このページでは、Cloud IDS 脅威アラートによって作成されるログについて説明します。
脅威のログ
ネットワーク内の脅威によって生成されたログは、Cloud Logging で確認できます。ログは JSON 形式で、次のフィールドを使用します。
threat_id
- 一意の Palo Alto Networks 脅威識別子。name
- 脅威の名前alert_severity
- 脅威の重大度。INFORMATIONAL
、LOW
、MEDIUM
、HIGH
、CRITICAL
のいずれかです。type
- 脅威のタイプ。category
- 脅威のサブタイプ。alert_time
- 脅威が検出された時刻。network
- 脅威が検出されたお客様のネットワーク。source_ip_address
- 疑わしいトラフィックのソース IP アドレス。Google Cloud ロードバランサを使用する場合、実際のクライアント IP アドレスは利用できないため、この値は Google Front End(GFE)の IP アドレス範囲です。値は、130.211.0.0/22
または35.191.0.0/16
です。destination_ip_address
- 疑わしいトラフィックの宛先 IP アドレス。source_port
- 疑わしいトラフィックの送信元ポート。destination_port
- 疑わしいトラフィックの宛先ポート。ip_protocol
- 疑わしいトラフィックの IP プロトコル。application
- 疑わしいトラフィックのアプリケーションのタイプ(SSH など)。direction
- 疑わしいトラフィックの方向(クライアントからサーバー、またはサーバーからクライアント)。session_id
- 各セッションに適用される内部の数値 ID。repeat_count
- 同じソース IP、宛先 IP、アプリケーション、タイプが 5 秒以内に確認されたセッションの数。uri_or_filename
- 関連する脅威の URI またはファイル名(該当する場合)。cves
- 脅威に関連する CVE のリストdetails
- Palo Alto Networks の ThreatVault から取得した、脅威の種類に関する追加情報。
上記の JSON フィールドは、ログの jsonPayload
フィールドの下にネストされています。脅威ログのログ名は projects/<consumer-project>/logs/ids.googleapis.com/threat
です。
また、ログの labels.id
フィールドには Cloud IDS エンドポイントの名前が含まれ、その resource.type
フィールドは ids.googleapis.com/Endpoint
です。
クエリの例
Cloud Logging のクエリは、クラウド プロジェクト my-project
の IDS 脅威ログにクエリを実行し、脅威の重大度が HIGH とマークされた太平洋標準時間 2021 年 4 月 4 日午前 8 時~9 時(-07 タイムゾーン オフセット)の間に my-endpoint
エンドポイントによって報告されたすべての脅威を返します。
logName="projects/my-project/logs/ids.googleapis.com/threat" AND resource.type="ids.googleapis.com/Endpoint" AND resource.labels.id="my-endpoint" AND timestamp >= "2021-04-18T08:00:00-07" AND timestamp <= "2021-04-18T09:00:00-07" AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
保持ポリシー
保持は、ログが配置されているストレージ バケットによって決まります。デフォルトでは、ログは _Default
バケットに配置され、このバケットの保持ポリシーはデフォルトで 30 日間になります。
ログをさまざまなバケットにフィルタリングできます。また、保持は構成可能です。
デフォルトの 30 日間とは異なる保持ポリシーが必要な場合は、次のいずれかを行います。
- すべてのログを別のバケットにフィルタし、保持ポリシーを構成します。
_Default
バケットのカスタム保持ポリシーを構成します。これは、_Default
バケット内の他のすべてのログに影響します。
トラフィック ログ
ネットワーク トラフィックが原因で生成されたログは、Cloud Logging で確認できます。ログは JSON 形式で、次のフィールドを使用します。
start_time
- セッションの開始時間。elapsed_time
- セッションの経過時間。network
- IDS エンドポイントに関連付けられたネットワーク。source_ip_address
- リクエストのソース IP アドレス。source_port
- トラフィックの送信元ポート。destination_ip_address
- パケットの宛先 IP アドレス。destination_port
- トラフィックの宛先ポート。ip_protocol
- パケットの IP プロトコル。application
- セッションに関連付けられているアプリケーション。session_id
- 各セッションに適用される内部の数値 ID。repeat_count
- 同じソース IP、宛先 IP、アプリケーション、タイプが 5 秒以内に確認されたセッションの数。total_bytes
- セッションで転送されたバイト数の合計。total_packets
- セッションで転送されたパケットの合計数。