I log delle minacce ti consentono di controllare, verificare e analizzare le minacce rilevate nella tua rete.
Quando Cloud Next Generation Firewall rileva una minaccia nel traffico monitorato per l'ispezione di livello 7, genera una voce di log nel progetto di origine con i dettagli della minaccia. Per visualizzare ed esaminare
i log delle minacce, in Esplora log,
cerca il log networksecurity.googleapis.com/firewall_threat.
Puoi visualizzare questi log delle minacce anche nella pagina Minacce.
Questa pagina spiega il formato e la struttura dei log delle minacce che vengono generati quando viene rilevata una minaccia.
Formato dei log delle minacce
Cloud NGFW crea una voce di record di log in Cloud Logging per ogni minaccia rilevata sul traffico monitorato verso o da un'istanza di macchina virtuale (VM) in una zona specifica. I record dei log sono inclusi nel campo del payload JSON di un LogEntry.
Alcuni campi di log sono in un formato con più campi, con più di un dato
in un determinato campo. Ad esempio, il campo connection è nel formato Connection, che contiene l'indirizzo IP e la porta del server, l'indirizzo IP e la porta del client e il numero di protocollo in un unico campo.
La tabella seguente descrive il formato dei campi dei log delle minacce.
| Campo | Tipo | Descrizione |
|---|---|---|
connection
|
Connection
|
Un quintuple che descrive i parametri di connessione associati al traffico in cui viene rilevata la minaccia. |
action
|
string
|
L'azione eseguita sul pacchetto in cui viene rilevata la minaccia. Questa azione può essere l'azione predefinita o l'azione di override specificata nel profilo di sicurezza. |
threatDetails
|
ThreatDetails
|
I dettagli della minaccia rilevata. |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
I dettagli del gruppo di profili di sicurezza applicato al traffico intercettato. |
interceptVpc
|
VpcDetails
|
I dettagli della rete Virtual Private Cloud (VPC) associata all'istanza VM in cui viene rilevata la minaccia. |
Formato del campo Connection
La tabella seguente descrive il formato del campo Connection.
| Campo | Tipo | Descrizione |
|---|---|---|
clientIp
|
string
|
L'indirizzo IP del client. Se il client è una VM Compute Engine, clientIp è l'indirizzo IP interno principale o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene visualizzato. I log mostrano l'indirizzo IP dell'istanza VM come osservato nell'intestazione del pacchetto, in modo simile al dump TCP nell'istanza VM.
|
clientPort
|
integer
|
Il numero di porta del client. |
serverIp
|
string
|
L'indirizzo IP del server. Se il server è una VM Compute Engine, serverIp è l'indirizzo IP interno principale o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene visualizzato anche se viene utilizzato per effettuare la connessione.
|
serverPort
|
integer
|
Il numero di porta del server. |
protocol
|
string
|
Il protocollo IP della connessione. |
Formato del campo ThreatDetails
La tabella seguente descrive il formato del campo ThreatDetails.
| Campo | Tipo | Descrizione |
|---|---|---|
id
|
string
|
L'identificatore univoco della minaccia Palo Alto Networks. |
threat
|
string
|
Il nome della minaccia rilevata. |
description
|
string
|
Una descrizione dettagliata della minaccia rilevata. |
direction
|
string
|
La direzione del traffico. Ad esempio, client_to_server o server_to_client.
|
severity
|
string
|
La gravità associata alla minaccia rilevata. Per ulteriori informazioni, consulta la sezione Livelli di gravità delle minacce. |
detectionTime
|
string
|
La data e l'ora in cui viene rilevata la minaccia. |
category
|
string
|
Il sottotipo della minaccia rilevata. Ad esempio, CODE_EXECUTION.
|
uriOrFilename
|
string
|
L'URI o il nome file della minaccia pertinente (se applicabile). |
type
|
string
|
Il tipo di minaccia rilevata. Ad esempio, SPYWARE.
|
repeatCount
|
integer
|
Il numero di sessioni con lo stesso indirizzo IP client, indirizzo IP server e tipo di minaccia rilevati entro cinque secondi. |
cves
|
string
|
Un elenco di vulnerabilità ed esposizioni comuni (CVE) associate alla minaccia. Ad esempio, CVE-2021-44228-Apache Log4j remote code execution vulnerability.
|
Formato del campo SecurityProfileGroupDetails
La tabella seguente descrive il formato del campo SecurityProfileGroupDetails.
| Campo | Tipo | Descrizione |
|---|---|---|
securityProfileGroupId
|
string
|
Il nome del gruppo di profili di sicurezza applicato al traffico. |
organizationId
|
integer
|
L'ID organizzazione a cui appartiene l'istanza VM. |
Formato del campo VpcDetails
La tabella seguente descrive il formato del campo VpcDetails.
| Campo | Tipo | Descrizione |
|---|---|---|
vpc
|
string
|
Il nome della rete VPC associata al traffico intercettato. |
projectId
|
string
|
Il nome del progetto Google Cloud associato alla rete VPC. |