Informazioni sul logging di Cloud IDS

Questa pagina descrive i log creati dagli avvisi sulle minacce di Cloud IDS.

Log delle minacce

Puoi visualizzare i log generati a causa di minacce nella tua rete in Cloud Logging. I log utilizzano un formato JSON con i seguenti campi:

  • threat_id: identificatore univoco delle minacce di Palo Alto Networks.
  • name: nome della minaccia.
  • alert_severity: gravità della minaccia. Uno dei valori tra INFORMATIONAL, LOW, MEDIUM, HIGH o CRITICAL.
  • type: tipo di minaccia.
  • category: sottotipo di minaccia.
  • alert_time: ora in cui è stata rilevata la minaccia.
  • network: rete del cliente in cui è stata rilevata la minaccia.
  • source_ip_address: indirizzo IP di origine del traffico sospetto. Se utilizzi un bilanciatore del caricoGoogle Cloud , l'indirizzo IP client effettivo non è disponibile e questo valore è l'intervallo di indirizzi IP di Google Front End (GFE). Il valore può essere 130.211.0.0/22 o 35.191.0.0/16.
  • destination_ip_address: indirizzo IP di destinazione del traffico sospetto.
  • source_port: porta di origine del traffico sospetto.
  • destination_port: porta di destinazione del traffico sospetto.
  • ip_protocol: protocollo IP del traffico sospetto.
  • application: tipo di applicazione del traffico sospetto, ad esempio SSH.
  • direction: direzione del traffico sospetto (dal client al server o dal server al client).
  • session_id: un identificatore numerico interno applicato a ogni sessione.
  • repeat_count: numero di sessioni con lo stesso IP di origine, IP di destinazione, applicazione e tipo visualizzati entro 5 secondi.
  • uri_or_filename: URI o nome file della minaccia pertinente, se applicabile.
  • cves: un elenco di CVE associati alla minaccia
  • details: informazioni aggiuntive sul tipo di minaccia, tratte dal Threat Vault di Palo Alto Networks.

I campi JSON precedenti sono nidificati nel campo jsonPayload del log. Il nome per i log delle minacce è projects/<consumer-project>/logs/ids.googleapis.com/threat.

Inoltre, il campo labels.id del log contiene il nome dell'endpoint Cloud IDS e il campo resource.type è ids.googleapis.com/Endpoint.

Esempio di query

Esegui questa query in Cloud Logging sul log delle minacce IDS nel progetto cloud my-project per trovare tutte le minacce segnalate dall'endpoint my-endpoint tra le 8:00 e le 9:00 del 4 aprile 2021, ora PST (offset del fuso orario -07) e la cui gravità è stata contrassegnata come HIGH (Alta).

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

Policy di conservazione

La conservazione è determinata dai bucket di archiviazione in cui si trovano i log. Per impostazione predefinita, i log vengono inseriti nel bucket _Default e, sempre per impostazione predefinita, questo bucket ha una policy di conservazione di 30 giorni.

Puoi scegliere di filtrare i log in bucket diversi. Inoltre, la conservazione è configurabile.

Se vuoi applicare una policy di conservazione diversa da quella predefinita di 30 giorni, puoi fare una delle seguenti operazioni:

  • Filtra tutti i log in un altro bucket e configura una policy di conservazione.
  • Configura una policy di conservazione personalizzata per il bucket _Default. Questa operazione interesserà tutti gli altri log nel bucket _Default.

Log sul traffico

Puoi visualizzare i log generati a causa del traffico di rete in Cloud Logging. I log utilizzano un formato JSON con i seguenti campi:

  • start_time: l'ora di inizio della sessione.
  • elapsed_time: il tempo trascorso della sessione.
  • network: la rete associata all'endpoint IDS.
  • source_ip_address: l'indirizzo IP di origine del pacchetto.
  • source_port: la porta di origine del traffico.
  • destination_ip_address: l'indirizzo IP di destinazione del pacchetto.
  • destination_port: la porta di destinazione del traffico.
  • ip_protocol: il protocollo IP del pacchetto.
  • application: l'applicazione associata alla sessione.
  • session_id: un identificatore numerico interno applicato a ogni sessione.
  • repeat_count: il numero di sessioni con lo stesso IP di origine, IP di destinazione, applicazione e tipo visualizzati entro 5 secondi.
  • total_bytes: il numero totale di byte trasferiti nella sessione.
  • total_packets: il numero totale di pacchetti trasferiti nella sessione.