Registros de amenazas

Los registros de amenazas te permiten auditar, verificar y analizar las amenazas detectadas en tu red.

Cuando el firewall de nueva generación de Cloud detecta una amenaza en el tráfico que se supervisa para la inspección de la capa 7, genera una entrada de registro en el proyecto de origen con los detalles de la amenaza. Para ver y examinar los registros de amenazas, en el Explorador de registros, busca el registro networksecurity.googleapis.com/firewall_threat. También puedes ver estos registros de amenazas en la página Amenazas.

En esta página, se explica el formato y la estructura de los registros de amenazas que se generan cuando se detecta una amenaza.

Formato de registro de amenazas

Cloud NGFW crea una entrada de registro en Cloud Logging para cada amenaza detectada en el tráfico supervisado desde o hacia una instancia de máquina virtual (VM) en una zona específica. Los registros se incluyen en el campo de carga útil de JSON de una LogEntry.

Algunos campos de registro se encuentran en formato de varios campos y poseen más de un dato en un campo específico. Por ejemplo, el campo connection tiene el formato Connection, que contiene el puerto y la dirección IP del servidor, la dirección IP y el puerto del cliente y el número de protocolo en un solo campo.

En la siguiente tabla, se describe el formato de los campos de registro de amenazas.

Campo Tipo Descripción
connection Connection Una tupla de 5 que describe los parámetros de conexión asociados con el tráfico en el que se detecta la amenaza.
action string La acción que se ejecuta en el paquete en el que se detecta la amenaza. Esta acción puede ser la predeterminada o la de anulación especificada en el perfil de seguridad.
threatDetails ThreatDetails Los detalles de la amenaza detectada.
securityProfileGroupDetails SecurityProfileGroupDetails Los detalles del grupo de perfiles de seguridad que se aplicaron al tráfico interceptado.
interceptVpc VpcDetails Los detalles de la red de nube privada virtual (VPC) asociada con la instancia de VM en la que se detecta la amenaza.

Formato del campo Connection

En la siguiente tabla, se describe el formato del campo Connection.

Campo Tipo Descripción
clientIp string La dirección IP de cliente. Si el cliente es una VM de Compute Engine, clientIp es la dirección IP interna principal o una dirección en un rango de alias de IP de la interfaz de red de la VM. No se muestra la dirección IP externa. Los registros muestran la dirección IP de la instancia de VM como se observa en el encabezado del paquete, similar al volcado de TCP en la instancia de VM.
clientPort integer El número de puerto del cliente.
serverIp string La dirección IP del servidor. Si el servidor es una VM de Compute Engine, serverIp es la dirección IP interna principal o una dirección en un rango de alias de IP de la interfaz de red de la VM. La dirección IP externa no se muestra aunque se haya usado para establecer la conexión.
serverPort integer El número de puerto del servidor.
protocol string El protocolo IP de la conexión.

Formato del campo ThreatDetails

En la siguiente tabla, se describe el formato del campo ThreatDetails.

Campo Tipo Descripción
id string El identificador único de amenazas de Palo Alto Networks.
threat string El nombre de la amenaza detectada.
description string Una descripción detallada de la amenaza detectada.
direction string La dirección del tráfico. Por ejemplo, client_to_server o server_to_client.
severity string La gravedad asociada con la amenaza detectada. Para obtener más información, consulta Niveles de gravedad de amenazas.
detectionTime string El momento en que se detecta la amenaza.
category string El subtipo de la amenaza detectada. Por ejemplo, CODE_EXECUTION.
uriOrFilename string El URI o el nombre de archivo de la amenaza relevante (si corresponde).
type string El tipo de amenaza detectada. Por ejemplo, SPYWARE.
repeatCount integer La cantidad de sesiones con la misma dirección IP del cliente, dirección IP del servidor y tipo de amenaza vistos en cinco segundos.
cves string Una lista de vulnerabilidades y riesgos comunes (CVE) asociados con la amenaza. Por ejemplo, CVE-2021-44228-Apache Log4j remote code execution vulnerability.

Formato del campo SecurityProfileGroupDetails

En la siguiente tabla, se describe el formato del campo SecurityProfileGroupDetails.

Campo Tipo Descripción
securityProfileGroupId string El nombre del grupo de perfiles de seguridad que se aplica al tráfico.
organizationId integer El ID de la organización al que pertenece la instancia de VM.

Formato del campo VpcDetails

En la siguiente tabla, se describe el formato del campo VpcDetails.

Campo Tipo Descripción
vpc string El nombre de la red de VPC asociada con el tráfico interceptado.
projectId string El nombre del proyecto de Google Cloud asociado a la red de VPC.

¿Qué sigue?