Cloud IDS-Logging-Informationen

Auf dieser Seite werden die Logs beschrieben, die von Cloud IDS-Bedrohungsbenachrichtigungen erstellt werden.

Bedrohungslogs

Sie können sich Logs, die aufgrund von Bedrohungen in Ihrem Netzwerk generiert wurden, in Cloud Logging ansehen. Die Logs verwenden ein JSON-Format mit den folgenden Feldern:

  • threat_id: eindeutige Palo Alto Networks-ID für Bedrohungen
  • name: Name der Bedrohung
  • alert_severity: Schweregrad der Bedrohung. Entweder INFORMATIONAL, LOW, MEDIUM, HIGH oder CRITICAL
  • type: Art der Bedrohung
  • category: Untertyp der Bedrohung
  • alert_time: Zeitpunkt, zu dem die Bedrohung erkannt wurde
  • network: Kundennetzwerk, in dem die Bedrohung entdeckt wurde
  • source_ip_address: Quell-IP-Adresse des verdächtigen Traffics. Wenn Sie einen Load Balancer vonGoogle Cloud verwenden, ist die tatsächliche Client-IP-Adresse nicht verfügbar. In diesem Fall ist der Wert der IP-Adressbereich des Google Front End (GFE). Der Wert kann 130.211.0.0/22 oder 35.191.0.0/16 sein.
  • destination_ip_address: Ziel-IP-Adresse des verdächtigen Traffics
  • source_port: Quellport des verdächtigen Traffics
  • destination_port: Zielport des verdächtigen Traffics
  • ip_protocol: IP-Protokoll des verdächtigen Traffics
  • application: Anwendungstyp des verdächtigen Traffics, z. B. SSH
  • direction: Richtung des verdächtigen Traffics (Client-zu-Server oder Server-zu-Client)
  • session_id: eine interne numerische ID, die auf jede Sitzung angewendet wird
  • repeat_count: Anzahl der Sitzungen mit derselben Quell-IP, Ziel-IP, Anwendung und demselben Typ, die innerhalb von 5 Sekunden beobachtet wurden
  • uri_or_filename: URI oder Dateiname der relevanten Bedrohung, falls zutreffend
  • cves: eine Liste der mit der Bedrohung verknüpften CVEs
  • details: zusätzliche Informationen zum Bedrohungstyp aus dem Threat Vault von Palo Alto Networks

Die vorherigen JSON-Felder sind im Feld jsonPayload des Logs verschachtelt. Der Logname für Bedrohungslogs lautet projects/<consumer-project>/logs/ids.googleapis.com/threat.

Außerdem enthält das Feld labels.id des Logs den Namen des Cloud IDS-Endpunkts und das Feld resource.type enthält den Wert ids.googleapis.com/Endpoint.

Beispielabfrage

Mit dieser Abfrage in Cloud Logging wird das IDS-Bedrohungslog im Cloud-Projekt my-project abgefragt. Es werden dann alle Bedrohungen zurückgegeben, die am 4. April 2021 zwischen 8:00 und 9:00 Uhr (Pacific Standard Time, UTC-7) vom Endpunkt my-endpoint gemeldet wurden und deren Schweregrad als „hoch“ eingestuft wurde.

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

Aufbewahrungsrichtlinien

Die Aufbewahrungsdauer richtet sich nach den Speicher-Buckets, in denen sich die Logs befinden. Standardmäßig werden Logs im Bucket _Default platziert. Dieser Bucket hat standardmäßig eine Aufbewahrungsdauer von 30 Tagen.

Sie können Logs anhand von Filtern unterschiedlichen Buckets zuweisen. Außerdem ist die Aufbewahrungsdauer konfigurierbar.

Wenn Sie eine andere Aufbewahrungsdauer als die Standardeinstellung von 30 Tagen verwenden möchten, haben Sie folgende Möglichkeiten:

  • Filtern Sie alle Logs in einen anderen Bucket und konfigurieren Sie dann eine Aufbewahrungsrichtlinie.
  • Konfigurieren Sie danach für den Bucket _Default eine benutzerdefinierte Aufbewahrungsrichtlinie. Das wirkt sich auf alle anderen Logs im _Default-Bucket aus.

Traffic-Logs

Sie können sich Logs, die aufgrund von Netzwerk-Traffic generiert wurden, in Cloud Logging ansehen. Die Logs verwenden ein JSON-Format mit den folgenden Feldern:

  • start_time: die Uhrzeit des Sitzungsbeginns
  • elapsed_time: die verstrichene Zeit der Sitzung
  • network: das Netzwerk, das dem IDS-Endpunkt zugeordnet ist
  • source_ip_address: die Quell-IP-Adresse des Pakets
  • source_port: der Quellport des Traffics
  • destination_ip_address: die Ziel-IP-Adresse des Pakets
  • destination_port: der Zielport des Traffics
  • ip_protocol: das IP-Protokoll des Pakets
  • application: die Anwendung, die der Sitzung zugeordnet ist
  • session_id: eine interne numerische ID, die auf jede Sitzung angewendet wird
  • repeat_count: die Anzahl der Sitzungen mit derselben Quell-IP, Ziel-IP, Anwendung und demselben Typ, die innerhalb von 5 Sekunden beobachtet wurden
  • total_bytes: die Gesamtzahl der in der Sitzung übertragenen Byte
  • total_packets: die Gesamtzahl der in der Sitzung übertragenen Pakete