Informazioni sui log di Cloud IDS

Questa pagina descrive i log creati dagli avvisi di minacce di Cloud IDS.

Log delle minacce

Puoi visualizzare i log generati a causa di minacce nella tua rete in Cloud Logging. I log utilizzano un formato JSON con i seguenti campi:

  • threat_id: identificatore univoco della minaccia Palo Alto Networks.
  • name - Nome della minaccia.
  • alert_severity - Gravità della minaccia. Uno dei seguenti valori: INFORMATIONAL, LOW, MEDIUM, HIGH o CRITICAL.
  • type - Tipo di minaccia.
  • category - Sottotipo di minaccia.
  • alert_time - Ora in cui è stata scoperta la minaccia.
  • network: la rete del cliente in cui è stata rilevata la minaccia.
  • source_ip_address: indirizzo IP di origine del presunto traffico. Quando utilizzi un al bilanciatore del carico Google Cloud, l'indirizzo IP del client reale non è e questo valore è l'intervallo di indirizzi IP di Fine (GFE). Il valore può essere 130.211.0.0/22 o 35.191.0.0/16.
  • destination_ip_address: indirizzo IP di destinazione del traffico sospetto.
  • source_port - Porta di origine del traffico sospetto.
  • destination_port - La porta di destinazione del traffico sospetto.
  • ip_protocol: protocollo IP del traffico sospetto.
  • application: tipo di applicazione del traffico sospetto, ad esempio SSH.
  • direction: direzione del traffico sospetto (da client a server o da server a client).
  • session_id: un identificatore numerico interno applicato a ogni sessione.
  • repeat_count: numero di sessioni con lo stesso indirizzo IP di origine, indirizzo IP di destinazione, applicazione e tipo rilevati entro 5 secondi.
  • uri_or_filename - URI o nome file della minaccia pertinente, se applicabile.
  • cves: un elenco di CVE associate alla minaccia
  • details - Informazioni aggiuntive sul tipo di minaccia, tratte da Palo Alto Reti ThreatVault.

I campi JSON precedenti sono nidificati nel campo jsonPayload del log. La il nome del log per i log delle minacce è projects/<consumer-project>/logs/ids.googleapis.com/threat.

Inoltre, il campo labels.id del log contiene Cloud IDS e il campo resource.type è ids.googleapis.com/Endpoint.

Esempio di query

Questa query in Cloud Logging esegue query sul log delle minacce IDS nel progetto cloud my-project, restituisce tutte le minacce segnalate dal Endpoint my-endpoint tra le 8:00 e le 9:00 del 4 aprile 2021, ora PST (-07, offset di fuso orario), in cui la gravità della minaccia era contrassegnata come ALTA.

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

Criterio di conservazione

La conservazione è determinata dai bucket di archiviazione in cui si trovano i log. Per impostazione predefinita, i log vengono inseriti nel bucket _Default e, per impostazione predefinita, in questo bucket ha un criterio di conservazione di 30 giorni.

Puoi scegliere di filtrare i log in base a bucket diversi. Inoltre, la conservazione è configurabile.

Se vuoi un criterio di conservazione diverso da quello predefinito di 30 giorni, puoi eseguire una delle seguenti operazioni:

  • Filtra tutti i log in un altro bucket e configura un criterio di conservazione.
  • Configura un criterio di conservazione personalizzato per il bucket _Default. In questo modo interesserà tutti gli altri log nel bucket _Default.

Log sul traffico

Puoi visualizzare i log generati a causa del traffico di rete in Cloud Logging. I log utilizzano un formato JSON con i seguenti campi:

  • start_time: l'ora di inizio della sessione.
  • elapsed_time: il tempo trascorso della sessione.
  • network: la rete associata all'endpoint IDS.
  • source_ip_address: l'indirizzo IP di origine del pacchetto.
  • source_port: la porta di origine del traffico.
  • destination_ip_address: l'indirizzo IP di destinazione del pacchetto.
  • destination_port: la porta di destinazione del traffico.
  • ip_protocol: il protocollo IP del pacchetto.
  • application: l'applicazione associata alla sessione.
  • session_id: un identificatore numerico interno applicato a ogni sessione.
  • repeat_count: il numero di sessioni con lo stesso indirizzo IP di origine, lo stesso indirizzo IP di destinazione, la stessa applicazione e lo stesso tipo rilevati entro 5 secondi.
  • total_bytes: il numero totale di byte trasferiti nella sessione.
  • total_packets: il numero totale di pacchetti trasferiti nella sessione.