IDS エンドポイントが機能していることを確認する
IDS エンドポイントが機能していることを確認するには、次の手順に従います。
- IDS エンドポイントが Cloud IDS Google Cloud Console に表示され、パケット ミラーリング ポリシーが
Attached Policies列にあることを確認します。 - ポリシー名をクリックして、接続されているポリシーが有効であることと、
Policy Enforcementが [有効] に設定されていることを確認します。 - トラフィックがミラーリングされていることを確認するには、モニタリング対象 VPC で VM インスタンスを選択し、[オブザーバビリティ] タブに移動して、
Mirrored Bytesダッシュボードに IDS にミラーリングされているトラフィックが表示されていることを確認します。 - 各パケットは 1 つの宛先にのみミラーリングできるため、同じトラフィック(VM)が複数のパケット ミラーリング ポリシーの影響を受けないようにしてください。
Attached Policies列を調べて、VM ごとに 1 つのポリシーがあることを確認します。 SSH を使用してモニタリング対象ネットワーク内の VM に接続し、テストアラートを生成します。その後、次のコマンドを実行します。
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
curl がプラットフォーム上で利用できない場合は、同様のツールを使用して HTTP リクエストを実行できます。
数秒後、Cloud IDS UI と Cloud Logging(脅威ログ)の両方にアラートが表示されます。
検査用のトラフィックの復号
Cloud IDS は復号されたトラフィックを表示する必要があります。トラフィックは、L7 ロードバランサで復号できます。また、サードパーティ アプライアンスをデプロイすることもできます。負荷分散レベルでトラフィックを復号する場合は、次のセクションをご覧ください。
外部 HTTP(S) ロードバランサには SSL 証明書が必要なため、ロードバランサとクライアントの間の SSL トラフィックは暗号化されます。GFE からバックエンドへのトラフィックは標準の HTTP トラフィックであり、Cloud IDS はこれを検査できます。復号の設定については、次のリソースをご覧ください。