Informations sur la journalisation Cloud IDS

Cette page décrit les journaux créés par les alertes de menace Cloud IDS.

Journaux des menaces

Dans Cloud Logging, vous pouvez consulter les journaux générés en raison de menaces dans votre réseau. Les journaux utilisent un format JSON avec les champs suivants :

  • threat_id : identifiant de menace unique de Palo Alto Networks.
  • name : nom de la menace.
  • alert_severity : gravité de la menace, à savoir INFORMATIONAL, LOW, MEDIUM, HIGH ou CRITICAL.
  • type : type de menace.
  • category : sous-type de menace.
  • alert_time : heure à laquelle la menace a été découverte.
  • network : réseau client dans lequel la menace a été découverte.
  • source_ip_address : adresse IP source du trafic suspecté. Lorsque vous utilisez unGoogle Cloud équilibreur de charge, la véritable adresse IP du client n'est pas disponible. Cette valeur correspond en fait à la plage d'adresse IP de Google Front End (GFE). La valeur peut être 130.211.0.0/22 ou 35.191.0.0/16.
  • destination_ip_address : adresse IP de destination du trafic suspecté.
  • source_port : port source du trafic suspecté.
  • destination_port : port de destination du trafic suspecté.
  • ip_protocol : protocole IP du trafic suspecté.
  • application : type d'application du trafic suspecté (par exemple, SSH).
  • direction : direction du trafic suspecté (du client vers le serveur ou du serveur vers le client).
  • session_id : identifiant numérique interne appliqué à chaque session.
  • repeat_count : nombre de sessions présentant la même adresse IP source, la même adresse IP de destination, la même application et le même type dans un intervalle de cinq secondes.
  • uri_or_filename : URI ou nom de fichier de la menace concernée (le cas échéant).
  • cves : liste des CVE associées à la menace
  • details : informations supplémentaires sur le type de menace, issues de ThreatVault de Palo Alto Networks.

Les champs JSON précédents sont imbriqués sous le champ jsonPayload du journal. Le nom de journal des journaux de menaces est projects/<consumer-project>/logs/ids.googleapis.com/threat.

De plus, le champ labels.id du journal contient le nom du point de terminaison Cloud IDS, et son champ resource.type est défini sur ids.googleapis.com/Endpoint.

Exemple de requête

Cette requête dans Cloud Logging interroge le journal des menaces IDS dans le projet cloud my-project. Elle renvoie toutes les menaces signalées par le point de terminaison my-endpoint entre 8h et 9h le 4 avril 2021, heure PST (décalage horaire de 7 heures), où la gravité de la menace a été marquée comme ÉLEVÉE.

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

Règle de conservation

La durée de conservation est déterminée par les buckets de stockage dans lesquels se trouvent les journaux. Par défaut, les journaux sont placés dans le bucket _Default, qui est associé à une règle de conservation de 30 jours.

Vous pouvez choisir de filtrer les journaux dans différents buckets. Par ailleurs, la durée de conservation est configurable.

Si vous souhaitez une durée de conservation différente de celle par défaut (30 jours), vous pouvez effectuer l'une des opérations suivantes :

  • Filtrez tous les journaux dans un autre bucket et configurez une règle de conservation.
  • Configurez une règle de conservation personnalisée pour le bucket _Default. L'opération affectera tous les autres journaux du bucket _Default.

Journaux de trafic

Dans Cloud Logging, vous pouvez consulter les journaux générés en raison de trafic réseau. Les journaux utilisent un format JSON avec les champs suivants :

  • start_time : heure de début de la session.
  • elapsed_time : temps écoulé de la session.
  • network : réseau associé au point de terminaison IDS.
  • source_ip_address : adresse IP source du paquet.
  • source_port : port source du trafic.
  • destination_ip_address : adresse IP de destination du paquet.
  • destination_port : port de destination du trafic.
  • ip_protocol : protocole IP du paquet.
  • application : application associée à la session.
  • session_id : identifiant numérique interne appliqué à chaque session.
  • repeat_count : nombre de sessions présentant la même adresse IP source, la même adresse IP de destination, la même application et le même type dans un intervalle de cinq secondes.
  • total_bytes : nombre total d'octets transférés au cours de la session.
  • total_packets : nombre total de paquets transférés au cours de la session.