Com os registros de ameaças você pode auditar, verificar e analisar as ameaças detectadas na sua rede.
Quando o Cloud Next Generation Firewall detecta uma ameaça no tráfego monitorado para inspeção da camada 7, ele gera uma entrada de registro no projeto de origem com os detalhes da ameaça. Para visualizar e examinar
os registros de ameaças, na Análise de registros,
pesquise o registro networksecurity.googleapis.com/firewall_threat.
Você também encontra esses registros na página Ameaças.
Nesta página, explicamos o formato e a estrutura dos registros de ameaças gerados quando uma ameaça é detectada.
Formato do registro de ameaças
O Cloud NGFW cria uma entrada de registro no Cloud Logging para cada ameaça detectada no tráfego monitorado para ou de uma instância de máquina virtual (VM) em uma zona específica. Os registros são incluídos no campo de payload JSON de um LogEntry.
Alguns campos de registro aparecem em um formato múltiplo, com mais de um dado em cada campo. Por exemplo, o campo connection tem o formato Connection,
que contém a porta e o endereço IP do servidor, o endereço IP
e a porta do cliente, além do número do protocolo em um único campo.
Confira na tabela a seguir o formato dos campos de registro de ameaças.
| Campo | Tipo | Descrição |
|---|---|---|
connection
|
Connection
|
Uma tupla de 5 valores que descreve os parâmetros de conexão associados ao tráfego em que a ameaça é detectada. |
action
|
string
|
Ação realizada no pacote em que a ameaça é detectada. Essa pode ser a ação padrão ou a ação de substituição especificada no perfil de segurança. Saiba mais sobre as ações padrão em Conjunto de assinaturas padrão. |
threatDetails
|
ThreatDetails
|
Os detalhes da ameaça detectada. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
Os detalhes do grupo de perfis de segurança aplicados ao tráfego interceptado. |
interceptVpc
|
VpcDetails
|
Os detalhes da rede de nuvem privada virtual (VPC) associada à instância de VM em que a ameaça é detectada. |
Formato do campo Connection
Confira na tabela a seguir o formato do campo Connection.
| Campo | Tipo | Descrição |
|---|---|---|
clientIp
|
string
|
O endereço IP do cliente. Se o cliente for uma VM do Compute Engine, clientIp será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido. Os registros mostram o endereço IP da instância de VM, conforme observado no cabeçalho do pacote, de maneira semelhante ao despejo de TCP da instância de VM.
|
clientPort
|
integer
|
O número da porta do cliente. |
serverIp
|
string
|
O endereço IP do servidor. Se o servidor for uma VM do Compute Engine, serverIp será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido, mesmo que seja usado para fazer a conexão.
|
serverPort
|
integer
|
O número da porta do servidor. |
protocol
|
string
|
O protocolo IP da conexão. |
Formato do campo ThreatDetails
Confira na tabela a seguir o formato do campo ThreatDetails.
| Campo | Tipo | Descrição |
|---|---|---|
id
|
string
|
O identificador exclusivo de ameaças da Palo Alto Networks. |
threat
|
string
|
O nome da ameaça detectada. |
description
|
string
|
Uma descrição detalhada da ameaça detectada. |
direction
|
string
|
A direção do tráfego. Por exemplo, client_to_server ou server_to_client.
|
severity
|
string
|
Gravidade associada à ameaça detectada. Para mais informações, consulte Níveis de gravidade de ameaças. |
detectionTime
|
string
|
A hora em que a ameaça foi detectada. |
category
|
string
|
O subtipo da ameaça detectada. Por exemplo, CODE_EXECUTION
|
uriOrFilename
|
string
|
O URI ou nome de arquivo da ameaça relevante (se aplicável). |
type
|
string
|
O tipo de ameaça detectada. Por exemplo, SPYWARE
|
repeatCount
|
integer
|
O número de sessões com o mesmo endereço IP de cliente, endereço IP do servidor e tipo de ameaça vistos em cinco segundos. |
cves
|
string
|
uma lista de Vulnerabilidades e Exposição Comuns (CVEs) associadas à ameaça. Por exemplo, CVE-2021-44228-Apache Log4j remote code execution vulnerability.
|
Formato do campo SecurityProfileGroupDetails
Confira na tabela a seguir o formato do campo SecurityProfileGroupDetails.
| Campo | Tipo | Descrição |
|---|---|---|
securityProfileGroupId
|
string
|
O nome do grupo de perfis de segurança aplicado ao tráfego. |
organizationId
|
integer
|
O ID da organização a que a instância de VM pertence. |
Formato do campo VpcDetails
Confira na tabela a seguir o formato do campo VpcDetails.
| Campo | Tipo | Descrição |
|---|---|---|
vpc
|
string
|
O nome da rede VPC associada ao tráfego interceptado. |
projectId
|
string
|
O nome do projeto do Google Cloud associado à rede VPC. |