Informasi logging Cloud IDS

Halaman ini menjelaskan log yang dibuat oleh pemberitahuan ancaman Cloud IDS.

Log ancaman

Anda dapat melihat log yang dibuat karena ancaman di jaringan Anda di Cloud Logging. Log menggunakan format JSON dengan kolom berikut:

• threat_id - ID ancaman Palo Alto Networks yang unik.
• name - Nama ancaman.
• alert_severity - Tingkat keparahan ancaman. Salah satu dari INFORMATIONAL, LOW, MEDIUM, HIGH, atau CRITICAL.
• type - Jenis ancaman.
• category - Subjenis ancaman.
• alert_time - Waktu saat ancaman ditemukan.
• network - Jaringan pelanggan tempat ancaman ditemukan.
• source_ip_address - Alamat IP sumber traffic yang dicurigai. Saat Anda menggunakan load balancerGoogle Cloud , alamat IP klien yang sebenarnya tidak tersedia, dan nilai ini adalah rentang alamat IP Google Front End (GFE). Nilainya dapat berupa 130.211.0.0/22 atau 35.191.0.0/16.
• destination_ip_address - Alamat IP tujuan traffic yang dicurigai.
• source_port - Port sumber traffic yang dicurigai.
• destination_port - Port tujuan traffic yang dicurigai.
• ip_protocol - Protokol IP traffic yang dicurigai.
• application - Jenis aplikasi traffic yang dicurigai—misalnya, SSH.
• direction - Arah traffic yang dicurigai (klien ke server atau server ke klien).
• session_id - ID numerik internal yang diterapkan ke setiap sesi.
• repeat_count - Jumlah sesi dengan IP sumber, IP tujuan, aplikasi, dan jenis yang sama yang dilihat dalam waktu 5 detik.
• uri_or_filename - URI atau nama file ancaman yang relevan, jika ada.
• cves - daftar CVE yang terkait dengan ancaman
• details - Informasi tambahan tentang jenis ancaman, diambil dari ThreatVault Palo Alto Networks.

Kolom JSON sebelumnya disusun bertingkat di bawah kolom jsonPayload log. Nama log untuk log ancaman adalah projects/<consumer-project>/logs/ids.googleapis.com/threat.

Selain itu, kolom labels.id log berisi nama endpoint Cloud IDS, dan kolom resource.type-nya adalah ids.googleapis.com/Endpoint.

Contoh kueri

Kueri ini di Cloud Logging mengkueri log ancaman IDS di project cloud my-project, yang menampilkan semua ancaman yang dilaporkan oleh endpoint my-endpoint antara pukul 08.00-09.00 pada 4 April 2021, waktu PST (offset zona waktu -07), dengan tingkat keparahan ancaman ditandai sebagai TINGGI.

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

Kebijakan retensi

Retensi ditentukan oleh bucket penyimpanan tempat log berada. Secara default, log ditempatkan di bucket _Default, dan secara default bucket ini memiliki kebijakan retensi data selama 30 hari.

Anda dapat memilih untuk memfilter log ke bucket yang berbeda. Selain itu, retensi dapat dikonfigurasi.

Jika Anda menginginkan kebijakan retensi yang berbeda dari 30 hari default, Anda dapat melakukan salah satu hal berikut:

• Memfilter semua log ke bucket lain dan mengonfigurasi kebijakan retensi.
• Konfigurasikan kebijakan retensi kustom untuk bucket _Default. Tindakan ini akan memengaruhi semua log lainnya di bucket _Default.

Log traffic

Anda dapat melihat log yang dibuat karena traffic jaringan di Cloud Logging. Log menggunakan format JSON dengan kolom berikut:

• start_time - Waktu mulai sesi.
• elapsed_time - Waktu yang berlalu selama sesi.
• network - Jaringan yang terkait dengan endpoint IDS.
• source_ip_address - Alamat IP sumber paket.
• source_port - Port sumber traffic.
• destination_ip_address - Alamat IP tujuan paket.
• destination_port - Port tujuan traffic.
• ip_protocol - Protokol IP paket.
• application - Aplikasi yang terkait dengan sesi.
• session_id - ID numerik internal yang diterapkan ke setiap sesi.
• repeat_count - Jumlah sesi dengan IP sumber, IP tujuan, aplikasi, dan jenis yang sama yang terlihat dalam waktu 5 detik.
• total_bytes - Jumlah total byte yang ditransfer dalam sesi.
• total_packets - Jumlah total paket yang ditransfer dalam sesi.