Questa pagina descrive i log creati dagli avvisi di minacce di Cloud IDS.
Log delle minacce
Puoi visualizzare i log generati a causa di minacce nella tua rete in Cloud Logging. I log utilizzano un formato JSON con i seguenti campi:
threat_id
: identificatore univoco della minaccia Palo Alto Networks.name
- Nome della minaccia.alert_severity
- Gravità della minaccia. Uno dei seguenti valori:INFORMATIONAL
,LOW
,MEDIUM
,HIGH
oCRITICAL
.type
: tipo di minaccia.category
: sottotipo di minaccia.alert_time
: ora in cui è stata scoperta la minaccia.network
: la rete del cliente in cui è stata rilevata la minaccia.source_ip_address
: indirizzo IP di origine del traffico sospetto. Quando utilizzi un bilanciatore del carico Google Cloud, l'indirizzo IP client effettivo non è disponibile e questo valore è l'intervallo di indirizzi IP di Google Front End (GFE). Il valore può essere130.211.0.0/22
o35.191.0.0/16
.destination_ip_address
: indirizzo IP di destinazione del traffico sospetto.source_port
- Porta di origine del traffico sospetto.destination_port
- La porta di destinazione del traffico sospetto.ip_protocol
- Protocollo IP del traffico sospetto.application
: il tipo di applicazione del traffico sospetto, ad esempio SSH.direction
: direzione del traffico sospetto (da client a server o da server a client).session_id
: un identificatore numerico interno applicato a ogni sessione.repeat_count
: numero di sessioni con lo stesso indirizzo IP di origine, indirizzo IP di destinazione, applicazione e tipo rilevati entro 5 secondi.uri_or_filename
: URI o nome file della minaccia pertinente, se applicabile.cves
: un elenco di CVE associate alla minacciadetails
: informazioni aggiuntive sul tipo di minaccia, tratte da ThreatVault di Palo Alto Networks.
I campi JSON precedenti sono nidificati nel campo jsonPayload
del log. Il
nome del log per i log delle minacce è
projects/<consumer-project>/logs/ids.googleapis.com/threat
.
Inoltre, il campo labels.id
del log contiene il nome dell'endpoint Cloud IDS e il campo resource.type
è ids.googleapis.com/Endpoint
.
Esempio di query
Questa query in Cloud Logging esegue query sul log delle minacce IDS nel progetto cloudmy-project
, restituendo tutte le minacce segnalate dall'endpointmy-endpoint
tra le 8:00 e le 9:00 del 4 aprile 2021, ora PST
(-07 offset fuso orario), in cui la gravità della minaccia è stata contrassegnata come ALTA.
logName="projects/my-project/logs/ids.googleapis.com/threat" AND resource.type="ids.googleapis.com/Endpoint" AND resource.labels.id="my-endpoint" AND timestamp >= "2021-04-18T08:00:00-07" AND timestamp <= "2021-04-18T09:00:00-07" AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
Criterio di conservazione
La conservazione è determinata dai bucket di archiviazione in cui si trovano i log.
Per impostazione predefinita, i log vengono inseriti nel bucket _Default
, che per impostazione predefinita ha un criterio di conservazione di 30 giorni.
Puoi scegliere di filtrare i log in diversi bucket. Inoltre, la conservazione è configurabile.
Se vuoi un criterio di conservazione diverso da quello predefinito di 30 giorni, puoi eseguire una delle seguenti operazioni:
- Filtra tutti i log in un altro bucket e configura un criterio di conservazione.
- Configura un criterio di conservazione personalizzato per il bucket
_Default
. Questa operazione influirà su tutti gli altri log nel bucket_Default
.
Log sul traffico
Puoi visualizzare i log generati a causa del traffico di rete in Cloud Logging. I log utilizzano un formato JSON con i seguenti campi:
start_time
: l'ora di inizio della sessione.elapsed_time
: il tempo trascorso dalla sessione.network
: la rete associata all'endpoint IDS.source_ip_address
: l'indirizzo IP di origine del pacchetto.source_port
: la porta di origine del traffico.destination_ip_address
: l'indirizzo IP di destinazione del pacchetto.destination_port
: la porta di destinazione del traffico.ip_protocol
: il protocollo IP del pacchetto.application
: l'applicazione associata alla sessione.session_id
: un identificatore numerico interno applicato a ogni sessione.repeat_count
: il numero di sessioni con lo stesso indirizzo IP di origine, lo stesso indirizzo IP di destinazione, la stessa applicazione e lo stesso tipo rilevati entro 5 secondi.total_bytes
: il numero totale di byte trasferiti nella sessione.total_packets
: il numero totale di pacchetti trasferiti nella sessione.