Log ancaman memungkinkan Anda mengaudit, memverifikasi, dan menganalisis ancaman yang terdeteksi di jaringan Anda.
Saat mendeteksi ancaman pada traffic yang sedang
dipantau untuk inspeksi Lapisan 7, Cloud Next Generation Firewall akan membuat entri log
di project asal dengan detail ancaman. Untuk melihat dan memeriksa log ancaman, di Logs Explorer, telusuri log networksecurity.googleapis.com/firewall_threat.
Anda juga dapat melihat log ancaman ini di halaman Ancaman.
Halaman ini menjelaskan format dan struktur log ancaman yang dibuat saat ancaman terdeteksi.
Format log ancaman
Cloud NGFW membuat entri data log di Cloud Logging untuk setiap ancaman yang terdeteksi pada traffic yang dipantau ke atau dari instance virtual machine (VM) di zona tertentu. Data log disertakan dalam kolom payload JSON dari LogEntry.
Beberapa kolom log menggunakan format multi-kolom, dengan lebih dari satu bagian data dalam kolom tertentu. Misalnya, kolom connection memiliki format Connection, yang berisi alamat IP dan port server, alamat IP dan port klien, serta nomor protokol dalam satu kolom.
Tabel berikut menjelaskan format kolom log ancaman.
| Kolom | Jenis | Deskripsi |
|---|---|---|
connection
|
Connection
|
5-tuple yang menjelaskan parameter koneksi yang terkait dengan traffic tempat ancaman terdeteksi. |
action
|
string
|
Tindakan yang dilakukan pada paket tempat ancaman terdeteksi. Tindakan ini dapat berupa tindakan default atau tindakan penggantian yang ditentukan dalam profil keamanan. |
threatDetails
|
ThreatDetails
|
Detail ancaman yang terdeteksi. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
Detail grup profil keamanan yang diterapkan ke traffic yang dicegat. |
interceptVpc
|
VpcDetails
|
Detail jaringan Virtual Private Cloud (VPC) yang terkait dengan instance VM tempat ancaman terdeteksi. |
interceptInstance
|
InterceptInstance
|
Detail instance VM tempat ancaman terdeteksi. |
Format kolom Connection
Tabel berikut menjelaskan format kolom Connection.
| Kolom | Jenis | Deskripsi |
|---|---|---|
clientIp
|
string
|
Alamat IP klien. Jika klien adalah VM Compute Engine, clientIp adalah alamat IP internal utama atau alamat dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan. Log menampilkan alamat IP instance VM seperti yang diamati pada header paket, mirip dengan dump TCP di instance VM.
|
clientPort
|
integer
|
Nomor port klien. |
serverIp
|
string
|
Alamat IP server. Jika server adalah VM Compute Engine, serverIp adalah alamat IP internal utama atau alamat dalam rentang IP alias antarmuka jaringan VM. Alamat IP eksternal tidak ditampilkan meskipun digunakan untuk membuat koneksi.
|
serverPort
|
integer
|
Nomor port server. |
protocol
|
string
|
Protokol IP koneksi. |
Format kolom ThreatDetails
Tabel berikut menjelaskan format kolom ThreatDetails.
| Kolom | Jenis | Deskripsi |
|---|---|---|
id
|
string
|
ID ancaman Palo Alto Networks yang unik. |
threat
|
string
|
Nama ancaman yang terdeteksi. |
description
|
string
|
Deskripsi mendetail tentang ancaman yang terdeteksi. |
direction
|
string
|
Arah lalu lintas. Misalnya client_to_server atau server_to_client.
|
application
|
string
|
Aplikasi yang terkait dengan ancaman yang terdeteksi. |
severity
|
string
|
Tingkat keparahan yang terkait dengan ancaman yang terdeteksi. Untuk mengetahui informasi selengkapnya, lihat Tingkat keparahan ancaman. |
detectionTime
|
string
|
Waktu saat ancaman terdeteksi. |
category
|
string
|
Subjenis ancaman yang terdeteksi. Misalnya, CODE_EXECUTION.
|
uriOrFilename
|
string
|
URI atau nama file ancaman yang relevan (jika ada). |
type
|
string
|
Jenis ancaman yang terdeteksi. Misalnya, SPYWARE.
|
repeatCount
|
integer
|
Jumlah sesi dengan alamat IP klien, alamat IP server, dan jenis ancaman yang sama yang terlihat dalam waktu lima detik. |
cves
|
string
|
Daftar Kerentanan dan Eksposur Umum (CVE) yang terkait dengan ancaman. Contoh, CVE-2021-44228-Apache Log4j remote code execution vulnerability.
|
Format kolom SecurityProfileGroupDetails
Tabel berikut menjelaskan format kolom SecurityProfileGroupDetails.
| Kolom | Jenis | Deskripsi |
|---|---|---|
securityProfileGroupId
|
string
|
Nama grup profil keamanan yang diterapkan ke traffic. |
organizationId
|
integer
|
ID organisasi tempat instance VM berada. |
Format kolom VpcDetails
Tabel berikut menjelaskan format kolom VpcDetails.
| Kolom | Jenis | Deskripsi |
|---|---|---|
vpc
|
string
|
Nama jaringan VPC yang terkait dengan traffic yang dicegat. |
projectId
|
string
|
Nama project Google Cloud yang terkait dengan jaringan VPC. |
Format kolom InterceptInstance
Tabel berikut menjelaskan format kolom InterceptInstance.
| Kolom | Jenis | Deskripsi |
|---|---|---|
projectId
|
string
|
Nama project Google Cloud yang terkait dengan traffic yang dicegat. |
vm
|
string
|
Nama instance VM yang terkait dengan traffic yang dicegat. |
Korelasi log ancaman dengan log firewall
Saat paket cocok dengan aturan firewall dengan logging diaktifkan, Cloud NGFW akan mencatat entri Logging Aturan Firewall ke dalam log. Entri ini mencakup kolom seperti alamat IP sumber, alamat IP tujuan, dan waktu inspeksi paket. Untuk melihat log aturan firewall ini, lihat Melihat log.
Jika Anda memiliki aturan kebijakan firewall untuk inspeksi Lapisan 7 dengan logging diaktifkan, Cloud NGFW akan mencatat entri Logging Aturan Firewall untuk paket yang cocok terlebih dahulu. Kemudian, paket akan dikirim ke endpoint firewall untuk inspeksi Lapisan 7. Endpoint firewall menganalisis paket untuk mendeteksi ancaman. Jika ancaman terdeteksi, log ancaman terpisah akan dibuat. Log ancaman ini mencakup kolom seperti jenis ancaman, sumber ancaman, dan tujuan ancaman. Untuk melihat log ancaman, lihat Melihat ancaman.
Anda dapat membandingkan kolom di log aturan firewall dan log ancaman untuk mengidentifikasi paket yang memicu ancaman dan mengambil tindakan yang sesuai untuk mengatasinya.
Misalnya, Anda memiliki aturan kebijakan firewall yang dikonfigurasi dengan setelan berikut:
- Alamat IP sumber:
192.0.2.0 - Port sumber:
47644 - Alamat IP tujuan:
192.0.2.1 - Port tujuan:
80 - Logging:
Enabled
Untuk melihat log ancaman yang terkait dengan aturan ini, buka halaman Logs Explorer. Di panel Query, tempel kueri berikut ke dalam kolom editor kueri.
resource.type="networksecurity.googleapis.com/FirewallEndpoint"
jsonPayload.source_ip_address="192.0.2.0"
jsonPayload.source_port="47644"
jsonPayload.destination_ip_address="192.0.2.1"
jsonPayload.destination_port="80"
Bagian Query results menampilkan log ancaman berikut:
{
insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
jsonPayload: {
action: "reset-server"
alert_severity: "HIGH"
alert_time: "2023-11-28T19:07:15Z"
category: "info-leak"
▸ cves: [6]
}
destination_ip_address: "192.0.2.1"
destination_port: "80"
details:
"This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
attacker to access sensitive information and conduct further attacks."
direction: "CLIENT_TO_SERVER"
ip_protocol: "tcp"
name: "Microsoft Windows win.ini Access Attempt Detected"
network: "projects/XXXX/global/networks/fwplus-vpc.
repeat_count: "1"
security_profile_group:
"organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
source_ip_address: "192.0.2.0"
source_port: "47644"
threat_id: "30851"
type: "vulnerability"
uri_or_filename:
logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
▸ resource: {2}
}
timestamp: "2023-11-28T19:08:47.560012184Z"
Demikian pula, untuk melihat log firewall yang terkait dengan aturan ini, buka halaman Logs Explorer. Di panel Query, tempel kueri berikut ke dalam kolom editor kueri.
jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
jsonPayload.connection.src_ip="192.0.2.0"
jsonPayload.connection.src_port="47644"
jsonPayload.connection.dest_ip="192.0.2.1"
jsonPayload.connection.dest_port="80"
Bagian Query results menampilkan log firewall berikut:
{
insertId: "qn82vdg109q3r9"
jsonPayload: {
connection: {
}
dest_ip: "192.0.2.1"
dest_port: 80
protocol: 6
src_ip: "192.0.2.0"
src_port: 47644
disposition: "INTERCEPTED"
►instance: {4}
▸ remote_instance: {4}
▸ remote_vpc: {3}
rule_details: {
action: "APPLY_SECURITY_PROFILE_GROUP"
apply_security_profile_fallback_action: "UNSPECIFIED"
direction: "INGRESS"
▸ ip_port_info: [1]
▼
priority: 6000
reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
source_range: [
1
0: "192.0.2.0/24"
target_secure_tag: [
0: "tagValues/281479199099651"
]
}
vpc: {
project_id:XXXX
subnetwork_name: "fwplus-us-central1-subnet"
vpc_name: "fwplus-vpc"
}
}
logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
resource: {2}
timestamp: "2023-11-28T19:08:40.207465099Z"
}
Dengan kueri log ancaman dan log firewall, Anda dapat melihat korelasi di antara keduanya. Tabel berikut memetakan kolom log firewall ke kolom log ancaman yang sesuai.
| Kolom log firewall | Kolom log ancaman | Deskripsi |
|---|---|---|
src_ip
|
source_ip_address
|
Alamat IP sumber di log firewall dikorelasikan dengan alamat IP sumber di log ancaman untuk mengidentifikasi asal potensi ancaman |
src_port
|
source_port
|
Port sumber dalam log firewall berkorelasi dengan port sumber dalam log ancaman untuk mengidentifikasi port sumber yang digunakan dalam potensi ancaman |
dest_ip
|
destination_ip_address
|
Alamat IP tujuan dalam log firewall dikorelasikan dengan alamat IP tujuan dalam log ancaman untuk menentukan target potensi ancaman |
dest_port
|
destination_port
|
Port tujuan dalam log firewall dikorelasikan dengan port tujuan dalam log ancaman untuk mengidentifikasi port tujuan yang digunakan dalam potensi ancaman |