Registros de ameaças

Com os registros de ameaças você pode auditar, verificar e analisar as ameaças detectadas na sua rede.

Quando o Cloud Next Generation Firewall detecta uma ameaça no tráfego monitorado para inspeção da camada 7, ele gera uma entrada de registro no projeto de origem com os detalhes da ameaça. Para visualizar e examinar os registros de ameaças, na Análise de registros, pesquise o registro networksecurity.googleapis.com/firewall_threat. Você também encontra esses registros na página Ameaças.

Nesta página, explicamos o formato e a estrutura dos registros de ameaças gerados quando uma ameaça é detectada.

Formato do registro de ameaças

O Cloud NGFW cria uma entrada de registro no Cloud Logging para cada ameaça detectada no tráfego monitorado para ou de uma instância de máquina virtual (VM) em uma zona específica. Os registros são incluídos no campo de payload JSON de um LogEntry.

Alguns campos de registro aparecem em um formato múltiplo, com mais de um dado em cada campo. Por exemplo, o campo connection tem o formato Connection, que contém a porta e o endereço IP do servidor, o endereço IP e a porta do cliente, além do número do protocolo em um único campo.

Confira na tabela a seguir o formato dos campos de registro de ameaças.

Campo	Tipo	Descrição
`connection`	`Connection`	Uma tupla de 5 valores que descreve os parâmetros de conexão associados ao tráfego em que a ameaça é detectada.
`action`	`string`	Ação realizada no pacote em que a ameaça é detectada. Essa pode ser a ação padrão ou a ação de substituição especificada no perfil de segurança. Observação: quando uma ameaça é detectada com a ação de substituição `DENY`, o campo `action` mostra `DROP` quando o pacote é descartado e um alerta é gerado.
`threatDetails`	`ThreatDetails`	Os detalhes da ameaça detectada.
`securityProfileGroupDetails`	`SecurityProfileGroupDetails`	Os detalhes do grupo de perfis de segurança aplicados ao tráfego interceptado.
`interceptVpc`	`VpcDetails`	Os detalhes da rede de nuvem privada virtual (VPC) associada à instância de VM em que a ameaça é detectada.

Formato do campo `Connection`

Confira na tabela a seguir o formato do campo Connection.

Campo	Tipo	Descrição
`clientIp`	`string`	O endereço IP do cliente. Se o cliente for uma VM do Compute Engine, `clientIp` será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido. Os registros mostram o endereço IP da instância de VM, conforme observado no cabeçalho do pacote, de maneira semelhante ao despejo de TCP da instância de VM.
`clientPort`	`integer`	O número da porta do cliente.
`serverIp`	`string`	O endereço IP do servidor. Se o servidor for uma VM do Compute Engine, `serverIp` será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido, mesmo que seja usado para fazer a conexão.
`serverPort`	`integer`	O número da porta do servidor.
`protocol`	`string`	O protocolo IP da conexão.

Formato do campo `ThreatDetails`

Confira na tabela a seguir o formato do campo ThreatDetails.

Campo	Tipo	Descrição
`id`	`string`	O identificador exclusivo de ameaças da Palo Alto Networks.
`threat`	`string`	O nome da ameaça detectada.
`description`	`string`	Uma descrição detalhada da ameaça detectada.
`direction`	`string`	A direção do tráfego. Por exemplo, `client_to_server` ou `server_to_client`.
`severity`	`string`	Gravidade associada à ameaça detectada. Para mais informações, consulte Níveis de gravidade de ameaças.
`detectionTime`	`string`	A hora em que a ameaça foi detectada.
`category`	`string`	O subtipo da ameaça detectada. Por exemplo, `CODE_EXECUTION`
`uriOrFilename`	`string`	O URI ou nome de arquivo da ameaça relevante (se aplicável).
`type`	`string`	O tipo de ameaça detectada. Por exemplo, `SPYWARE`
`repeatCount`	`integer`	O número de sessões com o mesmo endereço IP de cliente, endereço IP do servidor e tipo de ameaça vistos em cinco segundos.
`cves`	`string`	uma lista de Vulnerabilidades e Exposição Comuns (CVEs) associadas à ameaça. Por exemplo, `CVE-2021-44228-Apache Log4j remote code execution vulnerability`.

Formato do campo `SecurityProfileGroupDetails`

Confira na tabela a seguir o formato do campo SecurityProfileGroupDetails.

Campo	Tipo	Descrição
`securityProfileGroupId`	`string`	O nome do grupo de perfis de segurança aplicado ao tráfego.
`organizationId`	`integer`	O ID da organização a que a instância de VM pertence.

Formato do campo `VpcDetails`

Confira na tabela a seguir o formato do campo VpcDetails.

Campo	Tipo	Descrição
`vpc`	`string`	O nome da rede VPC associada ao tráfego interceptado.
`projectId`	`string`	O nome do projeto do Google Cloud associado à rede VPC.

A seguir

Ver ameaças

Registros de ameaças Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Formato do registro de ameaças

Formato do campo Connection

Formato do campo ThreatDetails

Formato do campo SecurityProfileGroupDetails

Formato do campo VpcDetails