פרטי הרישום ביומן של Cloud IDS

כאן מוסבר על היומנים שנוצרים כש-Cloud IDS שולח התראות על איומים.

יומני האיומים

אתם יכולים לראות ב-Cloud Logging את היומנים שנוצרו בעקבות הדיווח על איומים ברשת. היומנים הם בפורמט JSON, והם מכילים את השדות הבאים:

• ‫threat_id – מזהה ייחודי של האיום ב-Palo Alto Networks.
• ‫name – שם האיום.
• ‫alert_severity – רמת החומרה של האיום (אחד מהערכים הבאים: INFORMATIONAL, ‏LOW, ‏MEDIUM, ‏HIGH או CRITICAL).
• ‫type – סוג האיום.
• ‫category – תת-הסוג של האיום.
• ‫alert_time – מתי התגלה האיום.
• ‫network – הרשת של הלקוח שבה התגלה האיום.
• ‫source_ip_address – כתובת ה-IP של המקור של תעבורת הנתונים החשודה. אם אתם משתמשים במאזן העומסים (LB) שלGoogle Cloud , לא תראו את כתובת ה-IP האמיתית של הלקוח אלא את טווח כתובות ה-IP של ממשק הקצה של Google‏ (GFE). הערך יכול להיות 130.211.0.0/22 או 35.191.0.0/16.
• ‫destination_ip_address – כתובת ה-IP של היעד של תעבורת הנתונים החשודה.
• ‫source_port – יציאת המקור של תעבורת הנתונים החשודה.
• ‫destination_port – יציאת היעד של תעבורת הנתונים החשודה.
• ‫ip_protocol – פרוטוקול ה-IP של תעבורת הנתונים החשודה.
• ‫application – סוג האפליקציה של תעבורת הנתונים החשודה, לדוגמה SSH.
• ‫direction – הכיוון של תעבורת הנתונים החשודה (מהלקוח לשרת או מהשרת ללקוח).
• ‫session_id – מספר פנימי שמוקצה לכל סשן.
• ‫repeat_count – מספר הסשנים באתר עם אותה כתובת IP של המקור, כתובת IP של היעד, האפליקציה והסוג שנצפו בפרק זמן של 5 שניות.
• ‫uri_or_filename – ה-URI או שם הקובץ של האיום הרלוונטי, אם יש.
• ‫cves – רשימה של נקודות חולשה נפוצות (CVE) שמשויכות לאיום.
• ‫details – מידע נוסף על סוג האיום, שנלקח מ-ThreatVault של Palo Alto Networks.

השדות בקובץ ה-JSON הקודם מוטמעים בשדה jsonPayload ביומן. השם של יומן האיומים הוא projects/<consumer-project>/logs/ids.googleapis.com%2Fthreat.

בנוסף, השדה labels.id ביומן מכיל את השם של נקודת הקצה של Cloud IDS, והשדה resource.type הוא ids.googleapis.com/Endpoint.

דוגמה לשאילתה

בשאילתה הזו, אנחנו מחפשים ביומן האיומים של IDS ב-Cloud Logging את כל האיומים שדווחו על ידי נקודת הקצה my-endpoint בפרויקט my-project בענן, בין השעות 8:00 ל-9:00 ב-4 באפריל 2021 [לפי שעון החוף המערבי של ארה"ב (GMT-7)], שבהן רמת החומרה של האיום הייתה גבוהה (HIGH).

logName="projects/my-project/logs/ids.googleapis.com%2Fthreat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

מדיניות שמירת הנתונים

מדיניות שמירת הנתונים נקבעת לפי קטגוריות האחסון שבהן נמצאים היומנים. כברירת מחדל, היומנים נמצאים בקטגוריה _Default והנתונים נשמרים בה למשך 30 ימים.

אתם יכולים לסנן את היומנים לקטגוריות שונות ולהגדיר את תקופת השמירה.

למשל, אם אתם רוצים לשנות את מדיניות שמירת הנתונים מברירת המחדל של 30 יום, אתם יכולים:

• לסנן את כל היומנים לקטגוריה אחרת ולהגדיר לה מדיניות שמירת נתונים שונה.
• להגדיר מדיניות שמירת נתונים משלכם לקטגוריה _Default, שתיושם בכל שאר היומנים בקטגוריה _Default.

יומני תעבורת נתונים

אתם יכולים לראות ב-Cloud Logging את היומנים שנוצרו בעקבות תעבורת הנתונים ברשת. היומנים הם בפורמט JSON, והם מכילים את השדות הבאים:

• ‫start_time – מתי התחיל הסשן.
• ‫elapsed_time – כמה זמן הסשן נמשך.
• ‫network – הרשת של נקודת הקצה של IDS.
• ‫source_ip_address – כתובת ה-IP של המקור של חבילת הנתונים.
• ‫source_port – יציאת המקור של תעבורת הנתונים.
• ‫destination_ip_address – כתובת ה-IP של היעד של החבילה.
• ‫destination_port – יציאת היעד של תעבורת הנתונים.
• ‫ip_protocol – פרוטוקול ה-IP של חבילת הנתונים.
• ‫application – האפליקציה שמשויכת לסשן.
• ‫session_id – מספר פנימי שמוקצה לכל סשן.
• ‫repeat_count – מספר הסשנים באתר עם אותה כתובת IP של המקור, כתובת IP של היעד, האפליקציה והסוג שנצפו בפרק זמן של 5 שניות.
• ‫total_bytes – המספר הכולל של בייטים שהועברו בסשן.
• ‫total_packets – המספר הכולל של חבילות הנתונים שהועברו בסשן.