Esta página descreve os registros criados pelos alertas de ameaças do Cloud IDS.
Registros de ameaças
É possível conferir os registros gerados devido a ameaças na sua rede no Cloud Logging. Os registros usam um formato JSON com os seguintes campos:
threat_id
: identificador exclusivo de ameaças da Palo Alto Networks.name
– nome da ameaça.alert_severity
: gravidade da ameaça. Um deINFORMATIONAL
,LOW
,MEDIUM
,HIGH
ouCRITICAL
.type
: tipo de ameaça.category
: subtipo da ameaça.alert_time
: o horário em que a ameaça foi descoberta.network
: rede do cliente em que a ameaça foi descoberta.source_ip_address
: endereço IP de origem do tráfego suspeito. Quando você usa um balanceador de carga do Google Cloud, o endereço IP do cliente verdadeiro não é disponível, e esse valor é o intervalo de endereços IP do servidor da Web fim (GFE). O valor pode ser130.211.0.0/22
ou35.191.0.0/16
.destination_ip_address
: endereço IP de destino do tr�fego suspeito.source_port
: porta de origem do tr�fego suspeito.destination_port
: porta de destino do tr�fego suspeito.ip_protocol
: protocolo IP do tr�fego suspeito.application
: tipo de aplicativo do tr�fego suspeito, por exemplo, SSH.direction
: dire��o suspeita do tr�fego (cliente para servidor ou servidor para cliente).session_id
: um identificador num�rico interno aplicado a cada sess�o.repeat_count
: n�mero de sess�es com o mesmo IP de origem, IP de destino, aplica��o e tipo encontrados em 5 segundos.uri_or_filename
: URI ou nome de arquivo da amea�a relevante, se aplic�vel.cves
: uma lista de CVEs associadas � amea�a.details
: informa��es adicionais sobre o tipo de amea�a, retiradas do ThreatVault da Palo Alto Networks.
Os campos JSON anteriores s�o aninhados no campo jsonPayload
do registro. O
nome do registro de amea�as �
projects/<consumer-project>/logs/ids.googleapis.com/threat
.
Al�m disso, o campo labels.id
do registro cont�m o endpoint do Cloud IDS
e o campo resource.type
� ids.googleapis.com/Endpoint
.
Amostra de consulta
Esta consulta no Cloud Logging consulta o registro de amea�as do SDI no projeto na nuvem
my-project
, retornando todas as amea�as informadas pelo
Endpoint my-endpoint
entre 8h e 9h em 4 de abril de 2021, no hor�rio PST
(compensa��o de fuso hor�rio -07), onde a gravidade da amea�a foi marcada como ALTA.
logName="projects/my-project/logs/ids.googleapis.com/threat" AND resource.type="ids.googleapis.com/Endpoint" AND resource.labels.id="my-endpoint" AND timestamp >= "2021-04-18T08:00:00-07" AND timestamp <= "2021-04-18T09:00:00-07" AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
Pol�tica de reten��o
A reten��o � determinada pelos buckets de armazenamento em que os registros est�o localizados.
Por padr�o, os registros s�o colocados no bucket _Default
, que tem uma pol�tica de reten��o de 30 dias.
� poss�vel filtrar registros para diferentes buckets. Al�m disso, a reten��o � e configur�vel.
Se voc� quiser uma pol�tica de reten��o diferente do padr�o de 30 dias, uma das seguintes op��es:
- Filtrar todos os registros para outro bucket e configurar uma pol�tica de reten��o.
- Configure uma pol�tica de reten��o personalizada para o bucket
_Default
. Isso vai afetar todos os outros registros no bucket_Default
.
Registros de tr�fego
� poss�vel conferir os registros gerados devido ao tr�fego de rede no Cloud Logging. Os registros usam um formato JSON com os seguintes campos:
start_time
: hor�rio de in�cio da sess�o.elapsed_time
: o tempo decorrido da sess�o.network
: a rede associada ao endpoint do IDS.source_ip_address
: o endere�o IP de origem do pacote.source_port
: a porta de origem do tr�fego.destination_ip_address
: o endere�o IP de destino do pacote.destination_port
: a porta de destino do tr�fego.ip_protocol
: o protocolo IP do pacote.application
: o aplicativo associado � sess�o.session_id
: um identificador num�rico interno aplicado a cada sess�o.repeat_count
: o n�mero de sess�es com o mesmo IP de origem, IP de destino aplicativo e tipo visto em at� 5 segundos.total_bytes
: o n�mero total de bytes transferidos na sess�o.total_packets
: o n�mero total de pacotes transferidos na sess�o.