Halaman ini berisi penjelasan mengenai log yang dibuat oleh pemberitahuan ancaman Cloud IDS.
Log ancaman
Anda dapat melihat log yang dihasilkan akibat ancaman di jaringan Anda di Cloud Logging. Log tersebut menggunakan format JSON dengan kolom sebagai berikut:
threat_id- ID ancaman yang unik dari Palo Alto Networks.name- Nama ancaman.alert_severity- Tingkat keparahan ancaman. Salah satu dariINFORMATIONAL,LOW,MEDIUM,HIGH, atauCRITICAL.type- Jenis ancaman.category- Subjenis ancaman.alert_time- Waktu saat ancaman ditemukan.network- Jaringan pelanggan tempat ancaman ditemukan.source_ip_address- Alamat IP sumber traffic yang dicurigai. Saat Anda menggunakan load balancerGoogle Cloud , alamat IP klien yang sebenarnya tidak tersedia, dan nilai ini adalah rentang alamat IP Google Front End (GFE). Nilainya dapat berupa130.211.0.0/22atau35.191.0.0/16.destination_ip_address- Alamat IP tujuan traffic yang dicurigai.source_port- Port sumber traffic yang dicurigai.destination_port- Port tujuan traffic yang dicurigai.ip_protocol- Protokol IP traffic yang dicurigai.application- Jenis aplikasi traffic yang dicurigai—misalnya, SSH.direction- Arah traffic yang dicurigai (klien ke server atau server ke klien).session_id- ID numerik internal yang diterapkan ke setiap sesi.repeat_count- Jumlah sesi dengan IP sumber, IP tujuan, aplikasi, dan jenis yang sama yang terlihat dalam waktu 5 detik.uri_or_filename- URI atau nama file ancaman yang relevan, jika ada.cves- daftar CVE yang terkait dengan ancamandetails- Informasi tambahan tentang jenis ancaman, yang diambil dari ThreatVault Palo Alto Networks.
Kolom JSON sebelumnya bertingkat di bawah kolom jsonPayload log. Nama log untuk log ancaman adalah projects/<consumer-project>/logs/ids.googleapis.com/threat.
Selain itu, kolom labels.id log berisi nama endpoint Cloud IDS, dan kolom resource.type-nya adalah ids.googleapis.com/Endpoint.
Contoh kueri
Kueri ini di Cloud Logging mengkueri log ancaman IDS di project cloud
my-project, yang menampilkan semua ancaman yang dilaporkan oleh endpoint
my-endpoint antara pukul 08.00-09.00 pada 4 April 2021, waktu PST
(-07 offset zona waktu), dengan tingkat keparahan ancaman ditandai sebagai HIGH.
logName="projects/my-project/logs/ids.googleapis.com/threat"
AND resource.type="ids.googleapis.com/Endpoint"
AND resource.labels.id="my-endpoint"
AND timestamp >= "2021-04-18T08:00:00-07"
AND timestamp <= "2021-04-18T09:00:00-07"
AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
Kebijakan retensi
Retensi ditentukan oleh bucket penyimpanan tempat log berada.
Secara default, log ditempatkan di bucket _Default, dan secara default bucket ini memiliki kebijakan retensi selama 30 hari.
Anda dapat memilih untuk memfilter log ke dalam bucket-bucket yang berbeda. Selain itu, retensi dapat dikonfigurasi.
Jika Anda menginginkan kebijakan retensi yang berbeda dari default 30 hari, Anda dapat melakukan salah satu hal berikut:
- Memfilter semua log ke bucket lain dan mengonfigurasi kebijakan retensi.
- Mengonfigurasi kebijakan retensi kustom untuk bucket
_Default. Tindakan ini akan memengaruhi semua log lainnya di bucket_Default.
Log traffic
Anda dapat melihat log yang dihasilkan akibat traffic jaringan di Cloud Logging. Log tersebut menggunakan format JSON dengan kolom sebagai berikut:
start_time- Waktu mulai sesi.elapsed_time- Waktu yang telah berlalu dalam sesi.network- Jaringan yang terkait dengan endpoint IDS.source_ip_address- Alamat IP sumber paket.source_port- Port sumber traffic.destination_ip_address- Alamat IP tujuan paket.destination_port- Port tujuan traffic.ip_protocol- Protokol IP paket.application- Aplikasi yang terkait dengan sesi.session_id- ID numerik internal yang diterapkan ke setiap sesi.repeat_count- Jumlah sesi dengan IP sumber, IP tujuan, aplikasi, dan jenis yang sama yang terlihat dalam waktu 5 detik.total_bytes- Jumlah total byte yang ditransfer dalam sesi.total_packets- Jumlah total paket yang ditransfer dalam sesi.