Log delle minacce

I log delle minacce consentono di controllare, verificare e analizzare le minacce rilevate nella tua rete.

Quando Cloud Next Generation Firewall rileva una minaccia nel traffico monitorato per l'ispezione di livello 7, genera una voce di log nel progetto di origine con i dettagli della minaccia. Per visualizzare ed esaminare i log delle minacce, in Esplora log, cerca il log networksecurity.googleapis.com/firewall_threat. Puoi visualizzare questi log delle minacce anche nella pagina Minacce.

Questa pagina spiega il formato e la struttura dei log delle minacce generati quando viene rilevata una minaccia.

Formato del log delle minacce

Cloud NGFW crea una voce di record di log in Cloud Logging per ogni minaccia rilevata nel traffico monitorato da o verso un'istanza di macchina virtuale (VM) in una zona specifica. I record di log sono inclusi nel campo payload JSON di una LogEntry.

Alcuni campi di log sono in formato multi-campo, con più di un dato in un determinato campo. Ad esempio, il campo connection è in formato Connection, che contiene l'indirizzo IP e la porta del server, l'indirizzo IP e la porta del client e il numero di protocollo in un unico campo.

La tabella seguente descrive il formato dei campi del log delle minacce.

Campo	Tipo	Descrizione
`connection`	`Connection`	Una 5-tupla che descrive i parametri di connessione associati al traffico in cui viene rilevata la minaccia.
`action`	`string`	L'azione eseguita sul pacchetto in cui viene rilevata la minaccia. Questa azione può essere l'azione predefinita o l'azione di override specificata nel profilo di sicurezza. Nota: quando viene rilevata una minaccia con l'azione di override `DENY`, il campo `action` mostra `DROP` quando il pacchetto viene eliminato e viene generato un avviso.
`threatDetails`	`ThreatDetails`	I dettagli della minaccia rilevata.
`securityProfileGroupDetails`	`SecurityProfileGroupDetails`	I dettagli del gruppo di profili di sicurezza applicato al traffico intercettato.
`interceptVpc`	`VpcDetails`	I dettagli della rete Virtual Private Cloud (VPC) associata all'istanza VM o al bilanciatore del carico in cui viene rilevata la minaccia. Per le istanze VM e le regole di forwarding del bilanciatore del carico, il progetto proprietario della rete VPC funge da progetto di logging.
`interceptInstance`	`InterceptInstance`	I dettagli dell'istanza VM in cui viene rilevata la minaccia.
`interceptLoadBalancer`	`LoadBalancingDetails`	I dettagli del bilanciatore del carico in cui viene rilevata la minaccia e viene applicata la regola firewall.

Formato del campo `Connection`

La tabella seguente descrive il formato del campo Connection.

Campo	Tipo	Descrizione
`clientIp`	`string`	L'indirizzo IP client. Se il client è una VM di Compute Engine, `clientIp` è l'indirizzo IP interno primario o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene mostrato. I log mostrano l'indirizzo IP dell'istanza VM come osservato nell'intestazione del pacchetto, in modo simile a TCP dump sull'istanza VM.
`clientPort`	`integer`	Il numero di porta del client.
`serverIp`	`string`	L'indirizzo IP del server. Se il server è una VM di Compute Engine, `serverIp` è l'indirizzo IP interno primario o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene mostrato anche se viene utilizzato per stabilire la connessione.
`serverPort`	`integer`	Il numero di porta del server.
`protocol`	`string`	Il protocollo IP della connessione.

Formato del campo `ThreatDetails`

La tabella seguente descrive il formato del campo ThreatDetails.

Campo	Tipo	Descrizione
`id`	`string`	L'identificatore univoco delle minacce di Palo Alto Networks.
`threat`	`string`	Il nome della minaccia rilevata.
`description`	`string`	Una descrizione dettagliata della minaccia rilevata.
`direction`	`string`	La direzione del traffico. Ad esempio, `client_to_server` o `server_to_client`.
`application`	`string`	L'applicazione associata alla minaccia rilevata.
`severity`	`string`	La gravità associata alla minaccia rilevata. Per saperne di più, consulta Livelli di gravità delle minacce.
`detectionTime`	`string`	L'ora in cui viene rilevata la minaccia.
`category`	`string`	Il sottotipo di minaccia rilevata. Ad esempio, `CODE_EXECUTION`.
`uriOrFilename`	`string`	L'URI o il nome file della minaccia pertinente (se applicabile).
`type`	`string`	Il tipo di minaccia rilevata. Ad esempio, `SPYWARE`.
`repeatCount`	`integer`	Il numero di sessioni con lo stesso indirizzo IP client, indirizzo IP server e tipo di minaccia visualizzati entro cinque secondi.
`cves`	`string`	Un elenco di vulnerabilità ed esposizioni comuni (CVE) associate alla minaccia. Ad esempio, `CVE-2021-44228-Apache Log4j remote code execution vulnerability`.

Formato del campo `SecurityProfileGroupDetails`

La tabella seguente descrive il formato del campo SecurityProfileGroupDetails.

Campo	Tipo	Descrizione
`securityProfileGroupId`	`string`	Il nome del gruppo di profili di sicurezza applicato al traffico.
`organizationId`	`integer`	L'ID organizzazione a cui appartiene l'istanza VM.

Formato del campo `VpcDetails`

La tabella seguente descrive il formato del campo VpcDetails.

Campo	Tipo	Descrizione
`vpc`	`string`	Il nome della rete VPC associata al traffico intercettato.
`projectId`	`string`	Il nome del progetto Google Cloud associato alla rete VPC.

Formato del campo `InterceptInstance`

La tabella seguente descrive il formato del campo InterceptInstance.

Campo	Tipo	Descrizione
`projectId`	`string`	Il nome del progetto Google Cloud associato al traffico intercettato.
`vm`	`string`	Il nome dell'istanza VM associata al traffico intercettato.

Correlazione del log delle minacce con un log del firewall

Quando un pacchetto corrisponde a una regola firewall con il logging abilitato, Cloud NGFW registra una voce di logging delle regole firewall. Questa voce include campi come l'indirizzo IP di origine, l'indirizzo IP di destinazione e l'ora di ispezione del pacchetto. Per visualizzare questi log delle regole firewall, consulta Visualizzare i log.

Se hai una regola della policy del firewall per l'ispezione di livello 7 con il logging abilitato, Cloud NGFW registra prima la voce di logging delle regole firewall per il pacchetto corrispondente. Quindi, invia il pacchetto all'endpoint firewall per l'ispezione di livello 7. L'endpoint firewall analizza il pacchetto alla ricerca di minacce. Se viene rilevata una minaccia, viene creato un log delle minacce separato. Questo log delle minacce include campi come il tipo di minaccia, la fonte della minaccia e la destinazione della minaccia. Per visualizzare i log delle minacce, consulta Visualizza minacce.

Puoi confrontare i campi nel log delle regole firewall e nel log delle minacce per identificare il pacchetto che ha attivato la minaccia e intraprendere l'azione appropriata per risolverla.

Ad esempio, hai configurato una regola di policy firewall con le seguenti impostazioni:

Indirizzo IP di origine: 192.0.2.0
Porta di origine: 47644
Indirizzo IP di destinazione: 192.0.2.1
Porta di destinazione: 80
Logging: Enabled

Per visualizzare i log delle minacce associati a questa regola, vai alla pagina Esplora log. Nel riquadro Query, incolla la seguente query nel campo dell'editor di query.

    resource.type="networksecurity.googleapis.com/FirewallEndpoint"
    jsonPayload.source_ip_address="192.0.2.0"
    jsonPayload.source_port="47644"
    jsonPayload.destination_ip_address="192.0.2.1"
    jsonPayload.destination_port="80"

La sezione Risultati delle query mostra il seguente log delle minacce:

    {
      insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
      jsonPayload: {
      action: "reset-server"
      alert_severity: "HIGH"
      alert_time: "2023-11-28T19:07:15Z"
      category: "info-leak"
      ▸ cves: [6]
      }
      destination_ip_address: "192.0.2.1"
      destination_port: "80"
      details:
      "This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
      attacker to access sensitive information and conduct further attacks."
      direction: "CLIENT_TO_SERVER"
      ip_protocol: "tcp"
      name: "Microsoft Windows win.ini Access Attempt Detected"
      network: "projects/XXXX/global/networks/fwplus-vpc.
      repeat_count: "1"
      security_profile_group:
      "organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
      source_ip_address: "192.0.2.0"
      source_port: "47644"
      threat_id: "30851"
      type: "vulnerability"
      uri_or_filename:
      logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
      receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
      ▸ resource: {2}
    }
    timestamp: "2023-11-28T19:08:47.560012184Z"

Allo stesso modo, per visualizzare i log firewall associati a questa regola, vai alla pagina Esplora log. Nel riquadro Query, incolla la seguente query nel campo dell'editor di query.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

La sezione Risultati delle query mostra il seguente log del firewall:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id:XXXX
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Con le query dei log delle minacce e dei log del firewall puoi visualizzare la correlazione tra loro. La tabella seguente mappa i campi dei log del firewall ai campi dei log delle minacce corrispondenti.

Campo del log del firewall	Campo del log delle minacce	Descrizione
`src_ip`	`source_ip_address`	L'indirizzo IP di origine nel log del firewall è correlato all'indirizzo IP di origine nel log delle minacce per identificare l'origine della potenziale minaccia.
`src_port`	`source_port`	La porta di origine nel log del firewall è correlata alla porta di origine nel log delle minacce per identificare la porta di origine utilizzata nella potenziale minaccia.
`dest_ip`	`destination_ip_address`	L'indirizzo IP di destinazione nel log del firewall è correlato all'indirizzo IP di destinazione nel log delle minacce per individuare il target della potenziale minaccia.
`dest_port`	`destination_port`	La porta di destinazione nel log firewall è correlata alla porta di destinazione nel log delle minacce per identificare la porta di destinazione utilizzata nella potenziale minaccia.

Log delle minacce Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Formato del log delle minacce

Formato del campo Connection

Formato del campo ThreatDetails

Formato del campo SecurityProfileGroupDetails

Formato del campo VpcDetails

Formato del campo InterceptInstance