Bedrohungslogs

Mit Bedrohungslogs können Sie die in Ihrem Netzwerk erkannten Bedrohungen im Blick behalten, prüfen und analysieren.

Wenn Cloud Next Generation Firewall eine Bedrohung im Traffic erkennt, der für die Layer-7-Prüfung überwacht wird, generiert sie einen Logeintrag im ursprünglichen Projekt mit den Details zur Bedrohung. Suchen Sie im Log-Explorer nach dem Log networksecurity.googleapis.com/firewall_threat, um die Bedrohungslogs anzuzeigen und zu prüfen. Sie können diese Bedrohungsprotokolle auch auf der Seite Bedrohungen aufrufen.

Auf dieser Seite werden das Format und die Struktur der Bedrohungsprotokolle erläutert, die generiert werden, wenn eine Bedrohung erkannt wird.

Format von Bedrohungslogs

Cloud NGFW erstellt in Cloud Logging einen Logeintrag für jede Bedrohung, die für den überwachten Traffic zu oder von einer VM-Instanz in einer bestimmten Zone erkannt wird. Logeinträge werden im JSON-Nutzlastfeld eines LogEntry erfasst.

Einige Logfelder haben ein Mehrfeldformat mit mehr als einem Datenelement in einem bestimmten Feld. Das Feld connection hat beispielsweise das Format Connection. Dieses Format enthält die IP-Adresse und den Port des Servers, die IP-Adresse und den Port des Clients sowie die Protokollnummer in einem einzelnen Feld.

In der folgenden Tabelle wird das Format der Bedrohungslogfelder beschrieben.

Feld	Typ	Beschreibung
`connection`	`Connection`	Ein 5-Tupel, das die Verbindungsparameter beschreibt, die dem Traffic zugeordnet sind, bei dem die Bedrohung erkannt wird.
`action`	`string`	Die Aktion, die für das Paket ausgeführt wurde, in dem die Bedrohung erkannt wird. Diese Aktion kann entweder die Standardaktion oder die im Sicherheitsprofil angegebene Überschreibungsaktion sein. Hinweis: Wenn eine Bedrohung mit der `DENY`-Überschreibungsaktion erkannt wird, wird im Feld `action` `DROP` angezeigt, da das Paket verworfen wird und eine Benachrichtigung generiert wird.
`threatDetails`	`ThreatDetails`	Details zur erkannten Bedrohung.
`securityProfileGroupDetails`	`SecurityProfileGroupDetails`	Die Details der Sicherheitsprofilgruppe, die auf den abgefangenen Traffic angewendet wird.
`interceptVpc`	`VpcDetails`	Die Details des Virtual Private Cloud-Netzwerks (VPC), das mit der VM-Instanz verknüpft ist, in der die Bedrohung erkannt wird.

Format des Felds `Connection`

In der folgenden Tabelle wird das Format des Felds Connection beschrieben.

Feld	Typ	Beschreibung
`clientIp`	`string`	Die IP-Adresse des Clients. Wenn der Client eine Compute Engine-VM ist, ist `clientIp` entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben. Die Logs enthalten die im Paketheader beobachtete IP-Adresse der VM-Instanz, ähnlich wie der TCP-Dump auf der VM-Instanz.
`clientPort`	`integer`	Die Clientportnummer.
`serverIp`	`string`	Die IP-Adresse des Servers. Wenn die Quelle eine Compute Engine-VM ist, ist `serverIp` entweder die primäre interne IP-Adresse oder eine Adresse in einem Alias-IP-Bereich der Netzwerkschnittstelle einer VM. Die externe IP-Adresse wird nicht angegeben, auch wenn sie zur Herstellung der Verbindung verwendet wurde.
`serverPort`	`integer`	Die Server-Portnummer.
`protocol`	`string`	Das IP-Protokoll der Verbindung.

Format des Felds `ThreatDetails`

In der folgenden Tabelle wird das Format des Felds ThreatDetails beschrieben.

Feld	Typ	Beschreibung
`id`	`string`	Die eindeutige Bedrohungs-ID von Palo Alto Networks.
`threat`	`string`	Der Name der erkannten Bedrohung.
`description`	`string`	Eine detaillierte Beschreibung der erkannten Bedrohung.
`direction`	`string`	Die Richtung des Traffics. Beispiel: `client_to_server` oder `server_to_client`.
`severity`	`string`	Der Schweregrad der erkannten Bedrohung. Weitere Informationen finden Sie unter Schweregrade von Bedrohungen.
`detectionTime`	`string`	Die Zeit, zu der die Bedrohung erkannt wird.
`category`	`string`	Der Untertyp der erkannten Bedrohung. Beispiel: `CODE_EXECUTION`.
`uriOrFilename`	`string`	Der URI oder Dateiname der relevanten Bedrohung (falls zutreffend).
`type`	`string`	Die Art der erkannten Bedrohung. Beispiel: `SPYWARE`.
`repeatCount`	`integer`	Die Anzahl der Sitzungen mit derselben Client-IP-Adresse, Server-IP-Adresse und Bedrohungstyp, die innerhalb von fünf Sekunden erfasst wurden.
`cves`	`string`	Eine Liste der Common Vulnerabilities and Exposures (CVEs), die mit der Bedrohung in Verbindung stehen. Beispiel: `CVE-2021-44228-Apache Log4j remote code execution vulnerability`.

Format des Felds `SecurityProfileGroupDetails`

In der folgenden Tabelle wird das Format des Felds SecurityProfileGroupDetails beschrieben.

Feld	Typ	Beschreibung
`securityProfileGroupId`	`string`	Der Name der Sicherheitsprofilgruppe, die auf den Traffic angewendet wird.
`organizationId`	`integer`	Die Organisations-ID, zu der die VM-Instanz gehört.

Format des Felds `VpcDetails`

In der folgenden Tabelle wird das Format des Felds VpcDetails beschrieben.

Feld	Typ	Beschreibung
`vpc`	`string`	Der Name des VPC-Netzwerks, das dem abgefangenen Traffic zugeordnet ist.
`projectId`	`string`	Der Name des Google Cloud-Projekts, das mit dem VPC-Netzwerk verknüpft ist.

Nächste Schritte

Bedrohungen ansehen

Bedrohungslogs Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Format von Bedrohungslogs

Format des Felds Connection

Format des Felds ThreatDetails

Format des Felds SecurityProfileGroupDetails

Format des Felds VpcDetails