Vérifier le bon fonctionnement d'un point de terminaison IDS
Pour vérifier qu'un point de terminaison IDS fonctionne, procédez comme suit:
- Vérifiez que le point de terminaison IDS s'affiche dans la console Google Cloud Cloud IDS et qu'il existe une règle de mise en miroir de paquets dans la colonne
Attached Policies. - Assurez-vous que la stratégie associée est activée en cliquant sur son nom et que
Policy Enforcementest défini sur Activé. - Pour vérifier que le trafic est mis en miroir, choisissez une instance de VM dans le VPC surveillé, accédez à l'onglet Observabilité et assurez-vous que le tableau de bord
Mirrored Bytesaffiche le trafic mis en miroir sur le point de terminaison IDS. - Assurez-vous que le même trafic (ou VM) n'est pas affecté par plusieurs règles de mise en miroir de paquets, car chaque paquet ne peut être mis en miroir que sur une seule destination. Vérifiez la colonne
Attached Policieset assurez-vous qu'il n'y a qu'une seule règle par VM. Générez une alerte de test en vous connectant en SSH à une VM du réseau surveillé, puis exécutez la commande suivante:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Si curl n'est pas disponible sur la plate-forme, vous pouvez utiliser un outil similaire pour effectuer des requêtes HTTP.
Après quelques secondes, une alerte devrait s'afficher à la fois dans l'interface utilisateur de Cloud IDS et dans Cloud Logging (Threat Log).
Déchiffrement du trafic pour inspection
Cloud IDS doit voir le trafic déchiffré. Vous pouvez déchiffrer le trafic au niveau de l'équilibreur de charge L7 ou déployer un dispositif tiers. Si vous souhaitez déchiffrer le trafic au niveau de l'équilibrage de charge, lisez la section suivante.
Étant donné que l'équilibreur de charge HTTP(S) externe nécessite des certificats SSL, le trafic SSL entre l'équilibreur de charge et le client est chiffré. Le trafic du GFE vers les backends est du trafic HTTP standard que Cloud IDS peut inspecter. Consultez les ressources suivantes pour configurer le déchiffrement: