Informações de registo do Cloud IDS

Esta página descreve os registos criados pelos alertas de ameaças do Cloud IDS.

Registos de ameaças

Pode ver os registos gerados devido a ameaças na sua rede no Cloud Logging. Os registos usam um formato JSON com os seguintes campos:

  • threat_id - Identificador de ameaça exclusivo da Palo Alto Networks.
  • name - Nome da ameaça.
  • alert_severity - Gravidade da ameaça. Uma das seguintes opções: INFORMATIONAL, LOW, MEDIUM, HIGH ou CRITICAL.
  • type - Tipo de ameaça.
  • category - Subtipo da ameaça.
  • alert_time – Hora em que a ameaça foi descoberta.
  • network - Rede do cliente na qual a ameaça foi descoberta.
  • source_ip_address - Endereço IP de origem do tráfego suspeito. Quando usa um balanceador de carga, o endereço IP do cliente verdadeiro não está disponível, e este valor é o intervalo de endereços IP do front-end da Google (GFE).Google Cloud O valor pode ser 130.211.0.0/22 ou 35.191.0.0/16.
  • destination_ip_address - Endereço IP de destino do tráfego suspeito.
  • source_port - Porta de origem do tráfego suspeito.
  • destination_port – Porta de destino do tráfego suspeito.
  • ip_protocol - Protocolo IP do tráfego suspeito.
  • application - Tipo de aplicação do tráfego suspeito, por exemplo, SSH.
  • direction - Direção do tráfego suspeito (cliente para servidor ou servidor para cliente).
  • session_id - Um identificador numérico interno aplicado a cada sessão.
  • repeat_count - Número de sessões com o mesmo IP de origem, IP de destino, aplicação e tipo observados no prazo de 5 segundos.
  • uri_or_filename - URI ou nome do ficheiro da ameaça relevante, se aplicável.
  • cves: uma lista de CVEs associadas à ameaça
  • details – Informações adicionais sobre o tipo de ameaça, retiradas do ThreatVault da Palo Alto Networks.

Os campos JSON anteriores estão aninhados no campo jsonPayload do registo. O nome do registo dos registos de ameaças é projects/<consumer-project>/logs/ids.googleapis.com/threat.

Além disso, o campo labels.id do registo contém o nome do ponto final do Cloud IDS e o respetivo campo resource.type é ids.googleapis.com/Endpoint.

Exemplo de consulta

Esta consulta no Cloud Logging consulta o registo de ameaças do IDS no projeto na nuvem my-project, devolvendo todas as ameaças comunicadas pelo ponto final my-endpoint entre as 08:00 e as 09:00 de 4 de abril de 2021, hora do Pacífico (PST) (desvio de fuso horário de -07), em que a gravidade da ameaça foi marcada como ALTA.

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

Política de retenção

A retenção é determinada pelos contentores de armazenamento nos quais os registos estão localizados. Por predefinição, os registos são colocados no contentor _Default e, por predefinição, este contentor tem uma política de retenção de 30 dias.

Pode optar por filtrar os registos para diferentes contentores. Além disso, a retenção é configurável.

Se quiser uma política de retenção diferente dos 30 dias predefinidos, pode fazer uma das seguintes ações:

  • Filtre todos os registos para outro contentor e configure uma política de retenção.
  • Configure uma política de retenção personalizada para o contentor _Default. Isto afeta todos os outros registos no contentor _Default.

Registos de tráfego

Pode ver os registos gerados devido ao tráfego de rede no Cloud Logging. Os registos usam um formato JSON com os seguintes campos:

  • start_time – A hora de início da sessão.
  • elapsed_time – O tempo decorrido da sessão.
  • network: a rede associada ao ponto final de IDS.
  • source_ip_address - O endereço IP de origem do pacote.
  • source_port - A porta de origem do tráfego.
  • destination_ip_address - O endereço IP de destino do pacote.
  • destination_port – A porta de destino do tráfego.
  • ip_protocol - O protocolo IP do pacote.
  • application: a aplicação associada à sessão.
  • session_id - Um identificador numérico interno aplicado a cada sessão.
  • repeat_count - O número de sessões com o mesmo IP de origem, IP de destino, aplicação e tipo observados no prazo de 5 segundos.
  • total_bytes – O número total de bytes transferidos na sessão.
  • total_packets - O número total de pacotes transferidos na sessão.