Informazioni di logging di Cloud IDS

Questa pagina descrive i log creati dagli avvisi di minacce Cloud IDS.

Log delle minacce

Puoi visualizzare i log generati a causa di minacce nella tua rete in Cloud Logging. I log utilizzano un formato JSON con i seguenti campi:

  • threat_id: identificatore univoco delle minacce di Palo Alto Networks.
  • name - Nome della minaccia.
  • alert_severity - Gravità della minaccia. Uno dei seguenti: INFORMATIONAL, LOW, MEDIUM, HIGH o CRITICAL.
  • type - Tipo di minaccia.
  • category: sottotipo della minaccia.
  • alert_time: data e ora in cui è stata scoperta la minaccia.
  • network: rete del cliente in cui è stata scoperta la minaccia.
  • source_ip_address: indirizzo IP di origine del traffico sospetto. Quando utilizzi un bilanciatore del carico di Google Cloud, l'indirizzo IP del client reale non è disponibile e questo valore è l'intervallo di indirizzi IP di Google Front End (GFE). Il valore può essere 130.211.0.0/22 o 35.191.0.0/16.
  • destination_ip_address: indirizzo IP di destinazione del traffico sospetto.
  • source_port: porta di origine del traffico sospetto.
  • destination_port: porta di destinazione del traffico sospetto.
  • ip_protocol: protocollo IP del traffico sospetto.
  • application: il tipo di applicazione del traffico sospetto, ad esempio SSH.
  • direction: la direzione del traffico prevista (client-server o server-client).
  • session_id: un identificatore numerico interno applicato a ogni sessione.
  • repeat_count: numero di sessioni con lo stesso IP di origine, IP di destinazione, applicazione e tipo visualizzate in 5 secondi.
  • uri_or_filename: URI o nome file della minaccia pertinente, se applicabile.
  • cves: un elenco di CVE associate alla minaccia
  • details - Informazioni aggiuntive sul tipo di minaccia, tratte da ThreatVault di Palo Alto Networks.

I campi JSON precedenti sono nidificati sotto il campo jsonPayload del log. Il nome dei log delle minacce è projects/<consumer-project>/logs/ids.googleapis.com/threat.

Inoltre, il campo labels.id del log contiene il nome dell'endpoint Cloud IDS e il campo resource.type è ids.googleapis.com/Endpoint.

Esempio di query

Questa query in Cloud Logging esegue una query sul log delle minacce IDS nel progetto cloud my-project, restituendo tutte le minacce segnalate dall'endpoint my-endpoint tra le 8:00 e le 9:00 del 4 aprile 2021, ora PST (-07, offset del fuso orario), in cui la gravità della minaccia era contrassegnata come ALTA.

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

Criterio di conservazione

La conservazione è determinata dai bucket di archiviazione in cui si trovano i log. Per impostazione predefinita, i log vengono inseriti nel bucket _Default e, per impostazione predefinita, questo bucket ha un criterio di conservazione di 30 giorni.

Puoi scegliere di filtrare i log in base a bucket diversi. Inoltre, la conservazione è configurabile.

Se vuoi una norma di conservazione diversa da quella predefinita per i 30 giorni, puoi:

  • Filtra tutti i log in un altro bucket e configura un criterio di conservazione.
  • Configura un criterio di conservazione personalizzato per il bucket _Default. Questa operazione influirà su tutti gli altri log nel bucket _Default.

Log sul traffico

Puoi visualizzare i log generati a causa del traffico di rete in Cloud Logging. I log utilizzano un formato JSON con i seguenti campi:

  • start_time: l'ora di inizio della sessione.
  • elapsed_time: il tempo trascorso della sessione.
  • network: la rete associata all'endpoint IDS.
  • source_ip_address: l'indirizzo IP di origine del pacchetto.
  • source_port: la porta di origine del traffico.
  • destination_ip_address: l'indirizzo IP di destinazione del pacchetto.
  • destination_port: la porta di destinazione del traffico.
  • ip_protocol: il protocollo IP del pacchetto.
  • application: l'applicazione associata alla sessione.
  • session_id: un identificatore numerico interno applicato a ogni sessione.
  • repeat_count: il numero di sessioni con lo stesso IP di origine, IP di destinazione, applicazione e tipo visualizzate in 5 secondi.
  • total_bytes: il numero totale di byte trasferiti nella sessione.
  • total_packets: il numero totale di pacchetti trasferiti durante la sessione.