Esta página se ha traducido con Cloud Translation API.

Registros de amenazas

Los registros de amenazas te permiten auditar, verificar y analizar las amenazas detectadas en tu red.

Cuando Cloud Next Generation Firewall detecta una amenaza en el tráfico que se está monitorizando para la inspección de la capa 7, genera una entrada de registro en el proyecto de origen con los detalles de la amenaza. Para ver y examinar los registros de amenazas, en el Explorador de registros, busca el registro networksecurity.googleapis.com/firewall_threat. También puedes ver estos registros de amenazas en la página Amenazas.

En esta página se explica el formato y la estructura de los registros de amenazas que se generan cuando se detecta una amenaza.

Formato del registro de amenazas

Cloud NGFW crea una entrada de registro en Cloud Logging por cada amenaza detectada en el tráfico monitorizado hacia o desde una instancia de máquina virtual (VM) en una zona específica. Los registros de registro se incluyen en el campo de carga útil JSON de un LogEntry.

Algunos campos de registro tienen un formato de varios campos, con más de un dato en un campo determinado. Por ejemplo, el campo connection tiene el formato Connection y contiene la dirección IP y el puerto del servidor, la dirección IP y el puerto del cliente, y el número de protocolo en un solo campo.

En la siguiente tabla se describe el formato de los campos del registro de amenazas.

Campo	Tipo	Descripción
`connection`	`Connection`	Una tupla de 5 elementos que describe los parámetros de conexión asociados al tráfico en el que se detecta la amenaza.
`action`	`string`	La acción que se ha realizado en el paquete en el que se ha detectado la amenaza. Esta acción puede ser la acción predeterminada o la acción de anulación especificada en el perfil de seguridad. Nota: Cuando se detecta una amenaza con la acción de anulación `DENY`, el campo `action` muestra `DROP`, ya que el paquete se descarta, y se genera una alerta.
`threatDetails`	`ThreatDetails`	Los detalles de la amenaza detectada.
`securityProfileGroupDetails`	`SecurityProfileGroupDetails`	Detalles del grupo de perfiles de seguridad aplicado al tráfico interceptado.
`interceptVpc`	`VpcDetails`	Los detalles de la red de nube privada virtual (VPC) asociada a la instancia de VM en la que se ha detectado la amenaza.
`interceptInstance`	`InterceptInstance`	Detalles de la instancia de VM en la que se ha detectado la amenaza.

Formato de campo `Connection`

En la siguiente tabla se describe el formato del campo Connection.

Campo	Tipo	Descripción
`clientIp`	`string`	La dirección IP del cliente. Si el cliente es una VM de Compute Engine, `clientIp` es la dirección IP interna principal o una dirección de un intervalo de IPs de alias de la interfaz de red de la VM. No se muestra la dirección IP externa. Los registros muestran la dirección IP de la instancia de VM tal como se observa en el encabezado del paquete, de forma similar al volcado de TCP en la instancia de VM.
`clientPort`	`integer`	El número de puerto del cliente.
`serverIp`	`string`	La dirección IP del servidor. Si el servidor es una máquina virtual de Compute Engine, `serverIp` es la dirección IP interna principal o una dirección de un intervalo de IPs de alias de la interfaz de red de la máquina virtual. La dirección IP externa no se muestra aunque se use para establecer la conexión.
`serverPort`	`integer`	El número de puerto del servidor.
`protocol`	`string`	El protocolo IP de la conexión.

Formato de campo `ThreatDetails`

En la siguiente tabla se describe el formato del campo ThreatDetails.

Campo	Tipo	Descripción
`id`	`string`	Identificador único de la amenaza de Palo Alto Networks.
`threat`	`string`	Nombre de la amenaza detectada.
`description`	`string`	Una descripción detallada de la amenaza detectada.
`direction`	`string`	La dirección del tráfico. Por ejemplo, `client_to_server` o `server_to_client`.
`application`	`string`	La aplicación asociada a la amenaza detectada.
`severity`	`string`	La gravedad asociada a la amenaza detectada. Para obtener más información, consulta Niveles de gravedad de las amenazas.
`detectionTime`	`string`	La hora en la que se detecta la amenaza.
`category`	`string`	Subtipo de la amenaza detectada. Por ejemplo, `CODE_EXECUTION`.
`uriOrFilename`	`string`	El URI o el nombre de archivo de la amenaza pertinente (si procede).
`type`	`string`	Tipo de amenaza detectada. Por ejemplo, `SPYWARE`.
`repeatCount`	`integer`	Número de sesiones con la misma dirección IP de cliente, dirección IP de servidor y tipo de amenaza vistas en un plazo de cinco segundos.
`cves`	`string`	Una lista de vulnerabilidades y exposiciones comunes (CVEs) asociadas a la amenaza. Por ejemplo, `CVE-2021-44228-Apache Log4j remote code execution vulnerability`.

Formato de campo `SecurityProfileGroupDetails`

En la siguiente tabla se describe el formato del campo SecurityProfileGroupDetails.

Campo	Tipo	Descripción
`securityProfileGroupId`	`string`	Nombre del grupo de perfiles de seguridad que se aplica al tráfico.
`organizationId`	`integer`	El ID de la organización a la que pertenece la instancia de VM.

Formato de campo `VpcDetails`

En la siguiente tabla se describe el formato del campo VpcDetails.

Campo	Tipo	Descripción
`vpc`	`string`	Nombre de la red VPC asociada al tráfico interceptado.
`projectId`	`string`	Nombre del Google Cloud proyecto asociado a la red de VPC.

Formato de campo `InterceptInstance`

En la siguiente tabla se describe el formato del campo InterceptInstance.

Campo	Tipo	Descripción
`projectId`	`string`	Nombre del Google Cloud proyecto asociado al tráfico interceptado.
`vm`	`string`	Nombre de la instancia de VM asociada al tráfico interceptado.

Correlación de registros de amenazas con un registro de cortafuegos

Cuando un paquete coincide con una regla de cortafuegos que tiene habilitado el registro, Cloud NGFW registra una entrada de Almacenamiento de registros de reglas de cortafuegos. Esta entrada incluye campos como la dirección IP de origen, la dirección IP de destino y la hora de inspección del paquete. Para ver estos registros de reglas de cortafuegos, consulta Ver registros.

Si tiene una regla de política de cortafuegos para la inspección de la capa 7 con el registro habilitado, Cloud NGFW primero registra la entrada de registro de reglas de cortafuegos del paquete coincidente. A continuación, envía el paquete al endpoint del cortafuegos para que se inspeccione la capa 7. El endpoint del cortafuegos analiza el paquete en busca de amenazas. Si se detecta una amenaza, se crea un registro de amenazas independiente. Este registro de amenazas incluye campos como el tipo de amenaza, la fuente de la amenaza y el destino de la amenaza. Para ver los registros de amenazas, consulta Ver amenazas.

Puedes comparar los campos del registro de reglas de firewall y del registro de amenazas para identificar el paquete que ha activado la amenaza y tomar las medidas oportunas para resolverla.

Por ejemplo, supongamos que tiene una regla de política de cortafuegos configurada con los siguientes ajustes:

Dirección IP de origen: 192.0.2.0
Puerto de origen: 47644
Dirección IP de destino: 192.0.2.1
Puerto de destino: 80
Registro: Enabled

Para ver los registros de amenazas asociados a esta regla, vaya a la página Explorador de registros. En el panel Consulta, pega la siguiente consulta en el campo del editor de consultas.

    resource.type="networksecurity.googleapis.com/FirewallEndpoint"
    jsonPayload.source_ip_address="192.0.2.0"
    jsonPayload.source_port="47644"
    jsonPayload.destination_ip_address="192.0.2.1"
    jsonPayload.destination_port="80"

En la sección Resultados de la consulta se muestra el siguiente registro de amenazas:

    {
      insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
      jsonPayload: {
      action: "reset-server"
      alert_severity: "HIGH"
      alert_time: "2023-11-28T19:07:15Z"
      category: "info-leak"
      ▸ cves: [6]
      }
      destination_ip_address: "192.0.2.1"
      destination_port: "80"
      details:
      "This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
      attacker to access sensitive information and conduct further attacks."
      direction: "CLIENT_TO_SERVER"
      ip_protocol: "tcp"
      name: "Microsoft Windows win.ini Access Attempt Detected"
      network: "projects/XXXX/global/networks/fwplus-vpc.
      repeat_count: "1"
      security_profile_group:
      "organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
      source_ip_address: "192.0.2.0"
      source_port: "47644"
      threat_id: "30851"
      type: "vulnerability"
      uri_or_filename:
      logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
      receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
      ▸ resource: {2}
    }
    timestamp: "2023-11-28T19:08:47.560012184Z"

Del mismo modo, para ver los registros de cortafuegos asociados a esta regla, ve a la página Explorador de registros. En el panel Consulta, pega la siguiente consulta en el campo del editor de consultas.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

En la sección Resultados de la consulta se muestra el siguiente registro del cortafuegos:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id:XXXX
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Con las consultas de registros de amenazas y de firewall, puedes ver la correlación entre ellos. En la siguiente tabla se asignan los campos del registro del cortafuegos a los campos del registro de amenazas correspondientes.

Campo de registro de cortafuegos	Campo de registro de amenazas	Descripción
`src_ip`	`source_ip_address`	La dirección IP de origen del registro del cortafuegos se correlaciona con la dirección IP de origen del registro de amenazas para identificar el origen de la posible amenaza.
`src_port`	`source_port`	El puerto de origen del registro del cortafuegos se correlaciona con el puerto de origen del registro de amenazas para identificar el puerto de origen utilizado en la amenaza potencial.
`dest_ip`	`destination_ip_address`	La dirección IP de destino del registro del cortafuegos se correlaciona con la dirección IP de destino del registro de amenazas para identificar el objetivo de la amenaza potencial.
`dest_port`	`destination_port`	El puerto de destino del registro del cortafuegos se correlaciona con el puerto de destino del registro de amenazas para identificar el puerto de destino utilizado en la posible amenaza.

Registros de amenazas Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Formato del registro de amenazas

Formato de campo Connection

Formato de campo ThreatDetails

Formato de campo SecurityProfileGroupDetails

Formato de campo VpcDetails

Formato de campo InterceptInstance