Nesta página, descrevemos os registros criados pelos alertas de ameaças do Cloud IDS.
Registros de ameaças
É possível conferir os registros gerados devido a ameaças na sua rede no Cloud Logging. Os registros usam um formato JSON com os seguintes campos:
threat_id
: identificador exclusivo de ameaças da Palo Alto Networks.name
: nome da ameaça.alert_severity
: gravidade da ameaça. SeráINFORMATIONAL
,LOW
,MEDIUM
,HIGH
ouCRITICAL
.type
: tipo de ameaça.category
: subtipo da ameaça.alert_time
: hora em que a ameaça foi descoberta.network
: rede do cliente em que a ameaça foi descoberta.source_ip_address
: endereço IP de origem do tráfego suspeito. Quando você usa um balanceador de carga do Google Cloud, o endereço IP verdadeiro do cliente não está disponível, e esse valor é o intervalo de endereços IP do Google Front End (GFE). O valor pode ser130.211.0.0/22
ou35.191.0.0/16
.destination_ip_address
: endereço IP de destino do tráfego suspeito.source_port
: porta de origem do tráfego suspeito.destination_port
: porta de destino suspeita de tráfego.ip_protocol
: protocolo IP do tráfego suspeito.application
: tipo de aplicativo do tráfego suspeito, por exemplo, SSH.direction
: direção do tráfego suspeito (cliente para servidor ou servidor para cliente).session_id
: um identificador numérico interno aplicado a cada sessão.repeat_count
: número de sessões com o mesmo IP de origem, IP de destino, aplicativo e tipo visto em cinco segundos.uri_or_filename
: URI ou nome de arquivo da ameaça relevante, se aplicável.cves
: uma lista de CVEs associadas à ameaçadetails
– Informações adicionais sobre o tipo de ameaça, extraídas do ThreatVault da Palo Alto Networks.
Os campos JSON anteriores são aninhados no campo jsonPayload
do registro. O
nome de registro dos registros de ameaças é
projects/<consumer-project>/logs/ids.googleapis.com/threat
.
Além disso, o campo labels.id
do registro contém o nome do endpoint do
Cloud IDS, e o campo resource.type
é ids.googleapis.com/Endpoint
.
Amostra de consulta
Esta consulta no Cloud Logging consulta o registro de ameaças do SDI no projeto na nuvem my-project
, retornando todas as ameaças relatadas pelo endpoint my-endpoint
entre 8h e 9h de 4 de abril de 2021, horário PST (compensação de fuso horário -07), em que a gravidade da ameaça foi marcada como ALTA.
logName="projects/my-project/logs/ids.googleapis.com/threat" AND resource.type="ids.googleapis.com/Endpoint" AND resource.labels.id="my-endpoint" AND timestamp >= "2021-04-18T08:00:00-07" AND timestamp <= "2021-04-18T09:00:00-07" AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
Política de retenção
A retenção é determinada pelos buckets de armazenamento em que os registros estão localizados.
Por padrão, os registros são colocados no bucket _Default
e, por padrão, esse bucket
tem uma política de retenção de 30 dias.
É possível filtrar os registros em buckets diferentes. Além disso, a retenção é configurável.
Se você quiser uma política de retenção diferente da padrão de 30 dias, siga um destes procedimentos:
- Filtrar todos os registros em outro bucket e configurar uma política de retenção.
- Configure uma política de retenção personalizada para o bucket
_Default
. Isso afetará todos os outros registros no bucket_Default
.
Registros de tráfego
É possível conferir os registros gerados devido ao tráfego de rede no Cloud Logging. Os registros usam um formato JSON com os seguintes campos:
start_time
: o horário de início da sessão.elapsed_time
: o tempo decorrido da sessão.network
: a rede associada ao endpoint do SDI.source_ip_address
: endereço IP de origem do pacote.source_port
: a porta de origem do tráfego.destination_ip_address
: o endereço IP de destino do pacote.destination_port
: a porta de destino do tráfego.ip_protocol
: o protocolo IP do pacote.application
: o aplicativo associado à sessão.session_id
: um identificador numérico interno aplicado a cada sessão.repeat_count
: o número de sessões com o mesmo IP de origem, IP de destino, aplicativo e tipo em cinco segundos.total_bytes
: o número total de bytes transferidos na sessão.total_packets
: o número total de pacotes transferidos na sessão.