In questa pagina vengono descritti i log creati dagli avvisi relativi alle minacce di Cloud IDS.
Log delle minacce
In Cloud Logging puoi visualizzare i log generati a causa di minacce nella tua rete. I log utilizzano un formato JSON con i campi seguenti.
threat_id: identificatore univoco delle minacce di Palo Alto Networks.name- Nome minaccia.alert_severity: gravità della minaccia. Uno dei "INFORMATIONAL", "LOW", "MEDIUM", "HIGH" o "CRITICAL".type: tipo di minaccia.category: sottotipo della minaccia.alert_time: ora in cui è stata rilevata la minaccia.network: rete del cliente in cui è stata rilevata la minaccia.source_ip_address- Presunto indirizzo IP di origine del traffico.destination_ip_address- Indirizzo IP di destinazione previsto del traffico.source_port- Porta sospetta della sorgente di traffico.destination_port- Porta di destinazione presunta del traffico.ip_protocol- Protocollo IP per presunto traffico.application- Tipo di applicazione di traffico sospetto (ad es. SSH).direction- Direzione del traffico sospetto (client-to-server o server-client).session_id: un identificatore numerico interno applicato a ogni sessione.repeat_count: numero di sessioni con lo stesso IP di origine, IP di destinazione, applicazione e tipo visualizzati entro 5 secondi.uri_or_filename: URI o nome file della minaccia pertinente, se applicabile.details- Informazioni aggiuntive sul tipo di minaccia, tratte da Palo Alto Networks' ThreatVault.
I campi JSON precedenti sono nidificati sotto il campo jsonPayload del log. Il nome del log per i log delle minacce è projects/<consumer-project>/logs/ids.googleapis.com%2Fthreat.
Inoltre, il campo labels.id del log contiene il nome dell'endpoint di Cloud IDS e il campo resource.type è ids.googleapis.com/Endpoint.
Esempio di query
Questa query in Cloud Logging esegue una query sul log delle minacce IDS nel progetto cloud my-project", restituisce tutte le minacce segnalate dall'endpoint my-endpoint tra le 08:00 e le 09:00 del 4 aprile 2021, ora PST (scostamento del fuso orario -07), in cui la gravità della minaccia è stata contrassegnata come ALTA.
logName="projects/my-project/logs/ids.googleapis.com%2Fthreat"
AND resource.type="ids.googleapis.com/Endpoint"
AND resource.labels.id="my-endpoint"
AND timestamp >= "2021-04-18T08:00:00-07"
AND timestamp <= "2021-04-18T09:00:00-07"
AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
Criterio di conservazione
La conservazione è determinata dai bucket di archiviazione in cui si trovano i log.
Per impostazione predefinita, i log vengono inseriti nel bucket _Default e per impostazione predefinita questo bucket ha un criterio di conservazione di 30 giorni.
Puoi scegliere di filtrare i log in base a bucket diversi. Inoltre, la conservazione è configurabile.
Se vuoi un criterio di conservazione diverso da quello predefinito per 30 giorni, puoi:
- Filtra tutti i log in un altro bucket e configura un criterio di conservazione.
- Configura un criterio di conservazione personalizzato per il bucket
_Default. Tieni presente che questo influirà su tutti gli altri log nel bucket_Default.
Log sul traffico
In Cloud Logging puoi visualizzare i log generati a causa del traffico di rete. I log utilizzano un formato JSON con i campi seguenti.
start_time: l'ora di inizio della sessione.elapsed_time: il tempo trascorso della sessione.network: la rete associata all'endpoint IDS.source_ip_address: l'indirizzo IP di origine del pacchetto.source_port: la porta di origine del traffico.destination_ip_address: l'indirizzo IP di destinazione del pacchetto.destination_port: la porta di destinazione del traffico.ip_protocol: il protocollo IP del pacchetto.application: l'applicazione associata alla sessione.session_id: un identificatore numerico interno applicato a ogni sessione.repeat_count: numero di sessioni con lo stesso IP di origine, IP di destinazione, applicazione e tipo visualizzati entro 5 secondi.total_bytes: il numero totale di byte trasferiti nella sessione.total_packets: il numero totale di pacchetti trasferiti nella sessione.