Questa pagina descrive i log creati dagli avvisi di minacce Cloud IDS.
Log delle minacce
Puoi visualizzare i log generati a causa di minacce nella tua rete in Cloud Logging. I log utilizzano un formato JSON con i seguenti campi:
threat_id
: identificatore univoco delle minacce di Palo Alto Networks.name
- Nome della minaccia.alert_severity
- Gravità della minaccia. Uno dei seguenti:INFORMATIONAL
,LOW
,MEDIUM
,HIGH
oCRITICAL
.type
- Tipo di minaccia.category
: sottotipo della minaccia.alert_time
: data e ora in cui è stata scoperta la minaccia.network
: rete del cliente in cui è stata scoperta la minaccia.source_ip_address
: indirizzo IP di origine del traffico sospetto. Quando utilizzi un bilanciatore del carico di Google Cloud, l'indirizzo IP del client reale non è disponibile e questo valore è l'intervallo di indirizzi IP di Google Front End (GFE). Il valore può essere130.211.0.0/22
o35.191.0.0/16
.destination_ip_address
: indirizzo IP di destinazione del traffico sospetto.source_port
: porta di origine del traffico sospetto.destination_port
: porta di destinazione del traffico sospetto.ip_protocol
: protocollo IP del traffico sospetto.application
: il tipo di applicazione del traffico sospetto, ad esempio SSH.direction
: la direzione del traffico prevista (client-server o server-client).session_id
: un identificatore numerico interno applicato a ogni sessione.repeat_count
: numero di sessioni con lo stesso IP di origine, IP di destinazione, applicazione e tipo visualizzate in 5 secondi.uri_or_filename
: URI o nome file della minaccia pertinente, se applicabile.cves
: un elenco di CVE associate alla minacciadetails
- Informazioni aggiuntive sul tipo di minaccia, tratte da ThreatVault di Palo Alto Networks.
I campi JSON precedenti sono nidificati sotto il campo jsonPayload
del log. Il nome dei log delle minacce è projects/<consumer-project>/logs/ids.googleapis.com/threat
.
Inoltre, il campo labels.id
del log contiene il nome dell'endpoint
Cloud IDS e il campo resource.type
è ids.googleapis.com/Endpoint
.
Esempio di query
Questa query in Cloud Logging esegue una query sul log delle minacce IDS nel progetto cloud my-project
, restituendo tutte le minacce segnalate dall'endpoint my-endpoint
tra le 8:00 e le 9:00 del 4 aprile 2021, ora PST (-07, offset del fuso orario), in cui la gravità della minaccia era contrassegnata come ALTA.
logName="projects/my-project/logs/ids.googleapis.com/threat" AND resource.type="ids.googleapis.com/Endpoint" AND resource.labels.id="my-endpoint" AND timestamp >= "2021-04-18T08:00:00-07" AND timestamp <= "2021-04-18T09:00:00-07" AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
Criterio di conservazione
La conservazione è determinata dai bucket di archiviazione in cui si trovano i log.
Per impostazione predefinita, i log vengono inseriti nel bucket _Default
e, per impostazione predefinita, questo bucket ha un criterio di conservazione di 30 giorni.
Puoi scegliere di filtrare i log in base a bucket diversi. Inoltre, la conservazione è configurabile.
Se vuoi una norma di conservazione diversa da quella predefinita per i 30 giorni, puoi:
- Filtra tutti i log in un altro bucket e configura un criterio di conservazione.
- Configura un criterio di conservazione personalizzato per il bucket
_Default
. Questa operazione influirà su tutti gli altri log nel bucket_Default
.
Log sul traffico
Puoi visualizzare i log generati a causa del traffico di rete in Cloud Logging. I log utilizzano un formato JSON con i seguenti campi:
start_time
: l'ora di inizio della sessione.elapsed_time
: il tempo trascorso della sessione.network
: la rete associata all'endpoint IDS.source_ip_address
: l'indirizzo IP di origine del pacchetto.source_port
: la porta di origine del traffico.destination_ip_address
: l'indirizzo IP di destinazione del pacchetto.destination_port
: la porta di destinazione del traffico.ip_protocol
: il protocollo IP del pacchetto.application
: l'applicazione associata alla sessione.session_id
: un identificatore numerico interno applicato a ogni sessione.repeat_count
: il numero di sessioni con lo stesso IP di origine, IP di destinazione, applicazione e tipo visualizzate in 5 secondi.total_bytes
: il numero totale di byte trasferiti nella sessione.total_packets
: il numero totale di pacchetti trasferiti durante la sessione.