威胁日志

借助威胁日志，您可以审核、验证和分析在网络中检测到的威胁。

若 Cloud 新一代防火墙检测到正在监控进行第 7 层检查的流量存在威胁，则会在原始项目中生成一个日志条目，其中包含威胁的详细信息。如需查看和检查威胁日志，请在 Logs Explorer 中搜索日志 networksecurity.googleapis.com/firewall_threat。您还可以在威胁页面上查看这些威胁日志。

本页介绍了在检测到威胁时生成的威胁日志的格式和结构。

威胁日志格式

Cloud NGFW 会在 Cloud Logging 中，为进出特定可用区的虚拟机 (VM) 实例的受监控流量中检测到的每个威胁创建日志记录条目。日志记录包含在 LogEntry 的 JSON 载荷字段中。

某些日志字段采用多字段格式，在给定字段中包含多段数据。例如，connection 字段采用 Connection 格式，它在单个字段中包含服务器 IP 地址和端口、客户端 IP 地址和端口以及协议号。

下表介绍了威胁日志字段的格式。

字段	类型	说明
`connection`	`Connection`	一个 5 元组，用于描述与检测到威胁的流量关联的连接参数。
`action`	`string`	对检测到威胁的数据包执行的操作。此操作可以是安全配置文件中指定的默认操作或替换操作。注意：若使用 `DENY` 覆盖操作检测到威胁，则 `action` 字段会在数据包被丢弃时显示 `DROP`，并生成提醒。
`threatDetails`	`ThreatDetails`	检测到的威胁的详细信息。
`securityProfileGroupDetails`	`SecurityProfileGroupDetails`	应用于被拦截流量的安全配置文件组的详细信息。
`interceptVpc`	`VpcDetails`	与检测到威胁的虚拟机实例关联的虚拟私有云 (VPC) 网络的详细信息。
`interceptInstance`	`InterceptInstance`	检测到威胁的虚拟机实例的详细信息。

`Connection` 字段格式

下表介绍了 Connection 字段的格式。

字段	类型	说明
`clientIp`	`string`	客户端 IP 地址。如果客户端是 Compute Engine 虚拟机，则 `clientIp` 是主要内部 IP 地址或虚拟机网络接口的别名 IP 范围内的地址。系统不显示外部 IP 地址。日志显示数据包标头上观察到的虚拟机实例的 IP 地址，类似于虚拟机实例上的 TCP 转储。
`clientPort`	`integer`	客户端端口号。
`serverIp`	`string`	服务器 IP 地址。如果服务器是 Compute Engine 虚拟机，则 `serverIp` 是主要内部 IP 地址或虚拟机网络接口的别名 IP 范围内的地址。即使使用外部 IP 地址进行连接，系统也不会显示此地址。
`serverPort`	`integer`	服务器端口号。
`protocol`	`string`	连接的 IP 协议。

`ThreatDetails` 字段格式

下表介绍了 ThreatDetails 字段的格式。

字段	类型	说明
`id`	`string`	唯一的 Palo Alto Networks 威胁标识符。
`threat`	`string`	检测到的威胁的名称。
`description`	`string`	检测到的威胁的详细说明。
`direction`	`string`	流量方向。例如 `client_to_server` 或 `server_to_client`。
`severity`	`string`	与检测到的威胁关联的严重级别。如需了解详情，请参阅威胁严重级别。
`detectionTime`	`string`	检测到威胁的时间。
`category`	`string`	检测到的威胁的子类型。例如 `CODE_EXECUTION`。
`uriOrFilename`	`string`	相关威胁的 URI 或文件名（如果适用）。
`type`	`string`	检测到的威胁类型。例如 `SPYWARE`。
`repeatCount`	`integer`	在五秒内出现相同客户端 IP 地址、服务器 IP 地址和威胁类型的会话数。
`cves`	`string`	与威胁关联的常见漏洞和披露 (CVE) 列表。例如 `CVE-2021-44228-Apache Log4j remote code execution vulnerability`。

`SecurityProfileGroupDetails` 字段格式

下表介绍了 SecurityProfileGroupDetails 字段的格式。

字段	类型	说明
`securityProfileGroupId`	`string`	应用于流量的安全配置文件组名称。
`organizationId`	`integer`	虚拟机实例所属的组织 ID。

`VpcDetails` 字段格式

下表介绍了 VpcDetails 字段的格式。

字段	类型	说明
`vpc`	`string`	与被拦截流量关联的 VPC 网络的名称。
`projectId`	`string`	与 VPC 网络关联的 Google Cloud 项目的名称。

`InterceptInstance` 字段格式

下表介绍了 InterceptInstance 字段的格式。

字段	类型	说明
`projectId`	`string`	与被拦截流量关联的 Google Cloud 项目的名称。
`vm`	`string`	与被拦截流量关联的虚拟机实例的名称。

后续步骤

查看威胁

威胁日志 使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

威胁日志格式

Connection 字段格式

ThreatDetails 字段格式

SecurityProfileGroupDetails 字段格式

VpcDetails 字段格式

InterceptInstance 字段格式