Bedrohungslogs

Mit Bedrohungslogs können Sie die in Ihrem Netzwerk erkannten Bedrohungen im Blick behalten, prüfen und analysieren.

Wenn Cloud Next Generation Firewall eine Bedrohung im Traffic erkennt, der auf Layer-7-Prüfung überwacht wird, wird im Ursprungsprojekt ein Logeintrag mit den Details der Bedrohung generiert. Wenn Sie die Bedrohungslogs aufrufen und prüfen möchten , suchen Sie im Log-Explorer nach dem Log networksecurity.googleapis.com/firewall_threat. Sie können diese Bedrohungslogs auch auf der Bedrohungen Seite aufrufen.

Auf dieser Seite werden das Format und die Struktur der Bedrohungslogs erläutert, die generiert werden, wenn eine Bedrohung erkannt wird.

Format von Bedrohungslogs

Cloud NGFW erstellt in Cloud Logging einen Logeintrag für jede Bedrohung, die im überwachten Traffic zu oder von einer VM-Instanz (virtuelle Maschine) in einer bestimmten Zone erkannt wird. Logeinträge werden im JSON-Nutzlastfeld eines LogEntry erfasst.

Einige Logfelder haben ein Mehrfeldformat mit mehr als einem Datenelement in einem bestimmten Feld. Das Feld connection hat beispielsweise das Format Connection. Dieses Format enthält die Server-IP-Adresse und den Serverport, die Client-IP-Adresse und den Clientport sowie die Protokollnummer in einem einzigen Feld.

In der folgenden Tabelle wird das Format der Bedrohungslogfelder beschrieben.

Feld Typ Beschreibung
connection Connection Ein 5-Tupel, das die Verbindungsparameter beschreibt, die mit dem Traffic verknüpft sind, in dem die Bedrohung erkannt wurde.
action string Die Aktion, die für das Paket ausgeführt wurde, in dem die Bedrohung erkannt wurde. Diese Aktion kann entweder die Standardaktion oder die im Sicherheitsprofil angegebene Überschreibungsaktion sein.
threatDetails ThreatDetails Die Details der erkannten Bedrohung.
securityProfileGroupDetails SecurityProfileGroupDetails Die Details der Sicherheitsprofilgruppe, die auf den abgefangenen Traffic angewendet wurde.
interceptVpc VpcDetails Die Details des VPC-Netzwerks (Virtual Private Cloud), das mit der VM-Instanz oder dem Load-Balancer verknüpft ist, in dem die Bedrohung erkannt wurde.

Sowohl für VM-Instanzen als auch für Weiterleitungsregeln für Load-Balancer dient das Projekt, das Inhaber des VPC-Netzwerk ist, als Logging-Projekt.
interceptInstance InterceptInstance Die Details der VM-Instanz, in der die Bedrohung erkannt wurde.
interceptLoadBalancer LoadBalancingDetails Die Details des Load-Balancers, in dem die Bedrohung erkannt wurde und die Firewallregel angewendet wurde.

Format des Felds Connection

In der folgenden Tabelle wird das Format des Felds Connection beschrieben.

Feld Typ Beschreibung
clientIp string Die Client-IP-Adresse. Wenn der Client eine Compute Engine-VM ist, ist clientIp entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben. In den Logs wird die IP-Adresse der VM-Instanz so angezeigt, wie sie im Paketheader zu sehen ist, ähnlich wie beim TCP-Dump auf der VM-Instanz.
clientPort integer Die Clientportnummer.
serverIp string Die Server-IP-Adresse. Wenn die Quelle eine Compute Engine-VM ist, ist serverIp entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde.
serverPort integer Die Serverportnummer.
protocol string Das IP-Protokoll der Verbindung.

Format des Felds ThreatDetails

In der folgenden Tabelle wird das Format des Felds ThreatDetails beschrieben.

Feld Typ Beschreibung
id string Die eindeutige Palo Alto Networks-ID für Bedrohungen.
threat string Der Name der erkannten Bedrohung.
description string Eine detaillierte Beschreibung der erkannten Bedrohung.
direction string Die Richtung des Traffics. Beispiel: client_to_server oder server_to_client.
application string Die Anwendung, die mit der erkannten Bedrohung verknüpft ist.
severity string Der Schweregrad der erkannten Bedrohung. Weitere Informationen finden Sie unter Schweregrade von Bedrohungen.
detectionTime string Der Zeitpunkt, zu dem die Bedrohung erkannt wurde.
category string Der Untertyp der erkannten Bedrohung. Beispiel: CODE_EXECUTION.
uriOrFilename string Der URI oder Dateiname der relevanten Bedrohung (falls zutreffend).
type string Der Typ der erkannten Bedrohung. Beispiel: SPYWARE.
repeatCount integer Die Anzahl der Sitzungen mit derselben Client-IP-Adresse, Server-IP-Adresse und demselben Bedrohungstyp, die innerhalb von fünf Sekunden beobachtet wurden.
cves string Eine Liste der mit der Bedrohung verknüpften CVEs (Common Vulnerabilities and Exposures). Beispiel: CVE-2021-44228-Apache Log4j remote code execution vulnerability.

Format des Felds SecurityProfileGroupDetails

In der folgenden Tabelle wird das Format des Felds SecurityProfileGroupDetails beschrieben.

Feld Typ Beschreibung
securityProfileGroupId string Der Name der Sicherheitsprofilgruppe, die auf den Traffic angewendet wird.
organizationId integer Die Organisations-ID, zu der die VM-Instanz gehört.

Format des Felds VpcDetails

In der folgenden Tabelle wird das Format des Felds VpcDetails beschrieben.

Feld Typ Beschreibung
vpc string Der Name des VPC-Netzwerk, das mit dem abgefangenen Traffic verknüpft ist.
projectId string Der Name des Google Cloud Projekts, das mit dem VPC-Netzwerk verknüpft ist.

Format des Felds InterceptInstance

In der folgenden Tabelle wird das Format des Felds InterceptInstance beschrieben.

Feld Typ Beschreibung
projectId string Der Name des Google Cloud Projekts, das mit dem abgefangenen Traffic verknüpft ist.
vm string Der Name der VM-Instanz, die mit dem abgefangenen Traffic verknüpft ist.

Bedrohungslog mit einem Firewalllog korrelieren

Wenn ein Paket mit einer Firewallregel mit aktiviertem Logging übereinstimmt, protokolliert Cloud NGFW einen Logeintrag für Firewallrichtlinienregeln. Dieser Eintrag enthält Felder wie die Quell-IP-Adresse, die Ziel-IP-Adresse und den Zeitpunkt der Paketprüfung. Informationen zum Aufrufen dieser Firewallregellogs finden Sie unter Logs ansehen.

Wenn Sie eine Firewallrichtlinienregel für die Layer-7-Prüfung mit aktiviertem Logging haben, protokolliert Cloud NGFW zuerst den Logeintrag für VPC-Firewallregeln für das übereinstimmende Paket. Anschließend wird das Paket zur Layer-7-Prüfung an den Firewallendpunkt gesendet. Der Firewallendpunkt analysiert den Traffic und generiert spezifische Logs zur Bedrohungs- oder URL-Filterung. Wenn eine Bedrohung erkannt wird, wird ein separates Bedrohungslog erstellt. Dieses Bedrohungslog enthält Felder wie den Bedrohungstyp, die Quelle der Bedrohung und das Ziel der Bedrohung. Informationen zum Aufrufen von Bedrohungslogs finden Sie unter Bedrohungen ansehen.

Sie können die Felder im Log der Firewallrichtlinienregel und im Bedrohungslog vergleichen, um das Paket zu identifizieren, das die Bedrohung ausgelöst hat und entsprechende Maßnahmen zu ergreifen, um das Problem zu beheben.

Sie haben beispielsweise eine Firewallrichtlinienregel mit den folgenden Einstellungen konfiguriert:

  • Quell-IP-Adresse: 192.0.2.0
  • Quellport: 47644
  • Ziel-IP-Adresse: 192.0.2.1
  • Zielport: 80
  • Logging: Enabled

Wenn Sie die mit dieser Regel verknüpften Bedrohungslogs aufrufen möchten, rufen Sie die Seite Log-Explorer auf. Fügen Sie im Bereich Abfrage die folgende Abfrage in das Feld des Abfrageeditors ein.

    resource.type="networksecurity.googleapis.com/FirewallEndpoint"
    jsonPayload.source_ip_address="192.0.2.0"
    jsonPayload.source_port="47644"
    jsonPayload.destination_ip_address="192.0.2.1"
    jsonPayload.destination_port="80"

Im Abschnitt Abfrageergebnisse wird das folgende Bedrohungslog angezeigt:

    {
      insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
      jsonPayload: {
      action: "reset-server"
      alert_severity: "HIGH"
      alert_time: "2023-11-28T19:07:15Z"
      category: "info-leak"
      ▸ cves: [6]
      }
      destination_ip_address: "192.0.2.1"
      destination_port: "80"
      details:
      "This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
      attacker to access sensitive information and conduct further attacks."
      direction: "CLIENT_TO_SERVER"
      ip_protocol: "tcp"
      name: "Microsoft Windows win.ini Access Attempt Detected"
      network: "projects/XXXX/global/networks/fwplus-vpc.
      repeat_count: "1"
      security_profile_group:
      "organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
      source_ip_address: "192.0.2.0"
      source_port: "47644"
      threat_id: "30851"
      type: "vulnerability"
      uri_or_filename:
      logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
      receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
      ▸ resource: {2}
    }
    timestamp: "2023-11-28T19:08:47.560012184Z"

Wenn Sie die mit dieser Regel verknüpften Firewalllogs aufrufen möchten, rufen Sie die Seite Log-Explorer auf. Fügen Sie im Bereich Abfrage die folgende Abfrage in das Feld des Abfrageeditors ein.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

Im Abschnitt Abfrageergebnisse wird das folgende Firewalllog angezeigt:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id:XXXX
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Mit beiden Abfragen für Bedrohungslogs und Firewalllogs können Sie die Korrelation zwischen ihnen sehen. In der folgenden Tabelle werden die Firewalllogfelder den entsprechenden Bedrohungslogfeldern zugeordnet.

Firewalllogfeld Bedrohungslogfeld Beschreibung
src_ip source_ip_address Die Quell-IP-Adresse im Firewalllog wird mit der Quell-IP-Adresse im Bedrohungslog korreliert, um den Ursprung der potenziellen Bedrohung zu ermitteln.
src_port source_port Der Quellport im Firewalllog wird mit dem Quell port im Bedrohungslog korreliert, um den Quellport zu ermitteln, der in der potenziellen Bedrohung verwendet wird.
dest_ip destination_ip_address Die Ziel-IP-Adresse im Firewalllog wird mit der Ziel-IP-Adresse im Bedrohungslog korreliert, um das Ziel der potenziellen Bedrohung zu ermitteln.
dest_port destination_port Der Zielport im Firewalllog wird mit dem Zielport im Bedrohungslog korreliert, um den Zielport zu ermitteln, der in der potenziellen Bedrohung verwendet wird.

Nächste Schritte