Los registros de amenazas te permiten auditar, verificar y analizar las amenazas detectadas en tu red.
Cuando el firewall de nueva generación de Cloud detecta una amenaza en el tráfico que
se supervisa para la inspección de la capa 7, genera una entrada de registro
en el proyecto de origen con los detalles de la amenaza. Para ver y examinar
los registros de amenazas, en el Explorador de registros,
busca el registro networksecurity.googleapis.com/firewall_threat.
También puedes ver estos registros de amenazas en la página Amenazas.
En esta página, se explica el formato y la estructura de los registros de amenazas que se generan cuando se detecta una amenaza.
Formato de registro de amenazas
Cloud NGFW crea una entrada de registro en Cloud Logging para cada amenaza detectada en el tráfico supervisado desde o hacia una instancia de máquina virtual (VM) en una zona específica. Los registros se incluyen en el campo de carga útil de JSON de una LogEntry.
Algunos campos de registro se encuentran en formato de varios campos y poseen más de un dato
en un campo específico. Por ejemplo, el campo connection tiene el formato Connection,
que contiene el puerto y la dirección IP del servidor, la dirección IP
y el puerto del cliente y el número de protocolo en un solo campo.
En la siguiente tabla, se describe el formato de los campos de registro de amenazas.
| Campo | Tipo | Descripción |
|---|---|---|
connection
|
Connection
|
Una tupla de 5 que describe los parámetros de conexión asociados con el tráfico en el que se detecta la amenaza. |
action
|
string
|
La acción que se ejecuta en el paquete en el que se detecta la amenaza. Esta acción puede ser la predeterminada o la de anulación especificada en el perfil de seguridad. |
threatDetails
|
ThreatDetails
|
Los detalles de la amenaza detectada. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
Los detalles del grupo de perfiles de seguridad que se aplicaron al tráfico interceptado. |
interceptVpc
|
VpcDetails
|
Los detalles de la red de nube privada virtual (VPC) asociada con la instancia de VM en la que se detecta la amenaza. |
interceptInstance
|
InterceptInstance
|
Los detalles de la instancia de VM en la que se detecta la amenaza. |
Formato del campo Connection
En la siguiente tabla, se describe el formato del campo Connection.
| Campo | Tipo | Descripción |
|---|---|---|
clientIp
|
string
|
La dirección IP de cliente. Si el cliente es una VM de Compute Engine, clientIp es la dirección IP interna principal o una dirección en un rango de alias de IP de la interfaz de red de la VM. No se muestra la dirección IP externa. Los registros muestran la dirección IP de la instancia de VM como se observa en el encabezado del paquete, similar al volcado de TCP en la instancia de VM.
|
clientPort
|
integer
|
El número de puerto del cliente. |
serverIp
|
string
|
La dirección IP del servidor. Si el servidor es una VM de Compute Engine, serverIp es la dirección IP interna principal o una dirección en un rango de alias de IP de la interfaz de red de la VM. La dirección IP externa no se muestra aunque se haya usado para establecer la conexión.
|
serverPort
|
integer
|
El número de puerto del servidor. |
protocol
|
string
|
El protocolo IP de la conexión. |
Formato del campo ThreatDetails
En la siguiente tabla, se describe el formato del campo ThreatDetails.
| Campo | Tipo | Descripción |
|---|---|---|
id
|
string
|
El identificador único de amenazas de Palo Alto Networks. |
threat
|
string
|
El nombre de la amenaza detectada. |
description
|
string
|
Una descripción detallada de la amenaza detectada. |
direction
|
string
|
La dirección del tráfico. Por ejemplo, client_to_server o server_to_client.
|
application
|
string
|
La aplicación asociada con la amenaza detectada. |
severity
|
string
|
La gravedad asociada con la amenaza detectada. Para obtener más información, consulta Niveles de gravedad de amenazas. |
detectionTime
|
string
|
El momento en que se detecta la amenaza. |
category
|
string
|
El subtipo de la amenaza detectada. Por ejemplo, CODE_EXECUTION.
|
uriOrFilename
|
string
|
El URI o el nombre de archivo de la amenaza relevante (si corresponde). |
type
|
string
|
El tipo de amenaza detectada. Por ejemplo, SPYWARE.
|
repeatCount
|
integer
|
La cantidad de sesiones con la misma dirección IP del cliente, dirección IP del servidor y tipo de amenaza vistos en cinco segundos. |
cves
|
string
|
Una lista de vulnerabilidades y riesgos comunes (CVE) asociados con la amenaza. Por ejemplo, CVE-2021-44228-Apache Log4j remote code execution vulnerability.
|
Formato del campo SecurityProfileGroupDetails
En la siguiente tabla, se describe el formato del campo
SecurityProfileGroupDetails.
| Campo | Tipo | Descripción |
|---|---|---|
securityProfileGroupId
|
string
|
El nombre del grupo de perfiles de seguridad que se aplica al tráfico. |
organizationId
|
integer
|
El ID de la organización al que pertenece la instancia de VM. |
Formato del campo VpcDetails
En la siguiente tabla, se describe el formato del campo VpcDetails.
| Campo | Tipo | Descripción |
|---|---|---|
vpc
|
string
|
El nombre de la red de VPC asociada con el tráfico interceptado. |
projectId
|
string
|
Es el nombre del Google Cloud proyecto asociado a la red de VPC. |
Formato del campo InterceptInstance
En la siguiente tabla, se describe el formato del campo InterceptInstance.
| Campo | Tipo | Descripción |
|---|---|---|
projectId
|
string
|
Es el nombre del Google Cloud proyecto asociado con el tráfico interceptado. |
vm
|
string
|
Es el nombre de la instancia de VM asociada con el tráfico interceptado. |
Correlación del registro de amenazas con un registro de firewall
Cuando un paquete coincide con una regla de firewall con el registro habilitado, el NGFW de Cloud registra una entrada de registro de reglas de firewall. Esta entrada incluye campos como la dirección IP de origen, la dirección IP de destino y la hora de inspección de paquetes. Para ver estos registros de reglas de firewall, consulta Visualiza registros.
Si tienes una regla de política de firewall para la inspección de la capa 7 con el registro habilitado, Cloud NGFW primero registra la entrada de registro de reglas de firewall para el paquete coincidente. Luego, envía el paquete al extremo de firewall para la inspección de la capa 7. El extremo de firewall analiza el paquete en busca de amenazas. Si se detecta una amenaza, se crea un registro de amenazas independiente. Este registro de amenazas incluye campos como el tipo de amenaza, la fuente y el destino. Para ver los registros de amenazas, consulta Visualiza amenazas.
Puedes comparar los campos del registro de reglas de firewall y del registro de amenazas para identificar el paquete que activó la amenaza y tomar las medidas adecuadas para resolverla.
Por ejemplo, tienes una regla de política de firewall configurada con la siguiente configuración:
- Dirección IP de origen:
192.0.2.0 - Puerto de origen:
47644 - Dirección IP de destino:
192.0.2.1 - Puerto de destino:
80 - Registro:
Enabled
Para ver los registros de amenazas asociados con esta regla, navega a la página Explorador de registros. En el panel Consulta, pega la siguiente consulta en el campo del editor de consultas.
resource.type="networksecurity.googleapis.com/FirewallEndpoint"
jsonPayload.source_ip_address="192.0.2.0"
jsonPayload.source_port="47644"
jsonPayload.destination_ip_address="192.0.2.1"
jsonPayload.destination_port="80"
En la sección Resultados de la consulta, se muestra el siguiente registro de amenazas:
{
insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
jsonPayload: {
action: "reset-server"
alert_severity: "HIGH"
alert_time: "2023-11-28T19:07:15Z"
category: "info-leak"
▸ cves: [6]
}
destination_ip_address: "192.0.2.1"
destination_port: "80"
details:
"This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
attacker to access sensitive information and conduct further attacks."
direction: "CLIENT_TO_SERVER"
ip_protocol: "tcp"
name: "Microsoft Windows win.ini Access Attempt Detected"
network: "projects/XXXX/global/networks/fwplus-vpc.
repeat_count: "1"
security_profile_group:
"organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
source_ip_address: "192.0.2.0"
source_port: "47644"
threat_id: "30851"
type: "vulnerability"
uri_or_filename:
logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
▸ resource: {2}
}
timestamp: "2023-11-28T19:08:47.560012184Z"
Del mismo modo, para ver los registros de firewall asociados con esta regla, ve a la página Explorador de registros. En el panel Consulta, pega la siguiente consulta en el campo del editor de consultas.
jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
jsonPayload.connection.src_ip="192.0.2.0"
jsonPayload.connection.src_port="47644"
jsonPayload.connection.dest_ip="192.0.2.1"
jsonPayload.connection.dest_port="80"
La sección Resultados de la consulta muestra el siguiente registro de firewall:
{
insertId: "qn82vdg109q3r9"
jsonPayload: {
connection: {
}
dest_ip: "192.0.2.1"
dest_port: 80
protocol: 6
src_ip: "192.0.2.0"
src_port: 47644
disposition: "INTERCEPTED"
►instance: {4}
▸ remote_instance: {4}
▸ remote_vpc: {3}
rule_details: {
action: "APPLY_SECURITY_PROFILE_GROUP"
apply_security_profile_fallback_action: "UNSPECIFIED"
direction: "INGRESS"
▸ ip_port_info: [1]
▼
priority: 6000
reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
source_range: [
1
0: "192.0.2.0/24"
target_secure_tag: [
0: "tagValues/281479199099651"
]
}
vpc: {
project_id:XXXX
subnetwork_name: "fwplus-us-central1-subnet"
vpc_name: "fwplus-vpc"
}
}
logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
resource: {2}
timestamp: "2023-11-28T19:08:40.207465099Z"
}
Con las consultas del registro de amenazas y del registro de firewall, puedes ver la correlacin entre ellos. En la siguiente tabla, se asignan los campos de registro del firewall a los campos de registro de amenazas correspondientes.
| Campo de registro de firewall | Campo de registro de amenazas | Descripción |
|---|---|---|
src_ip
|
source_ip_address
|
La dirección IP de origen en el registro del firewall se correlaciona con la dirección IP de origen en el registro de amenazas para identificar el origen de la posible amenaza. |
src_port
|
source_port
|
El puerto de origen en el registro del firewall se correlaciona con el puerto de origen en el registro de amenazas para identificar el puerto de origen que se usa en la posible amenaza. |
dest_ip
|
destination_ip_address
|
La dirección IP de destino en el registro del firewall se correlaciona con la dirección IP de destino en el registro de amenazas para identificar el objetivo de la posible amenaza. |
dest_port
|
destination_port
|
El puerto de destino en el registro del firewall se correlaciona con el puerto de destino en el registro de amenazas para identificar el puerto de destino que se usa en la posible amenaza. |