Auf dieser Seite werden die von Cloud IDS-Bedrohungsbenachrichtigungen erstellten Logs beschrieben.
Bedrohungslogs
Sie können Logs, die aufgrund von Bedrohungen in Ihrem Netzwerk generiert wurden, in Cloud Logging ansehen. Die Logs verwenden ein JSON-Format mit den folgenden Feldern.
threat_id– Eindeutige Bedrohungs-ID von Palo Alto Networks.name– Name der Bedrohungalert_severity– Schweregrad der Bedrohung. Einer der Werte: INFORMATIONAL&, „"LOW"“, „MEDIUM"“, „&"“ oder „CRITical"“.type: Art der Bedrohung.category– Untertyp der Bedrohung.alert_time: Zeitpunkt, zu dem die Bedrohung entdeckt wurde.network: Kundennetzwerk, in dem die Bedrohung entdeckt wurde.source_ip_address– Verdacht auf Quell-IP-Adresse des Traffics.destination_ip_address– Verdacht auf Traffic-IP-Adresse.source_port– Quellport des mutmaßlichen Traffics.destination_port– Anscheinender Zielport des Traffics.ip_protocol– Verdacht auf Traffic-IP-Protokoll.application– Typ des mutmaßlichen Traffics (z.B. SSH).direction– Verdacht auf Traffic (Client-zu-Server oder Server-zu-Client)session_id: eine interne numerische Kennung, die auf jede Sitzung angewendet wird.repeat_count: Anzahl der Sitzungen mit derselben Quell-IP-Adresse, Ziel-IP-Adresse, Anwendung und demselben Typ innerhalb von 5 Sekunden.uri_or_filename: URI oder Dateiname der relevanten Bedrohung, falls zutreffenddetails– Zusätzliche Informationen zur Art der Bedrohung aus Palo Alto Networks und ThreatVault
Die vorherigen JSON-Felder sind unter dem Logfeld jsonPayload verschachtelt. Der Logname für Bedrohungslogs ist projects/<consumer-project>/logs/ids.googleapis.com%2Fthreat.
Außerdem enthält das Feld labels.id des Logs den Namen des Cloud IDS-Endpunkts und das Feld resource.type ist ids.googleapis.com/Endpoint.
Beispielabfrage
Diese Abfrage in Cloud Logging fragt das IDS-Bedrohungslog im Cloud-Projekt my-project" ab. Es werden alle vom Endpunkt my-endpoint gemeldeten Bedrohungen zwischen 8:00 Uhr und 9:00 Uhr am 4. April 2021, PST (UTC -7) zurückgegeben, wobei der Schweregrad der Bedrohung als „Hoch“ markiert wurde.
logName="projects/my-project/logs/ids.googleapis.com%2Fthreat"
AND resource.type="ids.googleapis.com/Endpoint"
AND resource.labels.id="my-endpoint"
AND timestamp >= "2021-04-18T08:00:00-07"
AND timestamp <= "2021-04-18T09:00:00-07"
AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
Aufbewahrungsrichtlinien
Die Aufbewahrung wird durch die Storage-Buckets bestimmt, in denen sich die Logs befinden.
Standardmäßig werden Logs im Bucket _Default abgelegt. Standardmäßig hat dieser Bucket eine Aufbewahrungsrichtlinie von 30 Tagen.
Sie können Logs nach verschiedenen Buckets filtern. Außerdem ist die Aufbewahrung konfigurierbar.
Wenn Sie eine andere Aufbewahrungsrichtlinie als die standardmäßigen 30 Tage verwenden möchten, haben Sie folgende Möglichkeiten:
- Alle Logs in einem anderen Bucket filtern und Aufbewahrungsrichtlinie konfigurieren
- Benutzerdefinierte Aufbewahrungsrichtlinie für den Bucket
_Defaultkonfigurieren. Dies wirkt sich auf alle anderen Logs im Bucket_Defaultaus.
Traffic-Logs
Sie können Logs, die aufgrund von Netzwerkverkehr generiert wurden, in Cloud Logging ansehen. Die Logs verwenden ein JSON-Format mit den folgenden Feldern.
start_time: Zeitpunkt der Sitzung.elapsed_time: Die verstrichene Zeit der Sitzung.network: Das Netzwerk, das dem IDS-Endpunkt zugeordnet ist.source_ip_address: Die Quell-IP-Adresse des Pakets.source_port: Der Quellport des Traffics.destination_ip_address: Die Ziel-IP-Adresse des Pakets.destination_port: Der Zielport des Traffics.ip_protocol: Das IP-Protokoll des Pakets.application: Die Anwendung, die der Sitzung zugeordnet ist.session_id: eine interne numerische Kennung, die auf jede Sitzung angewendet wird.repeat_count: Anzahl der Sitzungen mit derselben Quell-IP-Adresse, Ziel-IP-Adresse, Anwendung und demselben Typ innerhalb von 5 Sekunden.total_bytes: Die Gesamtzahl der während der Sitzung übertragenen Byte.total_packets: Die Gesamtzahl der in der Sitzung übertragenen Pakete.