Cloud IDS-Logging-Informationen

Auf dieser Seite werden die Logs beschrieben, die von Cloud IDS-Bedrohungsbenachrichtigungen erstellt werden.

Bedrohungslogs

Sie können Logs aufrufen, die aufgrund von Bedrohungen in Ihrem Netzwerk in Cloud Logging generiert wurden. Die Logs verwenden ein JSON-Format mit den folgenden Feldern:

  • threat_id: Eindeutige Palo Alto Networks-Bedrohungs-ID.
  • name – Name der Bedrohung.
  • alert_severity – Schweregrad der Bedrohung. Entweder INFORMATIONAL, LOW, MEDIUM, HIGH oder CRITICAL.
  • type – Art der Bedrohung.
  • category – Untertyp der Bedrohung.
  • alert_time: Zeitpunkt, zu dem die Bedrohung entdeckt wurde.
  • network: Kundennetzwerk, in dem die Bedrohung entdeckt wurde.
  • source_ip_address – Quell-IP-Adresse des wahrscheinlichen Traffics Wenn Sie einen Google Cloud-Load-Balancer verwenden, ist die tatsächliche Client-IP-Adresse nicht verfügbar. Dieser Wert ist dann der IP-Adressbereich des Google Front End (GFE). Der Wert kann 130.211.0.0/22 oder 35.191.0.0/16 sein.
  • destination_ip_address – Ziel-IP-Adresse des mutmaßlichen Traffics
  • source_port: Port der mutmaßlichen Trafficquelle.
  • destination_port: Zielport des mutmaßlichen Traffics
  • ip_protocol: IP-Protokoll des Verdachts auf Traffic
  • application: Anwendungstyp des mutmaßlichen Traffics, z. B. SSH
  • direction: Mögliche Traffic-Richtung (Client-zu-Server oder Server-zu-Client)
  • session_id: eine interne numerische Kennung, die auf jede Sitzung angewendet wird.
  • repeat_count: Anzahl der Sitzungen mit derselben Quell-IP-Adresse, Ziel-IP-Adresse, Anwendung und Typ innerhalb von 5 Sekunden.
  • uri_or_filename – URI oder Dateiname der relevanten Bedrohung, falls zutreffend.
  • cves – eine Liste der mit der Bedrohung verbundenen CVEs
  • details: Weitere Informationen zur Art der Bedrohung aus dem ThreatVault von Palo Alto Networks.

Die vorherigen JSON-Felder sind unter dem Feld jsonPayload des Logs verschachtelt. Der Logname für Bedrohungslogs lautet projects/<consumer-project>/logs/ids.googleapis.com/threat.

Darüber hinaus enthält das Feld labels.id des Logs den Namen des Cloud IDS-Endpunkts und das Feld resource.type ist ids.googleapis.com/Endpoint.

Beispielabfrage

Diese Abfrage in Cloud Logging fragt das IDS-Bedrohungslog im Cloud-Projekt my-project ab und gibt alle Bedrohungen zurück, die vom Endpunkt my-endpoint zwischen 8:00 und 9:00 Uhr am 4. April 2021 PST-Zeit (UTC -07) gemeldet wurden, wobei der Schweregrad der Bedrohung als HOCH markiert war.

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

Aufbewahrungsrichtlinien

Die Aufbewahrung wird durch die Storage-Buckets bestimmt, in denen sich die Logs befinden. Standardmäßig werden Logs im Bucket _Default abgelegt. Die Aufbewahrungsrichtlinie für diesen Bucket beträgt standardmäßig 30 Tage.

Sie können Logs nach verschiedenen Buckets filtern. Darüber hinaus ist die Aufbewahrung konfigurierbar.

Wenn Sie eine andere Aufbewahrungsrichtlinie als die standardmäßige Aufbewahrungsrichtlinie von 30 Tagen wünschen, haben Sie folgende Möglichkeiten:

  • Filtern Sie alle Logs in einen anderen Bucket und konfigurieren Sie eine Aufbewahrungsrichtlinie.
  • Konfigurieren Sie eine benutzerdefinierte Aufbewahrungsrichtlinie für den Bucket _Default. Dies wirkt sich auf alle anderen Logs im Bucket _Default aus.

Traffic-Logs

Sie können Logs aufrufen, die aufgrund des Netzwerktraffics in Cloud Logging generiert wurden. Die Logs verwenden ein JSON-Format mit den folgenden Feldern:

  • start_time: Uhrzeit des Sitzungsstarts.
  • elapsed_time: Die verstrichene Zeit der Sitzung.
  • network: Das mit dem IDS-Endpunkt verknüpfte Netzwerk.
  • source_ip_address: Die Quell-IP-Adresse des Pakets.
  • source_port: Quellport des Traffics
  • destination_ip_address: Die Ziel-IP-Adresse des Pakets.
  • destination_port: Der Zielport des Traffics.
  • ip_protocol: das IP-Protokoll des Pakets.
  • application: Die mit der Sitzung verknüpfte Anwendung.
  • session_id: eine interne numerische Kennung, die auf jede Sitzung angewendet wird.
  • repeat_count: Die Anzahl der Sitzungen mit derselben Quell-IP-Adresse, Ziel-IP-Adresse, Anwendung und Typ, die innerhalb von 5 Sekunden erfasst wurden.
  • total_bytes: Die Gesamtzahl der in der Sitzung übertragenen Byte.
  • total_packets: Die Gesamtzahl der in der Sitzung übertragenen Pakete.