Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En esta página, se describen los registros que crean las alertas de amenazas de IDS de Cloud.
Registros de amenazas
Puedes ver los registros generados debido a amenazas en tu red en Cloud Logging.
Los registros usan un formato JSON con los siguientes campos:
threat_id: Es el identificador único de amenazas de Palo Alto Networks.
name: Es el nombre de la amenaza.
alert_severity: Gravedad de la amenaza. Es uno de los siguientes: INFORMATIONAL, LOW, MEDIUM, HIGH o CRITICAL.
type: Es el tipo de amenaza.
category: Es el subtipo de la amenaza.
alert_time: Es la hora en la que se descubrió la amenaza.
network: Es la red del cliente en la que se descubrió la amenaza.
source_ip_address: Es la dirección IP de origen del tráfico sospechoso. Cuando usas un
balanceador de cargasGoogle Cloud , la dirección IP real del cliente no está
disponible, y este valor es el rango de direcciones IP del frontend de Google (GFE). El valor puede ser 130.211.0.0/22 o 35.191.0.0/16.
destination_ip_address: Es la dirección IP de destino del tráfico sospechoso.
source_port: Es el puerto de origen del tráfico sospechoso.
destination_port: Es el puerto de destino del tráfico sospechoso.
ip_protocol: Es el protocolo de IP del tráfico presunto.
application: Es el tipo de aplicación del tráfico sospechoso, por ejemplo, SSH.
direction: Es la dirección del tráfico sospechoso (cliente a servidor o servidor a cliente).
session_id: Es un identificador numérico interno que se aplica a cada sesión.
repeat_count: Cantidad de sesiones con la misma IP de origen, IP de destino, aplicación y tipo vistos en un plazo de 5 segundos.
uri_or_filename: Es el URI o el nombre de archivo de la amenaza relevante, si corresponde.
cves: Es una lista de CVE asociados con la amenaza.
details: Información adicional sobre el tipo de amenaza, tomada de ThreatVault de Palo Alto Networks.
Los campos JSON anteriores están anidados en el campo jsonPayload del registro. El nombre del registro de amenazas es projects/<consumer-project>/logs/ids.googleapis.com/threat.
Además, el campo labels.id del registro contiene el nombre del extremo de IDS de Cloud, y su campo resource.type es ids.googleapis.com/Endpoint.
Consulta de muestra
Esta consulta en Cloud Logging consulta el registro de amenazas de IDS en el proyecto de Cloud my-project y muestra todas las amenazas que informó el extremo my-endpoint entre las 8 a.m. y las 9 a.m. del 4 de abril de 2021, hora del Pacífico (desfase de zona horaria de -07), en la que la gravedad de la amenaza se marcó como ALTA.
logName="projects/my-project/logs/ids.googleapis.com/threat"
AND resource.type="ids.googleapis.com/Endpoint"
AND resource.labels.id="my-endpoint"
AND timestamp >= "2021-04-18T08:00:00-07"
AND timestamp <= "2021-04-18T09:00:00-07"
AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
Política de retención
La retención se determina según los buckets de almacenamiento en los que se encuentran los registros.
De forma predeterminada, los registros se colocan en el bucket _Default, que tiene una política de retención de 30 días.
Puedes filtrar los registros en diferentes buckets. Además, la retención se puede configurar.
Si deseas establecer una política de retención diferente a los 30 días predeterminados, puedes hacer una de las siguientes acciones:
Filtra todos los registros en otro bucket y configura una política de retención.
Configura una política de retención personalizada para el bucket _Default. Esto afectará a todos los demás registros del bucket _Default.
Registros de tráfico
Puedes ver los registros generados debido al tráfico de red en Cloud Logging.
Los registros usan un formato JSON con los siguientes campos:
start_time: Es la hora de inicio de la sesión.
elapsed_time: Es el tiempo transcurrido de la sesión.
network: Es la red asociada con el extremo del IDS.
source_ip_address: Es la dirección IP de origen del paquete.
source_port: Es el puerto de origen del tráfico.
destination_ip_address: Es la dirección IP de destino del paquete.
destination_port: Es el puerto de destino del tráfico.
ip_protocol: Es el protocolo IP del paquete.
application: Es la aplicación asociada con la sesión.
session_id: Es un identificador numérico interno que se aplica a cada sesión.
repeat_count: Es la cantidad de sesiones con la misma IP de origen, IP de destino, aplicación y tipo que se ven en un plazo de 5 segundos.
total_bytes: Es la cantidad total de bytes transferidos en la sesión.
total_packets: Es la cantidad total de paquetes transferidos en la sesión.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-05 (UTC)"],[[["\u003cp\u003eCloud IDS threat alerts generate logs viewable in Cloud Logging, using a JSON format with fields like \u003ccode\u003ethreat_id\u003c/code\u003e, \u003ccode\u003ename\u003c/code\u003e, and \u003ccode\u003ealert_severity\u003c/code\u003e to describe detected threats.\u003c/p\u003e\n"],["\u003cp\u003eThe JSON payload includes crucial details such as the source and destination IP addresses, ports, threat type, and severity, alongside additional data from Palo Alto Networks' ThreatVault.\u003c/p\u003e\n"],["\u003cp\u003eThreat logs can be queried within Cloud Logging using specific criteria, including the endpoint name, timestamp ranges, and threat severity levels, as demonstrated by the provided sample query.\u003c/p\u003e\n"],["\u003cp\u003eRetention of these logs depends on the storage bucket and is set to 30 days by default in the \u003ccode\u003e_Default\u003c/code\u003e bucket, but it can be customized through different bucket configurations.\u003c/p\u003e\n"],["\u003cp\u003eTraffic logs are also generated in Cloud Logging, using a JSON format, and they contain information about network traffic, such as \u003ccode\u003estart_time\u003c/code\u003e, \u003ccode\u003eelapsed_time\u003c/code\u003e, source and destination information, and the protocol used.\u003c/p\u003e\n"]]],[],null,["# Cloud IDS logging information\n\nThis page describes the logs created by Cloud IDS threat alerts.\n\nThreat logs\n-----------\n\nYou can view logs generated due to threats in your network in Cloud Logging.\nThe logs use a JSON format with the following fields:\n\n- `threat_id` - Unique Palo Alto Networks threat identifier.\n- `name` - Threat name.\n- `alert_severity` - Severity of the threat. One of `INFORMATIONAL`, `LOW`, `MEDIUM`, `HIGH`, or `CRITICAL`.\n- `type` - Type of the threat.\n- `category` - Sub-type of the threat.\n- `alert_time` - Time when the threat was discovered.\n- `network` - Customer network in which the threat was discovered.\n- `source_ip_address` - Suspected traffic's source IP address. When you use a Google Cloud load balancer the true client IP address is not available, and this value is the IP address range of the Google Front End (GFE). The value can be `130.211.0.0/22` or `35.191.0.0/16`.\n- `destination_ip_address` - Suspected traffic's destination IP address.\n- `source_port` - Suspected traffic's source port.\n- `destination_port` - Suspected traffic's destination port.\n- `ip_protocol` - Suspected traffic's IP protocol.\n- `application` - Suspected traffic's application type---for example, SSH.\n- `direction` - Suspected traffic's direction (client-to-server or server-to-client).\n- `session_id` - An internal numerical identifier applied to each session.\n- `repeat_count` - Number of sessions with the same source IP, destination IP, application, and type seen within 5 seconds.\n- `uri_or_filename` - URI or filename of the relevant threat, if applicable.\n- `cves` - a list of CVEs associated with the threat\n- `details` - Additional information about the type of threat, taken from Palo Alto Networks' ThreatVault.\n\nThe previous JSON fields are nested under the log's `jsonPayload` field. The\nlog name for threat logs is\n`projects/\u003cconsumer-project\u003e/logs/ids.googleapis.com/threat`.\n\nIn addition, the log's `labels.id` field contains the Cloud IDS endpoint's\nname, and its `resource.type` field is `ids.googleapis.com/Endpoint`.\n\n### Sample query\n\nThis query in Cloud Logging queries the IDS threat log in cloud project\n\u003cvar translate=\"no\"\u003emy-project\u003c/var\u003e, returning all threats reported by the\n\u003cvar translate=\"no\"\u003emy-endpoint\u003c/var\u003e endpoint between 8am-9am on April 4, 2021, PST time\n(-07 timezone offset), where the threat's severity was marked HIGH. \n\n```\nlogName=\"projects/my-project/logs/ids.googleapis.com/threat\"\n AND resource.type=\"ids.googleapis.com/Endpoint\"\n AND resource.labels.id=\"my-endpoint\"\n AND timestamp \u003e= \"2021-04-18T08:00:00-07\"\n AND timestamp \u003c= \"2021-04-18T09:00:00-07\"\n AND jsonPayload.alert_severity=(\"HIGH\" OR \"CRITICAL\")\n```\n\n### Retention policy\n\nRetention is determined by the storage buckets in which the logs are located.\nBy default, logs are placed in the `_Default` bucket, and by default this bucket\nhas a retention policy of 30 days.\n\nYou can choose to filter logs to different buckets. In addition, retention is\nconfigurable.\n\nIf you want a different retention policy than the default 30 days, you can do\none of the following:\n\n- Filter all logs into another bucket and configure a retention policy.\n- Configure a custom retention policy for the `_Default` bucket. This will affect all other logs in the `_Default` bucket.\n\nTraffic logs\n------------\n\nYou can view logs generated due to network traffic in Cloud Logging.\nThe logs use a JSON format with the following fields:\n\n- `start_time` - The time of the session start.\n- `elapsed_time` - The elapsed time of the session.\n- `network` - The network associated with the IDS endpoint.\n- `source_ip_address` - The source IP address of the packet.\n- `source_port` - The source port of the traffic.\n- `destination_ip_address` - The destination IP address of the packet.\n- `destination_port` - The destination port of the traffic.\n- `ip_protocol` - The IP protocol of the packet.\n- `application` - The application associated with the session.\n- `session_id` - An internal numerical identifier applied to each session.\n- `repeat_count` - The number of sessions with the same source IP, destination IP, application, and type seen within 5 seconds.\n- `total_bytes` - The total number of bytes transferred in the session.\n- `total_packets` - The total number of packets transferred in the session."]]
