이 페이지에서는 Cloud IDS 위협 알림으로 생성되는 로그에 대해 설명합니다.
위협 로그
Cloud Logging에서 네트워크 위협으로 인해 생성된 로그를 볼 수 있습니다. 이러한 로그에는 다음 필드가 포함된 JSON 형식이 사용됩니다.
threat_id
- 고유한 Palo Alto Networks 위협 식별자입니다.name
- 위협 이름입니다.alert_severity
- 위협의 심각도입니다.INFORMATIONAL
,LOW
,MEDIUM
,HIGH
,CRITICAL
중 하나입니다.type
- 위협의 유형입니다.category
- 위협의 하위 유형입니다.alert_time
- 위협이 발견된 시간입니다.network
- 위협이 발견된 고객 네트워크입니다.source_ip_address
- 의심스러운 트래픽의 소스 IP 주소입니다. Google Cloud 부하 분산기를 사용할 때는 실제 클라이언트 IP 주소를 사용할 수 없으며, 이 값은 Google 프런트엔드(GFE)의 IP 주소 범위입니다. 값은130.211.0.0/22
또는35.191.0.0/16
일 수 있습니다.destination_ip_address
- 의심스러운 트래픽의 대상 IP 주소입니다.source_port
- 의심스러운 트래픽의 소스 포트입니다.destination_port
- 의심스러운 트래픽의 목적지 포트입니다.ip_protocol
- 의심스러운 트래픽의 IP 프로토콜입니다.application
- 의심스러운 트래픽의 애플리케이션 유형(예: SSH)입니다.direction
- 의심스러운 트래픽 방향(클라이언트-서버 또는 서버-클라이언트)입니다.session_id
- 각 세션에 적용되는 내부 숫자 식별자입니다.repeat_count
- 5초 이내에 확인된 소스 IP, 대상 IP, 애플리케이션, 유형이 동일한 세션 수입니다.uri_or_filename
- 관련 위협의 URI 또는 파일 이름입니다(해당하는 경우).cves
- 위협과 연결된 CVE 목록입니다.details
- Palo Alto Networks의 ThreatVault에서 가져온 위협 유형에 대한 추가 정보입니다.
이전 JSON 필드는 로그의 jsonPayload
필드 아래에 중첩됩니다. 위협 로그의 로그 이름은 projects/<consumer-project>/logs/ids.googleapis.com/threat
입니다.
또한 로그의 labels.id
필드에는 Cloud IDS 엔드포인트의 이름이 포함되며 해당 resource.type
필드는 ids.googleapis.com/Endpoint
입니다.
샘플 쿼리
Cloud Logging에서 이 쿼리는 클라우드 프로젝트 my-project
의 IDS 위협 로그를 쿼리하고 2021년 4월 4일 오전 8시부터 오전 9시(PST 시간, -7 시간대 오프셋) 사이에 my-endpoint
에서 보고되고 위협의 심각도가 높음으로 표시된 모든 위협을 반환합니다.
logName="projects/my-project/logs/ids.googleapis.com/threat" AND resource.type="ids.googleapis.com/Endpoint" AND resource.labels.id="my-endpoint" AND timestamp >= "2021-04-18T08:00:00-07" AND timestamp <= "2021-04-18T09:00:00-07" AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
보관 정책
보관은 로그가 있는 스토리지 버킷에 따라 결정됩니다.
기본적으로 로그는 _Default
버킷에 배치되며 이 버킷의 기본 보관 정책 기간은 30일입니다.
여러 버킷에 대해 로그를 필터링하도록 선택할 수 있습니다. 또한 보관 정책을 구성할 수 있습니다.
기본 30일과 다른 보관 정책 기간이 필요하면 다음 중 하나를 수행할 수 있습니다.
- 모든 로그를 다른 버킷으로 필터링하고 보관 정책을 구성합니다.
_Default
버킷에 대해 커스텀 보관 정책을 구성합니다. 이렇게 하면_Default
버킷의 다른 모든 로그에 영향을 줍니다.
트래픽 로그
Cloud Logging에서 네트워크 트래픽으로 인해 생성된 로그를 볼 수 있습니다. 이러한 로그에는 다음 필드가 포함된 JSON 형식이 사용됩니다.
start_time
- 세션 시작 시간입니다.elapsed_time
- 세션의 경과 시간입니다.network
- IDS 엔드포인트와 연결된 네트워크입니다.source_ip_address
- 패킷의 소스 IP 주소입니다.source_port
- 트래픽의 소스 포트입니다.destination_ip_address
- 패킷의 대상 IP 주소입니다.destination_port
- 트래픽의 목적지 포트입니다.ip_protocol
- 패킷의 IP 프로토콜입니다.application
- 세션과 연결된 애플리케이션입니다.session_id
- 각 세션에 적용되는 내부 숫자 식별자입니다.repeat_count
- 5초 이내에 확인된 소스 IP, 대상 IP, 애플리케이션, 유형이 동일한 세션 수입니다.total_bytes
- 세션에서 전송된 총 바이트 수입니다.total_packets
- 세션에서 전송된 총 패킷 수입니다.