Cloud IDS のロギング情報

このページでは、Cloud IDS の脅威アラートによって作成されるログについて説明します。

脅威のログ

ネットワーク内の脅威が原因で生成されたログは、Cloud Logging で確認できます。ログは JSON 形式で、次のフィールドを使用します。

  • threat_id - 一意の Palo Alto Networks 脅威識別子。
  • name - 脅威の名前。
  • alert_severity - 脅威の重大度。INFORMATIONALLOWMEDIUMHIGHCRITICAL のいずれかです。
  • type - 脅威のタイプ。
  • category - 脅威のサブタイプ。
  • alert_time - 脅威が検出された時刻。
  • network - 脅威が検出されたネットワーク。
  • source_ip_address - 疑わしいトラフィックの送信元 IP アドレス。Google Cloud のロードバランサを使用する場合、クライアントの実際の IP アドレスは利用できないため、この値は Google フロントエンド(GFE)の IP アドレス範囲になります。値は 130.211.0.0/22 または 35.191.0.0/16 です。
  • destination_ip_address - 疑わしいトラフィックの宛先 IP アドレス。
  • source_port - 疑わしいトラフィックの送信元ポート。
  • destination_port - 疑わしいトラフィックの宛先ポート。
  • ip_protocol - 疑わしいトラフィックの IP プロトコル。
  • application - 疑わしいトラフィックのアプリケーションのタイプ(SSH など)。
  • direction - 疑わしいトラフィックの方向(クライアントからサーバー、またはサーバーからクライアント)。
  • session_id - 各セッションに適用される内部の数値 ID。
  • repeat_count - 5 秒以内に確認された、送信元 IP、宛先 IP、アプリケーション、タイプが同じセッションの数。
  • uri_or_filename - 関連する脅威の URI またはファイル名(該当する場合)。
  • cves - 脅威に関連付けられた CVE のリスト。
  • details - Palo Alto Networks の ThreatVault から取得した、脅威のタイプに関するその他の情報。

前述の JSON フィールドは、ログの jsonPayload フィールドの下にネストされています。脅威ログのログ名は projects/<consumer-project>/logs/ids.googleapis.com/threat です。

また、ログの labels.id フィールドには Cloud IDS エンドポイントの名前が含まれています。その resource.type フィールドは ids.googleapis.com/Endpoint です。

クエリの例

この Cloud Logging クエリでは、クラウド プロジェクト my-project の IDS 脅威ログにクエリを実行し、脅威の重大度が HIGH とマークされた太平洋標準時間 2021 年 4 月 4 日午前 8 時~9 時(-07 タイムゾーン オフセット)の間に my-endpoint エンドポイントによって報告されたすべての脅威が返されています。

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

保持ポリシー

保持期間は、ログが配置されているストレージ バケットによって決まります。デフォルトでは、ログは _Default バケットに配置されます。このバケットの保持ポリシーは、デフォルトで 30 日間です。

ログは、さまざまなバケットにフィルタリングできます。また、保持期間も構成することができます。

デフォルトでは 30 日間ですが、異なる保持ポリシーが必要な場合は次のいずれかを行います。

  • すべてのログを別のバケットにフィルタし、保持ポリシーを構成する。
  • _Default バケットにカスタム保持ポリシーを構成する。この構成は、_Default バケット内の他のすべてのログにも適用されます。

トラフィック ログ

ネットワーク トラフィックによって生成されたログは、Cloud Logging で確認できます。ログは JSON 形式で、次のフィールドを使用します。

  • start_time - セッションの開始時刻。
  • elapsed_time - セッションの経過時間。
  • network - IDS エンドポイントに関連付けられたネットワーク。
  • source_ip_address - リクエストの送信元 IP アドレス。
  • source_port - トラフィックの送信元ポート。
  • destination_ip_address - パケットの宛先 IP アドレス。
  • destination_port - トラフィックの宛先ポート。
  • ip_protocol - パケットの IP プロトコル。
  • application - セッションに関連付けられたアプリケーション。
  • session_id - 各セッションに適用される内部の数値 ID。
  • repeat_count - 5 秒以内に確認された、送信元 IP、宛先 IP、アプリケーション、タイプが同じセッションの数。
  • total_bytes - セッションで転送されたバイト数の合計。
  • total_packets - セッションで転送されたパケットの合計数。