Informazioni sui log di Cloud IDS

Questa pagina descrive i log creati dagli avvisi di minacce di Cloud IDS.

Log delle minacce

Puoi visualizzare i log generati a causa di minacce nella tua rete in Cloud Logging. I log utilizzano un formato JSON con i seguenti campi:

  • threat_id: identificatore univoco della minaccia Palo Alto Networks.
  • name - Nome della minaccia.
  • alert_severity - Gravità della minaccia. Uno dei seguenti valori: INFORMATIONAL, LOW, MEDIUM, HIGH o CRITICAL.
  • type: tipo di minaccia.
  • category: sottotipo di minaccia.
  • alert_time: ora in cui è stata scoperta la minaccia.
  • network: la rete del cliente in cui è stata rilevata la minaccia.
  • source_ip_address: indirizzo IP di origine del traffico sospetto. Quando utilizzi un bilanciatore del carico Google Cloud, l'indirizzo IP client effettivo non è disponibile e questo valore è l'intervallo di indirizzi IP di Google Front End (GFE). Il valore può essere 130.211.0.0/22 o 35.191.0.0/16.
  • destination_ip_address: indirizzo IP di destinazione del traffico sospetto.
  • source_port - Porta di origine del traffico sospetto.
  • destination_port - La porta di destinazione del traffico sospetto.
  • ip_protocol - Protocollo IP del traffico sospetto.
  • application: il tipo di applicazione del traffico sospetto, ad esempio SSH.
  • direction: direzione del traffico sospetto (da client a server o da server a client).
  • session_id: un identificatore numerico interno applicato a ogni sessione.
  • repeat_count: numero di sessioni con lo stesso indirizzo IP di origine, indirizzo IP di destinazione, applicazione e tipo rilevati entro 5 secondi.
  • uri_or_filename: URI o nome file della minaccia pertinente, se applicabile.
  • cves: un elenco di CVE associate alla minaccia
  • details: informazioni aggiuntive sul tipo di minaccia, tratte da ThreatVault di Palo Alto Networks.

I campi JSON precedenti sono nidificati nel campo jsonPayload del log. Il nome del log per i log delle minacce è projects/<consumer-project>/logs/ids.googleapis.com/threat.

Inoltre, il campo labels.id del log contiene il nome dell'endpoint Cloud IDS e il campo resource.type è ids.googleapis.com/Endpoint.

Esempio di query

Questa query in Cloud Logging esegue query sul log delle minacce IDS nel progetto cloudmy-project, restituendo tutte le minacce segnalate dall'endpointmy-endpoint tra le 8:00 e le 9:00 del 4 aprile 2021, ora PST (-07 offset fuso orario), in cui la gravità della minaccia è stata contrassegnata come ALTA.

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

Criterio di conservazione

La conservazione è determinata dai bucket di archiviazione in cui si trovano i log. Per impostazione predefinita, i log vengono inseriti nel bucket _Default, che per impostazione predefinita ha un criterio di conservazione di 30 giorni.

Puoi scegliere di filtrare i log in diversi bucket. Inoltre, la conservazione è configurabile.

Se vuoi un criterio di conservazione diverso da quello predefinito di 30 giorni, puoi eseguire una delle seguenti operazioni:

  • Filtra tutti i log in un altro bucket e configura un criterio di conservazione.
  • Configura un criterio di conservazione personalizzato per il bucket _Default. Questa operazione influirà su tutti gli altri log nel bucket _Default.

Log sul traffico

Puoi visualizzare i log generati a causa del traffico di rete in Cloud Logging. I log utilizzano un formato JSON con i seguenti campi:

  • start_time: l'ora di inizio della sessione.
  • elapsed_time: il tempo trascorso dalla sessione.
  • network: la rete associata all'endpoint IDS.
  • source_ip_address: l'indirizzo IP di origine del pacchetto.
  • source_port: la porta di origine del traffico.
  • destination_ip_address: l'indirizzo IP di destinazione del pacchetto.
  • destination_port: la porta di destinazione del traffico.
  • ip_protocol: il protocollo IP del pacchetto.
  • application: l'applicazione associata alla sessione.
  • session_id: un identificatore numerico interno applicato a ogni sessione.
  • repeat_count: il numero di sessioni con lo stesso indirizzo IP di origine, lo stesso indirizzo IP di destinazione, la stessa applicazione e lo stesso tipo rilevati entro 5 secondi.
  • total_bytes: il numero totale di byte trasferiti nella sessione.
  • total_packets: il numero totale di pacchetti trasferiti nella sessione.