Bedrohungslogs

Mit Bedrohungslogs können Sie die in Ihrem Netzwerk erkannten Bedrohungen im Blick behalten, prüfen und analysieren.

Wenn Cloud Next Generation Firewall eine Bedrohung im Traffic erkennt, der für die Layer 7-Prüfung überwacht wird, wird im ursprünglichen Projekt ein Logeintrag mit den Details der Bedrohung generiert. Wenn Sie die Threat-Logs aufrufen und untersuchen möchten, suchen Sie im Log-Explorer nach dem Log networksecurity.googleapis.com/firewall_threat. Sie können diese Bedrohungslogs auch auf der Seite Bedrohungen aufrufen.

Auf dieser Seite werden das Format und die Struktur der Bedrohungslogs erläutert, die generiert werden, wenn eine Bedrohung erkannt wird.

Format von Bedrohungslogs

Cloud NGFW erstellt in Cloud Logging einen Logeintrag für jede Bedrohung, die im überwachten Traffic zu oder von einer VM-Instanz in einer bestimmten Zone erkannt wird. Logeinträge werden im JSON-Nutzlastfeld eines LogEntry erfasst.

Einige Logfelder haben ein Mehrfeldformat mit mehr als einem Datenelement in einem bestimmten Feld. Das Feld connection hat beispielsweise das Format Connection. Dieses Format enthält die Server-IP-Adresse und den Serverport, die Client-IP-Adresse und den Clientport sowie die Protokollnummer in einem einzigen Feld.

In der folgenden Tabelle wird das Format der Felder im Bedrohungslog beschrieben.

Feld	Typ	Beschreibung
`connection`	`Connection`	Ein 5-Tupel, das die Verbindungsparameter für den Traffic beschreibt, bei dem die Bedrohung erkannt wurde.
`action`	`string`	Die Aktion, die für das Paket ausgeführt wurde, in dem die Bedrohung erkannt wurde. Diese Aktion kann entweder die Standardaktion oder die im Sicherheitsprofil angegebene Überschreibungsaktion sein. Hinweis: Wenn eine Bedrohung mit der Überschreibungsaktion `DENY` erkannt wird, wird im Feld `action` der Wert `DROP` angezeigt, da das Paket verworfen wird und eine Benachrichtigung generiert wird.
`threatDetails`	`ThreatDetails`	Details zur erkannten Bedrohung.
`securityProfileGroupDetails`	`SecurityProfileGroupDetails`	Die Details der Sicherheitsprofilgruppe, die auf den abgefangenen Traffic angewendet wird.
`interceptVpc`	`VpcDetails`	Die Details des VPC-Netzwerks (Virtual Private Cloud), das der VM-Instanz oder dem Load Balancer zugeordnet ist, in dem die Bedrohung erkannt wurde. Sowohl für VM-Instanzen als auch für Load-Balancer-Weiterleitungsregeln dient das Projekt, zu dem das VPC-Netzwerk gehört, als Logging-Projekt.
`interceptInstance`	`InterceptInstance`	Die Details der VM-Instanz, in der die Bedrohung erkannt wurde.
`interceptLoadBalancer`	`LoadBalancingDetails`	Die Details des Load Balancers, auf dem die Bedrohung erkannt und die Firewallregel angewendet wird.

Format des Felds `Connection`

In der folgenden Tabelle wird das Format des Felds Connection beschrieben.

Feld	Typ	Beschreibung
`clientIp`	`string`	Die IP-Adresse des Clients. Wenn der Client eine Compute Engine-VM ist, ist `clientIp` entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben. In den Logs wird die IP-Adresse der VM-Instanz angezeigt, wie sie im Paketheader zu sehen ist, ähnlich wie beim TCP-Dump auf der VM-Instanz.
`clientPort`	`integer`	Die Clientportnummer.
`serverIp`	`string`	Die IP-Adresse des Servers. Wenn die Quelle eine Compute Engine-VM ist, ist `serverIp` entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde.
`serverPort`	`integer`	Die Server-Portnummer.
`protocol`	`string`	Das IP-Protokoll der Verbindung.

Format des Felds `ThreatDetails`

In der folgenden Tabelle wird das Format des Felds ThreatDetails beschrieben.

Feld	Typ	Beschreibung
`id`	`string`	Die eindeutige Palo Alto Networks-ID für Bedrohungen.
`threat`	`string`	Der Name der erkannten Bedrohung.
`description`	`string`	Eine detaillierte Beschreibung der erkannten Bedrohung.
`direction`	`string`	Die Richtung des Traffics. Beispiel: `client_to_server` oder `server_to_client`.
`application`	`string`	Die Anwendung, die mit der erkannten Bedrohung verknüpft ist.
`severity`	`string`	Der Schweregrad der erkannten Bedrohung. Weitere Informationen finden Sie unter Schweregrade von Bedrohungen.
`detectionTime`	`string`	Der Zeitpunkt, zu dem die Bedrohung erkannt wird.
`category`	`string`	Der Untertyp der erkannten Bedrohung. Beispiel: `CODE_EXECUTION`.
`uriOrFilename`	`string`	Die URI oder der Dateiname der relevanten Bedrohung (falls zutreffend).
`type`	`string`	Die Art der erkannten Bedrohung. Beispiel: `SPYWARE`.
`repeatCount`	`integer`	Die Anzahl der Sitzungen mit derselben Client-IP-Adresse, Server-IP-Adresse und demselben Bedrohungstyp, die innerhalb von fünf Sekunden beobachtet wurden.
`cves`	`string`	Eine Liste der mit der Bedrohung verknüpften Common Vulnerabilities and Exposures (CVEs). Beispiel: `CVE-2021-44228-Apache Log4j remote code execution vulnerability`.

Format des Felds `SecurityProfileGroupDetails`

In der folgenden Tabelle wird das Format des Felds SecurityProfileGroupDetails beschrieben.

Feld	Typ	Beschreibung
`securityProfileGroupId`	`string`	Der Name der Sicherheitsprofilgruppe, die auf den Traffic angewendet wird.
`organizationId`	`integer`	Die Organisations-ID, zu der die VM-Instanz gehört.

Format des Felds `VpcDetails`

In der folgenden Tabelle wird das Format des Felds VpcDetails beschrieben.

Feld	Typ	Beschreibung
`vpc`	`string`	Der Name des VPC-Netzwerk, das mit dem abgefangenen Traffic verknüpft ist.
`projectId`	`string`	Der Name des Google Cloud Projekts, das mit dem VPC-Netzwerk verknüpft ist.

Format des Felds `InterceptInstance`

In der folgenden Tabelle wird das Format des Felds InterceptInstance beschrieben.

Feld	Typ	Beschreibung
`projectId`	`string`	Der Name des Google Cloud -Projekts, das mit dem abgefangenen Traffic verknüpft ist.
`vm`	`string`	Der Name der VM-Instanz, die mit dem abgefangenen Traffic verknüpft ist.

Korrelation von Threat-Logs mit einem Firewall-Log

Wenn ein Paket mit einer Firewallregel mit aktiviertem Logging übereinstimmt, protokolliert Cloud NGFW einen Eintrag für das Logging von Firewallregeln. Dieser Eintrag enthält Felder wie die Quell-IP-Adresse, die Ziel-IP-Adresse und den Zeitpunkt der Paketprüfung. Informationen zum Anzeigen dieser Firewallregel-Logs finden Sie unter Logs ansehen.

Wenn Sie eine Firewallrichtlinienregel für die Layer-7-Prüfung mit aktiviertem Logging haben, protokolliert Cloud NGFW zuerst den Eintrag für das Logging von Firewallregeln für das übereinstimmende Paket. Anschließend wird das Paket zur Layer-7-Prüfung an den Firewall-Endpunkt gesendet. Der Firewall-Endpunkt analysiert das Paket auf Bedrohungen. Wenn eine Bedrohung erkannt wird, wird ein separates Bedrohungslog erstellt. Dieses Bedrohungslog enthält Felder wie den Typ der Bedrohung, die Quelle der Bedrohung und das Ziel der Bedrohung. Informationen zum Anzeigen von Bedrohungslogs finden Sie unter Bedrohungen ansehen.

Sie können die Felder im Firewallregel-Log und im Bedrohungs-Log vergleichen, um das Paket zu identifizieren, das die Bedrohung ausgelöst hat, und entsprechende Maßnahmen zur Behebung zu ergreifen.

Angenommen, Sie haben eine Firewallrichtlinienregel mit den folgenden Einstellungen konfiguriert:

Quell-IP-Adresse: 192.0.2.0
Quellport: 47644
Ziel-IP-Adresse: 192.0.2.1
Zielport: 80
Protokollierung: Enabled

Wenn Sie die mit dieser Regel verknüpften Threat-Logs aufrufen möchten, rufen Sie die Seite Log-Explorer auf. Fügen Sie im Bereich Abfrage die folgende Abfrage in das Feld des Abfrageeditors ein.

    resource.type="networksecurity.googleapis.com/FirewallEndpoint"
    jsonPayload.source_ip_address="192.0.2.0"
    jsonPayload.source_port="47644"
    jsonPayload.destination_ip_address="192.0.2.1"
    jsonPayload.destination_port="80"

Im Abschnitt Abfrageergebnisse wird das folgende Bedrohungslog angezeigt:

    {
      insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
      jsonPayload: {
      action: "reset-server"
      alert_severity: "HIGH"
      alert_time: "2023-11-28T19:07:15Z"
      category: "info-leak"
      ▸ cves: [6]
      }
      destination_ip_address: "192.0.2.1"
      destination_port: "80"
      details:
      "This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
      attacker to access sensitive information and conduct further attacks."
      direction: "CLIENT_TO_SERVER"
      ip_protocol: "tcp"
      name: "Microsoft Windows win.ini Access Attempt Detected"
      network: "projects/XXXX/global/networks/fwplus-vpc.
      repeat_count: "1"
      security_profile_group:
      "organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
      source_ip_address: "192.0.2.0"
      source_port: "47644"
      threat_id: "30851"
      type: "vulnerability"
      uri_or_filename:
      logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
      receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
      ▸ resource: {2}
    }
    timestamp: "2023-11-28T19:08:47.560012184Z"

Wenn Sie die Firewall-Logs für diese Regel aufrufen möchten, rufen Sie die Seite Log-Explorer auf. Fügen Sie im Bereich Abfrage die folgende Abfrage in das Feld des Abfrageeditors ein.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

Im Abschnitt Abfrageergebnisse wird das folgende Firewall-Log angezeigt:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id:XXXX
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Mit den Abfragen für das Bedrohungs- und das Firewall-Log können Sie die Korrelation zwischen ihnen sehen. In der folgenden Tabelle werden die Firewall-Logfelder den entsprechenden Threat-Logfeldern zugeordnet.

Feld für Firewall-Log	Bedrohungslogfeld	Beschreibung
`src_ip`	`source_ip_address`	Die Quell-IP-Adresse im Firewall-Log wird mit der Quell-IP-Adresse im Threat-Log abgeglichen, um den Ursprung der potenziellen Bedrohung zu ermitteln.
`src_port`	`source_port`	Der Quellport im Firewall-Log wird mit dem Quellport im Threat-Log korreliert, um den Quellport zu ermitteln, der bei der potenziellen Bedrohung verwendet wurde.
`dest_ip`	`destination_ip_address`	Die Ziel-IP-Adresse im Firewall-Log wird mit der Ziel-IP-Adresse im Threat-Log korreliert, um das Ziel der potenziellen Bedrohung zu ermitteln.
`dest_port`	`destination_port`	Der Zielport im Firewall-Log wird mit dem Zielport im Threat-Log korreliert, um den Zielport zu identifizieren, der in der potenziellen Bedrohung verwendet wird.

Bedrohungslogs Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Format von Bedrohungslogs

Format des Felds Connection

Format des Felds ThreatDetails

Format des Felds SecurityProfileGroupDetails

Format des Felds VpcDetails

Format des Felds InterceptInstance