Fehlerbehebung bei Endpunkten und Prüfung

Funktion eines IDS-Endpunkts überprüfen

So prüfen Sie, ob ein IDS-Endpunkt funktioniert:

  1. Überprüfen Sie, ob der IDS-Endpunkt in der Cloud IDS- Google Cloud Console angezeigt wird und ob in der Spalte Attached Policies eine Paketspiegelungsrichtlinie vorhanden ist.
  2. Prüfen Sie, ob die angehängte Richtlinie aktiviert ist. Klicken Sie dazu auf den Richtliniennamen und prüfen Sie, ob Policy Enforcement auf Aktiviert festgelegt ist.
  3. Wenn Sie überprüfen möchten, ob Traffic gespiegelt wird, wählen Sie in der überwachten VPC eine VM-Instanz aus, rufen Sie den Tab Beobachtbarkeit auf und prüfen Sie, ob im Dashboard Mirrored Bytes Traffic angezeigt wird, der an den IDS-Endpunkt gespiegelt wird.
  4. Achten Sie darauf, dass für denselben Traffic (bzw. dieselbe VM) nicht mehr als eine Paketspiegelungsrichtlinie gilt, da jedes Paket nur an ein Ziel gespiegelt werden kann. Prüfen Sie die Spalte Attached Policies und achten Sie darauf, dass es pro VM nur eine Richtlinie gibt.

  5. Generieren Sie eine Testbenachrichtigung, indem Sie über SSH eine Verbindung zu einer VM im überwachten Netzwerk herstellen und dann den folgenden Befehl ausführen:

    curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd

    Wenn auf der Plattform „curl“ nicht verfügbar ist, können Sie stattdessen ein ähnliches Tool für HTTP-Anfragen verwenden.

    Nach einigen Sekunden sollte sowohl in der Cloud IDS-Benutzeroberfläche als auch in Cloud Logging (Bedrohungslog) eine Benachrichtigung angezeigt werden.

Traffic zur Prüfung entschlüsseln

Um Traffic zu prüfen, verwendet Cloud IDS die Paketspiegelung, um Kopien des konfigurierten Traffics auf Paketebene an die IDS-VM zu senden. Obwohl das Collector-Ziel alle gespiegelten Pakete empfängt, können Pakete mit Daten, die mit einem sicheren Protokoll wie TLS, HTTPS oder HTTP2 verschlüsselt wurden, nicht von Cloud IDS entschlüsselt werden.

Wenn Sie beispielsweise HTTPS oder HTTP2 als Backend-Dienstprotokoll für einen externen Application Load Balancer verwenden, können die an die Backends des Load Balancers gesendeten Pakete an Cloud IDS gespiegelt werden. Die Anfragen können jedoch nicht von Cloud IDS geprüft werden, da die Pakete verschlüsselte Daten enthalten. Wenn Sie die Cloud IDS-Prüfung aktivieren möchten, müssen Sie das Backend-Dienstprotokoll in HTTP ändern. Alternativ können Sie zur Einbruchsprävention Google Cloud Armor verwenden und außerdem Application-Load-Balancer-Logs für die Anfrageprüfung aktivieren. Weitere Informationen zum Logging von Application-Load-Balancer-Anfragen finden Sie unter Logging und Monitoring für globale externe Application Load Balancer und Logging und Monitoring für regionale externe Application Load Balancer.

Es wird nur ein geringes Traffic-Volumen geprüft

Cloud IDS prüft Traffic, der an Ressourcen in gespiegelten Subnetzen gesendet oder von diesen empfangen wird, einschließlich Google Cloud -VMs und GKE-Knoten und ‑Pods.

Wenn ein gespiegeltes Subnetz keine VMs enthält, kann Cloud IDS keinen Traffic prüfen.

Endpunktrichtlinien werden ignoriert, wenn Cloud-L7-NGFW-Prüfungsrichtlinien verwendet werden

Wenn Sie Prüfungsrichtlinien für L7-Cloud-Firewalls der nächsten Generation (Regeln mit der Aktion apply_security_profile_group) und Cloud IDS zusammen verwenden, werden die Firewallrichtlinienregeln ausgewertet und der Traffic wird nicht für die Cloud IDS-Prüfung gespiegelt. Sie können dies vermeiden, indem Sie dafür sorgen, dass keine Cloud-NGFW-L7-Prüfungsrichtlinien auf Pakete angewendet werden, die Sie mit Cloud IDS prüfen müssen.