本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成相应的威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引。
概览
Cloud IDS 调查结果由 Cloud IDS 生成,Cloud IDS 是一种安全服务,可监控往来于您的Google Cloud 资源的流量以发现威胁。当 Cloud IDS 检测到威胁时,会将有关威胁的信息(例如来源 IP 地址、目标地址和端口号)发送到 Event Threat Detection,然后 Event Threat Detection 会生成威胁发现结果。
Event Threat Detection 是此发现结果的来源。
如何应答
如需响应此发现结果,请执行以下操作:
第 1 步:查看发现结果详情
按照查看发现结果中所述,打开
Cloud IDS: THREAT_ID发现结果。在发现结果详细信息中的摘要标签页上,查看以下部分中列出的值:
- 检测到的内容,尤其是以下字段:
- 协议:所使用的网络协议
- 事件时间:事件发生的时间
- 说明:有关发现结果的更多信息
- 严重程度:提醒的严重程度
- 目标 IP:网络流量的目标 IP
- 目标端口:网络流量的目标端口
- 来源 IP:网络流量的来源 IP
- 来源端口:网络流量的来源端口
- 受影响的资源,尤其是以下字段:
- 资源全名:包含存在威胁的网络的项目
- 相关链接,尤其是以下字段:
- Cloud Logging URI:指向 Cloud IDS Logging 条目的链接 - 这些条目包含搜索 Palo Alto Networks 的 Threat Vault 所需的信息
- 检测服务
- 发现结果类别 Cloud IDS 威胁名称
- 检测到的内容,尤其是以下字段:
如需查看发现结果的完整 JSON,请点击 JSON 标签页。
第 2 步:查找攻击和响应方法
查看发现结果详细信息后,请参阅有关调查威胁提醒的 Cloud IDS 文档,以确定适当的响应。
您可以点击发现结果详细信息中 Cloud Logging URI 字段中的链接,在原始日志条目中查找有关检测到的事件的更多信息。
后续步骤
- 了解如何在 Security Command Center 中处理威胁发现结果。
- 查看威胁发现结果索引。
- 了解如何通过 Google Cloud 控制台查看发现结果。
- 了解生成威胁发现结果的服务。