Questa pagina è stata tradotta dall'API Cloud Translation.

Log delle minacce
Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

I log delle minacce ti consentono di controllare, verificare e analizzare le minacce rilevate nella tua rete.

Quando Cloud Next Generation Firewall rileva una minaccia nel traffico monitorato per l'ispezione di livello 7, genera una voce di log nel progetto di origine con i dettagli della minaccia. Per visualizzare ed esaminare i log delle minacce, in Esplora log, cerca il log networksecurity.googleapis.com/firewall_threat. Puoi visualizzare questi log delle minacce anche nella pagina Minacce.

Questa pagina spiega il formato e la struttura dei log delle minacce che vengono generati quando viene rilevata una minaccia.

Formato dei log delle minacce

Cloud NGFW crea una voce di record di log in Cloud Logging per ogni minaccia rilevata sul traffico monitorato verso o da un'istanza di macchina virtuale (VM) in una zona specifica. I record dei log sono inclusi nel campo del payload JSON di un LogEntry.

Alcuni campi di log sono in un formato con più campi, con più di un dato in un determinato campo. Ad esempio, il campo connection è nel formato Connection, che contiene l'indirizzo IP e la porta del server, l'indirizzo IP e la porta del client e il numero di protocollo in un unico campo.

La tabella seguente descrive il formato dei campi dei log delle minacce.

Campo	Tipo	Descrizione
`connection`	`Connection`	Un quintuple che descrive i parametri di connessione associati al traffico in cui viene rilevata la minaccia.
`action`	`string`	L'azione eseguita sul pacchetto in cui viene rilevata la minaccia. Questa azione può essere l'azione predefinita o l'azione di override specificata nel profilo di sicurezza. Nota: quando viene rilevata una minaccia con l'azione di override `DENY`, il campo `action` mostra `DROP` quando il pacchetto viene eliminato e viene generato un avviso.
`threatDetails`	`ThreatDetails`	I dettagli della minaccia rilevata.
`securityProfileGroupDetails`	`SecurityProfileGroupDetails`	I dettagli del gruppo di profili di sicurezza applicato al traffico intercettato.
`interceptVpc`	`VpcDetails`	I dettagli della rete Virtual Private Cloud (VPC) associata all'istanza VM in cui viene rilevata la minaccia.
`interceptInstance`	`InterceptInstance`	I dettagli dell'istanza VM in cui viene rilevata la minaccia.

Formato del campo `Connection`

La tabella seguente descrive il formato del campo Connection.

Campo	Tipo	Descrizione
`clientIp`	`string`	L'indirizzo IP del client. Se il client è una VM Compute Engine, `clientIp` è l'indirizzo IP interno principale o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene visualizzato. I log mostrano l'indirizzo IP dell'istanza VM osservato nell'intestazione del pacchetto, in modo simile al dump TCP nell'istanza VM.
`clientPort`	`integer`	Il numero di porta del client.
`serverIp`	`string`	L'indirizzo IP del server. Se il server è una VM Compute Engine, `serverIp` è l'indirizzo IP interno principale o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene visualizzato anche se viene utilizzato per effettuare la connessione.
`serverPort`	`integer`	Il numero di porta del server.
`protocol`	`string`	Il protocollo IP della connessione.

Formato del campo `ThreatDetails`

La tabella seguente descrive il formato del campo ThreatDetails.

Campo	Tipo	Descrizione
`id`	`string`	L'identificatore univoco della minaccia Palo Alto Networks.
`threat`	`string`	Il nome della minaccia rilevata.
`description`	`string`	Una descrizione dettagliata della minaccia rilevata.
`direction`	`string`	La direzione del traffico. Ad esempio, `client_to_server` o `server_to_client`.
`severity`	`string`	La gravità associata alla minaccia rilevata. Per ulteriori informazioni, consulta la sezione Livelli di gravità delle minacce.
`detectionTime`	`string`	La data e l'ora in cui viene rilevata la minaccia.
`category`	`string`	Il sottotipo della minaccia rilevata. Ad esempio, `CODE_EXECUTION`.
`uriOrFilename`	`string`	L'URI o il nome file della minaccia pertinente (se applicabile).
`type`	`string`	Il tipo di minaccia rilevata. Ad esempio, `SPYWARE`.
`repeatCount`	`integer`	Il numero di sessioni con lo stesso indirizzo IP client, indirizzo IP server e tipo di minaccia rilevati entro cinque secondi.
`cves`	`string`	Un elenco di vulnerabilità ed esposizioni comuni (CVE) associate alla minaccia. Ad esempio, `CVE-2021-44228-Apache Log4j remote code execution vulnerability`.

Formato del campo `SecurityProfileGroupDetails`

La tabella seguente descrive il formato del campo SecurityProfileGroupDetails.

Campo	Tipo	Descrizione
`securityProfileGroupId`	`string`	Il nome del gruppo di profili di sicurezza applicato al traffico.
`organizationId`	`integer`	L'ID organizzazione a cui appartiene l'istanza VM.

Formato del campo `VpcDetails`

La tabella seguente descrive il formato del campo VpcDetails.

Campo	Tipo	Descrizione
`vpc`	`string`	Il nome della rete VPC associata al traffico intercettato.
`projectId`	`string`	Il nome del progetto Google Cloud associato alla rete VPC.

Formato del campo `InterceptInstance`

La tabella seguente descrive il formato del campo InterceptInstance.

Campo	Tipo	Descrizione
`projectId`	`string`	Il nome del progetto Google Cloud associato al traffico intercettato.
`vm`	`string`	Il nome dell'istanza VM associata al traffico intercettato.

Correlazione dei log delle minacce con un log del firewall

Quando un pacchetto corrisponde a una regola firewall con il logging abilitato, Cloud NGFW registra una voce Logging regole firewall. Questa voce include campi come l'indirizzo IP di origine, l'indirizzo IP di destinazione e l'ora dell'ispezione del pacchetto. Per visualizzare questi log delle regole del firewall, consulta Visualizzare i log.

Se hai una regola del criterio firewall per l'ispezione di livello 7 con il logging attivo, Cloud NGFW registra prima la voce di logging delle regole firewall per il pacchetto corrispondente. Quindi, invia il pacchetto all'endpoint firewall per l'ispezione di livello 7. L'endpoint firewall analizza il pacchetto per rilevare eventuali minacce. Se viene rilevata una minaccia, viene creato un log delle minacce separato. Questo log delle minacce include campi come il tipo di minaccia, la sorgente e la destinazione della minaccia. Per visualizzare i log delle minacce, consulta Visualizzare le minacce.

Puoi confrontare i campi nel log delle regole del firewall e nel log delle minacce per identificare il pacchetto che ha attivato la minaccia e intraprendere le azioni appropriate per risolverlo.

Ad esempio, hai una regola del criterio firewall configurata con le seguenti impostazioni:

Indirizzo IP di origine: 192.0.2.0
Porta di origine: 47644
Indirizzo IP di destinazione: 192.0.2.1
Porta di destinazione: 80
Log: Enabled

Per visualizzare i log delle minacce associati a questa regola, vai alla pagina Esplora log. Nel riquadro Query, incolla la seguente query nel campo dell'editor di query.

    resource.type="networksecurity.googleapis.com/FirewallEndpoint"
    jsonPayload.source_ip_address="192.0.2.0"
    jsonPayload.source_port="47644"
    jsonPayload.destination_ip_address="192.0.2.1"
    jsonPayload.destination_port="80"

La sezione Risultati delle query mostra il seguente log delle minacce:

    {
      insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
      jsonPayload: {
      action: "reset-server"
      alert_severity: "HIGH"
      alert_time: "2023-11-28T19:07:15Z"
      category: "info-leak"
      ▸ cves: [6]
      }
      destination_ip_address: "192.0.2.1"
      destination_port: "80"
      details:
      "This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
      attacker to access sensitive information and conduct further attacks."
      direction: "CLIENT_TO_SERVER"
      ip_protocol: "tcp"
      name: "Microsoft Windows win.ini Access Attempt Detected"
      network: "projects/XXXX/global/networks/fwplus-vpc.
      repeat_count: "1"
      security_profile_group:
      "organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
      source_ip_address: "192.0.2.0"
      source_port: "47644"
      threat_id: "30851"
      type: "vulnerability"
      uri_or_filename:
      logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
      receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
      ▸ resource: {2}
    }
    timestamp: "2023-11-28T19:08:47.560012184Z"

Analogamente, per visualizzare i log firewall associati a questa regola, vai alla pagina Esplora log. Nel riquadro Query, incolla la seguente query nel campo dell'editor di query.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

La sezione Risultati delle query mostra il seguente log del firewall:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id:XXXX
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Con le query dei log delle minacce e dei log del firewall puoi visualizzare la correlazione tra di loro. La tabella seguente mappa i campi dei log del firewall ai campi dei log delle minacce corrispondenti.

Campo del log del firewall	Campo del log delle minacce	Descrizione
`src_ip`	`source_ip_address`	L'indirizzo IP di origine nel log del firewall è correlato all'indirizzo IP di origine nel log delle minacce per identificare l'origine della potenziale minaccia
`src_port`	`source_port`	La porta di origine nel log del firewall è correlata alla porta di origine nel log delle minacce per identificare la porta di origine utilizzata nella potenziale minaccia
`dest_ip`	`destination_ip_address`	L'indirizzo IP di destinazione nel log del firewall è correlato all'indirizzo IP di destinazione nel log delle minacce per individuare con precisione la destinazione della potenziale minaccia
`dest_port`	`destination_port`	La porta di destinazione nel log del firewall è correlata alla porta di destinazione nel log delle minacce per identificare la porta di destinazione utilizzata nella potenziale minaccia

Log delle minacce Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Formato dei log delle minacce

Formato del campo Connection

Formato del campo ThreatDetails

Formato del campo SecurityProfileGroupDetails

Formato del campo VpcDetails

Formato del campo InterceptInstance