排解端點和檢查問題

確認 IDS 端點是否正常運作

如要確認 IDS 端點是否正常運作，請按照下列步驟操作：

1. 確認 Cloud IDS Google Cloud 主控台中顯示 IDS 端點，且 Attached Policies 欄中顯示封包鏡像政策。
2. 按一下政策名稱，確認已啟用所附政策，並確認 Policy Enforcement 已設為「已啟用」。
3. 如要確認流量是否已鏡像，請在受監控的 VPC 中選擇 VM 執行個體，前往「Observability」分頁，並確認「Mirrored Bytes」資訊主頁顯示流量是否已鏡像至 IDS 端點。
4. 請確認相同流量 (或 VM) 不會受到多個封包鏡像政策的影響，因為每個封包只能鏡像至一個目的地。請查看 Attached Policies 欄，確認每個 VM 只有一個政策。

5. 使用 SSH 連線至受監控網路中的 VM，產生測試警示，然後執行下列指令：

   curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
   

   如果平台上無法使用 curl，您可以使用類似的工具執行 HTTP 要求。

   幾秒後，Cloud IDS UI 和 Cloud Logging (Threat Log) 都會顯示快訊。

解密待檢查的流量

為了檢查流量，Cloud IDS 會使用封包鏡像功能，將已設定流量的封包層級副本傳送至 IDS VM。即使收集器目的地會接收所有鏡像封包，但任何載有使用 TLS、HTTPS 或 HTTP2 等安全通訊協定加密的資料的封包，都無法由 Cloud IDS 解密。

舉例來說，如果您使用 HTTPS 或 HTTP2 做為外部應用程式負載平衡器的後端服務通訊協定，則傳送至負載平衡器後端的封包可鏡像至 Cloud IDS；不過，由於封包含有加密資料，Cloud IDS 無法檢查要求。如要啟用 Cloud IDS 檢查，您必須將後端服務通訊協定變更為 HTTP。或者，您可以使用 Google Cloud Armor 防範入侵，並啟用應用程式負載平衡器記錄，以便檢查要求。如要進一步瞭解應用程式負載平衡器要求記錄，請參閱「全域外部應用程式負載平衡器的記錄與監控」和「區域性外部應用程式負載平衡器的記錄與監控」。

只檢查少量流量

Cloud IDS 會檢查鏡像子網路中資源傳送或接收的流量，包括 Google Cloud VM、GKE 節點和 Pod。

如果鏡像子網路中沒有 VM，Cloud IDS 就沒有可檢查的流量。

使用 Cloud NGFW L7 檢查政策時，系統會忽略端點政策

當您同時使用 Cloud Next Generation Firewall L7 檢查政策 (含 apply_security_profile_group 動作的規則) 和 Cloud IDS 時，系統會評估防火牆政策規則，且不會將流量鏡像化，以便 Cloud IDS 進行檢查。如要避免這種情況，請確認 Cloud NGFW L7 檢查政策不會套用至您需要透過 Cloud IDS 檢查的封包。