Informations de journalisation Cloud IDS

Cette page décrit les journaux créés par les alertes Cloud IDS.

Journaux des menaces

Vous pouvez afficher les journaux générés en raison de menaces sur votre réseau dans Cloud Logging. Les journaux utilisent un format JSON avec les champs suivants:

  • threat_id : identifiant unique de la menace Palo Alto Networks.
  • name : nom de la menace.
  • alert_severity : gravité de la menace. Spécifiez l'un des types INFORMATIONAL, LOW, MEDIUM, HIGH ou CRITICAL.
  • type : type de la menace.
  • category : sous-type de la menace.
  • alert_time : heure à laquelle la menace a été découverte.
  • network : réseau du client dans lequel la menace a été détectée.
  • source_ip_address : adresse IP source du trafic suspecté. Lorsque vous utilisez un équilibreur de charge Google Cloud, l'adresse IP réelle du client n'est pas disponible. Cette valeur correspond à la plage d'adresses IP de Google Front End (GFE). La valeur peut être 130.211.0.0/22 ou 35.191.0.0/16.
  • destination_ip_address : adresse IP de destination du trafic potentiel.
  • source_port : port source du trafic suspecté.
  • destination_port : port de destination du trafic potentiel.
  • ip_protocol : protocole IP du trafic suspect.
  • application : type d'application du trafic suspecté, par exemple SSH.
  • direction : direction du trafic suspectée (client à serveur ou serveur vers client).
  • session_id : identifiant numérique interne appliqué à chaque session.
  • repeat_count : nombre de sessions avec la même adresse IP source, la même adresse IP de destination, la même application et le même type vus dans un délai de cinq secondes.
  • uri_or_filename : URI ou nom de fichier de la menace concernée, le cas échéant.
  • cves : liste des CVE associées à la menace
  • details : informations supplémentaires sur le type de menace, tirées de la ThreatVault des réseaux de Palo Alto.

Les champs JSON précédents sont imbriqués sous le champ jsonPayload du journal. Le nom des journaux de menaces est projects/<consumer-project>/logs/ids.googleapis.com/threat.

En outre, le champ labels.id du journal contient le nom du point de terminaison Cloud IDS, et son champ resource.type est ids.googleapis.com/Endpoint.

Exemple de requête

Cette requête dans Cloud Logging interroge le journal des menaces IDS dans le projet cloud my-project et renvoie toutes les menaces signalées par le point de terminaison my-endpoint entre le 4 avril 2021 de 8h à 9h, heure PST (décalage de fuseau horaire de -07), où la gravité de la menace était définie sur ÉLEVÉE.

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

Règle de conservation

La conservation est déterminée par les buckets de stockage dans lesquels se trouvent les journaux. Par défaut, les journaux sont placés dans le bucket _Default. Sa règle de conservation est définie par défaut sur 30 jours.

Vous pouvez choisir de filtrer les journaux sur différents buckets. De plus, la conservation est configurable.

Si vous souhaitez utiliser une règle de conservation différente de la règle par défaut de 30 jours, vous pouvez effectuer l'une des opérations suivantes:

  • Filtrer tous les journaux dans un autre bucket et configurer une règle de conservation
  • Configurez une règle de conservation personnalisée pour le bucket _Default. Tous les autres journaux du bucket _Default seront affectés.

Journaux de trafic

Dans Cloud Logging, vous pouvez afficher les journaux générés en raison du trafic réseau. Les journaux utilisent un format JSON avec les champs suivants:

  • start_time : heure de début de la session.
  • elapsed_time : temps écoulé de la session.
  • network : réseau associé au point de terminaison IDS.
  • source_ip_address : adresse IP source du paquet.
  • source_port : port source du trafic.
  • destination_ip_address : adresse IP de destination du paquet.
  • destination_port : port de destination du trafic.
  • ip_protocol : protocole IP du paquet.
  • application : application associée à la session.
  • session_id : identifiant numérique interne appliqué à chaque session.
  • repeat_count : nombre de sessions avec la même adresse IP source, la même adresse IP de destination, la même application et le même type vus dans un délai de cinq secondes.
  • total_bytes : nombre total d'octets transférés au cours de la session.
  • total_packets : nombre total de paquets transférés au cours de la session.