本页面介绍 Cloud IDS 威胁警报创建的日志。
威胁日志
您可以在 Cloud Logging 中查看因网络威胁而生成的日志。 日志使用包含以下字段的 JSON 格式:
threat_id- Palo Alto Networks 唯一的威胁标识符。name- 威胁名称。alert_severity- 威胁的严重程度。INFORMATIONAL、LOW、MEDIUM、HIGH或CRITICAL之一。type- 威胁的类型。category- 威胁的子类型。alert_time- 发现威胁的时间。network- 在其中发现了威胁的客户网络。source_ip_address- 可疑流量的来源 IP 地址。当您使用 Google Cloud 负载均衡器,实际的客户端 IP 地址不是 这个值就是 Google Front 的 IP 地址范围 结束 (GFE)。该值可以是130.211.0.0/22或35.191.0.0/16。destination_ip_address- 可疑流量的目标 IP 地址。source_port- 可疑流量的来源端口。destination_port- 可疑流量的目标端口。ip_protocol- 可疑流量的 IP 协议。application- 疑似流量的应用类型,例如 SSH。direction- 疑似流量的方向(客户端到服务器或服务器到客户端)。session_id- 应用于每个会话的内部数字标识符。repeat_count- 具有相同来源 IP、目标 IP、 并在 5 秒内看到相应类型的广告。uri_or_filename- 相关威胁的 URI 或文件名(如果适用)。cves- 与威胁相关的 CVE 列表details- 有关威胁类型的更多信息(取自帕洛阿尔托) 广告网络ThreatVault.
之前的 JSON 字段嵌套在日志的 jsonPayload 字段下。通过
威胁日志的日志名称为
projects/<consumer-project>/logs/ids.googleapis.com/threat。
此外,日志的 labels.id 字段包含 Cloud IDS 端点的名称,其 resource.type 字段为 ids.googleapis.com/Endpoint。
示例查询
Cloud Logging 中的此查询会查询 Cloud 项目中的 IDS 威胁日志
my-project,返回
美国太平洋标准时间 2021 年 4 月 4 日上午 8 点至 9 点期间通过 my-endpoint 端点发送
(-07 时区偏移量),其中威胁的严重性被标记为“高”。
logName="projects/my-project/logs/ids.googleapis.com/threat"
AND resource.type="ids.googleapis.com/Endpoint"
AND resource.labels.id="my-endpoint"
AND timestamp >= "2021-04-18T08:00:00-07"
AND timestamp <= "2021-04-18T09:00:00-07"
AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
保留政策
保留期取决于日志所在的存储分区。
默认情况下,日志存放在 _Default 存储桶中,默认情况下,此存储桶
保留政策为 30 天。
您可以选择按不同存储分区过滤日志。此外,保留期限是可配置的。
如果您想保留默认的 30 天保留政策,可以执行以下操作: 以下项之一:
- 过滤其他存储桶中的所有日志并配置保留政策。
- 为
_Default存储桶配置自定义保留政策。这将影响_Default存储桶中的所有其他日志。
流量日志
您可以在 Cloud Logging 中查看因网络流量而生成的日志。日志使用 JSON 格式,其中包含以下字段:
start_time- 会话的开始时间。elapsed_time- 会话的经过时间。network- 与 IDS 端点关联的网络。source_ip_address- 数据包的来源 IP 地址。source_port- 流量的来源端口。destination_ip_address- 数据包的目标 IP 地址。destination_port- 流量的目的地端口。ip_protocol- 数据包的 IP 协议。application- 与会话关联的应用。session_id- 应用于每个会话的内部数字标识符。repeat_count- 在 5 秒内出现相同来源 IP、目的地 IP、应用和类型的会话数。total_bytes- 会话中传输的总字节数。total_packets- 会话中传输的数据包总数。