Auf dieser Seite werden die Logs beschrieben, die von Cloud IDS-Sicherheitswarnungen erstellt werden.
Bedrohungslogs
Sie können sich in Cloud Logging Logs ansehen, die aufgrund von Bedrohungen in Ihrem Netzwerk generiert wurden. Die Protokolle verwenden das JSON-Format mit den folgenden Feldern:
threat_id
: Eindeutige Palo Alto Networks-Bedrohungs-ID.name
: Name der Bedrohung.alert_severity
– Schweregrad der Bedrohung. EntwederINFORMATIONAL
,LOW
,MEDIUM
,HIGH
oderCRITICAL
.type
: Art der Bedrohung.category
: Untertyp der Bedrohung.alert_time
– Zeitpunkt, zu dem die Bedrohung erkannt wurde.network
– Kundennetzwerk, in dem die Bedrohung erkannt wurde.source_ip_address
: Quell-IP-Adresse des verdächtigen Traffics. Wenn Sie einen Google Cloud-Load Balancer verwenden, ist die echte Client-IP-Adresse nicht verfügbar. Stattdessen wird der IP-Adressbereich des Google-Front-Ends (GFE) verwendet. Der Wert kann130.211.0.0/22
oder35.191.0.0/16
sein.destination_ip_address
: Ziel-IP-Adresse des verdächtigen Traffics.source_port
: Quellport des verdächtigen Traffics.destination_port
: Zielport des verdächtigen Traffics.ip_protocol
: IP-Protokoll des verdächtigen Traffics.application
: Anwendungstyp des verdächtigen Traffics, z. B. SSH.direction
: Richtung des verdächtigen Traffics (Client-zu-Server oder Server-zu-Client)session_id
: Eine interne numerische Kennung, die auf jede Sitzung angewendet wird.repeat_count
: Anzahl der Sitzungen mit derselben Quell-IP-Adresse, Ziel-IP-Adresse, Anwendung und demselben Typ innerhalb von 5 Sekunden.uri_or_filename
: URI oder Dateiname der entsprechenden Bedrohung, sofern zutreffend.cves
: Liste der CVEs, die mit der Bedrohung verknüpft sinddetails
: Zusätzliche Informationen zur Art der Bedrohung aus der ThreatVault von Palo Alto Networks.
Die vorherigen JSON-Felder sind im Feld jsonPayload
des Logs verschachtelt. Der Log-Name für Bedrohungsprotokolle lautet projects/<consumer-project>/logs/ids.googleapis.com/threat
.
Außerdem enthält das labels.id
-Feld des Logs den Namen des Cloud IDS-Endpunkts und das resource.type
-Feld den Wert ids.googleapis.com/Endpoint
.
Beispielabfrage
Mit dieser Abfrage in Cloud Logging wird das IDS-Bedrohungsprotokoll im Cloud-Projekt my-project
abgefragt. Es werden alle Bedrohungen zurückgegeben, die vom Endpunkt my-endpoint
zwischen 8:00 und 9:00 Uhr (PST, −07 Zeitzonenoffset) am 4. April 2021 gemeldet wurden und deren Schweregrad als HOCH gekennzeichnet wurde.
logName="projects/my-project/logs/ids.googleapis.com/threat" AND resource.type="ids.googleapis.com/Endpoint" AND resource.labels.id="my-endpoint" AND timestamp >= "2021-04-18T08:00:00-07" AND timestamp <= "2021-04-18T09:00:00-07" AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
Aufbewahrungsrichtlinien
Die Aufbewahrungsdauer wird durch die Speicher-Buckets bestimmt, in denen sich die Protokolle befinden.
Standardmäßig werden Logs im Bucket _Default
gespeichert. Dieser Bucket hat standardmäßig eine Aufbewahrungsdauer von 30 Tagen.
Sie können Protokolle nach verschiedenen Bereichen filtern. Außerdem ist die Aufbewahrung konfigurierbar.
Wenn Sie eine andere Aufbewahrungsrichtlinie als die Standardeinstellung von 30 Tagen verwenden möchten, haben Sie folgende Möglichkeiten:
- Filtern Sie alle Protokolle in einen anderen Bucket und konfigurieren Sie eine Aufbewahrungsrichtlinie.
- Konfigurieren Sie eine benutzerdefinierte Aufbewahrungsrichtlinie für den Bucket
_Default
. Das wirkt sich auf alle anderen Logs im_Default
-Bucket aus.
Trafficlogs
Sie können sich in Cloud Logging Logs ansehen, die aufgrund von Netzwerkverkehr generiert wurden. Die Protokolle verwenden das JSON-Format mit den folgenden Feldern:
start_time
– Die Uhrzeit, zu der die Sitzung begonnen hat.elapsed_time
– die verstrichene Zeit der Sitzung.network
: Das mit dem IDS-Endpunkt verknüpfte Netzwerk.source_ip_address
: Die Quell-IP-Adresse des Pakets.source_port
: Quellport des Traffics.destination_ip_address
: Die Ziel-IP-Adresse des Pakets.destination_port
: Der Zielport des Traffics.ip_protocol
: Das IP-Protokoll des Pakets.application
: Die Anwendung, die der Sitzung zugeordnet ist.session_id
: Eine interne numerische Kennung, die auf jede Sitzung angewendet wird.repeat_count
: Die Anzahl der Sitzungen mit derselben Quell-IP-Adresse, Ziel-IP-Adresse, Anwendung und demselben Typ innerhalb von 5 Sekunden.total_bytes
: Die Gesamtzahl der in der Sitzung übertragenen Byte.total_packets
: Die Gesamtzahl der in der Sitzung übertragenen Pakete.