Diese Seite wurde von der Cloud Translation API übersetzt.

Bedrohungslogs

Mit Bedrohungslogs können Sie die in Ihrem Netzwerk erkannten Bedrohungen im Blick behalten, prüfen und analysieren.

Wenn Cloud Next Generation Firewall eine Bedrohung im Traffic erkennt, der für die Layer-7-Prüfung überwacht wird, generiert sie einen Logeintrag im ursprünglichen Projekt mit den Details zur Bedrohung. Wenn Sie die Bedrohungsprotokolle aufrufen und prüfen möchten, suchen Sie im Log-Explorer nach dem Protokoll networksecurity.googleapis.com/firewall_threat. Sie können diese Bedrohungsprotokolle auch auf der Seite Bedrohungen aufrufen.

Auf dieser Seite werden das Format und die Struktur der Bedrohungsprotokolle erläutert, die generiert werden, wenn eine Bedrohung erkannt wird.

Format von Bedrohungslogs

Die Cloud NGFW erstellt in Cloud Logging einen Logeintrag für jede Bedrohung, die im überwachten Traffic zu oder von einer virtuellen Maschine (VM) in einer bestimmten Zone erkannt wird. Logeinträge werden im JSON-Nutzlastfeld eines LogEntry erfasst.

Einige Logfelder haben ein Mehrfeldformat mit mehr als einem Datenelement in einem bestimmten Feld. Das Feld connection hat beispielsweise das Format Connection. Dieses Format enthält die IP-Adresse und den Port des Servers, die IP-Adresse und den Port des Clients sowie die Protokollnummer in einem einzigen Feld.

In der folgenden Tabelle wird das Format der Felder im Bedrohungsprotokoll beschrieben.

Feld	Typ	Beschreibung
`connection`	`Connection`	Ein Fünftupel, das die Verbindungsparameter beschreibt, die mit dem Traffic verknüpft sind, bei dem die Bedrohung erkannt wird.
`action`	`string`	Die Aktion, die auf dem Paket ausgeführt wird, in dem die Bedrohung erkannt wird. Diese Aktion kann entweder die Standardaktion oder die im Sicherheitsprofil angegebene Überschreibungsaktion sein. Hinweis: Wenn eine Bedrohung mit der `DENY`-Überschreibungsaktion erkannt wird, wird im Feld `action` `DROP` angezeigt, da das Paket verworfen wird und eine Benachrichtigung generiert wird.
`threatDetails`	`ThreatDetails`	Details zur erkannten Bedrohung.
`securityProfileGroupDetails`	`SecurityProfileGroupDetails`	Die Details der Sicherheitsprofilgruppe, die auf den abgefangenen Traffic angewendet wird.
`interceptVpc`	`VpcDetails`	Die Details des VPC-Netzwerks (Virtual Private Cloud), das mit der VM-Instanz verknüpft ist, in der die Bedrohung erkannt wird.
`interceptInstance`	`InterceptInstance`	Die Details der VM-Instanz, in der die Bedrohung erkannt wurde.

Format des Felds `Connection`

In der folgenden Tabelle wird das Format des Felds Connection beschrieben.

Feld	Typ	Beschreibung
`clientIp`	`string`	Die IP-Adresse des Clients. Wenn der Client eine Compute Engine-VM ist, ist `clientIp` entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben. Die Logs enthalten die IP-Adresse der VM-Instanz, wie sie im Paketheader zu sehen ist, ähnlich wie beim TCP-Dump der VM-Instanz.
`clientPort`	`integer`	Die Clientportnummer.
`serverIp`	`string`	Die IP-Adresse des Servers. Wenn die Quelle eine Compute Engine-VM ist, ist `serverIp` entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde.
`serverPort`	`integer`	Die Server-Portnummer.
`protocol`	`string`	Das IP-Protokoll der Verbindung.

Format des Felds `ThreatDetails`

In der folgenden Tabelle wird das Format des Felds ThreatDetails beschrieben.

Feld	Typ	Beschreibung
`id`	`string`	Die eindeutige Palo Alto Networks-Bedrohungs-ID.
`threat`	`string`	Der Name der erkannten Bedrohung.
`description`	`string`	Eine detaillierte Beschreibung der erkannten Bedrohung.
`direction`	`string`	Die Richtung des Traffics. Beispiel: `client_to_server` oder `server_to_client`.
`application`	`string`	Die Anwendung, die mit der erkannten Bedrohung verknüpft ist.
`severity`	`string`	Der Schweregrad der erkannten Bedrohung. Weitere Informationen finden Sie unter Schweregrade von Bedrohungen.
`detectionTime`	`string`	Die Zeit, zu der die Bedrohung erkannt wird.
`category`	`string`	Der Untertyp der erkannten Bedrohung. Beispiel: `CODE_EXECUTION`.
`uriOrFilename`	`string`	Der URI oder Dateiname der entsprechenden Bedrohung (falls zutreffend).
`type`	`string`	Die Art der erkannten Bedrohung. Beispiel: `SPYWARE`.
`repeatCount`	`integer`	Die Anzahl der Sitzungen mit derselben Client-IP-Adresse, derselben Server-IP-Adresse und demselben Bedrohungstyp innerhalb von fünf Sekunden.
`cves`	`string`	Eine Liste der Common Vulnerabilities and Exposures (CVEs), die mit der Bedrohung in Verbindung stehen. Beispiel: `CVE-2021-44228-Apache Log4j remote code execution vulnerability`.

Format des Felds `SecurityProfileGroupDetails`

In der folgenden Tabelle wird das Format des Felds SecurityProfileGroupDetails beschrieben.

Feld	Typ	Beschreibung
`securityProfileGroupId`	`string`	Der Name der Sicherheitsprofilgruppe, der auf den Traffic angewendet wird.
`organizationId`	`integer`	Die Organisations-ID, zu der die VM-Instanz gehört.

Format des Felds `VpcDetails`

In der folgenden Tabelle wird das Format des Felds VpcDetails beschrieben.

Feld	Typ	Beschreibung
`vpc`	`string`	Der Name des VPC-Netzwerks, das mit dem abgefangenen Traffic verknüpft ist.
`projectId`	`string`	Der Name des Google Cloud Projekts, das mit dem VPC-Netzwerk verknüpft ist.

Format des Felds `InterceptInstance`

In der folgenden Tabelle wird das Format des Felds InterceptInstance beschrieben.

Feld	Typ	Beschreibung
`projectId`	`string`	Der Name des Google Cloud Projekts, das mit dem abgefangenen Traffic verknüpft ist.
`vm`	`string`	Der Name der VM-Instanz, die mit dem abgefangenen Traffic verknüpft ist.

Korrelation von Bedrohungsprotokollen mit einem Firewallprotokoll

Wenn ein Paket mit einer Firewallregel mit aktiviertem Logging übereinstimmt, wird in Cloud NGFW ein Eintrag für das Logging von Firewallregeln protokolliert. Dieser Eintrag enthält Felder wie die Quell-IP-Adresse, die Ziel-IP-Adresse und die Zeit der Paketprüfung. Informationen zum Anzeigen dieser Firewallregel-Logs finden Sie unter Logs ansehen.

Wenn Sie eine Firewallrichtlinienregel für die Layer-7-Prüfung mit aktiviertem Logging haben, wird in Cloud NGFW zuerst der Eintrag „Logging für Firewallregeln“ für das übereinstimmende Paket protokolliert. Anschließend sendet er das Paket zur Layer-7-Prüfung an den Firewallendpunkt. Der Firewall-Endpunkt analysiert das Paket auf Bedrohungen. Wenn eine Bedrohung erkannt wird, wird ein separates Bedrohungsprotokoll erstellt. Dieses Bedrohungsprotokoll enthält Felder wie die Art der Bedrohung, die Quelle der Bedrohung und das Ziel der Bedrohung. Informationen zum Ansehen von Bedrohungslogs finden Sie unter Bedrohungen ansehen.

Sie können die Felder im Firewallregelprotokoll und im Bedrohungsprotokoll vergleichen, um das Paket zu identifizieren, das die Bedrohung ausgelöst hat, und entsprechende Maßnahmen zur Behebung zu ergreifen.

Angenommen, Sie haben eine Firewallrichtlinienregel mit den folgenden Einstellungen konfiguriert:

Quell-IP-Adresse: 192.0.2.0
Quellport: 47644
Ziel-IP-Adresse: 192.0.2.1
Zielport: 80
Protokollierung: Enabled

Die mit dieser Regel verknüpften Bedrohungsprotokolle finden Sie auf der Seite Log-Explorer. Fügen Sie im Bereich Abfrage die folgende Abfrage in das Feld des Abfrageeditors ein.

    resource.type="networksecurity.googleapis.com/FirewallEndpoint"
    jsonPayload.source_ip_address="192.0.2.0"
    jsonPayload.source_port="47644"
    jsonPayload.destination_ip_address="192.0.2.1"
    jsonPayload.destination_port="80"

Im Bereich Abfrageergebnisse wird das folgende Bedrohungsprotokoll angezeigt:

    {
      insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
      jsonPayload: {
      action: "reset-server"
      alert_severity: "HIGH"
      alert_time: "2023-11-28T19:07:15Z"
      category: "info-leak"
      ▸ cves: [6]
      }
      destination_ip_address: "192.0.2.1"
      destination_port: "80"
      details:
      "This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
      attacker to access sensitive information and conduct further attacks."
      direction: "CLIENT_TO_SERVER"
      ip_protocol: "tcp"
      name: "Microsoft Windows win.ini Access Attempt Detected"
      network: "projects/XXXX/global/networks/fwplus-vpc.
      repeat_count: "1"
      security_profile_group:
      "organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
      source_ip_address: "192.0.2.0"
      source_port: "47644"
      threat_id: "30851"
      type: "vulnerability"
      uri_or_filename:
      logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
      receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
      ▸ resource: {2}
    }
    timestamp: "2023-11-28T19:08:47.560012184Z"

Die zugehörigen Firewall-Logs finden Sie auf der Seite Log-Explorer. Fügen Sie im Bereich Abfrage die folgende Abfrage in das Feld des Abfrageeditors ein.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

Im Bereich Abfrageergebnisse wird das folgende Firewallprotokoll angezeigt:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id:XXXX
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Sowohl mit den Abfragen für das Bedrohungsprotokoll als auch für das Firewallprotokoll können Sie die Korrelation zwischen ihnen sehen. In der folgenden Tabelle werden die Firewall-Logfelder den entsprechenden Bedrohungs-Logfeldern zugeordnet.

Feld für Firewall-Log	Feld für Bedrohungsprotokoll	Beschreibung
`src_ip`	`source_ip_address`	Die Quell-IP-Adresse im Firewallprotokoll wird mit der Quell-IP-Adresse im Bedrohungsprotokoll abgeglichen, um den Ursprung der potenziellen Bedrohung zu ermitteln.
`src_port`	`source_port`	Der Quellport im Firewall-Log wird mit dem Quellport im Bedrohungslog abgeglichen, um den Quellport zu ermitteln, der bei der potenziellen Bedrohung verwendet wird.
`dest_ip`	`destination_ip_address`	Die Ziel-IP-Adresse im Firewallprotokoll wird mit der Ziel-IP-Adresse im Bedrohungsprotokoll abgeglichen, um das Ziel der potenziellen Bedrohung zu ermitteln.
`dest_port`	`destination_port`	Der Zielport im Firewall-Log wird mit dem Zielport im Bedrohungs-Log korreliert, um den Zielport zu identifizieren, der bei der potenziellen Bedrohung verwendet wird.

Bedrohungslogs Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Format von Bedrohungslogs

Format des Felds Connection

Format des Felds ThreatDetails

Format des Felds SecurityProfileGroupDetails

Format des Felds VpcDetails

Format des Felds InterceptInstance