脅威ログを使用すると、ネットワークで検出された脅威を監査、検証、分析できます。
Cloud Next Generation Firewall は、レイヤ 7 の検査用にモニタリングされているトラフィックで脅威を検出すると、送信元プロジェクトに脅威の詳細を含むログエントリを生成します。脅威ログを表示して確認するには、ログ エクスプローラでログ networksecurity.googleapis.com/firewall_threat を検索します。これらの脅威ログは、[脅威] ページでも確認できます。
このページでは、脅威の検出時に生成される脅威ログの形式と構造について説明します。
脅威ログの形式
Cloud NGFW は、特定のゾーンにある仮想マシン(VM)インスタンスとの間でモニタリングしているトラフィックに脅威を検出すると、そのたびに Cloud Logging にログレコードのエントリを作成します。ログレコードは、LogEntry の JSON ペイロード フィールドに含まれます。
一部のログフィールドはマルチ フィールド形式であり、所定のフィールドに複数のデータが含まれます。たとえば、connection フィールドは Connection 形式で、サーバーの IP アドレスとポート、クライアントの IP アドレスとポート、プロトコル番号が 1 つのフィールドに格納されます。
次の表に、脅威ログのフィールドの形式を示します。
| フィールド | 種類 | 説明 |
|---|---|---|
connection
|
Connection
|
脅威が検出されたトラフィックに関連付けられた接続パラメータを表す 5 タプル。 |
action
|
string
|
脅威が検出されたパケットに対して実行されるアクション。このアクションは、セキュリティ プロファイルで指定されたデフォルト アクションか、オーバーライド アクションのいずれかになります。デフォルトのアクションの詳細については、デフォルトの署名セットをご覧ください。 |
threatDetails
|
ThreatDetails
|
検出された脅威の詳細。 |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
インターセプトされたトラフィックに適用されたセキュリティ プロファイル グループの詳細。 |
interceptVpc
|
VpcDetails
|
脅威が検出された VM インスタンスに関連付けられた Virtual Private Cloud(VPC)ネットワークの詳細。 |
Connection フィールドの形式
次の表に、Connection フィールドの形式を示します。
| フィールド | 種類 | 説明 |
|---|---|---|
clientIp
|
string
|
クライアントの IP アドレス。クライアントが Compute Engine VM の場合、clientIp はプライマリ内部 IP アドレスか、VM のネットワーク インターフェースのエイリアス IP 範囲のアドレスです。外部 IP アドレスは表示されません。ログには、VM インスタンスの TCP ダンプと同様に、パケット ヘッダーで確認された VM インスタンスの IP アドレスが含まれます。 |
clientPort
|
integer
|
クライアントのポート番号。 |
serverIp
|
string
|
サーバーの IP アドレス。サーバーが Compute Engine VM の場合、serverIp はプライマリ内部 IP アドレスか、VM のネットワーク インターフェースのエイリアス IP 範囲のアドレスです。外部 IP アドレスは、接続の確立で使用されていても表示されません。 |
serverPort
|
integer
|
サーバーポート番号。 |
protocol
|
string
|
接続の IP プロトコル。 |
ThreatDetails フィールドの形式
次の表に、ThreatDetails フィールドの形式を示します。
| フィールド | 種類 | 説明 |
|---|---|---|
id
|
string
|
一意の Palo Alto Networks 脅威識別子。 |
threat
|
string
|
検出された脅威の名前。 |
description
|
string
|
検出された脅威の詳細な説明。 |
severity
|
string
|
検出された脅威に関連する重大度。詳細については、脅威の重大度レベルをご覧ください。 |
detectionTime
|
string
|
脅威が検出された時刻。 |
category
|
string
|
検出された脅威のサブタイプ。例: CODE_EXECUTION。 |
uriOrFilename
|
string
|
関連する脅威の URI またはファイル名(該当する場合)。 |
type
|
string
|
検出された脅威の種類。例: SPYWARE。 |
repeatCount
|
integer
|
同じクライアント IP アドレス、サーバー IP アドレス、脅威タイプで、5 秒以内に確認されたセッションの数。 |
cves
|
string
|
脅威に関連する共通脆弱性識別子(CVE)のリスト。例: CVE-2021-44228-Apache Log4j remote code execution vulnerability。 |
SecurityProfileGroupDetails フィールドの形式
次の表に、SecurityProfileGroupDetails フィールドの形式を示します。
| フィールド | 種類 | 説明 |
|---|---|---|
securityProfileGroupId
|
string
|
トラフィックに適用されるセキュリティ プロファイル グループ名。 |
organizationId
|
integer
|
VM インスタンスが属する組織 ID。 |
VpcDetails フィールドの形式
次の表に、VpcDetails フィールドの形式を示します。
| フィールド | 種類 | 説明 |
|---|---|---|
vpc
|
string
|
インターセプトされたトラフィックに関連付けられている VPC ネットワークの名前。 |
projectId
|
string
|
VPC ネットワークに関連付けられている Google Cloud プロジェクトの名前。 |