Verifique se um endpoint de IDS está funcional
Para confirmar se um endpoint do IDS está funcionando, faça o seguinte:
- Verifique se o endpoint do IDS aparece no Console do Google Cloud IDS do Google Cloud
e se há uma política de espelhamento de pacotes na coluna
Attached Policies. - Verifique se a política anexada está ativada clicando no nome dela e verifique se
Policy Enforcementestá definida como Ativada. - Para verificar se o tráfego está sendo espelhado, escolha uma instância de VM na VPC monitorada, acesse a guia Observabilidade e verifique se o painel
Mirrored Bytesmostra o tráfego sendo espelhado ao endpoint do IDS. - Verifique se o mesmo tráfego (ou VM) não é afetado por mais de uma
política de espelhamento de pacotes, porque cada pacote pode ser espelhado a apenas um
destino. Verifique a coluna
Attached Policiese verifique se há apenas uma política por VM. Gere um alerta de teste usando o SSH para se conectar a uma VM na rede monitorada e execute o seguinte comando:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Se o curl não estiver disponível na plataforma, será possível usar uma ferramenta semelhante para executar solicitações HTTP.
Após alguns segundos, um alerta será exibido na IU do Cloud IDS e no Cloud Logging (registro de ameaças).
Descriptografar o tráfego para inspeção
O Cloud IDS precisa ver o tráfego descriptografado. É possível descriptografar o tráfego no balanceador de carga L7 ou implantar um dispositivo de terceiros. Se você quiser descriptografar o tráfego no nível de balanceamento de carga, leia a seção a seguir.
Como o balanceador de carga HTTP(S) externo requer certificados SSL, o tráfego SSL entre ele e o cliente é criptografado. O tráfego do GFE para os back-ends é o tráfego HTTP padrão, que o Cloud IDS pode inspecionar. Consulte os seguintes recursos para configurar a descriptografia: