Información de registros de IDS de Cloud

En esta página, se describen los registros que crean las alertas de amenazas de IDS de Cloud.

Registros de amenazas

Puedes ver los registros generados debido a amenazas en tu red en Cloud Logging. Los registros usan un formato JSON con los siguientes campos:

  • threat_id: Es el identificador único de amenazas de Palo Alto Networks.
  • name: Es el nombre de la amenaza.
  • alert_severity: Es la gravedad de la amenaza. Es uno de los siguientes: INFORMATIONAL, LOW, MEDIUM, HIGH o CRITICAL.
  • type: Es el tipo de amenaza.
  • category: Es el subtipo de la amenaza.
  • alert_time: Es la fecha y hora en que se descubrió la amenaza.
  • network: Es la red del cliente en la que se descubrió la amenaza.
  • source_ip_address: Es la dirección IP de origen del tráfico sospechoso. Cuando usas un balanceador de cargas deGoogle Cloud , la verdadera dirección IP del cliente no está disponible, y este valor es el rango de direcciones IP del Google Front End (GFE). El valor puede ser 130.211.0.0/22 o 35.191.0.0/16.
  • destination_ip_address: Es la dirección IP de destino del tráfico sospechoso.
  • source_port: Es el puerto de origen del tráfico sospechoso.
  • destination_port: Es el puerto de destino del tráfico sospechoso.
  • ip_protocol: Es el protocolo de IP del tráfico sospechoso.
  • application: Es el tipo de aplicación del tráfico sospechoso, por ejemplo, SSH.
  • direction: Es la dirección del tráfico sospechoso (del cliente al servidor o del servidor al cliente).
  • session_id: Es un identificador numérico interno que se aplica a cada sesión.
  • repeat_count: Es la cantidad de sesiones con la misma IP de origen, IP de destino, aplicación y tipo que se vieron en un lapso de 5 segundos.
  • uri_or_filename: Es el URI o el nombre de archivo de la amenaza relevante (si corresponde).
  • cves: Es una lista de CVE asociadas con la amenaza.
  • details: Es información adicional sobre el tipo de amenaza, extraída del almacén de amenazas de Palo Alto Networks.

Los campos JSON anteriores están anidados en el campo jsonPayload del registro. El nombre del registro de los registros de amenazas es projects/<consumer-project>/logs/ids.googleapis.com/threat.

Además, el campo labels.id del registro contiene el nombre del extremo de IDS de Cloud, y su campo resource.type es ids.googleapis.com/Endpoint.

Consulta de muestra

Esta consulta en Cloud Logging consulta el registro de amenazas del IDS en el proyecto de la nube my-project y muestra todas las amenazas que informó el extremo my-endpoint entre las 8 a.m. y las 9 a.m. del 4 de abril de 2021, hora del Pacífico (desplazamiento de zona horaria de -07), en las que la gravedad de la amenaza se marcó como ALTA.

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

Política de retención

La retención se determina según los buckets de almacenamiento en los que se encuentran los registros. De forma predeterminada, los registros se colocan en el bucket _Default. Este bucket tiene una política de retención de 30 días.

Puedes filtrar los registros en diferentes buckets. Además, la retención es configurable.

Si quieres una política de retención diferente a la predeterminada de 30 días, puedes hacer una de las siguientes acciones:

  • Filtra todos los registros en otro bucket y configura una política de retención.
  • Configura una política de retención personalizada para el bucket _Default. Esto afectará todos los demás registros del bucket _Default.

Registros de tráfico

Puedes ver los registros generados debido al tráfico de red en Cloud Logging. Los registros usan un formato JSON con los siguientes campos:

  • start_time: Es la hora de inicio de la sesión.
  • elapsed_time: Es el tiempo transcurrido de la sesión.
  • network: Es la red asociada con el extremo de IDS.
  • source_ip_address: Es la dirección IP de origen del paquete.
  • source_port: Es el puerto de origen del tráfico.
  • destination_ip_address: Es la dirección IP de destino del paquete.
  • destination_port: Es el puerto de destino del tráfico.
  • ip_protocol: Es el protocolo de IP del paquete.
  • application: Es la aplicación asociada a la sesión.
  • session_id: Es un identificador numérico interno que se aplica a cada sesión.
  • repeat_count: Es la cantidad de sesiones con la misma IP de origen, IP de destino, aplicación y tipo que se vieron en un lapso de 5 segundos.
  • total_bytes: Es la cantidad total de bytes transferidos en la sesión.
  • total_packets: Es la cantidad total de paquetes transferidos en la sesión.