Nesta página, descrevemos os registros criados por alertas de ameaças do Cloud IDS.
Registros de ameaças
É possível visualizar os registros gerados devido a ameaças na sua rede no Cloud Logging. Os registros usam um formato JSON com os campos a seguir.
threat_id: identificador exclusivo de ameaças da Palo Alto Networks.name: nome da ameaça.alert_severity- Gravidade da ameaça Uma destas opções: "INFORMATIONAL", "LOW", "MEDIUM", "HIGH" ou "CRITIAL"type: tipo do tipo de ameaça.category: subtipo da ameaça.alert_time: horário em que a ameaça foi descoberta.network: a rede de clientes em que a ameaça foi descoberta.source_ip_address: suspeita de endereço IP de origem do tráfego.destination_ip_address: suspeita de endereço IP do tráfego.source_port: suspeita de porta de origem do tráfego.destination_port: suspeita de porta de destino.ip_protocol: suspeita de protocolo IP.application: suspeita de tipo de aplicativo do tráfego (por exemplo, SSH).direction: direção suspeita de tráfego (cliente a servidor ou servidor para cliente).session_id: um identificador numérico interno aplicado a cada sessão.repeat_count: número de sessões com o mesmo IP de origem, IP de destino, aplicativo e tipo vistos em cinco segundos.uri_or_filename: URI ou nome do arquivo da ameaça relevante, se aplicável.details: mais informações sobre o tipo de ameaça retirado da Palo Alto Networks' ThreatVault.
Os campos JSON anteriores estão aninhados no campo jsonPayload do log. O nome do registro de ameaças é projects/<consumer-project>/logs/ids.googleapis.com%2Fthreat.
Além disso, o campo labels.id do registro contém o nome do endpoint do Cloud IDS
e o campo resource.type é ids.googleapis.com/Endpoint.
Amostra de consulta
Essa consulta no Cloud Logging consulta o registro de ameaças do IDS no projeto da nuvem my-project", retornando todas as ameaças relatadas pelo endpoint my-endpoint entre 8h e 9h em 4 de abril de 2021, horário PST (-7% de deslocamento do fuso horário), em que a gravidade da ameaça foi marcada como ALTA.
logName="projects/my-project/logs/ids.googleapis.com%2Fthreat"
AND resource.type="ids.googleapis.com/Endpoint"
AND resource.labels.id="my-endpoint"
AND timestamp >= "2021-04-18T08:00:00-07"
AND timestamp <= "2021-04-18T09:00:00-07"
AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
Política de retenção
A retenção é determinada pelos buckets de armazenamento em que os registros estão localizados.
Por padrão, os registros são colocados no bucket _Default e, por padrão, têm uma política de retenção de 30 dias.
É possível filtrar os registros para buckets diferentes. Além disso, a retenção é configurável.
Se você quiser uma política de retenção diferente dos 30 dias padrão, siga um destes procedimentos:
- Filtrar todos os registros em outro bucket e configurar uma política de retenção
- Configure uma política de retenção personalizada para o bucket
_Default. Isso afetará todos os outros registros no bucket_Default.
Registros de tráfego
É possível visualizar registros gerados devido ao tráfego de rede no Cloud Logging. Os registros usam um formato JSON com os campos a seguir.
start_time: o horário de início da sessão.elapsed_time: o tempo decorrido da sessão.network: a rede associada ao endpoint do IDS.source_ip_address: o endereço IP de origem do pacote.source_port: a porta de origem do tráfego.destination_ip_address: o endereço IP de destino do pacote.destination_port: a porta de destino do tráfego.ip_protocol: o protocolo IP do pacote.application: o aplicativo associado à sessão.session_id: um identificador numérico interno aplicado a cada sessão.repeat_count: o número de sessões com o mesmo IP de origem, IP de destino, aplicativo e tipo vistos em cinco segundos.total_bytes: o número total de bytes transferidos na sessão.total_packets: o número total de pacotes transferidos na sessão.