Cloud IDS のロギング情報

このページでは、Cloud IDS 脅威アラートによって作成されるログについて説明します。

脅威のログ

ネットワーク内の脅威によって生成されたログは、Cloud Logging で確認できます。ログは JSON 形式で、次のフィールドを使用します。

  • threat_id - 一意の Palo Alto Networks 脅威識別子。
  • name - 脅威の名前
  • alert_severity - 脅威の重大度。INFORMATIONALLOWMEDIUMHIGHCRITICAL のいずれかです。
  • type - 脅威のタイプ。
  • category - 脅威のサブタイプ。
  • alert_time - 脅威が検出された時刻。
  • network - 脅威が検出されたお客様のネットワーク。
  • source_ip_address - 疑わしいトラフィックのソース IP アドレス。Google Cloud ロードバランサを使用する場合、実際のクライアント IP アドレスは利用できないため、この値は Google Front End(GFE)の IP アドレス範囲です。値は、130.211.0.0/22 または 35.191.0.0/16 です。
  • destination_ip_address - 疑わしいトラフィックの宛先 IP アドレス。
  • source_port - 疑わしいトラフィックの送信元ポート。
  • destination_port - 疑わしいトラフィックの宛先ポート。
  • ip_protocol - 疑わしいトラフィックの IP プロトコル。
  • application - 疑わしいトラフィックのアプリケーションのタイプ(SSH など)。
  • direction - 疑わしいトラフィックの方向(クライアントからサーバー、またはサーバーからクライアント)。
  • session_id - 各セッションに適用される内部の数値 ID。
  • repeat_count - 同じソース IP、宛先 IP、アプリケーション、タイプが 5 秒以内に確認されたセッションの数。
  • uri_or_filename - 関連する脅威の URI またはファイル名(該当する場合)。
  • cves - 脅威に関連する CVE のリスト
  • details - Palo Alto Networks の ThreatVault から取得した、脅威の種類に関する追加情報。

上記の JSON フィールドは、ログの jsonPayload フィールドの下にネストされています。脅威ログのログ名は projects/<consumer-project>/logs/ids.googleapis.com/threat です。

また、ログの labels.id フィールドには Cloud IDS エンドポイントの名前が含まれ、その resource.type フィールドは ids.googleapis.com/Endpoint です。

クエリの例

Cloud Logging のクエリは、クラウド プロジェクト my-project の IDS 脅威ログにクエリを実行し、脅威の重大度が HIGH とマークされた太平洋標準時間 2021 年 4 月 4 日午前 8 時~9 時(-07 タイムゾーン オフセット)の間に my-endpoint エンドポイントによって報告されたすべての脅威を返します。

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

保持ポリシー

保持は、ログが配置されているストレージ バケットによって決まります。デフォルトでは、ログは _Default バケットに配置され、このバケットの保持ポリシーはデフォルトで 30 日間になります。

ログをさまざまなバケットにフィルタリングできます。また、保持は構成可能です。

デフォルトの 30 日間とは異なる保持ポリシーが必要な場合は、次のいずれかを行います。

  • すべてのログを別のバケットにフィルタし、保持ポリシーを構成します。
  • _Default バケットのカスタム保持ポリシーを構成します。これは、_Default バケット内の他のすべてのログに影響します。

トラフィック ログ

ネットワーク トラフィックが原因で生成されたログは、Cloud Logging で確認できます。ログは JSON 形式で、次のフィールドを使用します。

  • start_time - セッションの開始時間。
  • elapsed_time - セッションの経過時間。
  • network - IDS エンドポイントに関連付けられたネットワーク。
  • source_ip_address - リクエストのソース IP アドレス。
  • source_port - トラフィックの送信元ポート。
  • destination_ip_address - パケットの宛先 IP アドレス。
  • destination_port - トラフィックの宛先ポート。
  • ip_protocol - パケットの IP プロトコル。
  • application - セッションに関連付けられているアプリケーション。
  • session_id - 各セッションに適用される内部の数値 ID。
  • repeat_count - 同じソース IP、宛先 IP、アプリケーション、タイプが 5 秒以内に確認されたセッションの数。
  • total_bytes - セッションで転送されたバイト数の合計。
  • total_packets - セッションで転送されたパケットの合計数。