Les journaux de menaces vous permettent de réaliser des audits, des vérifications et des analyses sur les menaces détectées dans votre réseau.
Lorsque le pare-feu Cloud nouvelle génération détecte une menace sur le trafic surveillé pour l'inspection de couche 7, il génère une entrée de journal dans le projet d'origine avec les détails de la menace. Pour afficher et examiner les journaux de menaces, recherchez le journal networksecurity.googleapis.com/firewall_threat dans l'explorateur de journaux.
Vous pouvez également consulter ces journaux de menaces sur la page Menaces.
Cette page explique le format et la structure des journaux de menaces générés lorsqu'une menace est détectée.
Format du journal des menaces
Cloud NGFW crée une entrée d'enregistrement de journal dans Cloud Logging pour chaque menace détectée sur le trafic surveillé vers ou depuis une instance de machine virtuelle (VM) dans une zone spécifique. Les enregistrements de journal sont inclus dans le champ de charge utile JSON d'un objet LogEntry.
Le format "multi-champs" de certains champs affiche plusieurs données dans un même champ. Par exemple, le champ connection est au format Connection, qui contient l'adresse IP et le port du serveur, l'adresse IP et le port du client, ainsi que le numéro de protocole, dans un seul champ.
Le tableau suivant décrit le format des champs du journal des menaces.
| Champ | Type | Description |
|---|---|---|
connection
|
Connection
|
Quintuple décrivant les paramètres de connexion associés au trafic où la menace est détectée. |
action
|
string
|
Action effectuée sur le paquet dans lequel la menace est détectée. Il peut s'agir de l'action par défaut ou de l'action de remplacement spécifiée dans le profil de sécurité. |
threatDetails
|
ThreatDetails
|
Détails de la menace détectée. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
Détails du groupe de profils de sécurité appliqué au trafic intercepté. |
interceptVpc
|
VpcDetails
|
Informations sur le réseau cloud privé virtuel (VPC) associé à l'instance de VM dans laquelle la menace est détectée. |
interceptInstance
|
InterceptInstance
|
Informations sur l'instance de VM dans laquelle la menace est détectée. |
Format du champ Connection
Le tableau suivant décrit le format du champ Connection.
| Champ | Type | Description |
|---|---|---|
clientIp
|
string
|
Adresse IP du client. Si le client est une VM Compute Engine, clientIp est l'adresse IP interne principale ou une adresse comprise dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe n'est pas affichée. Les journaux affichent l'adresse IP de l'instance de VM telle qu'observée dans l'en-tête du paquet, de la même manière que le vidage TCP sur l'instance de VM.
|
clientPort
|
integer
|
Numéro de port client. |
serverIp
|
string
|
Adresse IP du serveur. Si le serveur est une VM Compute Engine, serverIp est l'adresse IP interne principale ou une adresse comprise dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe ne s'affiche pas, même si elle a été utilisée pour établir la connexion.
|
serverPort
|
integer
|
Numéro de port du serveur. |
protocol
|
string
|
Protocole IP de la connexion. |
Format du champ ThreatDetails
Le tableau suivant décrit le format du champ ThreatDetails.
| Champ | Type | Description |
|---|---|---|
id
|
string
|
Identifiant unique de la menace Palo Alto Networks. |
threat
|
string
|
Nom de la menace détectée. |
description
|
string
|
Description détaillée de la menace détectée. |
direction
|
string
|
Sens du trafic. Par exemple, client_to_server ou server_to_client.
|
application
|
string
|
Application associée à la menace détectée. |
severity
|
string
|
Niveau de gravité de la menace détectée. Pour en savoir plus, consultez la section Niveaux de gravité des menaces. |
detectionTime
|
string
|
Heure à laquelle la menace a été détectée. |
category
|
string
|
Sous-type de la menace détectée. Par exemple, CODE_EXECUTION.
|
uriOrFilename
|
string
|
URI ou nom de fichier de la menace concernée (le cas échéant). |
type
|
string
|
Type de la menace détectée. Par exemple, SPYWARE.
|
repeatCount
|
integer
|
Nombre de sessions présentant la même adresse IP client, la même adresse IP du serveur et le même type de menace dans un intervalle de cinq secondes. |
cves
|
string
|
Liste des failles CVE (Common Vulnerabilities and Exposures) courantes associées à la menace. Par exemple, CVE-2021-44228-Apache Log4j remote code execution vulnerability.
|
Format du champ SecurityProfileGroupDetails
Le tableau suivant décrit le format du champ SecurityProfileGroupDetails.
| Champ | Type | Description |
|---|---|---|
securityProfileGroupId
|
string
|
Nom du groupe de profils de sécurité appliqué au trafic. |
organizationId
|
integer
|
ID de l'organisation à laquelle appartient l'instance de VM. |
Format du champ VpcDetails
Le tableau suivant décrit le format du champ VpcDetails.
| Champ | Type | Description |
|---|---|---|
vpc
|
string
|
Nom du réseau VPC associé au trafic intercepté. |
projectId
|
string
|
Nom du Google Cloud projet associé au réseau VPC. |
Format du champ InterceptInstance
Le tableau suivant décrit le format du champ InterceptInstance.
| Champ | Type | Description |
|---|---|---|
projectId
|
string
|
Nom du Google Cloud projet associé au trafic intercepté. |
vm
|
string
|
Nom de l'instance de VM associée au trafic intercepté. |
Mise en corrélation du journal des menaces avec un journal de pare-feu
Lorsqu'un paquet correspond à une règle de pare-feu pour laquelle la journalisation est activée, le Cloud NGFW enregistre une entrée Journalisation des règles de pare-feu. Cette entrée inclut des champs tels que l'adresse IP source, l'adresse IP de destination et l'heure d'inspection des paquets. Pour afficher ces journaux de règles de pare-feu, consultez la section Afficher les journaux.
Si vous disposez d'une règle de stratégie de pare-feu pour l'inspection de la couche 7 avec la journalisation activée, Cloud NGFW enregistre d'abord l'entrée de journalisation des règles de pare-feu pour le paquet correspondant. Il envoie ensuite le paquet au point de terminaison de pare-feu pour l'inspection de couche 7. Le point de terminaison de pare-feu analyse le paquet pour détecter les menaces. Si une menace est détectée, un journal des menaces distinct est créé. Ce journal des menaces inclut des champs tels que le type de menace, la source de la menace et la destination de la menace. Pour afficher les journaux des menaces, consultez la section Afficher les menaces.
Vous pouvez comparer les champs du journal des règles de pare-feu et du journal des menaces pour identifier le paquet qui a déclenché la menace et prendre les mesures appropriées pour la résoudre.
Par exemple, vous avez configuré une règle de stratégie de pare-feu avec les paramètres suivants:
- Adresse IP source:
192.0.2.0 - Port source:
47644 - Adresse IP de destination :
192.0.2.1 - Port de destination:
80 - Journalisation:
Enabled
Pour afficher les journaux de menaces associés à cette règle, accédez à la page Explorateur de journaux. Dans le volet Query (Requête), collez la requête suivante dans le champ de l'éditeur de requête.
resource.type="networksecurity.googleapis.com/FirewallEndpoint"
jsonPayload.source_ip_address="192.0.2.0"
jsonPayload.source_port="47644"
jsonPayload.destination_ip_address="192.0.2.1"
jsonPayload.destination_port="80"
La section Résultats de la requête affiche le journal des menaces suivant:
{
insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
jsonPayload: {
action: "reset-server"
alert_severity: "HIGH"
alert_time: "2023-11-28T19:07:15Z"
category: "info-leak"
▸ cves: [6]
}
destination_ip_address: "192.0.2.1"
destination_port: "80"
details:
"This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
attacker to access sensitive information and conduct further attacks."
direction: "CLIENT_TO_SERVER"
ip_protocol: "tcp"
name: "Microsoft Windows win.ini Access Attempt Detected"
network: "projects/XXXX/global/networks/fwplus-vpc.
repeat_count: "1"
security_profile_group:
"organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
source_ip_address: "192.0.2.0"
source_port: "47644"
threat_id: "30851"
type: "vulnerability"
uri_or_filename:
logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
▸ resource: {2}
}
timestamp: "2023-11-28T19:08:47.560012184Z"
De même, pour afficher les journaux du pare-feu associés à cette règle, accédez à la page Explorateur de journaux. Dans le volet Query (Requête), collez la requête suivante dans le champ de l'éditeur de requête.
jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
jsonPayload.connection.src_ip="192.0.2.0"
jsonPayload.connection.src_port="47644"
jsonPayload.connection.dest_ip="192.0.2.1"
jsonPayload.connection.dest_port="80"
La section Résultats de la requête affiche le journal du pare-feu suivant:
{
insertId: "qn82vdg109q3r9"
jsonPayload: {
connection: {
}
dest_ip: "192.0.2.1"
dest_port: 80
protocol: 6
src_ip: "192.0.2.0"
src_port: 47644
disposition: "INTERCEPTED"
►instance: {4}
▸ remote_instance: {4}
▸ remote_vpc: {3}
rule_details: {
action: "APPLY_SECURITY_PROFILE_GROUP"
apply_security_profile_fallback_action: "UNSPECIFIED"
direction: "INGRESS"
▸ ip_port_info: [1]
▼
priority: 6000
reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
source_range: [
1
0: "192.0.2.0/24"
target_secure_tag: [
0: "tagValues/281479199099651"
]
}
vpc: {
project_id:XXXX
subnetwork_name: "fwplus-us-central1-subnet"
vpc_name: "fwplus-vpc"
}
}
logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
resource: {2}
timestamp: "2023-11-28T19:08:40.207465099Z"
}
Avec les requêtes du journal des menaces et du journal du pare-feu, vous pouvez afficher la corrélation entre les deux. Le tableau suivant met en correspondance les champs de journal du pare-feu avec les champs de journal des menaces correspondants.
| Champ de journal de pare-feu | Champ du journal des menaces | Description |
|---|---|---|
src_ip
|
source_ip_address
|
L'adresse IP source du journal du pare-feu est mise en corrélation avec l'adresse IP source du journal des menaces pour identifier l'origine de la menace potentielle. |
src_port
|
source_port
|
Le port source du journal du pare-feu est mis en corrélation avec le port source du journal des menaces pour identifier le port source utilisé dans la menace potentielle. |
dest_ip
|
destination_ip_address
|
L'adresse IP de destination dans le journal du pare-feu est corrélée à l'adresse IP de destination dans le journal des menaces pour identifier la cible de la menace potentielle. |
dest_port
|
destination_port
|
Le port de destination dans le journal du pare-feu est mis en corrélation avec le port de destination dans le journal des menaces pour identifier le port de destination utilisé dans la menace potentielle. |