Registros de ameaças

Com os registros de ameaças você pode auditar, verificar e analisar as ameaças detectadas na sua rede.

Quando o Cloud Next Generation Firewall detecta uma ameaça no tráfego monitorado para inspeção da camada 7, ele gera uma entrada de registro no projeto de origem com os detalhes da ameaça. Para visualizar e examinar os registros de ameaças, na Análise de registros, pesquise o registro networksecurity.googleapis.com/firewall_threat. Você também encontra esses registros na página Ameaças.

Nesta página, explicamos o formato e a estrutura dos registros de ameaças gerados quando uma ameaça é detectada.

Formato do registro de ameaças

O Cloud NGFW cria uma entrada de registro no Cloud Logging para cada ameaça detectada no tráfego monitorado para ou de uma instância de máquina virtual (VM) em uma zona específica. Os registros são incluídos no campo de payload JSON de um LogEntry.

Alguns campos de registro aparecem em um formato múltiplo, com mais de um dado em cada campo. Por exemplo, o campo connection tem o formato Connection, que contém a porta e o endereço IP do servidor, o endereço IP e a porta do cliente, além do número do protocolo em um único campo.

Confira na tabela a seguir o formato dos campos de registro de ameaças.

Campo	Tipo	Descrição
`connection`	`Connection`	Uma tupla de 5 valores que descreve os parâmetros de conexão associados ao tráfego em que a ameaça é detectada.
`action`	`string`	Ação realizada no pacote em que a ameaça é detectada. Essa pode ser a ação padrão ou a ação de substituição especificada no perfil de segurança. Observação: quando uma ameaça é detectada com a ação de substituição `DENY`, o campo `action` mostra `DROP` quando o pacote é descartado e um alerta é gerado.
`threatDetails`	`ThreatDetails`	Os detalhes da ameaça detectada.
`securityProfileGroupDetails`	`SecurityProfileGroupDetails`	Os detalhes do grupo de perfis de segurança aplicados ao tráfego interceptado.
`interceptVpc`	`VpcDetails`	Os detalhes da rede de nuvem privada virtual (VPC) associada à instância de VM ou ao balanceador de carga em que a ameaça é detectada. Para instâncias de VM e regras de encaminhamento do balanceador de carga, o projeto proprietário da rede VPC serve como projeto de geração de registros.
`interceptInstance`	`InterceptInstance`	Os detalhes da instância de VM em que a ameaça foi detectada.
`interceptLoadBalancer`	`LoadBalancingDetails`	Os detalhes do balanceador de carga em que a ameaça foi detectada e a regra de firewall foi aplicada.

Formato do campo `Connection`

Confira na tabela a seguir o formato do campo Connection.

Campo	Tipo	Descrição
`clientIp`	`string`	O endereço IP do cliente. Se o cliente for uma VM do Compute Engine, `clientIp` será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido. Os registros mostram o endereço IP da instância de VM, conforme observado no cabeçalho do pacote, de maneira semelhante ao despejo de TCP da instância de VM.
`clientPort`	`integer`	O número da porta do cliente.
`serverIp`	`string`	O endereço IP do servidor. Se o servidor for uma VM do Compute Engine, `serverIp` será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido, mesmo que seja usado para fazer a conexão.
`serverPort`	`integer`	O número da porta do servidor.
`protocol`	`string`	O protocolo IP da conexão.

Formato do campo `ThreatDetails`

Confira na tabela a seguir o formato do campo ThreatDetails.

Campo	Tipo	Descrição
`id`	`string`	O identificador exclusivo de ameaças da Palo Alto Networks.
`threat`	`string`	O nome da ameaça detectada.
`description`	`string`	Uma descrição detalhada da ameaça detectada.
`direction`	`string`	A direção do tráfego. Por exemplo, `client_to_server` ou `server_to_client`.
`application`	`string`	O aplicativo associado à ameaça detectada.
`severity`	`string`	Gravidade associada à ameaça detectada. Para mais informações, consulte Níveis de gravidade de ameaças.
`detectionTime`	`string`	A hora em que a ameaça foi detectada.
`category`	`string`	O subtipo da ameaça detectada. Por exemplo, `CODE_EXECUTION`
`uriOrFilename`	`string`	O URI ou nome de arquivo da ameaça relevante (se aplicável).
`type`	`string`	O tipo de ameaça detectada. Por exemplo, `SPYWARE`
`repeatCount`	`integer`	O número de sessões com o mesmo endereço IP de cliente, endereço IP do servidor e tipo de ameaça vistos em cinco segundos.
`cves`	`string`	uma lista de Vulnerabilidades e Exposição Comuns (CVEs) associadas à ameaça. Por exemplo, `CVE-2021-44228-Apache Log4j remote code execution vulnerability`.

Formato do campo `SecurityProfileGroupDetails`

Confira na tabela a seguir o formato do campo SecurityProfileGroupDetails.

Campo	Tipo	Descrição
`securityProfileGroupId`	`string`	O nome do grupo de perfis de segurança aplicado ao tráfego.
`organizationId`	`integer`	O ID da organização a que a instância de VM pertence.

Formato do campo `VpcDetails`

Confira na tabela a seguir o formato do campo VpcDetails.

Campo	Tipo	Descrição
`vpc`	`string`	O nome da rede VPC associada ao tráfego interceptado.
`projectId`	`string`	O nome do projeto Google Cloud associado à rede VPC.

Formato do campo `InterceptInstance`

Confira na tabela a seguir o formato do campo InterceptInstance.

Campo	Tipo	Descrição
`projectId`	`string`	O nome do projeto Google Cloud associado ao tráfego interceptado.
`vm`	`string`	O nome da instância de VM associada ao tráfego interceptado.

Correlação de um registro de ameaça com um registro de firewall

Quando um pacote corresponde a uma regra de firewall com o registro ativado, o Cloud NGFW registra uma entrada de registro de regras de firewall. Essa entrada inclui campos como o endereço IP de origem, o endereço IP de destino e a hora da inspeção do pacote. Para ver esses registros de regras de firewall, consulte Ver registros.

Se você tiver uma regra de política de firewall para inspeção da camada 7 com a geração de registros ativada, o NGFW do Cloud primeiro vai registrar a entrada de geração de registros de regras de firewall para o pacote correspondente. Em seguida, ele envia o pacote ao endpoint do firewall para inspeção da camada 7. O endpoint de firewall analisa o pacote em busca de ameaças. Se uma ameaça for detectada, um registro separado será criado. Esse registro inclui campos como o tipo, a origem e o destino da ameaça. Para ver os registros de ameaças, consulte Visualizar ameaças.

É possível comparar os campos no registro de regra de firewall e no registro de ameaça para identificar o pacote que acionou a ameaça e tomar as medidas adequadas para resolver o problema.

Por exemplo, você tem uma regra de política de firewall configurada com as seguintes configurações:

Endereço IP de origem: 192.0.2.0
Porta de origem: 47644
Endereço IP de destino: 192.0.2.1
Porta de destino: 80
Registro: Enabled

Para conferir os registros de ameaças associados a essa regra, acesse a página Análise de registros. No painel Consulta, cole a consulta a seguir no campo do editor de consultas.

    resource.type="networksecurity.googleapis.com/FirewallEndpoint"
    jsonPayload.source_ip_address="192.0.2.0"
    jsonPayload.source_port="47644"
    jsonPayload.destination_ip_address="192.0.2.1"
    jsonPayload.destination_port="80"

A seção Resultados da consulta mostra o seguinte registro de ameaça:

    {
      insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
      jsonPayload: {
      action: "reset-server"
      alert_severity: "HIGH"
      alert_time: "2023-11-28T19:07:15Z"
      category: "info-leak"
      ▸ cves: [6]
      }
      destination_ip_address: "192.0.2.1"
      destination_port: "80"
      details:
      "This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
      attacker to access sensitive information and conduct further attacks."
      direction: "CLIENT_TO_SERVER"
      ip_protocol: "tcp"
      name: "Microsoft Windows win.ini Access Attempt Detected"
      network: "projects/XXXX/global/networks/fwplus-vpc.
      repeat_count: "1"
      security_profile_group:
      "organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
      source_ip_address: "192.0.2.0"
      source_port: "47644"
      threat_id: "30851"
      type: "vulnerability"
      uri_or_filename:
      logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
      receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
      ▸ resource: {2}
    }
    timestamp: "2023-11-28T19:08:47.560012184Z"

Da mesma forma, para ver os registros de firewall associados a essa regra, acesse a página Análise de registros. No painel Consulta, cole a consulta a seguir no campo do editor de consultas.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

A seção Resultados da consulta mostra o seguinte registro de firewall:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id:XXXX
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Com as consultas de registro de ameaça e de firewall, é possível conferir a correlação entre elas. A tabela a seguir mapeia os campos de registro do firewall para os campos de registro de ameaças correspondentes.

Campo de registro de firewall	Campo de registro de ameaças	Descrição
`src_ip`	`source_ip_address`	O endereço IP de origem no registro de firewall é correlacionado com o endereço IP de origem no registro de ameaças para identificar a origem da possível ameaça.
`src_port`	`source_port`	A porta de origem no registro de firewall é correlacionada com a porta de origem no registro de ameaça para identificar a porta de origem usada na possível ameaça.
`dest_ip`	`destination_ip_address`	O endereço IP de destino no registro do firewall é correlacionado com o endereço IP de destino no registro de ameaças para identificar o alvo da possível ameaça.
`dest_port`	`destination_port`	A porta de destino no registro do firewall é correlacionada com a porta de destino no registro de ameaça para identificar a porta de destino usada na possível ameaça.

Registros de ameaças Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Formato do registro de ameaças

Formato do campo Connection

Formato do campo ThreatDetails

Formato do campo SecurityProfileGroupDetails

Formato do campo VpcDetails

Formato do campo InterceptInstance