Fehlerbehebung bei Endpunkten und Prüfung

Prüfen, ob ein IDS-Endpunkt funktioniert

So prüfen Sie, ob ein IDS-Endpunkt funktioniert:

1. Prüfen Sie, ob der IDS-Endpunkt in der Google Cloud Console für Cloud IDS angezeigt wird und ob in der Spalte Attached Policies eine Richtlinie für das Paketspiegeln vorhanden ist.
2. Stellen Sie sicher, dass die angehängte Richtlinie aktiviert ist, indem Sie auf den Richtliniennamen klicken. Achten Sie darauf, dass Policy Enforcement auf Enabled (Aktiviert) gesetzt ist.
3. Um zu prüfen, ob Traffic gespiegelt wird, wählen Sie eine VM-Instanz in der überwachter VPC erstellen, rufen Sie den Tab Beobachtbarkeit auf und prüfen Sie, ob im Mirrored Bytes-Dashboard der zum IDS-Endpunkt gespiegelte Traffic angezeigt wird.
4. Achten Sie darauf, dass derselbe Traffic (oder die selbe VM) nicht von mehreren Paketspiegelungsrichtlinien betroffen ist, da jedes Paket nur an ein Ziel gespiegelt werden kann. Prüfen Sie die Spalte Attached Policies und achten Sie darauf, dass nur eine Richtlinie pro VM vorhanden ist.

5. Erstellen Sie eine Testbenachrichtigung, indem Sie über SSH eine Verbindung zu einer VM im überwachten Netzwerk herstellen und dann den folgenden Befehl ausführen:

   curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
   

   Wenn curl auf der Plattform nicht verfügbar ist, können Sie ein ähnliches Tool zum Ausführen von HTTP-Anfragen verwenden.

   Nach einigen Sekunden sollte eine Benachrichtigung sowohl in der Cloud IDS-UI als auch in Cloud Logging (Bedrohungslog) angezeigt.

Traffic für die Prüfung entschlüsseln

Cloud IDS muss entschlüsselten Traffic sehen können. Sie können Traffic mit dem L7-Last entschlüsseln oder eine Drittanbieter-Appliance bereitstellen. Wenn Sie den Traffic an der finden Sie im folgenden Abschnitt.

Da externe Application Load Balancer SSL-Zertifikate benötigen, und der Client ist verschlüsselt. Der Traffic von der GFE zu den Back-Ends ist standardmäßiger HTTP-Traffic, der von Cloud IDS geprüft werden kann. Weitere Informationen: Ressourcen zum Einrichten der Entschlüsselung:

• Selbstverwaltete Zertifikate
• Von Google verwaltete Zertifikate

Es wird nur ein geringer Traffic überprüft

Cloud IDS kann nur Traffic zu VMs oder GKE-Pods prüfen. Wenn Ihr Subnetz oder VPC keine VMs oder GKE-Pods enthält, kann Cloud IDS den Traffic, der an Ihre anderen Ressourcen gerichtet ist, nicht prüfen.

Endpunktrichtlinien werden bei Verwendung der Cloud Next Generation Firewall ignoriert

Wenn Sie L7-Prüfungsrichtlinien von Cloud Next Generation Firewall und Cloud IDS-Endpunktrichtlinien verwenden, achten Sie darauf, dass sich die Richtlinien nicht auf denselben Traffic beziehen. Wenn sich die Richtlinien überschneiden, hat die L7-Prüfungsrichtlinie Vorrang und der Traffic wird nicht gespiegelt.