Fehler bei Endpunkten und Prüfung beheben

Prüfen, ob ein IDS-Endpunkt funktioniert

So prüfen Sie, ob ein IDS-Endpunkt funktionsfähig ist:

  1. Prüfen Sie, ob der IDS-Endpunkt in der Cloud IDS Google Cloud Console angezeigt wird und ob in der Spalte Attached Policies eine Paketspiegelungsrichtlinie vorhanden ist.
  2. Prüfen Sie, ob die angehängte Richtlinie aktiviert ist. Klicken Sie dazu auf den Richtliniennamen und prüfen Sie, ob Policy Enforcement auf Aktiviert gesetzt ist.
  3. Wenn Sie prüfen möchten, ob der Traffic gespiegelt wird, wählen Sie eine VM-Instanz in der überwachten VPC aus, rufen Sie den Tab Beobachtbarkeit auf und achten Sie darauf, dass im Dashboard Mirrored Bytes der zum IDS-Endpunkt gespiegelte Traffic angezeigt wird.
  4. Achten Sie darauf, dass derselbe Traffic (oder dieselbe VM) nicht von mehr als einer Paketspiegelungsrichtlinie betroffen ist, da jedes Paket nur an ein Ziel gespiegelt werden kann. Prüfen Sie die Spalte Attached Policies. Hier darf nur eine Richtlinie pro VM vorhanden sein.

  5. Generieren Sie eine Testbenachrichtigung, indem Sie mit SSH eine Verbindung zu einer VM im überwachten Netzwerk herstellen. Führen Sie dann den folgenden Befehl aus:

    curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd

    Wenn curl auf der Plattform nicht verfügbar ist, können Sie ein ähnliches Tool zum Ausführen von HTTP-Anfragen verwenden.

    Nach einigen Sekunden sollte eine Benachrichtigung sowohl in der Cloud IDS-UI als auch in Cloud Logging (Bedrohungslog) angezeigt werden.

Traffic für die Prüfung entschlüsseln

Cloud IDS muss den entschlüsselten Traffic sehen. Sie können Traffic am L7-Load-Balancer entschlüsseln oder eine Drittanbieter-Appliance bereitstellen. Wenn Sie Traffic auf Load-Balancing-Ebene entschlüsseln möchten, lesen Sie den folgenden Abschnitt.

Da externe Application Load Balancer SSL-Zertifikate benötigen, wird SSL-Traffic zwischen dem Load-Balancer und dem Client verschlüsselt. Traffic vom GFE zu den Back-Ends ist Standard-HTTP-Traffic, den Cloud IDS prüfen kann. Informationen zum Einrichten der Entschlüsselung finden Sie in den folgenden Ressourcen:

Nur wenige Zugriffe werden überprüft

Cloud IDS kann nur Traffic zu VMs oder GKE-Pods prüfen. Wenn Ihr Subnetz oder Ihre VPC keine VMs oder GKE-Pods enthält, kann Cloud IDS den an Ihre anderen Ressourcen gerichteten Traffic nicht prüfen.