Cloud IDS-Logging-Informationen

Auf dieser Seite werden die Logs beschrieben, die von Cloud IDS-Sicherheitswarnungen erstellt werden.

Bedrohungslogs

Sie können sich in Cloud Logging Logs ansehen, die aufgrund von Bedrohungen in Ihrem Netzwerk generiert wurden. Die Protokolle verwenden das JSON-Format mit den folgenden Feldern:

  • threat_id: Eindeutige Palo Alto Networks-Bedrohungs-ID.
  • name: Name der Bedrohung.
  • alert_severity – Schweregrad der Bedrohung. Entweder INFORMATIONAL, LOW, MEDIUM, HIGH oder CRITICAL.
  • type: Art der Bedrohung.
  • category: Untertyp der Bedrohung.
  • alert_time: Zeitpunkt, zu dem die Bedrohung erkannt wurde.
  • network – Kundennetzwerk, in dem die Bedrohung erkannt wurde.
  • source_ip_address: Quell-IP-Adresse des verdächtigen Traffics. Wenn Sie ein Google Cloud-Load-Balancer die tatsächliche Client-IP-Adresse nicht verfügbar. Dieser Wert ist der IP-Adressbereich der Google Front Ende (GFE). Der Wert kann 130.211.0.0/22 oder 35.191.0.0/16 sein.
  • destination_ip_address – IP-Adresse des mutmaßlichen Traffics
  • source_port: Quellport des mutmaßlichen Traffics.
  • destination_port: Zielport des verdächtigen Traffics.
  • ip_protocol: IP-Protokoll des verdächtigen Traffics.
  • application: Anwendungstyp des verdächtigen Traffics, z. B. SSH.
  • direction: Richtung des verdächtigen Traffics (Client-zu-Server oder Server-zu-Client)
  • session_id: Eine interne numerische Kennung, die auf jede Sitzung angewendet wird.
  • repeat_count – Anzahl der Sitzungen mit derselben Quell-IP, derselben Ziel-IP-Adresse und die Eingabe erfolgt innerhalb von 5 Sekunden.
  • uri_or_filename – URI oder Dateiname der relevanten Bedrohung, falls zutreffend.
  • cves: eine Liste der mit der Bedrohung verbundenen CVEs
  • details: Zusätzliche Informationen zur Art der Bedrohung aus der ThreatVault von Palo Alto Networks.

Die vorherigen JSON-Felder sind im Feld jsonPayload des Logs verschachtelt. Der Protokollname für Bedrohungsprotokolle lautet projects/<consumer-project>/logs/ids.googleapis.com/threat.

Außerdem enthält das labels.id-Feld des Logs den Namen des Cloud IDS-Endpunkts und das resource.type-Feld den Wert ids.googleapis.com/Endpoint.

Beispielabfrage

Mit dieser Abfrage in Cloud Logging wird das IDS-Bedrohungsprotokoll im Cloud-Projekt my-project abgefragt. Es werden alle Bedrohungen zurückgegeben, die vom Endpunkt my-endpoint zwischen 8:00 und 9:00 Uhr (PST, −07 Zeitzonenoffset) am 4. April 2021 gemeldet wurden und deren Schweregrad als HOCH gekennzeichnet wurde.

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

Aufbewahrungsrichtlinien

Die Aufbewahrungsdauer wird durch die Speicher-Buckets bestimmt, in denen sich die Protokolle befinden. Standardmäßig werden Logs im Bucket _Default abgelegt. Dieser Bucket hat standardmäßig eine Aufbewahrungsdauer von 30 Tagen.

Sie können Logs nach verschiedenen Buckets filtern. Außerdem ist die Aufbewahrung konfigurierbar.

Wenn Sie eine andere Aufbewahrungsrichtlinie als die standardmäßigen 30 Tage festlegen möchten, haben Sie folgende Möglichkeiten: eines der folgenden:

  • Filtern Sie alle Protokolle in einen anderen Bucket und konfigurieren Sie eine Aufbewahrungsrichtlinie.
  • Konfigurieren Sie eine benutzerdefinierte Aufbewahrungsrichtlinie für den Bucket _Default. Dies wirkt sich auf alle anderen Logs im _Default-Bucket aus.

Trafficlogs

Sie können sich in Cloud Logging Logs ansehen, die aufgrund von Netzwerkverkehr generiert wurden. Die Logs verwenden ein JSON-Format mit den folgenden Feldern:

  • start_time: Zeitpunkt des Sitzungsbeginns.
  • elapsed_time – die verstrichene Zeit der Sitzung.
  • network: Das mit dem IDS-Endpunkt verknüpfte Netzwerk.
  • source_ip_address: Die Quell-IP-Adresse des Pakets.
  • source_port: Der Quellport des Traffics.
  • destination_ip_address: Die Ziel-IP-Adresse des Pakets.
  • destination_port: Der Zielport des Traffics.
  • ip_protocol: Das IP-Protokoll des Pakets.
  • application: Die mit der Sitzung verknüpfte Anwendung.
  • session_id: Eine interne numerische Kennung, die auf jede Sitzung angewendet wird.
  • repeat_count: Die Anzahl der Sitzungen mit derselben Quell-IP-Adresse, Ziel-IP-Adresse, Anwendung und demselben Typ innerhalb von 5 Sekunden.
  • total_bytes: Die Gesamtzahl der in der Sitzung übertragenen Byte.
  • total_packets: Die Gesamtzahl der in der Sitzung übertragenen Pakete.