Esta página foi traduzida pela API Cloud Translation.

Registros de ameaças

Com os registros de ameaças você pode auditar, verificar e analisar as ameaças detectadas na sua rede.

Quando o Cloud Next Generation Firewall detecta uma ameaça no tráfego monitorado para inspeção da camada 7, ele gera uma entrada de registro no projeto de origem com os detalhes da ameaça. Para visualizar e examinar os registros de ameaças, na Análise de registros, pesquise o registro networksecurity.googleapis.com/firewall_threat. Você também encontra esses registros na página Ameaças.

Nesta página, explicamos o formato e a estrutura dos registros de ameaças gerados quando uma ameaça é detectada.

Formato do registro de ameaças

O Cloud NGFW cria uma entrada de registro no Cloud Logging para cada ameaça detectada no tráfego monitorado para ou de uma instância de máquina virtual (VM) em uma zona específica. Os registros são incluídos no campo de payload JSON de um LogEntry.

Alguns campos de registro aparecem em um formato múltiplo, com mais de um dado em cada campo. Por exemplo, o campo connection tem o formato Connection, que contém a porta e o endereço IP do servidor, o endereço IP e a porta do cliente, além do número do protocolo em um único campo.

Confira na tabela a seguir o formato dos campos de registro de ameaças.

Campo	Tipo	Descrição
`connection`	`Connection`	Uma tupla de 5 valores que descreve os parâmetros de conexão associados ao tráfego em que a ameaça é detectada.
`action`	`string`	Ação realizada no pacote em que a ameaça é detectada. Essa pode ser a ação padrão ou a ação de substituição especificada no perfil de segurança. Observação: quando uma ameaça é detectada com a ação de substituição `DENY`, o campo `action` mostra `DROP` quando o pacote é descartado e um alerta é gerado.
`threatDetails`	`ThreatDetails`	Os detalhes da ameaça detectada.
`securityProfileGroupDetails`	`SecurityProfileGroupDetails`	Os detalhes do grupo de perfis de segurança aplicados ao tráfego interceptado.
`interceptVpc`	`VpcDetails`	Os detalhes da rede de nuvem privada virtual (VPC) associada à instância de VM em que a ameaça é detectada.
`interceptInstance`	`InterceptInstance`	Os detalhes da instância de VM em que a ameaça é detectada.

Formato do campo `Connection`

Confira na tabela a seguir o formato do campo Connection.

Campo	Tipo	Descrição
`clientIp`	`string`	O endereço IP do cliente. Se o cliente for uma VM do Compute Engine, `clientIp` será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido. Os registros mostram o endereço IP da instância de VM, conforme observado no cabeçalho do pacote, de maneira semelhante ao despejo de TCP da instância de VM.
`clientPort`	`integer`	O número da porta do cliente.
`serverIp`	`string`	O endereço IP do servidor. Se o servidor for uma VM do Compute Engine, `serverIp` será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido, mesmo que seja usado para fazer a conexão.
`serverPort`	`integer`	O número da porta do servidor.
`protocol`	`string`	O protocolo IP da conexão.

Formato do campo `ThreatDetails`

Confira na tabela a seguir o formato do campo ThreatDetails.

Campo	Tipo	Descrição
`id`	`string`	O identificador exclusivo de ameaças da Palo Alto Networks.
`threat`	`string`	O nome da ameaça detectada.
`description`	`string`	Uma descrição detalhada da ameaça detectada.
`direction`	`string`	A direção do tráfego. Por exemplo, `client_to_server` ou `server_to_client`.
`application`	`string`	O aplicativo associado à ameaça detectada.
`severity`	`string`	Gravidade associada à ameaça detectada. Para mais informações, consulte Níveis de gravidade de ameaças.
`detectionTime`	`string`	A hora em que a ameaça foi detectada.
`category`	`string`	O subtipo da ameaça detectada. Por exemplo, `CODE_EXECUTION`
`uriOrFilename`	`string`	O URI ou nome de arquivo da ameaça relevante (se aplicável).
`type`	`string`	O tipo de ameaça detectada. Por exemplo, `SPYWARE`
`repeatCount`	`integer`	O número de sessões com o mesmo endereço IP de cliente, endereço IP do servidor e tipo de ameaça vistos em cinco segundos.
`cves`	`string`	uma lista de Vulnerabilidades e Exposição Comuns (CVEs) associadas à ameaça. Por exemplo, `CVE-2021-44228-Apache Log4j remote code execution vulnerability`.

Formato do campo `SecurityProfileGroupDetails`

Confira na tabela a seguir o formato do campo SecurityProfileGroupDetails.

Campo	Tipo	Descrição
`securityProfileGroupId`	`string`	O nome do grupo de perfis de segurança aplicado ao tráfego.
`organizationId`	`integer`	O ID da organização a que a instância de VM pertence.

Formato do campo `VpcDetails`

Confira na tabela a seguir o formato do campo VpcDetails.

Campo	Tipo	Descrição
`vpc`	`string`	O nome da rede VPC associada ao tráfego interceptado.
`projectId`	`string`	O nome do projeto Google Cloud associado à rede VPC.

Formato do campo `InterceptInstance`

Confira na tabela a seguir o formato do campo InterceptInstance.

Campo	Tipo	Descrição
`projectId`	`string`	O nome do projeto Google Cloud associado ao tráfego interceptado.
`vm`	`string`	O nome da instância de VM associada ao tráfego interceptado.

Correlação de registros de ameaças com um registro de firewall

Quando um pacote corresponde a uma regra de firewall com a geração de registros ativada, o Cloud NGFW registra uma entrada de geração de registros de regras de firewall. Essa entrada inclui campos como o endereço IP de origem, o endereço IP de destino e o tempo de inspeção de pacotes. Para conferir esses registros de regras de firewall, consulte Conferir registros.

Se você tiver uma regra de política de firewall para a inspeção da camada 7 com a geração de registros ativada, o Cloud NGFW vai registrar primeiro a entrada de geração de registros de regras de firewall para o pacote correspondente. Em seguida, ele envia o pacote ao endpoint do firewall para a inspeção da camada 7. O endpoint de firewall analisa o pacote em busca de ameaças. Se uma ameaça for detectada, um registro de ameaças separado será criado. Esse registro de ameaças inclui campos como o tipo de ameaça, a origem da ameaça e o destino da ameaça. Para conferir os registros de ameaças, consulte Conferir ameaças.

É possível comparar os campos no registro de regras de firewall e no registro de ameaças para identificar o pacote que acionou a ameaça e tomar as medidas adequadas para resolvê-la.

Por exemplo, você tem uma regra de política de firewall configurada com as seguintes configurações:

Endereço IP de origem: 192.0.2.0
Porta de origem: 47644
Endereço IP de destino: 192.0.2.1
Porta de destino: 80
Registro: Enabled

Para conferir os registros de ameaças associados a essa regra, acesse a página do Navegador de Registros. No painel Query, cole a consulta a seguir no campo do editor de consultas.

    resource.type="networksecurity.googleapis.com/FirewallEndpoint"
    jsonPayload.source_ip_address="192.0.2.0"
    jsonPayload.source_port="47644"
    jsonPayload.destination_ip_address="192.0.2.1"
    jsonPayload.destination_port="80"

A seção Resultados da consulta mostra o seguinte registro de ameaças:

    {
      insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
      jsonPayload: {
      action: "reset-server"
      alert_severity: "HIGH"
      alert_time: "2023-11-28T19:07:15Z"
      category: "info-leak"
      ▸ cves: [6]
      }
      destination_ip_address: "192.0.2.1"
      destination_port: "80"
      details:
      "This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
      attacker to access sensitive information and conduct further attacks."
      direction: "CLIENT_TO_SERVER"
      ip_protocol: "tcp"
      name: "Microsoft Windows win.ini Access Attempt Detected"
      network: "projects/XXXX/global/networks/fwplus-vpc.
      repeat_count: "1"
      security_profile_group:
      "organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
      source_ip_address: "192.0.2.0"
      source_port: "47644"
      threat_id: "30851"
      type: "vulnerability"
      uri_or_filename:
      logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
      receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
      ▸ resource: {2}
    }
    timestamp: "2023-11-28T19:08:47.560012184Z"

Da mesma forma, para conferir os registros de firewall associados a essa regra, acesse a página Análise de registros. No painel Query, cole a consulta a seguir no campo do editor de consultas.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

A seção Resultados da consulta mostra o seguinte registro de firewall:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id:XXXX
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Com as consultas de registro de ameaças e de firewall, é possível conferir a correlação entre elas. A tabela a seguir mapeia os campos de registro do firewall para os campos de registro de ameaças correspondentes.

Campo de registro do firewall	Campo de registro de ameaças	Descrição
`src_ip`	`source_ip_address`	O endereço IP de origem no registro do firewall é correlacionado com o endereço IP de origem no registro de ameaças para identificar a origem da possível ameaça.
`src_port`	`source_port`	A porta de origem no registro do firewall é correlacionada com a porta de origem no registro de ameaças para identificar a porta de origem usada na possível ameaça.
`dest_ip`	`destination_ip_address`	O endereço IP de destino no registro do firewall é correlacionado com o endereço IP de destino no registro de ameaças para identificar o alvo da possível ameaça
`dest_port`	`destination_port`	A porta de destino no registro do firewall é correlacionada com a porta de destino no registro de ameaças para identificar a porta de destino usada na possível ameaça

Registros de ameaças Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Formato do registro de ameaças

Formato do campo Connection

Formato do campo ThreatDetails

Formato do campo SecurityProfileGroupDetails

Formato do campo VpcDetails

Formato do campo InterceptInstance