Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cloud IDS-Bedrohungserkennungen

In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Cloud IDS-Ergebnisse werden von Cloud IDS generiert, Cloud IDS ist ein Sicherheitsdienst, der Traffic zu und von Ihren Google Cloud Ressourcen auf Bedrohungen überwacht. Wenn Cloud IDS eine Bedrohung erkennt, werden Informationen zur Bedrohung, z. B. die Quell-IP-Adresse, die Zieladresse und die Portnummer, an Event Threat Detection gesendet. Event Threat Detection generiert dann ein Bedrohungsergebnis.

Die Quelle von diesem Ergebnis ist Event Threat Detection.

Maßnahmen

So reagieren Sie auf dieses Ergebnis:

Schritt 1: Ergebnisdetails prüfen

Öffnen Sie das Cloud IDS: THREAT_ID Ergebnis, wie unter Ergebnisse prüfen beschrieben.
Sehen Sie sich in den Ergebnisdetails auf dem Tab Zusammenfassung die aufgeführten Werte in den folgenden Abschnitten an:
- Was wurde erkannt, insbesondere die folgenden Felder:
  - Protokoll: Das verwendete Netzwerkprotokoll
  - Ereigniszeit: Zeitpunkt des Ereignisses
  - Beschreibung: Weitere Informationen zum Ergebnis
  - Schweregrad: Schweregrad der Benachrichtigung
  - Ziel-IP: Ziel-IP des Netzwerkverkehrs
  - Zielport: Zielport des Netzwerkverkehrs
  - Quell-IP: Quell-IP des Netzwerkverkehrs
  - Quellport: Quellport des Netzwerkverkehrs
- Betroffene Ressource, insbesondere die folgenden Felder:
  - Vollständiger Name der Ressource: Das Projekt, das das Netzwerk mit der Bedrohung enthält
- Weitere Informationen, insbesondere die folgenden Felder:
  - Cloud Logging-URI: Link zu Cloud IDS-Logging Einträgen. Diese Einträge enthalten die erforderlichen Informationen, um im Threat Vault von Palo Alto Networks zu suchen.
- Erkennungsdienst
  - Ergebniskategorie : Der Name der Cloud IDS-Bedrohung
Klicken Sie auf den Tab JSON, um das vollständige JSON für das Ergebnis aufzurufen.

Schritt 2: Angriffs- und Reaktionsmethoden suchen

Nachdem Sie die Ergebnisdetails geprüft haben, finden Sie in der Cloud IDS-Dokumentation Informationen zum Untersuchen von Bedrohungsbenachrichtigungen , um eine geeignete Reaktion zu bestimmen.

Weitere Informationen zum erkannten Ereignis finden Sie im ursprünglichen Logeintrag. Klicken Sie dazu in den Ergebnisdetails auf den Link im Feld Cloud Logging-URI.

Beispiel für Ergebnis-JSON

Im Folgenden sehen Sie ein Beispiel für das Ergebnis-JSON.

{
  "finding": {
    "access": {},
    "attackExposure": {},
    "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/locations/global/findings/FINDING_ID",
    "category": "Cloud IDS: THREAT_ID",
    "cloudDlpDataProfile": {},
    "cloudDlpInspection": {},
    "connections": [
      {
        "destinationIp": "IP_ADDRESS",
        "destinationPort": PORT,
        "sourceIp": "IP_ADDRESS",
        "sourcePort": PORT,
        "protocol": "PROTOCOL"
      }
    ],
    "createTime": "TIMESTAMP",
    "database": {},
    "description": "This signature detects a payload in HTTP traffic which could possibly be malicious.",
    "eventTime": "TIMESTAMP",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/etd",
    "indicator": {},
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Event Threat Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "severity": "LOW",
    "state": "ACTIVE",
    "vulnerability": {},
    "externalSystems": {}
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "display_name": "PROJECT_DISPLAY_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "project_display_name": "ctd-engprod-project",
    "parent_name": "//cloudresourcemanager.googleapis.com/folders/PARENT_NUMBER",
    "parent_display_name": "PARENT_DISPLAY_NAME",
    "folders": [
      {
        "resource_folder": "//cloudresourcemanager.googleapis.com/folders/FOLDER_NUMBER",
        "resource_folder_display_name": "FOLDER_DISPLAY_NAME"
      }
    ]
  },
  "sourceProperties": {
    "sourceId": {
      "projectNumber": "PROJECT_NUMBER",
      "customerOrganizationNumber": "ORGANIZATION_ID"
    },
    "detectionCategory": {
      "ruleName": "cloud_ids_threat_activity"
    },
    "detectionPriority": "LOW",
    "affectedResources": [
      {
        "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
      }
    ],
    "evidence": [
      {
        "sourceLogId": {
          "projectId": "PROJECT_ID",
          "resourceContainer": "projects/PROJECT_ID",
          "timestamp": {
            "seconds": "TIMESTAMP",
            "nanos": TIMESTAMP
          },
          "insertId": "INSERT_ID"
        }
      }
    ],
    "properties": {},
    "findingId": "FINDING_ID",
    "contextUris": {
      "mitreUri": {
        "displayName": "MITRE Link"
      },
      "cloudLoggingQueryUri": [
        {
          "displayName": "Cloud Logging Query Link",
          "url": "LOGGING_QUERY_URI"
        }
      ],
      "relatedFindingUri": {}
    },
    "description": "THREAT_DESCRIPTION"
  }
}

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsergebnisse generieren