Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Verifica que un extremo de IDS funcione
Para confirmar que un extremo de IDS funcione, haz lo siguiente:
Verifica que el extremo del IDS aparezca en la consola del IDS de Google Cloud Cloud y que haya una política de duplicación de paquetes en la columna Attached Policies.
Haz clic en el nombre de la política para asegurarte de que esté habilitada y de que Policy Enforcement esté configurado como Habilitado.
Para verificar que se esté reflejando el tráfico, elige una instancia de VM en la VPC supervisada, ve a la pestaña Observabilidad y asegúrate de que el panel Mirrored
Bytes muestre el tráfico que se refleja en el extremo del IDS.
Asegúrate de que el mismo tráfico (o VM) no se vea afectado por más de una
política de duplicación de paquetes, ya que cada paquete se puede duplicar en un solo
destino. Revisa la columna Attached Policies y asegúrate de que haya una sola política por VM.
Genera una alerta de prueba con SSH para conectarte a una VM en la red supervisada y, luego, ejecuta el siguiente comando:
Si curl no está disponible en la plataforma, puedes usar una herramienta similar para realizar solicitudes HTTP.
Después de unos segundos, debería aparecer una alerta en la IU de Cloud IDS y
en Cloud Logging (registro de amenazas).
Cómo desencriptar el tráfico para la inspección
Para inspeccionar el tráfico, el IDS de Cloud usa la duplicación de paquetes para enviar copias a nivel del paquete del tráfico configurado a la VM de IDS. Aunque el destino del recopilador recibe todos los paquetes reflejados, Cloud IDS no puede desencriptar los paquetes que transportan datos encriptados con un protocolo seguro, como TLS, HTTPS o HTTP2.
Por ejemplo, si usas HTTPS o HTTP2 como el protocolo de servicio de backend para un
balanceador de cargas de aplicaciones externo, los paquetes que se envían a los backends del
balanceador de cargas se pueden duplicar en Cloud IDS. Sin embargo, Cloud IDS no puede inspeccionar las
solicitudes porque los paquetes llevan datos encriptados. Para habilitar la inspección de IDS de Cloud, debes cambiar el protocolo del servicio de backend a HTTP. Como alternativa, puedes usar Google Cloud Armor para la prevención de intrusiones y habilitar los registros del balanceador de cargas de aplicaciones para la inspección de solicitudes. Para obtener más información sobre el registro de solicitudes del balanceador de cargas de aplicaciones, consulta Registro y supervisión del balanceador de cargas de aplicaciones externo global y Registro y supervisión del balanceador de cargas de aplicaciones externo regional.
Solo se inspecciona un volumen pequeño de tráfico.
Cloud IDS inspecciona el tráfico que se envía a los recursos o que estos reciben en subredes duplicadas, incluidas las Google Cloud VM, los nodos y los pods de GKE.
Si una subred duplicada no contiene VMs, Cloud IDS no tiene tráfico para inspeccionar.
Las políticas de extremo se ignoran cuando se usan políticas de inspección de L7 de Cloud NGFW.
Cuando usas las políticas de inspección de la capa 7 de Cloud Next Generation Firewall (reglas con la
acción apply_security_profile_group) y el IDS de Cloud en conjunto, se evalúan las reglas de la
política de firewall y el tráfico no se refleja para la inspección del IDS de Cloud. Para evitar esta situación, asegúrate de que las políticas de inspección de L7 de Cloud NGFW no se apliquen a los paquetes que debes inspeccionar con el IDS de Cloud.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-05 (UTC)"],[[["\u003cp\u003eTo confirm an IDS endpoint is functional, verify its presence in the Cloud IDS console, ensure the attached packet mirroring policy is enabled, and confirm traffic mirroring via the \u003ccode\u003eMirrored Bytes\u003c/code\u003e dashboard.\u003c/p\u003e\n"],["\u003cp\u003eEach packet can only be mirrored to one destination, so ensure that a VM is not affected by more than one packet mirroring policy, which can be confirmed in the \u003ccode\u003eAttached Policies\u003c/code\u003e column.\u003c/p\u003e\n"],["\u003cp\u003eGenerate a test alert by using SSH to connect to a VM and run a specific \u003ccode\u003ecurl\u003c/code\u003e command (or similar HTTP request tool) to trigger an alert, which should then be visible in the Cloud IDS UI and Cloud Logging (Threat Log).\u003c/p\u003e\n"],["\u003cp\u003eCloud IDS cannot decrypt traffic encrypted with secure protocols like TLS, HTTPS, or HTTP2, so for inspection, backend service protocols should be changed to HTTP, or use Google Cloud Armor for intrusion prevention.\u003c/p\u003e\n"],["\u003cp\u003eTraffic is only inspected if sent to or received by resources within mirrored subnets, and Cloud NGFW L7 inspection policies will prevent mirroring for Cloud IDS if they apply to the same packets.\u003c/p\u003e\n"]]],[],null,["# Troubleshoot endpoints and inspection\n\nVerify that an IDS endpoint is functional\n-----------------------------------------\n\n| **Note:** If your endpoint generates any alerts, it is considered to be functional.\n\nTo confirm that an IDS endpoint is functional, do the following:\n\n1. Verify that the IDS endpoint appears in the Cloud IDS Google Cloud console, and that there is a packet mirroring policy in the `Attached Policies` column.\n2. Ensure that the attached policy is enabled by clicking the policy name, and make sure that `Policy Enforcement` is set to **Enabled**.\n3. To verify that traffic is being mirrored, choose a VM Instance in the monitored VPC, go to the **Observability** tab, and make sure that the `Mirrored\n Bytes` dashboard shows traffic being mirrored to the IDS endpoint.\n4. Ensure that the same traffic (or VM) is not affected by more than one packet mirroring policy, as each packet can be mirrored to only one destination. Check the `Attached Policies` column, and ensure that there is only one policy per VM.\n5. Generate a test alert by using SSH to connect to a VM in the monitored\n network, then run the following command:\n\n ```\n curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd\n ```\n\n If curl is unavailable on the platform, you can use a similar tool for\n performing HTTP requests.\n\n After a few seconds, an alert should show up in both the Cloud IDS UI and\n in Cloud Logging (Threat Log).\n\nDecrypting traffic for inspection\n---------------------------------\n\nTo inspect traffic, Cloud IDS uses Packet Mirroring to send\npacket-level copies of configured traffic to the IDS VM. Even though the\ncollector destination receives all mirrored packets, any packets that carry data that was\nencrypted using a secure protocol like TLS, HTTPS, or HTTP2 can't be decrypted\nby Cloud IDS.\n\nFor example, if you use HTTPS or HTTP2 as the backend service protocol for an\nexternal application load balancer, packets sent to the load balancer's backends\ncan be mirrored to Cloud IDS; however, the requests cannot be inspected by\nCloud IDS because the packets carry encrypted data. To enable Cloud IDS\ninspection, you must change the backend service protocol to HTTP. Alternatively,\nyou can use [Google Cloud Armor](/armor/docs/cloud-armor-overview) for intrusion\nprevention, and enable application load balancer logs for request inspection. For\nmore information about application load balancer request logging, see\n[Global external Application Load Balancer logging and\nmonitoring](/load-balancing/docs/https/https-logging-monitoring#logging) and\n[Regional external Application Load Balancer logging and\nmonitoring](/load-balancing/docs/https/https-reg-logging-monitoring#logging).\n\nOnly a small volume of traffic is inspected\n-------------------------------------------\n\nCloud IDS inspects traffic sent to or received by resources in mirrored\nsubnets, including Google Cloud VMs and GKE nodes and\nPods.\n\nIf a mirrored subnet contains no VMs, Cloud IDS has no traffic to inspect.\n\nEndpoint policies are ignored when using Cloud NGFW L7 inspection policies\n--------------------------------------------------------------------------\n\nWhen you use Cloud Next Generation Firewall L7 inspection policies (rules with the\n`apply_security_profile_group` action) and Cloud IDS together, firewall\npolicy rules are evaluated and traffic is not mirrored for Cloud IDS\ninspection. You can avoid this situation by ensuring that\nCloud NGFW L7 inspection policies don't apply to packets that you\nneed to inspect with Cloud IDS."]]
