Cloud IDS 記錄資訊

本頁面說明 Cloud IDS 威脅警告產生的記錄。

威脅記錄

您可以在 Cloud Logging 查看網路威脅產生的記錄。記錄採用 JSON 格式,並包含下列欄位:

  • threat_id:Palo Alto Networks 的威脅專屬 ID。
  • name:威脅名稱。
  • alert_severity:威脅嚴重性,分為 INFORMATIONAL (參考用)、LOW (低)、MEDIUM (中)、HIGH (高) 或 CRITICAL (重大)。
  • type:威脅類型。
  • category:威脅子類型。
  • alert_time:發現威脅的時間。
  • network:威脅所在的客戶網路。
  • source_ip_address:可疑流量的來源 IP 位址。如果使用Google Cloud 負載平衡器,系統不會提供真正的用戶端 IP 位址,這個欄位會顯示 Google Front End (GFE) 的 IP 位址範圍。可能的值為 130.211.0.0/2235.191.0.0/16
  • destination_ip_address:可疑流量的目的地 IP 位址。
  • source_port:可疑流量的來源通訊埠。
  • destination_port:可疑流量的目標通訊埠。
  • ip_protocol:可疑流量的 IP 通訊協定。
  • application:可疑流量的應用程式類型,例如 SSH。
  • direction:可疑流量的方向 (用戶端到伺服器,或伺服器到用戶端)。
  • session_id:套用於各個工作階段的內部數值 ID。
  • repeat_count:系統在 5 秒內偵測到來源 IP、目的地 IP、應用程式和類型相同的工作階段數。
  • uri_or_filename:相關威脅的 URI 或檔案名稱 (如適用)。
  • cves:與威脅相關的 CVE 清單
  • details:威脅類型的其他資訊,取自 Palo Alto Networks 的 Threat Vault。

上述 JSON 欄位會以巢狀形式列在記錄的 jsonPayload 欄位底下。威脅記錄的名稱為 projects/<consumer-project>/logs/ids.googleapis.com/threat

此外,記錄的「labels.id」欄位中會有 Cloud IDS 端點的名稱,而「resource.type」欄位的值為 ids.googleapis.com/Endpoint

查詢範例

以下 Cloud Logging 查詢會查詢雲端專案 my-project 中的 IDS 威脅記錄,並傳回太平洋標準時間 (時區偏移 -07) 2021 年 4 月 4 日上午 8 點至 9 點之間,由 my-endpoint 端點回報且威脅嚴重性標為「HIGH」(高) 的所有威脅。

 logName="projects/my-project/logs/ids.googleapis.com/threat"    AND resource.type="ids.googleapis.com/Endpoint"    AND resource.labels.id="my-endpoint"    AND timestamp >= "2021-04-18T08:00:00-07"    AND timestamp <= "2021-04-18T09:00:00-07"    AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

資料保留政策

保留期限取決於記錄所在的儲存空間 bucket。記錄預設會放在 _Default bucket,而這個 bucket 預設會套用期限為 30 天的資料保留政策。

您可以選擇將記錄篩選到不同 bucket,也可以設定保留期限。

如果希望資料保留政策不是採用預設的 30 天期限,可採取下列任一做法:

  • 將所有記錄篩選至另一個 bucket,並設定資料保留政策。
  • _Default bucket 設定自訂資料保留政策。如果這麼做,_Default bucket 中其他所有記錄都會受影響。

流量記錄

您可以在 Cloud Logging 查看網路流量產生的記錄。記錄採用 JSON 格式,並包含下列欄位:

  • start_time:工作階段開始時間。
  • elapsed_time:工作階段經過時間。
  • network:與 IDS 端點相關聯的網路。
  • source_ip_address:封包的來源 IP 位址。
  • source_port:流量的來源通訊埠。
  • destination_ip_address:封包的目的地 IP 位址。
  • destination_port:流量的目標通訊埠。
  • ip_protocol:封包的 IP 通訊協定。
  • application:與工作階段相關聯的應用程式。
  • session_id:套用於各個工作階段的內部數值 ID。
  • repeat_count:系統在 5 秒內偵測到來源 IP、目的地 IP、應用程式和類型相同的工作階段數。
  • total_bytes:工作階段中傳輸的位元組總數。
  • total_packets:工作階段中傳輸的封包總數。