Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Verificar se um endpoint do IDS está funcionando
Para confirmar se um endpoint do IDS está funcionando, faça o seguinte:
Verifique se o endpoint do IDS aparece no console do Cloud IDS do Google Cloud
e se há uma política de espelhamento de pacotes na coluna Attached Policies.
Para verificar se a política anexada está ativada, clique no nome dela e
confira se Policy Enforcement está definido como Ativado.
Para verificar se o tráfego está sendo espelhado, escolha uma instância de VM na
VPC monitorada, acesse a guia Observabilidade e confira se o painel Mirrored
Bytes mostra o tráfego sendo espelhado para o endpoint do IDS.
Verifique se o mesmo tráfego (ou VM) não é afetado por mais de uma
política de espelhamento de pacotes, já que cada pacote pode ser espelhado para apenas um
destino. Verifique a coluna Attached Policies e confira se há
apenas uma política por VM.
Gere um alerta de teste usando SSH para se conectar a uma VM na rede
monitorada e execute o seguinte comando:
Se o curl não estiver disponível na plataforma, use uma ferramenta semelhante para
fazer solicitações HTTP.
Depois de alguns segundos, um alerta vai aparecer na interface do Cloud IDS e
no Cloud Logging (registro de ameaças).
Como descriptografar o tráfego para inspeção
Para inspecionar o tráfego, o Cloud IDS usa o espelhamento de pacotes para enviar
cópias no nível do pacote do tráfego configurado para a VM do IDS. Embora o
destino do coletor receba todos os pacotes espelhados, os pacotes que transportam dados
criptografados usando um protocolo seguro, como TLS, HTTPS ou HTTP2, não podem ser descriptografados
pelo Cloud IDS.
Por exemplo, se você usar HTTPS ou HTTP2 como o protocolo de serviço de back-end para um
balanceador de carga de aplicativo externo, os pacotes enviados aos back-ends do balanceador de carga
poderão ser espelhados para o Cloud IDS. No entanto, as solicitações não poderão ser inspecionadas pelo
Cloud IDS porque os pacotes transportam dados criptografados. Para ativar a inspeção do Cloud IDS,
mude o protocolo do serviço de back-end para HTTP. Como alternativa,
use o Google Cloud Armor para prevenção de intrusão
e ative os registros do balanceador de carga de aplicativo para inspeção de solicitações. Para
mais informações sobre a geração de registros de solicitações do balanceador de carga de aplicativo, consulte
Geração de registros e monitoramento do balanceador de carga de aplicativo externo
global e
Geração de registros e monitoramento de balanceador de carga de aplicativo externo e
regional.
Apenas um pequeno volume de tráfego é inspecionado
O Cloud IDS inspeciona o tráfego enviado ou recebido por recursos em sub-redes
espelhadas, incluindo VMs do Google Cloud e pods e nós do
GKE.
Se uma sub-rede espelhada não tiver VMs, o Cloud IDS não terá tráfego para inspecionar.
Políticas de endpoint são ignoradas ao usar políticas de inspeção da camada 7 do Cloud NGFW
Quando você usa as políticas de inspeção da camada 7 do Cloud Next Generation Firewall (regras com a ação
apply_security_profile_group) e o Cloud IDS juntos, as regras da política de firewall
são avaliadas e o tráfego não é espelhado para inspeção do
Cloud IDS. Para evitar essa situação, verifique se as
políticas de inspeção da camada 7 do Cloud NGFW não se aplicam a pacotes que você
precisa inspecionar com o Cloud IDS.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-29 UTC."],[[["\u003cp\u003eTo confirm an IDS endpoint is functional, verify its presence in the Cloud IDS console, ensure the attached packet mirroring policy is enabled, and confirm traffic mirroring via the \u003ccode\u003eMirrored Bytes\u003c/code\u003e dashboard.\u003c/p\u003e\n"],["\u003cp\u003eEach packet can only be mirrored to one destination, so ensure that a VM is not affected by more than one packet mirroring policy, which can be confirmed in the \u003ccode\u003eAttached Policies\u003c/code\u003e column.\u003c/p\u003e\n"],["\u003cp\u003eGenerate a test alert by using SSH to connect to a VM and run a specific \u003ccode\u003ecurl\u003c/code\u003e command (or similar HTTP request tool) to trigger an alert, which should then be visible in the Cloud IDS UI and Cloud Logging (Threat Log).\u003c/p\u003e\n"],["\u003cp\u003eCloud IDS cannot decrypt traffic encrypted with secure protocols like TLS, HTTPS, or HTTP2, so for inspection, backend service protocols should be changed to HTTP, or use Google Cloud Armor for intrusion prevention.\u003c/p\u003e\n"],["\u003cp\u003eTraffic is only inspected if sent to or received by resources within mirrored subnets, and Cloud NGFW L7 inspection policies will prevent mirroring for Cloud IDS if they apply to the same packets.\u003c/p\u003e\n"]]],[],null,["# Troubleshoot endpoints and inspection\n\nVerify that an IDS endpoint is functional\n-----------------------------------------\n\n| **Note:** If your endpoint generates any alerts, it is considered to be functional.\n\nTo confirm that an IDS endpoint is functional, do the following:\n\n1. Verify that the IDS endpoint appears in the Cloud IDS Google Cloud console, and that there is a packet mirroring policy in the `Attached Policies` column.\n2. Ensure that the attached policy is enabled by clicking the policy name, and make sure that `Policy Enforcement` is set to **Enabled**.\n3. To verify that traffic is being mirrored, choose a VM Instance in the monitored VPC, go to the **Observability** tab, and make sure that the `Mirrored\n Bytes` dashboard shows traffic being mirrored to the IDS endpoint.\n4. Ensure that the same traffic (or VM) is not affected by more than one packet mirroring policy, as each packet can be mirrored to only one destination. Check the `Attached Policies` column, and ensure that there is only one policy per VM.\n5. Generate a test alert by using SSH to connect to a VM in the monitored\n network, then run the following command:\n\n ```\n curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd\n ```\n\n If curl is unavailable on the platform, you can use a similar tool for\n performing HTTP requests.\n\n After a few seconds, an alert should show up in both the Cloud IDS UI and\n in Cloud Logging (Threat Log).\n\nDecrypting traffic for inspection\n---------------------------------\n\nTo inspect traffic, Cloud IDS uses Packet Mirroring to send\npacket-level copies of configured traffic to the IDS VM. Even though the\ncollector destination receives all mirrored packets, any packets that carry data that was\nencrypted using a secure protocol like TLS, HTTPS, or HTTP2 can't be decrypted\nby Cloud IDS.\n\nFor example, if you use HTTPS or HTTP2 as the backend service protocol for an\nexternal application load balancer, packets sent to the load balancer's backends\ncan be mirrored to Cloud IDS; however, the requests cannot be inspected by\nCloud IDS because the packets carry encrypted data. To enable Cloud IDS\ninspection, you must change the backend service protocol to HTTP. Alternatively,\nyou can use [Google Cloud Armor](/armor/docs/cloud-armor-overview) for intrusion\nprevention, and enable application load balancer logs for request inspection. For\nmore information about application load balancer request logging, see\n[Global external Application Load Balancer logging and\nmonitoring](/load-balancing/docs/https/https-logging-monitoring#logging) and\n[Regional external Application Load Balancer logging and\nmonitoring](/load-balancing/docs/https/https-reg-logging-monitoring#logging).\n\nOnly a small volume of traffic is inspected\n-------------------------------------------\n\nCloud IDS inspects traffic sent to or received by resources in mirrored\nsubnets, including Google Cloud VMs and GKE nodes and\nPods.\n\nIf a mirrored subnet contains no VMs, Cloud IDS has no traffic to inspect.\n\nEndpoint policies are ignored when using Cloud NGFW L7 inspection policies\n--------------------------------------------------------------------------\n\nWhen you use Cloud Next Generation Firewall L7 inspection policies (rules with the\n`apply_security_profile_group` action) and Cloud IDS together, firewall\npolicy rules are evaluated and traffic is not mirrored for Cloud IDS\ninspection. You can avoid this situation by ensuring that\nCloud NGFW L7 inspection policies don't apply to packets that you\nneed to inspect with Cloud IDS."]]
