Fehlerbehebung für Endpunkte und Prüfung

Prüfen, ob ein IDS-Endpunkt funktioniert

So prüfen Sie, ob ein IDS-Endpunkt funktionsfähig ist:

1. Prüfen Sie, ob der IDS-Endpunkt in der Cloud IDS Google Cloud Console angezeigt wird. und dass in der Spalte Attached Policies eine Paketspiegelungsrichtlinie vorhanden ist.
2. Stellen Sie sicher, dass die angehängte Richtlinie aktiviert ist, indem Sie auf den Richtliniennamen klicken. Achten Sie darauf, dass Policy Enforcement auf Enabled (Aktiviert) gesetzt ist.
3. Um zu prüfen, ob Traffic gespiegelt wird, wählen Sie eine VM-Instanz in der überwachter VPC erstellen, rufen Sie den Tab Beobachtbarkeit auf und prüfen Sie, ob im Mirrored Bytes-Dashboard der zum IDS-Endpunkt gespiegelte Traffic angezeigt wird.
4. Achten Sie darauf, dass derselbe Traffic (oder dieselbe VM) nicht von mehr als einem betroffen ist Paketspiegelungsrichtlinie, da jedes Paket nur in einem Ziel. Sehen Sie in der Spalte Attached Policies nach, ob nur eine Richtlinie pro VM.

5. Generieren Sie eine Testbenachrichtigung, indem Sie mithilfe von SSH eine Verbindung zu einer VM in der überwachten Umgebung herstellen. Netzwerk und führen Sie den folgenden Befehl aus:

   curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
   

   Sollte curl auf der Plattform nicht verfügbar sein, können Sie ein ähnliches Tool zum Ausführen von HTTP-Anfragen.

   Nach einigen Sekunden sollte eine Benachrichtigung sowohl in der Cloud IDS-UI als auch in Cloud Logging (Bedrohungslog) angezeigt.

Traffic zur Prüfung entschlüsseln

Cloud IDS muss entschlüsselten Traffic sehen können. Sie können Traffic mit dem L7-Last entschlüsseln oder eine Drittanbieter-Appliance bereitstellen. Wenn Sie den Traffic an der finden Sie im folgenden Abschnitt.

Da externe Application Load Balancer SSL-Zertifikate benötigen, und der Client ist verschlüsselt. Traffic vom GFE zu den Back-Ends Standard-HTTP-Traffic, den Cloud IDS prüfen kann. Weitere Informationen: Ressourcen zum Einrichten der Entschlüsselung:

• Selbstverwaltete Zertifikate
• Von Google verwaltete Zertifikate

Es wird nur ein geringer Traffic überprüft

Cloud IDS kann nur Traffic zu VMs oder GKE-Pods prüfen. Wenn Ihr Subnetz oder Ihre VPC keine VMs oder GKE-Pods enthält, kann Cloud IDS den an Ihre anderen Ressourcen gerichteten Traffic nicht prüfen.

Endpunktrichtlinien werden bei Verwendung der Cloud Next Generation Firewall ignoriert

Wenn Sie Cloud Next Generation Firewall L7-Inspektionsrichtlinien und Cloud IDS verwenden Endpunktrichtlinien, sorgen Sie dafür, dass die Richtlinien nicht für denselben Traffic gelten. Wenn die Richtlinien überschneiden, die L7-Prüfungsrichtlinie hat Vorrang und der Traffic werden nicht gespiegelt.