Halaman ini menjelaskan log yang dibuat oleh pemberitahuan ancaman Cloud IDS.
Log ancaman
Anda dapat melihat log yang dihasilkan karena ancaman di jaringan Anda di Cloud Logging. Log menggunakan format JSON dengan kolom berikut:
threat_id
- ID ancaman Palo Alto Networks yang unik.name
- Nama ancaman.alert_severity
- Tingkat keparahan ancaman. Salah satu dariINFORMATIONAL
,LOW
,MEDIUM
,HIGH
, atauCRITICAL
.type
- Jenis ancaman.category
- Subjenis ancaman.alert_time
- Waktu saat ancaman ditemukan.network
- Jaringan pelanggan tempat ancaman ditemukan.source_ip_address
- Alamat IP sumber traffic yang dicurigai. Saat Anda menggunakan load balancer Google Cloud, alamat IP klien yang sebenarnya tidak tersedia, dan nilai ini adalah rentang alamat IP Google Front End (GFE). Nilainya dapat berupa130.211.0.0/22
atau35.191.0.0/16
.destination_ip_address
- Alamat IP tujuan traffic yang dicurigai.source_port
- Port sumber traffic yang dicurigai.destination_port
- Port tujuan traffic yang dicurigai.ip_protocol
- Protokol IP traffic yang dicurigai.application
- Jenis aplikasi traffic yang dicurigai—misalnya, SSH.direction
- Arah traffic yang dicurigai (klien-ke-server atau server-ke-klien).session_id
- ID numerik internal yang diterapkan pada setiap sesi.repeat_count
- Jumlah sesi dengan IP sumber, IP tujuan, aplikasi, dan jenis yang sama dan terlihat dalam 5 detik.uri_or_filename
- URI atau nama file ancaman yang relevan, jika berlaku.cves
- daftar CVE yang terkait dengan ancamandetails
- Informasi tambahan tentang jenis ancaman, yang diambil dari ThreatVault Jaringan Palo Alto.
Kolom JSON sebelumnya disusun bertingkat di kolom jsonPayload
log. Nama log untuk log ancaman adalah projects/<consumer-project>/logs/ids.googleapis.com/threat
.
Selain itu, kolom labels.id
log berisi nama endpoint Cloud IDS, dan kolom resource.type
adalah ids.googleapis.com/Endpoint
.
Contoh kueri
Kueri di Cloud Logging ini mengkueri log ancaman IDS di project cloud my-project
, yang menampilkan semua ancaman yang dilaporkan oleh endpoint my-endpoint
antara pukul 08.00-09.00 pada 4 April 2021, waktu PST (-07 offset zona waktu), dengan tingkat keparahan ancaman ditandai TINGGI.
logName="projects/my-project/logs/ids.googleapis.com/threat" AND resource.type="ids.googleapis.com/Endpoint" AND resource.labels.id="my-endpoint" AND timestamp >= "2021-04-18T08:00:00-07" AND timestamp <= "2021-04-18T09:00:00-07" AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
Kebijakan retensi
Retensi ditentukan oleh bucket penyimpanan tempat log berada.
Secara default, log ditempatkan di bucket _Default
, dan secara default bucket ini memiliki kebijakan retensi 30 hari.
Anda dapat memilih untuk memfilter log ke bucket yang berbeda. Selain itu, retensi dapat dikonfigurasi.
Jika menginginkan kebijakan retensi yang berbeda dari kebijakan default 30 hari, Anda dapat melakukan salah satu tindakan berikut:
- Filter semua log ke dalam bucket lain dan konfigurasikan kebijakan retensi.
- Konfigurasi kebijakan retensi khusus untuk bucket
_Default
. Tindakan ini akan memengaruhi semua log lain di bucket_Default
.
Log traffic
Anda dapat melihat log yang dihasilkan karena traffic jaringan di Cloud Logging. Log menggunakan format JSON dengan kolom berikut:
start_time
- Waktu dimulainya sesi.elapsed_time
- Waktu sesi yang berlalu.network
- Jaringan yang terkait dengan endpoint IDS.source_ip_address
- Alamat IP sumber paket.source_port
- Port sumber traffic.destination_ip_address
- Alamat IP tujuan paket.destination_port
- Port tujuan traffic.ip_protocol
- Protokol IP paket.application
- Aplikasi yang terkait dengan sesi.session_id
- ID numerik internal yang diterapkan pada setiap sesi.repeat_count
- Jumlah sesi dengan IP sumber, IP tujuan, aplikasi, dan jenis yang sama dan terlihat dalam 5 detik.total_bytes
- Total jumlah byte yang ditransfer dalam sesi.total_packets
- Jumlah total paket yang ditransfer dalam sesi.