I log delle minacce consentono di controllare, verificare e analizzare le minacce rilevate nella tua rete.
Quando il firewall di Cloud Next Generation rileva una minaccia al traffico monitorato per l'ispezione di livello 7, genera una voce di log nel progetto di origine con i dettagli della minaccia. Per visualizzare ed esaminare i log delle minacce, in Esplora log cerca il log networksecurity.googleapis.com/firewall_threat.
Puoi visualizzare questi log delle minacce anche nella pagina Minacce.
Questa pagina illustra il formato e la struttura dei log delle minacce generati quando viene rilevata una minaccia.
Formato dei log delle minacce
Cloud NGFW crea una voce di record di log in Cloud Logging per ogni minaccia rilevata nel traffico monitorato da o verso un'istanza di macchina virtuale (VM) in una zona specifica. I record di log sono inclusi nel campo payload JSON di una voce LogEntry.
Alcuni campi dei log sono in un formato a più campi, con più di un dato in un determinato campo. Ad esempio, il campo connection è nel formato Connection, che contiene in un unico campo l'indirizzo IP e la porta del server, l'indirizzo IP e la porta del client e il numero di protocollo.
La seguente tabella descrive il formato dei campi del log delle minacce.
| Campo | Tipo | Descrizione |
|---|---|---|
connection
|
Connection
|
5 tuple che descrive i parametri di connessione associati al traffico in cui viene rilevata la minaccia. |
action
|
string
|
L'azione eseguita sul pacchetto in cui viene rilevata la minaccia. Può essere l'azione predefinita o l'azione di override specificata nel profilo di sicurezza. Per saperne di più sulle azioni predefinite, vedi Set di firme predefinito. |
threatDetails
|
ThreatDetails
|
I dettagli della minaccia rilevata. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
I dettagli del gruppo di profili di sicurezza applicati al traffico intercettato. |
interceptVpc
|
VpcDetails
|
I dettagli della rete Virtual Private Cloud (VPC) associata all'istanza VM in cui viene rilevata la minaccia. |
Formato del campo Connection
La tabella seguente descrive il formato del campo Connection.
| Campo | Tipo | Descrizione |
|---|---|---|
clientIp
|
string
|
L'indirizzo IP del client. Se il client è una VM di Compute Engine, clientIp è l'indirizzo IP interno principale o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non è visualizzato. I log mostrano l'indirizzo IP dell'istanza VM osservato nell'intestazione del pacchetto, in modo simile al dump TCP sull'istanza VM.
|
clientPort
|
integer
|
Il numero di porta del client. |
serverIp
|
string
|
L'indirizzo IP del server. Se il server è una VM Compute Engine, serverIp è l'indirizzo IP interno principale o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene visualizzato anche se viene utilizzato per la connessione.
|
serverPort
|
integer
|
Il numero di porta del server. |
protocol
|
string
|
Il protocollo IP della connessione. |
Formato del campo ThreatDetails
La tabella seguente descrive il formato del campo ThreatDetails.
| Campo | Tipo | Descrizione |
|---|---|---|
id
|
string
|
L'identificatore di minaccia univoco di Palo Alto Networks. |
threat
|
string
|
Il nome della minaccia rilevata. |
description
|
string
|
Una descrizione dettagliata della minaccia rilevata. |
direction
|
string
|
La direzione del traffico. Ad esempio, client_to_server o server_to_client.
|
severity
|
string
|
La gravità associata alla minaccia rilevata. Per ulteriori informazioni, consulta l'articolo Livelli di gravità delle minacce. |
detectionTime
|
string
|
L'ora in cui viene rilevata la minaccia. |
category
|
string
|
Il sottotipo della minaccia rilevata. Ad esempio, CODE_EXECUTION.
|
uriOrFilename
|
string
|
L'URI o il nome file della minaccia pertinente (se applicabile). |
type
|
string
|
Il tipo di minaccia rilevata. Ad esempio, SPYWARE.
|
repeatCount
|
integer
|
Il numero di sessioni con lo stesso indirizzo IP client, indirizzo IP server e tipo di minaccia visualizzate in cinque secondi. |
cves
|
string
|
Un elenco di vulnerabilità ed esposizione (CVE) comuni associate alla minaccia. Ad esempio, CVE-2021-44228-Apache Log4j remote code execution vulnerability.
|
Formato del campo SecurityProfileGroupDetails
La seguente tabella descrive il formato del campo SecurityProfileGroupDetails.
| Campo | Tipo | Descrizione |
|---|---|---|
securityProfileGroupId
|
string
|
Il nome del gruppo di profili di sicurezza applicato al traffico. |
organizationId
|
integer
|
L'ID organizzazione a cui appartiene l'istanza VM. |
Formato del campo VpcDetails
La tabella seguente descrive il formato del campo VpcDetails.
| Campo | Tipo | Descrizione |
|---|---|---|
vpc
|
string
|
Il nome della rete VPC associata al traffico intercettato. |
projectId
|
string
|
Il nome del progetto Google Cloud associato alla rete VPC. |