Résoudre les problèmes liés aux points de terminaison et à l'inspection
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Vérifier qu'un point de terminaison IDS est fonctionnel
Pour vérifier qu'un point de terminaison IDS est fonctionnel :
Vérifiez que le point de terminaison IDS s'affiche dans la console Google Cloud Cloud IDS et qu'une règle de mise en miroir de paquets figure dans la colonne Attached Policies.
Assurez-vous que la règle associée est activée en cliquant sur son nom, puis vérifiez que Policy Enforcement est défini sur Activé.
Pour vérifier que le trafic est mis en miroir, sélectionnez une instance de VM dans le VPC surveillé, accédez à l'onglet Observabilité et assurez-vous que le tableau de bord Mirrored
Bytes indique que le trafic est mis en miroir vers le point de terminaison IDS.
Assurez-vous que le même trafic (ou la même VM) n'est pas affecté par plusieurs règles de mise en miroir de paquets, car chaque paquet ne peut être mis en miroir que sur une seule destination. Vérifiez la colonne Attached Policies et assurez-vous qu'il n'y a qu'une seule règle par VM.
Générez une alerte de test en utilisant SSH pour vous connecter à une VM du réseau surveillé, puis exécutez la commande suivante :
Si curl n'est pas disponible sur la plate-forme, vous pouvez utiliser un outil similaire pour effectuer des requêtes HTTP.
Au bout de quelques secondes, une alerte devrait s'afficher dans l'UI (interface utilisateur) Cloud IDS et dans Cloud Logging (journal des menaces).
Déchiffrer le trafic pour l'inspection
Pour inspecter le trafic, Cloud IDS utilise la Mise en miroir de paquets afin d'envoyer des copies au niveau des paquets du trafic configuré à la VM IDS. Même si la destination du collecteur reçoit tous les paquets mis en miroir, les paquets contenant des données chiffrées à l'aide d'un protocole sécurisé tel que TLS, HTTPS ou HTTP2 ne peuvent pas être déchiffrés par Cloud IDS.
Par exemple, si vous utilisez HTTPS ou HTTP2 comme protocole de service de backend pour un équilibreur de charge d'application externe, les paquets envoyés aux backends de l'équilibreur de charge peuvent être mis en miroir dans Cloud IDS. Toutefois, les requêtes ne peuvent pas être inspectées par Cloud IDS, car les paquets contiennent des données chiffrées. Pour activer l'inspection Cloud IDS, vous devez remplacer le protocole du service de backend par HTTP. Vous pouvez également utiliser Google Cloud Armor pour la prévention des intrusions et activer les journaux de l'équilibreur de charge d'application pour l'inspection des requêtes. Pour en savoir plus sur la journalisation des requêtes de l'équilibreur de charge d'application, consultez Journalisation et surveillance de l'équilibreur de charge d'application externe global et Journalisation et surveillance de l'équilibreur de charge d'application externe régional.
Seul un volume de trafic limité est inspecté
Cloud IDS inspecte le trafic envoyé aux ressources des sous-réseaux mis en miroir ou reçu par celles-ci, y compris les VM, les nœuds GKE et les pods Google Cloud .
Si un sous-réseau mis en miroir ne contient aucune VM, Cloud IDS n'a aucun trafic à inspecter.
Les règles de point de terminaison sont ignorées lorsque vous utilisez des règles d'inspection Cloud NGFW de couche 7
Lorsque vous utilisez ensemble des règles d'inspection Cloud Next Generation Firewall de couche 7 (règles avec l'action apply_security_profile_group) et Cloud IDS, les règles de la stratégie de pare-feu sont évaluées mais le trafic n'est pas mis en miroir pour l'inspection Cloud IDS. Pour éviter cette situation, assurez-vous que les règles d'inspection Clou NGFW de couche 7 ne s'appliquent pas aux paquets que vous devez inspecter avec Cloud IDS.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/09 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/09 (UTC)."],[[["\u003cp\u003eTo confirm an IDS endpoint is functional, verify its presence in the Cloud IDS console, ensure the attached packet mirroring policy is enabled, and confirm traffic mirroring via the \u003ccode\u003eMirrored Bytes\u003c/code\u003e dashboard.\u003c/p\u003e\n"],["\u003cp\u003eEach packet can only be mirrored to one destination, so ensure that a VM is not affected by more than one packet mirroring policy, which can be confirmed in the \u003ccode\u003eAttached Policies\u003c/code\u003e column.\u003c/p\u003e\n"],["\u003cp\u003eGenerate a test alert by using SSH to connect to a VM and run a specific \u003ccode\u003ecurl\u003c/code\u003e command (or similar HTTP request tool) to trigger an alert, which should then be visible in the Cloud IDS UI and Cloud Logging (Threat Log).\u003c/p\u003e\n"],["\u003cp\u003eCloud IDS cannot decrypt traffic encrypted with secure protocols like TLS, HTTPS, or HTTP2, so for inspection, backend service protocols should be changed to HTTP, or use Google Cloud Armor for intrusion prevention.\u003c/p\u003e\n"],["\u003cp\u003eTraffic is only inspected if sent to or received by resources within mirrored subnets, and Cloud NGFW L7 inspection policies will prevent mirroring for Cloud IDS if they apply to the same packets.\u003c/p\u003e\n"]]],[],null,["# Troubleshoot endpoints and inspection\n\nVerify that an IDS endpoint is functional\n-----------------------------------------\n\n| **Note:** If your endpoint generates any alerts, it is considered to be functional.\n\nTo confirm that an IDS endpoint is functional, do the following:\n\n1. Verify that the IDS endpoint appears in the Cloud IDS Google Cloud console, and that there is a packet mirroring policy in the `Attached Policies` column.\n2. Ensure that the attached policy is enabled by clicking the policy name, and make sure that `Policy Enforcement` is set to **Enabled**.\n3. To verify that traffic is being mirrored, choose a VM Instance in the monitored VPC, go to the **Observability** tab, and make sure that the `Mirrored\n Bytes` dashboard shows traffic being mirrored to the IDS endpoint.\n4. Ensure that the same traffic (or VM) is not affected by more than one packet mirroring policy, as each packet can be mirrored to only one destination. Check the `Attached Policies` column, and ensure that there is only one policy per VM.\n5. Generate a test alert by using SSH to connect to a VM in the monitored\n network, then run the following command:\n\n ```\n curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd\n ```\n\n If curl is unavailable on the platform, you can use a similar tool for\n performing HTTP requests.\n\n After a few seconds, an alert should show up in both the Cloud IDS UI and\n in Cloud Logging (Threat Log).\n\nDecrypting traffic for inspection\n---------------------------------\n\nTo inspect traffic, Cloud IDS uses Packet Mirroring to send\npacket-level copies of configured traffic to the IDS VM. Even though the\ncollector destination receives all mirrored packets, any packets that carry data that was\nencrypted using a secure protocol like TLS, HTTPS, or HTTP2 can't be decrypted\nby Cloud IDS.\n\nFor example, if you use HTTPS or HTTP2 as the backend service protocol for an\nexternal application load balancer, packets sent to the load balancer's backends\ncan be mirrored to Cloud IDS; however, the requests cannot be inspected by\nCloud IDS because the packets carry encrypted data. To enable Cloud IDS\ninspection, you must change the backend service protocol to HTTP. Alternatively,\nyou can use [Google Cloud Armor](/armor/docs/cloud-armor-overview) for intrusion\nprevention, and enable application load balancer logs for request inspection. For\nmore information about application load balancer request logging, see\n[Global external Application Load Balancer logging and\nmonitoring](/load-balancing/docs/https/https-logging-monitoring#logging) and\n[Regional external Application Load Balancer logging and\nmonitoring](/load-balancing/docs/https/https-reg-logging-monitoring#logging).\n\nOnly a small volume of traffic is inspected\n-------------------------------------------\n\nCloud IDS inspects traffic sent to or received by resources in mirrored\nsubnets, including Google Cloud VMs and GKE nodes and\nPods.\n\nIf a mirrored subnet contains no VMs, Cloud IDS has no traffic to inspect.\n\nEndpoint policies are ignored when using Cloud NGFW L7 inspection policies\n--------------------------------------------------------------------------\n\nWhen you use Cloud Next Generation Firewall L7 inspection policies (rules with the\n`apply_security_profile_group` action) and Cloud IDS together, firewall\npolicy rules are evaluated and traffic is not mirrored for Cloud IDS\ninspection. You can avoid this situation by ensuring that\nCloud NGFW L7 inspection policies don't apply to packets that you\nneed to inspect with Cloud IDS."]]
