您可以根據威脅記錄,進一步稽核、驗證及分析網路中偵測到的威脅。
如果 Cloud Next Generation Firewall 在受監控的流量中偵測到第 7 層檢查的威脅,就會在來源專案中產生記錄項目,並提供威脅詳細資料。如要查看及檢查威脅記錄,請在記錄探索工具中搜尋記錄 networksecurity.googleapis.com/firewall_threat。您也可以在「威脅」頁面查看這些威脅記錄。
本頁說明偵測到威脅時產生的威脅記錄格式和結構。
威脅記錄格式
針對特定可用區中虛擬機器 (VM) 執行個體監控的流量,Cloud NGFW 會在 Cloud Logging 中建立記錄項目,記錄偵測到的每項威脅。記錄記錄會納入 LogEntry 的 JSON 酬載欄位。
某些記錄欄位採用多欄位格式,也就是指定欄位會包含多項資料。舉例來說,connection 欄位採用的格式是 Connection,也就是一個欄位同時包含伺服器 IP 位址和通訊埠、用戶端 IP 位址和通訊埠,以及通訊協定編號。
下表說明威脅記錄欄位的格式。
| 欄位 | 類型 | 說明 |
|---|---|---|
connection
|
Connection
|
5 元組,說明與偵測到威脅的流量相關聯的連線參數。 |
action
|
string
|
偵測到威脅時,對封包執行的動作。這個動作可以是預設動作,也可以是安全性設定檔中指定的覆寫動作。 |
threatDetails
|
ThreatDetails
|
偵測到的威脅詳細資料。 |
securityProfileGroupDetails
|
SecurityProfileGroupDetails
|
套用至攔截流量的安全性設定檔群組詳細資料。 |
interceptVpc
|
VpcDetails
|
與偵測到威脅的 VM 執行個體相關聯的虛擬私有雲 (VPC) 網路詳細資料。 |
interceptInstance
|
InterceptInstance
|
偵測到威脅的 VM 執行個體詳細資料。 |
Connection 欄位格式
下表說明 Connection 欄位的格式。
| 欄位 | 類型 | 說明 |
|---|---|---|
clientIp
|
string
|
用戶端 IP 位址。如果用戶端是 Compute Engine VM,則 clientIp 是主要內部 IP 位址,或是 VM 網路介面別名 IP 範圍內的位址。系統不會顯示外部 IP 位址。記錄會顯示封包標頭中觀察到的 VM 執行個體 IP 位址,與 VM 執行個體上的 TCP 傾印類似。
|
clientPort
|
integer
|
用戶端連接埠號碼。 |
serverIp
|
string
|
伺服器 IP 位址。如果伺服器是 Compute Engine VM,則 serverIp 是主要內部 IP 位址,或是 VM 網路介面別名 IP 範圍內的位址。即使外部 IP 位址用於建立連線,也不會顯示。 |
serverPort
|
integer
|
伺服器通訊埠號碼。 |
protocol
|
string
|
連線的 IP 通訊協定。 |
ThreatDetails 欄位格式
下表說明 ThreatDetails 欄位的格式。
| 欄位 | 類型 | 說明 |
|---|---|---|
id
|
string
|
Palo Alto Networks 威脅的專屬 ID。 |
threat
|
string
|
偵測到的威脅名稱。 |
description
|
string
|
偵測到的威脅詳細說明。 |
direction
|
string
|
流量方向。例如 client_to_server 或 server_to_client。
|
application
|
string
|
與偵測到的威脅相關聯的應用程式。 |
severity
|
string
|
偵測到的威脅嚴重程度。詳情請參閱「威脅嚴重程度」。 |
detectionTime
|
string
|
偵測到威脅的時間。 |
category
|
string
|
偵測到的威脅子類型。例如:CODE_EXECUTION。 |
uriOrFilename
|
string
|
相關威脅的 URI 或檔案名稱 (如適用)。 |
type
|
string
|
偵測到的威脅類型。例如:SPYWARE。 |
repeatCount
|
integer
|
在五秒內,具有相同用戶端 IP 位址、伺服器 IP 位址和威脅類型的工作階段數。 |
cves
|
string
|
與威脅相關的常見安全漏洞與弱點 (CVE) 清單。例如:CVE-2021-44228-Apache Log4j remote code execution vulnerability。 |
SecurityProfileGroupDetails 欄位格式
下表說明 SecurityProfileGroupDetails 欄位的格式。
| 欄位 | 類型 | 說明 |
|---|---|---|
securityProfileGroupId
|
string
|
套用至流量的安全性設定檔群組名稱。 |
organizationId
|
integer
|
VM 執行個體所屬的機構 ID。 |
VpcDetails 欄位格式
下表說明 VpcDetails 欄位的格式。
| 欄位 | 類型 | 說明 |
|---|---|---|
vpc
|
string
|
與攔截流量相關聯的 VPC 網路名稱。 |
projectId
|
string
|
與虛擬私有雲網路相關聯的 Google Cloud 專案名稱。 |
InterceptInstance 欄位格式
下表說明 InterceptInstance 欄位的格式。
| 欄位 | 類型 | 說明 |
|---|---|---|
projectId
|
string
|
與攔截流量相關聯的 Google Cloud 專案名稱。 |
vm
|
string
|
與攔截流量相關聯的 VM 執行個體名稱。 |
將威脅記錄與防火牆記錄建立關聯
如果封包符合已啟用記錄功能的防火牆規則,Cloud NGFW 會記錄 防火牆規則記錄項目。這個項目包含來源 IP 位址、目的地 IP 位址和封包檢查時間等欄位。如要查看這些防火牆規則記錄,請參閱「查看記錄」。
如果您有啟用記錄功能的第 7 層檢查防火牆政策規則,Cloud NGFW 會先記錄相符封包的防火牆規則記錄項目。接著,系統會將封包傳送至防火牆端點,進行第 7 層檢查。防火牆端點會分析封包,找出威脅。如果偵測到威脅,系統會建立個別的威脅記錄。這份威脅記錄包含威脅類型、威脅來源和威脅目的地等欄位。如要查看威脅記錄,請參閱「查看威脅」一文。
您可以比較防火牆規則記錄和威脅記錄中的欄位,找出觸發威脅的封包,並採取適當行動來解決問題。
舉例來說,您設定的防火牆政策規則具有下列設定:
- 來源 IP 位址:
192.0.2.0 - 來源通訊埠:
47644 - 目的地 IP 位址:
192.0.2.1 - 目的地通訊埠:
80 - 記錄:
Enabled
如要查看與這項規則相關的威脅記錄,請前往「記錄檔探索工具」頁面。在「Query」(查詢) 窗格中,將下列查詢貼到查詢編輯器欄位。
resource.type="networksecurity.googleapis.com/FirewallEndpoint"
jsonPayload.source_ip_address="192.0.2.0"
jsonPayload.source_port="47644"
jsonPayload.destination_ip_address="192.0.2.1"
jsonPayload.destination_port="80"
「Query results」(查詢結果) 部分會顯示下列威脅記錄:
{
insertId: "0ac7f359-263f-4428-8ded-ac655d8a09db"
jsonPayload: {
action: "reset-server"
alert_severity: "HIGH"
alert_time: "2023-11-28T19:07:15Z"
category: "info-leak"
▸ cves: [6]
}
destination_ip_address: "192.0.2.1"
destination_port: "80"
details:
"This signature detects Microsoft Windows win.ini access attempts. A successful attack could allow an
attacker to access sensitive information and conduct further attacks."
direction: "CLIENT_TO_SERVER"
ip_protocol: "tcp"
name: "Microsoft Windows win.ini Access Attempt Detected"
network: "projects/XXXX/global/networks/fwplus-vpc.
repeat_count: "1"
security_profile_group:
"organizations/XXXX/locations/global/securityprofileGroups/XXXX-fwplus-spg"
source_ip_address: "192.0.2.0"
source_port: "47644"
threat_id: "30851"
type: "vulnerability"
uri_or_filename:
logName: "projects/XXXX/logs/networksecurity.googleapis.com%2Ffirewall_threat"
receiveTimestamp: "2023-11-28T19:08:49.841883684Z"
▸ resource: {2}
}
timestamp: "2023-11-28T19:08:47.560012184Z"
同樣地,如要查看與這項規則相關聯的防火牆記錄,請前往「記錄檔探索工具」頁面。在「Query」(查詢) 窗格中,將下列查詢貼到查詢編輯器欄位。
jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
jsonPayload.connection.src_ip="192.0.2.0"
jsonPayload.connection.src_port="47644"
jsonPayload.connection.dest_ip="192.0.2.1"
jsonPayload.connection.dest_port="80"
「查詢結果」部分會顯示下列防火牆記錄:
{
insertId: "qn82vdg109q3r9"
jsonPayload: {
connection: {
}
dest_ip: "192.0.2.1"
dest_port: 80
protocol: 6
src_ip: "192.0.2.0"
src_port: 47644
disposition: "INTERCEPTED"
►instance: {4}
▸ remote_instance: {4}
▸ remote_vpc: {3}
rule_details: {
action: "APPLY_SECURITY_PROFILE_GROUP"
apply_security_profile_fallback_action: "UNSPECIFIED"
direction: "INGRESS"
▸ ip_port_info: [1]
▼
priority: 6000
reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
source_range: [
1
0: "192.0.2.0/24"
target_secure_tag: [
0: "tagValues/281479199099651"
]
}
vpc: {
project_id:XXXX
subnetwork_name: "fwplus-us-central1-subnet"
vpc_name: "fwplus-vpc"
}
}
logName: "projects/XXXX/logs/compute.googleapis.com%2Ffirewall",
receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
resource: {2}
timestamp: "2023-11-28T19:08:40.207465099Z"
}
您可以透過威脅記錄和防火牆記錄查詢,查看兩者之間的關聯性。下表列出防火牆記錄欄位與對應的威脅記錄欄位。
| 防火牆記錄欄位 | 威脅記錄欄位 | 說明 |
|---|---|---|
src_ip
|
source_ip_address
|
防火牆記錄中的來源 IP 位址會與威脅記錄中的來源 IP 位址相互關聯,以找出潛在威脅的來源 |
src_port
|
source_port
|
防火牆記錄中的來源通訊埠會與威脅記錄中的來源通訊埠相互關聯,以找出潛在威脅中使用的來源通訊埠 |
dest_ip
|
destination_ip_address
|
防火牆記錄中的目的地 IP 位址會與威脅記錄中的目的地 IP 位址相互關聯,以找出潛在威脅的目標 |
dest_port
|
destination_port
|
防火牆記錄中的目的地通訊埠會與威脅記錄中的目的地通訊埠相互關聯,以找出潛在威脅中使用的目的地通訊埠 |