Informações de geração de registros do Cloud IDS

Esta página descreve os registros criados pelos alertas de ameaças do Cloud IDS.

Registros de ameaças

É possível conferir os registros gerados devido a ameaças na sua rede no Cloud Logging. Os registros usam um formato JSON com os seguintes campos:

  • threat_id: identificador exclusivo de ameaças da Palo Alto Networks.
  • name – nome da ameaça.
  • alert_severity: gravidade da ameaça. Um de INFORMATIONAL, LOW, MEDIUM, HIGH ou CRITICAL.
  • type: tipo de ameaça.
  • category: subtipo da ameaça.
  • alert_time: o horário em que a ameaça foi descoberta.
  • network: rede do cliente em que a ameaça foi descoberta.
  • source_ip_address: endereço IP de origem do tráfego suspeito. Quando você usa um balanceador de carga do Google Cloud, o endereço IP do cliente verdadeiro não é disponível, e esse valor é o intervalo de endereços IP do servidor da Web fim (GFE). O valor pode ser 130.211.0.0/22 ou 35.191.0.0/16.
  • destination_ip_address: endereço IP de destino do tráfego suspeito.
  • source_port: porta de origem do tráfego suspeito.
  • destination_port: porta de destino do tráfego suspeito.
  • ip_protocol: protocolo IP do tráfego suspeito.
  • application: tipo de aplicativo do tráfego suspeito, por exemplo, SSH.
  • direction: direção suspeita do tráfego (cliente para servidor ou servidor para cliente).
  • session_id: um identificador numérico interno aplicado a cada sessão.
  • repeat_count: número de sessões com o mesmo IP de origem, IP de destino, aplicação e tipo encontrados em 5 segundos.
  • uri_or_filename: URI ou nome de arquivo da ameaça relevante, se aplicável.
  • cves: uma lista de CVEs associadas à ameaça.
  • details: informações adicionais sobre o tipo de ameaça, retiradas do ThreatVault da Palo Alto Networks.

Os campos JSON anteriores são aninhados no campo jsonPayload do registro. O nome do registro de ameaças é projects/<consumer-project>/logs/ids.googleapis.com/threat.

Além disso, o campo labels.id do registro contém o endpoint do Cloud IDS e o campo resource.type é ids.googleapis.com/Endpoint.

Amostra de consulta

Esta consulta no Cloud Logging consulta o registro de ameaças do SDI no projeto na nuvem my-project, retornando todas as ameaças informadas pelo Endpoint my-endpoint entre 8h e 9h em 4 de abril de 2021, no horário PST (compensação de fuso horário -07), onde a gravidade da ameaça foi marcada como ALTA.

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

Política de retenção

A retenção é determinada pelos buckets de armazenamento em que os registros estão localizados. Por padrão, os registros são colocados no bucket _Default, que tem uma política de retenção de 30 dias.

É possível filtrar registros para diferentes buckets. Além disso, a retenção é e configurável.

Se você quiser uma política de retenção diferente do padrão de 30 dias, uma das seguintes opções:

  • Filtrar todos os registros para outro bucket e configurar uma política de retenção.
  • Configure uma política de retenção personalizada para o bucket _Default. Isso vai afetar todos os outros registros no bucket _Default.

Registros de tráfego

É possível conferir os registros gerados devido ao tráfego de rede no Cloud Logging. Os registros usam um formato JSON com os seguintes campos:

  • start_time: horário de início da sessão.
  • elapsed_time: o tempo decorrido da sessão.
  • network: a rede associada ao endpoint do IDS.
  • source_ip_address: o endereço IP de origem do pacote.
  • source_port: a porta de origem do tráfego.
  • destination_ip_address: o endereço IP de destino do pacote.
  • destination_port: a porta de destino do tráfego.
  • ip_protocol: o protocolo IP do pacote.
  • application: o aplicativo associado à sessão.
  • session_id: um identificador numérico interno aplicado a cada sessão.
  • repeat_count: o número de sessões com o mesmo IP de origem, IP de destino aplicativo e tipo visto em até 5 segundos.
  • total_bytes: o número total de bytes transferidos na sessão.
  • total_packets: o número total de pacotes transferidos na sessão.