Cette page décrit les journaux créés par les alertes de menaces Cloud IDS.
Journaux des menaces
Vous pouvez afficher les journaux générés en raison de menaces dans votre réseau dans Cloud Logging. Les journaux sont au format JSON avec les champs suivants:
threat_id
: identifiant de menace Palo Alto Networks uniquename
: nom de la menace.alert_severity
: gravité de la menace. Spécifiez l'un des types suivants :INFORMATIONAL
,LOW
,MEDIUM
,HIGH
ouCRITICAL
.type
: type de la menace.category
: sous-type de la menace.alert_time
: date et heure de découverte de la menacenetwork
: réseau du client sur lequel la menace a été découverte.source_ip_address
: adresse IP source du trafic suspecté. Lorsque vous utilisez un de l'équilibreur de charge Google Cloud, la véritable adresse IP du client n'est pas disponible. Cette valeur correspond à la plage d'adresses IP du serveur End (GFE) La valeur peut être130.211.0.0/22
ou35.191.0.0/16
.destination_ip_address
: adresse IP de destination du trafic suspecté.source_port
: port source du trafic potentiel.destination_port
: port de destination du trafic suspecté.ip_protocol
: protocole IP du trafic potentiel.application
: type d'application pour le trafic suspecté (par exemple, SSH).direction
: direction du trafic suspectée (de client à serveur ou de serveur à client).session_id
: identifiant numérique interne appliqué à chaque session.repeat_count
: nombre de sessions avec les mêmes adresses IP source et de destination application et taper en l'espace de 5 secondes.uri_or_filename
: URI ou nom de fichier de la menace concernée, le cas échéant.cves
: liste des failles CVE associées à la menacedetails
: informations supplémentaires sur le type de menace, tirées de Palo Alto Réseaux ThreatVault.
Les champs JSON précédents sont imbriqués sous le champ jsonPayload
du journal. Le nom du journal pour les journaux de menaces est projects/<consumer-project>/logs/ids.googleapis.com/threat
.
De plus, le champ labels.id
du journal contient l'IDS du point de terminaison Cloud IDS
nom, et son champ resource.type
est ids.googleapis.com/Endpoint
.
Exemple de requête
Cette requête dans Cloud Logging interroge le journal des menaces IDS dans le projet Cloud
my-project
, qui renvoie toutes les menaces signalées par le
Point de terminaison my-endpoint
entre 8h et 9h le 4 avril 2021, heure PST
(-07), pour lequel le niveau de gravité de la menace était élevé (HIGH).
logName="projects/my-project/logs/ids.googleapis.com/threat" AND resource.type="ids.googleapis.com/Endpoint" AND resource.labels.id="my-endpoint" AND timestamp >= "2021-04-18T08:00:00-07" AND timestamp <= "2021-04-18T09:00:00-07" AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
Règle de conservation
La conservation est déterminée par les buckets de stockage dans lesquels se trouvent les journaux.
Par défaut, les journaux sont placés dans le bucket _Default
. Par défaut, ce bucket
a une règle de conservation de 30 jours.
Vous pouvez choisir de filtrer les journaux dans différents buckets. De plus, la fidélisation est configurable.
Si vous souhaitez définir une règle de conservation différente de celle définie par défaut, vous pouvez l'une des options suivantes:
- Filtrez tous les journaux dans un autre bucket et configurez une règle de conservation.
- Configurez une règle de conservation personnalisée pour le bucket
_Default
. Cela permettra affecter tous les autres journaux du bucket_Default
.
Journaux de trafic
Vous pouvez afficher les journaux générés en raison du trafic réseau dans Cloud Logging. Les journaux sont au format JSON avec les champs suivants:
start_time
: heure de début de la session.elapsed_time
: temps écoulé de la session.network
: réseau associé au point de terminaison IDSsource_ip_address
: adresse IP source du paquet.source_port
: port source du trafic.destination_ip_address
: adresse IP de destination du paquet.destination_port
: port de destination du trafic.ip_protocol
: le protocole IP du paquet.application
: application associée à la session.session_id
: identifiant numérique interne appliqué à chaque session.repeat_count
: nombre de sessions avec la même adresse IP source, la même adresse IP de destination application et taper en l'espace de 5 secondes.total_bytes
: nombre total d'octets transférés au cours de la session.total_packets
: nombre total de paquets transférés au cours de la session.