Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud IDS konfigurieren

Folgen Sie dieser Anleitung, um Cloud IDS für Ihre Anwendung zu konfigurieren. Konzepte zu Cloud IDS finden Sie in der Cloud IDS-Übersicht.

Hinweise

Bevor Sie Cloud IDS konfigurieren, müssen Sie die folgenden Voraussetzungen erfüllen.

IAM-Berechtigungen für Cloud IDS einrichten

Cloud IDS hat mehrere IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung). Mit den Beispielbefehlen können Sie einem Hauptkonto die erforderlichen IAM-Berechtigungen gewähren.

Cloud IDS-Administratorrolle (roles/ids.admin): Projekthauptberechtigte mit dieser Rolle können IDS-Endpunkte erstellen. Wenn Sie Projektinhaber sind, haben Sie diese Berechtigung bereits und benötigen keine explizite ids.admin-Rolle, um IDS-Endpunkte zu erstellen.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
   --role=roles/ids.admin \
   --member=user:USER_NAME ;
```
Diese Rolle ermöglicht die folgenden Vorgänge:
- Endpunkt erstellen
- Endpunkt löschen
- Endpunkt abrufen
- Endpunkt auflisten
Cloud IDS-Betrachterrolle (roles/ids.viewer): Projektbetrachter und Hauptberechtigte mit dieser Rolle haben Lesezugriff auf IDS-Endpunkte. Wenn Sie Projektinhaber, -bearbeiter oder -betrachter sind, haben Sie diese Berechtigung bereits.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
   --role=roles/ids.viewer \
   --member=user:USER_NAME ;
```
Nutzerrolle der Compute-Paketspiegelung (roles/compute.packetMirroringUser): Eine Rolle, die erforderlich ist, um dem IDS-Endpunkt eine Paketspiegelungsrichtlinie anzuhängen. Wenn Sie die Rolle compute.securityAdmin oder container.serviceAgent haben, haben Sie diese Berechtigung bereits. Weitere Informationen zu dieser Rolle finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
   --role=roles/compute.packetMirroringUser \
   --member=user:USER_NAME ;
```
Rolle „Log-Betrachter“ (roles/logging.viewer): Eine zusätzliche Rolle, die zum Ansehen aktueller Bedrohungen erforderlich ist, was eine wichtige Kernfunktion von Cloud IDS ist. Weitere Informationen zu dieser Rolle finden Sie im Leitfaden für die Zugriffssteuerung.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
   --role=roles/logging.viewer \
   --member=user:USER_NAME ;
```

Außerdem benötigen Sie die folgenden allgemeinen Berechtigungen:

compute.regions.list
compute.zones.list

Zugriff auf private Dienste einrichten

Wenn Sie IDS-Endpunkte erstellen möchten, müssen Sie die Service Networking API aktivieren und das Netzwerk-Peering für das VPC-Netzwerk (Virtual Private Cloud) einrichten. Das muss nur einmal pro Kundenprojekt erfolgen und kann über die Google Cloud Console oder die Google Cloud CLI erfolgen. Wenn Sie einen IP-Adressbereich zuweisen, muss es sich um einen RFC 1918-konformen Bereich privater IP-Adressen (10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16) handeln. Andernfalls schlägt die Endpunkterstellung fehl.

So richten Sie den Zugriff auf private Dienste ein:

Aktivieren Sie die Service Networking API mit dem folgenden Befehl. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.
```
gcloud services enable servicenetworking.googleapis.com \
 --project=PROJECT_ID
```
Wenn Sie in Ihrem Netzwerk noch keinen IP-Adressbereich zugewiesen haben, müssen Sie einen IP-Bereich für Google-Dienste in Ihrem VPC-Netzwerk zuweisen. Im folgenden Befehl können Sie das Feld addresses weglassen. Google Cloud wählt dann einen nicht verwendeten Adressbereich in Ihrem VPC-Netzwerk aus:
```
gcloud compute addresses create RESERVED_RANGE_NAME \
  --global \
  --purpose=VPC_PEERING \
  --addresses=192.168.0.0 \
  --prefix-length=16 \
  --description="DESCRIPTION" \
  --network=VPC_NETWORK
```
Ersetzen Sie Folgendes:
- RESERVED_RANGE_NAME: ein Name für den zugewiesenen Bereich, z. B. my-allocated-range
- DESCRIPTION: eine Beschreibung für den Bereich, z. B. allocated for my-service
- VPC_NETWORK: der Name Ihres VPC-Netzwerks, z. B. my-vpc-network
Erstellen Sie eine private Verbindung zu einem Dienstersteller. Die private Verbindung richtet eine VPC-Netzwerk-Peering-Verbindung zwischen Ihrem VPC-Netzwerk und dem Netzwerk des Diensterstellers ein.

Wenn Sie bereits eine private Verbindung haben, verwenden Sie den Befehl gcloud services vpc-peerings update, um sie zu aktualisieren:
```
gcloud services vpc-peerings update \
  --service=servicenetworking.googleapis.com \
  --ranges=RESERVED_RANGE_NAME \
  --network=VPC_NETWORK \
  --project=PROJECT_ID
```
Wenn Sie noch keine private Verbindung haben, verwenden Sie den Befehl gcloud services vpc-peerings connect. Dieser Befehl initiiert einen Vorgang mit langer Ausführungszeit und gibt einen Vorgangsnamen zurück.
```
gcloud services vpc-peerings connect \
  --service=servicenetworking.googleapis.com \
  --ranges=RESERVED_RANGE_NAME \
  --network=VPC_NETWORK \
  --project=PROJECT_ID
```
Ersetzen Sie Folgendes:
- RESERVED_RANGE_NAME: der Name eines oder mehrerer zugewiesener Bereiche
- VPC_NETWORK: Der Name Ihres VPC-Netzwerks
- PROJECT_ID: die ID des Projekts, das Ihr VPC-Netzwerk enthält
Mit dem Befehl gcloud services vpc-peerings operations describe können Sie prüfen, ob der Vorgang erfolgreich war:
```
gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME
```
Ersetzen Sie OPERATION_NAME durch den Vorgangsnamen, der im vorherigen Schritt zurückgegeben wurde.

Wiederholen Sie die Schritte 2 und 3 für jedes VPC-Netzwerk, das Sie überwachen möchten.

Optional: VPC Service Controls aktivieren

Nachdem der Zugriff auf private Dienste aktiviert ist, können Sie optional VPC Service Controls für Cloud IDS aktivieren. Wenn die Funktion aktiviert ist, führen Sie den Befehl services vpc-peerings enable-vpc-service-controls aus, um VPC Service Controls für alle Ihre Peering-Verbindungen zu aktivieren:

gcloud services vpc-peerings enable-vpc-service-controls \
    --service=servicenetworking.googleapis.com \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

Ersetzen Sie Folgendes:

VPC_NETWORK: Der Name des VPC-Netzwerks
PROJECT_ID: die ID des Projekts, das Ihr VPC-Netzwerk enthält

Cloud IDS-Endpunkt erstellen

Wir empfehlen, einen IDS-Endpunkt für jede Region zu erstellen, in der Sie Arbeitslasten bereitgestellt haben. Sie können auch mehrere IDS-Endpunkte pro Region erstellen. Führen Sie die folgenden Schritte aus, um einen IDS-Endpunkt zu erstellen und ihm ein IDS-Dienstprofil zuzuweisen.

Console

Rufen Sie in der Google Cloud Console IDS-Endpunkte auf.

Zu IDS-Endpunkten

Konfigurieren Sie den Endpunkt:

Klicken Sie auf Endpunkt erstellen.
Geben Sie im Feld Endpunktname einen Namen ein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung ein.
Klicken Sie auf die Drop-down-Liste Netzwerk und wählen Sie das Netzwerk aus, das Cloud IDS prüfen soll.
Wählen Sie in den Drop-down-Listen Region und Zone die Region und Zone Ihres Netzwerks oder Subnetzes aus.
Klicken Sie auf Weiter.

Wählen Sie das Cloud IDS-Dienstprofil aus:

Klicken Sie auf IDS-Dienstprofil auswählen.
Wählen Sie unter Mindestschweregrad der Bedrohung die richtige Benachrichtigungsstufe aus.
Klicken Sie auf Erstellen. Die Erstellung kann 10 bis 15 Minuten dauern.

Nachdem der IDS-Endpunkt erstellt wurde, hängen Sie eine Paketspiegelungsrichtlinie an den IDS-Endpunkt an:

Wählen Sie den Tab Endpunkte aus.
Klicken Sie neben dem IDS-Endpunkt auf Anhängen.
Geben Sie im Feld Richtlinienname einen Namen für die Paketspiegelungsrichtlinie ein.
Klicken Sie auf Weiter.
Wählen Sie das Subnetz oder die Instanzen aus, die gespiegelt werden sollen. Sie können mehrere Subnetze und Instanzen auswählen.
Klicken Sie auf Weiter.
Legen Sie fest, ob Sie den gesamten Traffic spiegeln oder filtern möchten:
1. Wenn Sie den gesamten Traffic spiegeln möchten, muss All Traffic Mirror (Gesamten Traffic spiegeln) ausgewählt sein.
2. Wenn Sie Traffic nach Protokoll, IP-Adressbereich oder eingehenden oder ausgehenden Traffic filtern möchten, wählen Sie Gefilterten Traffic spiegeln aus:
  1. Wählen Sie entweder Alle Protokolle zulassen oder Bestimmte Protokolle zulassen aus.
  2. Wählen Sie entweder Alle IP-Bereiche zulassen oder Bestimmte IP-Bereiche zulassen aus.
Klicken Sie auf Senden. Der Endpunkt wird erstellt.

Jetzt können Sie prüfen, ob Bedrohungsprotokolle generiert wurden. Die folgenden Schritte sind optional:

Klicken Sie auf den Tab IDS-Bedrohungen.
Klicken Sie auf den Namen einer Bedrohung, um die Seite Bedrohungsdetails aufzurufen.
Kehren Sie zum Tab Bedrohungen zurück.
Klicken Sie rechts neben dem IDS-Endpunkt auf das Dreipunkt-Menü und wählen Sie Threat Logs ansehen aus.

gcloud

Optionale Flags

Die Befehle in diesem Abschnitt können einige oder alle der folgenden optionalen Flags haben:

--no-async

Warten, bis der Vorgang abgeschlossen ist, anstatt sofort zurückzukehren.

--filter=EXPRESSION

Wenden Sie einen booleschen Filterausdruck auf jedes aufzulistende Ressourcenelement an. Wenn der Ausdruck „Wahr“ ergibt, wird dieses Element aufgeführt. Weitere Informationen und Beispiele zu Filterausdrücken erhalten Sie durch Ausführen von $ gcloud topic filters. Dieses Flag interagiert mit anderen Flags, die in dieser Reihenfolge angewendet werden: --flatten, --sort-by, --filter, --limit.

--limit=LIMIT

Maximale Anzahl der aufzulistenden Ressourcen. Standardmäßig ist die Anzahl unbegrenzt. Dieses Flag interagiert mit anderen Flags, die in dieser Reihenfolge angewendet werden: --flatten, --sort-by, --filter, --limit.

--page-size=PAGE_SIZE

Eine Cloud IDS-Ressourcenlistenausgabe auf Seiten. Mit diesem Flag wird die maximale Anzahl von Ressourcen pro Seite angegeben. Der Standardwert wird vom Dienst bestimmt, sofern er die Seitenübertragung unterstützt. Andernfalls ist er unbegrenzt (keine Seitenübertragung). Seitenwechsel können je nach Dienst vor oder nach --filter und --limit eingefügt werden.

--sort-by=[FIELD,…]

Eine durch Kommas getrennte Liste von Schlüsselnamen für Ressourcenfelder, nach denen sortiert werden soll. Die Standardreihenfolge ist aufsteigend. Stellen Sie einem Feld „~“ für eine absteigende Reihenfolge in diesem Feld voran. Dieses Flag interagiert mit anderen Flags, die in dieser Reihenfolge angewendet werden: --flatten, --sort-by, --filter, --limit.

--uri

Eine Liste von Ressourcen-URIs anstelle der Standardausgabe drucken.

--threat-exceptions

Durch Kommas getrennte Liste von Bedrohungs-IDs, die von Benachrichtigungen zu diesem Endpunkt ausgenommen werden sollen. Begrenzt auf 99 Ausnahmen pro Endpunkt.

Anleitung

So erstellen Sie einen neuen IDS-Endpunkt:

Führen Sie den Befehl gcloud ids endpoints create aus. Ersetzen Sie ENDPOINT_NAME, VPC_NETWORK, ZONE und SEVERITY durch Informationen, die zu Ihrer Anwendung passen.
```
gcloud ids endpoints create ENDPOINT_NAME \
  --network=VPC_NETWORK \
  --zone=ZONE \
  --severity=SEVERITY \
 [--no-async] \
 [GCLOUD_WIDE_FLAG...]
```
Das Flag „severity“ ist erforderlich und kann einen der folgenden Werte haben:
- INFORMATIONEN
- NIEDRIG
- MITTEL
- HOCH
- CRITICAL
Nachdem der Endpunkt erstellt wurde, hängen Sie eine Paketspiegelungsrichtlinie an. Rufen Sie zuerst die URL aus dem Feld endpoint_forwarding_rule mit dem folgenden Befehl ab:
```
gcloud ids endpoints describe ENDPOINT_NAME
```

Erstellen Sie die Paketspiegelungsrichtlinie mit dem folgenden Befehl:

gcloud compute packet-mirrorings create POLICY_NAME \
--region=REGION --collector-ilb=ENDPOINT_FORWARDING_RULE \
--network=VPC_NETWORK --mirrored-subnets=SUBNET

Das Paketspiegelung bietet mehrere optionale Flags, mit denen Sie Traffic nach Protokoll, IP-Adressbereich oder eingehenden bzw. ausgehenden Zugriffen filtern können. Weitere Informationen zu diesen optionalen Flags finden Sie in der Referenz zum Paket-Mirroring.

Verwenden Sie den Befehl gcloud ids endpoints delete, um einen IDS-Endpunkt zu löschen. Ersetzen Sie ENDPOINT_NAME, PROJECT_ID und ZONE durch Informationen, die zu Ihrer Anwendung passen:

gcloud ids endpoints delete ENDPOINT_NAME \
   [--project=PROJECT_ID] \
   [--zone=ZONE] \
   [--no-async] \
   [GCLOUD_WIDE_FLAG...]

Verwenden Sie den Befehl gcloud ids endpoints describe, um einen IDS-Endpunkt zu beschreiben. Ersetzen Sie ENDPOINT_NAME, PROJECT_ID und ZONE durch Informationen, die zu Ihrer Anwendung passen:

gcloud ids endpoints describe ENDPOINT_NAME \
   [--project=PROJECT_ID] \
   [--zone=ZONE] \
   [GCLOUD_WIDE_FLAG...]

Verwenden Sie den Befehl gcloud ids endpoints list, um IDS-Endpunkte aufzulisten:

gcloud ids endpoints list /
    [--filter=EXPRESSION] \
    [--limit=LIMIT] \
    [--page-size=PAGE_SIZE] \
    [--sort-by=[FIELD,...]] \
    [--uri] \
    [GCLOUD_WIDE_FLAG...]

API

Cloud IDS-Endpunktressourcen haben die folgenden Felder:

Feld	Typ	Feldbeschreibung
createTime	String	[Nur Ausgabe] Erstellungszeitstempel im Textformat RFC 3339.
updateTime	String	[Nur Ausgabe] Zeitstempel der letzten Aktualisierung im Textformat RFC 3339.
name	String	[Nur Ausgabe] Name des Endpunkts im Format `projects/{project_id}/locations/{locationId}/endpoints/{endpointId}`.
network	String	Name des VPC-Netzwerk, das mit dem IDS-Endpunkt verbunden ist. Dies kann entweder der Name des VPC-Netzwerk selbst (z. B. `"src-net"`) oder die vollständige URL zum Netzwerk (z. B. `"projects/{project_id}/global/networks/src-net"`) sein. Dieses Feld ist beim Erstellen des Endpunkts erforderlich.
die Ausprägung	String	Der Mindestschweregrad für Benachrichtigungen, der vom Endpunkt gemeldet wird. Folgende Werte sind möglich: INFORMATIONEN NIEDRIG MITTEL HOCH CRITICAL Dieses Feld ist beim Erstellen des Endpunkts erforderlich.
description	String	Eine optionale Beschreibung des Endpunkts.
endpoint_forwarding_rule	String	[Nur Ausgabe] URL der Netzwerkadresse des Endpunkts, an den Traffic per Paketspiegelung gesendet werden soll.
Endpunkt	String	[Nur Ausgabe] Interne IP-Adresse des Netzwerkeingangspunkts des Endpunkts.

Verwenden Sie zum Erstellen eines Cloud IDS-Endpunkts eine HTTP-POST-Anfrage wie die folgende und ersetzen Sie die Variablen entsprechend. Die ENDPOINT_NAME muss zwischen 1 und 63 Zeichen lang sein, darf nur Kleinbuchstaben, Ziffern und Bindestriche enthalten, muss mit einem Kleinbuchstaben beginnen und darf nicht mit einem Bindestrich enden.

POST https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/ZONE/endpoints?endpointId=ENDPOINT_NAME
{
    "network": "NETWORK_NAME",
    "severity": "SEVERITY_LEVEL",
}

Wenn Sie einen Cloud IDS-Endpunkt löschen möchten, verwenden Sie eine HTTP DELETE-Anfrage wie die folgende und ersetzen Sie die Variablen entsprechend:

DELETE https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/ZONE/endpoints?endpointId=ENDPOINT_NAME

Verwenden Sie eine HTTP GET-Anfrage wie die folgende, um einen Cloud IDS-Endpunkt abzurufen. Ersetzen Sie dabei die Variablen nach Bedarf:

GET https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/ZONE/endpoints?endpointId=ENDPOINT_NAME

Wenn Sie alle Cloud IDS-Endpunkte in einer Zone auflisten möchten, verwenden Sie eine HTTP GET-Anfrage wie die folgende und ersetzen Sie die Variablen entsprechend:

GET https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/ZONE/endpoints

Wenn Sie alle Cloud IDS-Endpunkte in allen Zonen auflisten möchten, können Sie das ZONE durch einen Bindestrich ersetzen:

GET https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/-/endpoints

Optional: Bedrohungsausnahmen konfigurieren

Sie können störende oder anderweitig unnötige Bedrohungs-IDs deaktivieren, indem Sie beim Erstellen oder Aktualisieren Ihres Cloud IDS-Endpunkts das Flag --threat-exceptions verwenden. Im folgenden Beispiel wird ein vorhandener Cloud IDS-Endpunkt ENDPOINT_NAME aktualisiert, um die Bedrohungs-IDs THREAT_ID1 und THREAT_ID2 auszunehmen:

   gcloud ids endpoints update ENDPOINT_NAME 

      --threat-exceptions=THREAT_ID1,THREAT_ID2