrit le format du champ Connection.
| Champ | Type | Description |
|---|---|---|
clientIp
|
string
|
Adresse IP du client. Si le client est une VM Compute Engine, clientIp est l'adresse IP interne principale ou une adresse comprise dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe n'est pas affichée. Les journaux affichent l'adresse IP de l'instance de VM telle qu'observée dans l'en-tête du paquet, de la même manière que le vidage TCP sur l'instance de VM.
|
clientPort
|
integer
|
Numéro de port client. |
serverIp
|
string
|
Adresse IP du serveur. Si le serveur est une VM Compute Engine, serverIp est l'adresse IP interne principale ou une adresse comprise dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe ne s'affiche pas, même si elle a été utilisée pour établir la connexion.
|
serverPort
|
integer
|
Numéro de port du serveur. |
protocol
|
string
|
Protocole IP de la connexion. |
Format du champ ThreatDetails
Le tableau suivant décrit le format du champ ThreatDetails.
| Champ | Type | Description |
|---|---|---|
id
|
string
|
Identifiant unique de la menace Palo Alto Networks. |
threat
|
string
|
Nom de la menace détectée. |
description
|
string
|
Description détaillée de la menace détectée. |
direction
|
string
|
Sens du trafic. Par exemple, client_to_server ou server_to_client.
|
severity
|
string
|
Niveau de gravité de la menace détectée. Pour en savoir plus, consultez la section Niveaux de gravité des menaces. |
detectionTime
|
string
|
Heure à laquelle la menace a été détectée. |
category
|
string
|
Sous-type de la menace détectée. Par exemple, CODE_EXECUTION.
|
uriOrFilename
|
string
|
URI ou nom de fichier de la menace concernée (le cas échéant). |
type
|
string
|
Type de la menace détectée. Par exemple, SPYWARE.
|
repeatCount
|
integer
|
Nombre de sessions présentant la même adresse IP client, la même adresse IP du serveur et le même type de menace dans un intervalle de cinq secondes. |
cves
|
string
|
Liste des failles CVE (Common Vulnerabilities and Exposures) courantes associées à la menace. Par exemple, CVE-2021-44228-Apache Log4j remote code execution vulnerability.
|
Format du champ SecurityProfileGroupDetails
Le tableau suivant décrit le format du champ SecurityProfileGroupDetails.
| Champ | Type | Description |
|---|---|---|
securityProfileGroupId
|
string
|
Nom du groupe de profils de sécurité appliqué au trafic. |
organizationId
|
integer
|
ID de l'organisation à laquelle appartient l'instance de VM. |
Format du champ VpcDetails
Le tableau suivant décrit le format du champ VpcDetails.
| Champ | Type | Description |
|---|---|---|
vpc
|
string
|
Nom du réseau VPC associé au trafic intercepté. |
projectId
|
string
|
Nom du projet Google Cloud associé au réseau VPC. |