Cloud IDS 로깅 정보

이 페이지에서는 Cloud IDS 위협 알림으로 생성되는 로그에 대해 설명합니다.

위협 로그

Cloud Logging에서 네트워크 위협으로 인해 생성된 로그를 볼 수 있습니다. 이러한 로그에는 다음 필드가 포함된 JSON 형식이 사용됩니다.

  • threat_id - 고유한 Palo Alto Networks 위협 식별자입니다.
  • name - 위협 이름입니다.
  • alert_severity - 위협의 심각도입니다. INFORMATIONAL, LOW, MEDIUM, HIGH, CRITICAL 중 하나입니다.
  • type - 위협의 유형입니다.
  • category - 위협의 하위 유형입니다.
  • alert_time - 위협이 발견된 시간입니다.
  • network - 위협이 발견된 고객 네트워크입니다.
  • source_ip_address - 의심스러운 트래픽의 소스 IP 주소입니다.Google Cloud 부하 분산기를 사용할 때는 실제 클라이언트 IP 주소를 사용할 수 없으며, 이 값은 Google 프런트엔드(GFE)의 IP 주소 범위입니다. 값은 130.211.0.0/22 또는 35.191.0.0/16일 수 있습니다.
  • destination_ip_address - 의심스러운 트래픽의 대상 IP 주소입니다.
  • source_port - 의심스러운 트래픽의 소스 포트입니다.
  • destination_port - 의심스러운 트래픽의 목적지 포트입니다.
  • ip_protocol - 의심스러운 트래픽의 IP 프로토콜입니다.
  • application - 의심스러운 트래픽의 애플리케이션 유형(예: SSH)입니다.
  • direction - 의심스러운 트래픽 방향(클라이언트-서버 또는 서버-클라이언트)입니다.
  • session_id - 각 세션에 적용되는 내부 숫자 식별자입니다.
  • repeat_count - 5초 이내에 확인된 소스 IP, 대상 IP, 애플리케이션, 유형이 동일한 세션 수입니다.
  • uri_or_filename - 관련 위협의 URI 또는 파일 이름입니다(해당하는 경우).
  • cves - 위협과 연결된 CVE 목록입니다.
  • details - Palo Alto Networks의 ThreatVault에서 가져온 위협 유형에 대한 추가 정보입니다.

이전 JSON 필드는 로그의 jsonPayload 필드 아래에 중첩됩니다. 위협 로그의 로그 이름은 projects/<consumer-project>/logs/ids.googleapis.com/threat입니다.

또한 로그의 labels.id 필드에는 Cloud IDS 엔드포인트의 이름이 포함되며 해당 resource.type 필드는 ids.googleapis.com/Endpoint입니다.

샘플 쿼리

Cloud Logging에서 이 쿼리는 클라우드 프로젝트 my-project의 IDS 위협 로그를 쿼리하고 2021년 4월 4일 오전 8시부터 오전 9시(PST, -07 시간대 오프셋) 사이에 my-endpoint에서 보고되고 위협의 심각도가 높음으로 표시된 모든 위협을 반환합니다.

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

보관 정책

보관은 로그가 있는 스토리지 버킷에 따라 결정됩니다. 기본적으로 로그는 _Default 버킷에 배치되며 이 버킷의 기본 보관 정책 기간은 30일입니다.

여러 버킷에 대해 로그를 필터링하도록 선택할 수 있습니다. 또한 보관 정책을 구성할 수 있습니다.

기본 30일과 다른 보관 정책 기간이 필요하면 다음 중 하나를 수행할 수 있습니다.

  • 모든 로그를 다른 버킷으로 필터링하고 보관 정책을 구성합니다.
  • _Default 버킷에 대해 커스텀 보관 정책을 구성합니다. 이렇게 하면 _Default 버킷의 다른 모든 로그에 영향을 줍니다.

트래픽 로그

Cloud Logging에서 네트워크 트래픽으로 인해 생성된 로그를 볼 수 있습니다. 이러한 로그에는 다음 필드가 포함된 JSON 형식이 사용됩니다.

  • start_time - 세션 시작 시간입니다.
  • elapsed_time - 세션의 경과 시간입니다.
  • network - IDS 엔드포인트와 연결된 네트워크입니다.
  • source_ip_address - 패킷의 소스 IP 주소입니다.
  • source_port - 트래픽의 소스 포트입니다.
  • destination_ip_address - 패킷의 대상 IP 주소입니다.
  • destination_port - 트래픽의 목적지 포트입니다.
  • ip_protocol - 패킷의 IP 프로토콜입니다.
  • application - 세션과 연결된 애플리케이션입니다.
  • session_id - 각 세션에 적용되는 내부 숫자 식별자입니다.
  • repeat_count - 5초 이내에 확인된 소스 IP, 대상 IP, 애플리케이션, 유형이 동일한 세션 수입니다.
  • total_bytes - 세션에서 전송된 총 바이트 수입니다.
  • total_packets - 세션에서 전송된 총 패킷 수입니다.