Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

יומני האיומים

יומני האיומים מאפשרים לכם לבצע ביקורת, לאמת ולנתח את האיומים שזוהו ברשת.

כש-Cloud Next Generation Firewall מזהה איום בתעבורת הנתונים שנבדקת ב-Layer 7, הוא יוצר רשומה ביומן בפרויקט המקורי עם פרטי האיום. כדי להציג ולבדוק את יומני האיומים, ב-Logs Explorer, מחפשים את היומן networksecurity.googleapis.com/firewall_threat. אפשר גם לראות את יומני האיומים האלה בדף Threats.

בדף הזה מוסבר על הפורמט והמבנה של יומני האיומים שנוצרים כשמזוהה איום.

הפורמט של יומן האיומים

‫Cloud NGFW יוצר רשומה ביומן ב-Cloud Logging לכל איום שמזוהה בתעבורה המנוטרת אל מכונה וירטואלית (VM) או ממנה באזור ספציפי. רשומות היומן נכללות בשדה מטען ייעודי (payload) בפורמט JSON של LogEntry.

חלק מהשדות ביומן הם בפורמט של כמה שדות, עם יותר מפריט נתונים אחד בשדה נתון. לדוגמה, השדה connection הוא בפורמט Connection שמכיל את כתובת ה-IP והיציאה של השרת, את כתובת ה-IP והיציאה של הלקוח ואת מספר הפרוטוקול בשדה אחד.

בטבלה הבאה מתואר הפורמט של השדות ביומן האיומים.

שדה	סוג	תיאור
`connection`	`Connection`	חמישייה שמתארת את פרמטרי החיבור שמשויכים לתנועת הגולשים שבה זוהה האיום.
`action`	`string`	הפעולה שבוצעה על החבילה שבה זוהה האיום. הפעולה הזו יכולה להיות פעולת ברירת המחדל או פעולת ההחלפה שצוינה בפרופיל האבטחה. הערה: כשמזוהה איום עם פעולת העקיפה `DENY`, השדה `action` מציג את הערך `DROP` כי המנה נפסלת, ונוצרת התראה.
`threatDetails`	`ThreatDetails`	פרטי האיום שזוהה.
`securityProfileGroupDetails`	`SecurityProfileGroupDetails`	הפרטים של קבוצת פרופילי האבטחה שחלה על התנועה שיירטה.
`interceptVpc`	`VpcDetails`	הפרטים של רשת הענן הווירטואלי הפרטי (VPC) שמשויכת למכונה הווירטואלית או למאזן העומסים שבהם זוהה האיום. הפרויקט שבבעלותו רשת ה-VPC משמש כפרויקט הרישום ביומן גם למכונות הווירטואליות וגם לכללי ההעברה של מאזן העומסים.
`interceptInstance`	`InterceptInstance`	פרטים על מופע המכונה הווירטואלית שבו זוהה האיום.
`interceptLoadBalancer`	`LoadBalancingDetails`	פרטי מאזן העומסים שבו זוהה האיום ושבו הוחל כלל חומת האש.

פורמט השדה `Connection`

בטבלה הבאה מתואר הפורמט של השדה Connection.

שדה	סוג	תיאור
`clientIp`	`string`	כתובת ה-IP של הלקוח. אם הלקוח הוא מכונה וירטואלית ב-Compute Engine, ‏`clientIp` היא כתובת ה-IP הפנימית הראשית או כתובת בטווח כתובות IP של כינוי של הממשק של המכונה הווירטואלית. כתובת ה-IP החיצונית לא מוצגת. ביומנים מוצגת כתובת ה-IP של מכונת ה-VM כפי שנצפתה בכותרת החבילה, בדומה ל-TCP dump במכונת ה-VM.
`clientPort`	`integer`	מספר היציאה של הלקוח.
`serverIp`	`string`	כתובת ה-IP של השרת. אם השרת הוא מכונה וירטואלית ב-Compute Engine, ‏`serverIp` היא כתובת ה-IP הפנימית הראשית או כתובת בטווח כתובות IP של כינוי של הממשק של המכונה הווירטואלית ברשת. כתובת ה-IP החיצונית לא מוצגת גם אם נעשה בה שימוש ליצירת החיבור.
`serverPort`	`integer`	מספר היציאה בשרת.
`protocol`	`string`	פרוטוקול ה-IP של החיבור.

פורמט השדה `ThreatDetails`

בטבלה הבאה מתואר הפורמט של השדה ThreatDetails.

שדה	סוג	תיאור
`id`	`string`	מזהה האיום הייחודי של Palo Alto Networks.
`threat`	`string`	שם האיום שזוהה.
`description`	`string`	תיאור מפורט של האיום שזוהה.
`direction`	`string`	כיוון התנועה. לדוגמה, `client_to_server` או `server_to_client`.
`application`	`string`	האפליקציה שמשויכת לאיום שאותר.
`severity`	`string`	רמת החומרה שמשויכת לאיום שזוהה. מידע נוסף מופיע במאמר בנושא רמות חומרה של איומים.
`detectionTime`	`string`	השעה שבה זוהה האיום.
`category`	`string`	סוג המשנה של האיום שזוהה. לדוגמה, `CODE_EXECUTION`.
`uriOrFilename`	`string`	ה-URI או שם הקובץ של האיום הרלוונטי (אם יש).
`type`	`string`	סוג האיום שזוהה. לדוגמה, `SPYWARE`.
`repeatCount`	`integer`	מספר הסשנים באתר עם אותה כתובת IP של הלקוח, כתובת IP של השרת וסוג האיום שנצפו בפרק זמן של 5 שניות.
`cves`	`string`	רשימה של נקודות חולשה נפוצות (CVE) שמשויכות לאיום. לדוגמה, `CVE-2021-44228-Apache Log4j remote code execution vulnerability`.

פורמט השדה `SecurityProfileGroupDetails`

בטבלה הבאה מתואר הפורמט של השדה SecurityProfileGroupDetails.

שדה	סוג	תיאור
`securityProfileGroupId`	`string`	השם של קבוצת פרופילי האבטחה שחלה על התנועה.
`organizationId`	`integer`	מזהה הארגון שאליו שייכת מכונת ה-VM.

פורמט השדה `VpcDetails`

בטבלה הבאה מתואר הפורמט של השדה VpcDetails.

שדה	סוג	תיאור
`vpc`	`string`	השם של רשת ה-VPC שמשויכת לתנועה שיירטה.
`projectId`	`string`	השם של Google Cloud הפרויקט שמשויך לרשת ה-VPC.

פורמט השדה `InterceptInstance`

בטבלה הבאה מתואר הפורמט של השדה InterceptInstance.

שדה	סוג	תיאור
`projectId`	`string`	השם של Google Cloud הפרויקט שמשויך לתנועה שנקלטה.
`vm`	`string`	השם של מופע המכונה הווירטואלית שמשויך לתנועה שירטה.

קורלציה של יומן איומים עם יומן חומת אש

כשחבילת נתונים תואמת לכלל חומת אש עם רישום ביומן מופעל, Cloud NGFW רושם ביומן רשומה של רישום ביומן של כללי מדיניות חומת אש. הערך הזה כולל שדות כמו כתובת ה-IP של המקור, כתובת ה-IP של היעד והשעה שבה בוצעה בדיקת החבילה. כדי לראות את היומנים של הכללים האלה של חומת האש, אפשר לעיין במאמר בנושא הצגת יומנים.

אם יש לכם מדיניות חומת אש לבדיקה של Layer 7 עם הפעלת רישום ביומן, Cloud NGFW קודם רושם ביומן את רשומת רישום ביומן של כללי חומת האש ב-VPC עבור החבילה התואמת. לאחר מכן, החבילה נשלחת לנקודת הקצה של חומת האש לבדיקה בשכבה 7. נקודת הקצה של חומת האש מנתחת את התנועה ומפיקה יומנים של סינון כתובות URL או איומים ספציפיים. אם מזוהה איום, נוצר יומן איומים נפרד. יומן האיומים הזה כולל שדות כמו סוג האיום, מקור האיום ויעד האיום. כדי לראות את יומני האיומים, אפשר לעיין במאמר בנושא הצגת איומים.

אפשר להשוות בין השדות ביומן הכללים של מדיניות חומת האש וביומן האיומים כדי לזהות את החבילה שהפעילה את האיום ולנקוט פעולה מתאימה כדי לפתור אותו.

לדוגמה, יש לכם כלל במדיניות חומת האש עם ההגדרות הבאות:

כתובת ה-IP של המקור: 192.0.2.0
יציאת המקור: 47644
כתובת ה-IP של היעד: 192.0.2.1
יציאת היעד: 80
רישום ביומן: Enabled

כדי לראות את יומני האיומים שמשויכים לכלל הזה, עוברים לדף Logs Explorer. בחלונית Query, מדביקים את השאילתה הבאה בשדה של עורך השאילתות.

    resource.type="networksecurity.googleapis.com/FirewallEndpoint"
    jsonPayload.source_ip_address="192.0.2.0"
    jsonPayload.source_port="47644"
    jsonPayload.destination_ip_address="192.0.2.1"
    jsonPayload.destination_port="80"

בקטע תוצאות השאילתה מוצג יומן האיומים הבא:

    {
      insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
      jsonPayload: {
      action: "reset-server"
      alert_severity: "HIGH"
      alert_time: "2023-11-28T19:07:15Z"
      category: "info-leak"
      ▸ cves: [6]
      }
      destination_ip_address: "192.0.2.1"
      destination_port: "80"
      details:
      "This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
      attacker to access sensitive information and conduct further attacks."
      direction: "CLIENT_TO_SERVER"
      ip_protocol: "tcp"
      name: "Microsoft Windows win.ini Access Attempt Detected"
      network: "projects/XXXX/global/networks/fwplus-vpc.
      repeat_count: "1"
      security_profile_group:
      "organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
      source_ip_address: "192.0.2.0"
      source_port: "47644"
      threat_id: "30851"
      type: "vulnerability"
      uri_or_filename:
      logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
      receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
      ▸ resource: {2}
    }
    timestamp: "2023-11-28T19:08:47.560012184Z"

באופן דומה, כדי לראות את היומנים של חומת האש שמשויכים לכלל הזה, עוברים לדף Logs Explorer. בחלונית Query, מדביקים את השאילתה הבאה בשדה של עורך השאילתות.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

בקטע Query results מוצג יומן חומת האש הבא:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id:XXXX
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

בשתי השאילתות של יומן האיומים ויומן חומת האש אפשר לראות את הקשר ביניהן. בטבלה הבאה מפורטים השדות ביומן של חומת האש והשדות התואמים ביומן האיומים.

שדה ביומן של חומת האש	שדה ביומן האיומים	תיאור
`src_ip`	`source_ip_address`	כתובת ה-IP המקורית ביומן חומת האש משויכת לכתובת ה-IP המקורית ביומן האיומים כדי לזהות את המקור של האיום הפוטנציאלי
`src_port`	`source_port`	יציאת המקור ביומן חומת האש מתואמת עם יציאת המקור ביומן האיומים כדי לזהות את יציאת המקור שבה נעשה שימוש באיום הפוטנציאלי
`dest_ip`	`destination_ip_address`	כתובת ה-IP של היעד ביומן של חומת האש מתואמת עם כתובת ה-IP של היעד ביומן האיומים, כדי לזהות את היעד של האיום הפוטנציאלי
`dest_port`	`destination_port`	יציאת היעד ביומן חומת האש מתואמת עם יציאת היעד ביומן האיומים כדי לזהות את יציאת היעד שבה נעשה שימוש באיום הפוטנציאלי

יומני האיומים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

הפורמט של יומן האיומים

פורמט השדה Connection

פורמט השדה ThreatDetails

פורמט השדה SecurityProfileGroupDetails

פורמט השדה VpcDetails

פורמט השדה InterceptInstance