Lacak sumber serangan dan analisis traffic dengan log audit - Cloud Firewall

Cloud Firewall secara otomatis mencatat seluruh traffic dan menyediakan halaman audit log visual yang memungkinkan Anda mengkueri peristiwa serangan, detail traffic, dan log operasi. Fitur ini menyederhanakan serta mempercepat pelacakan sumber serangan dan analisis traffic. Secara default, Anda dapat mengkueri log audit untuk tujuh hari terakhir guna mendukung pemantauan keamanan secara real-time dan respons insiden yang efektif.

Catatan

Cloud Firewall menyimpan log audit selama tujuh hari secara default. Untuk menyimpan log lebih lama, memenuhi persyaratan perlindungan terklasifikasi, atau mengekspor data log mentah, Anda dapat mengaktifkan fitur analisis log. Untuk informasi selengkapnya, lihat Ikhtisar analisis log.

Tipe log

Cloud Firewall menghasilkan tiga jenis log: Event logs, Traffic logs, dan Operation logs.

Event logs mencatat seluruh traffic yang diidentifikasi Cloud Firewall sebagai potensi ancaman keamanan atau perilaku tidak normal. Setiap entri log mencakup informasi penting seperti waktu event, jenis ancaman, alamat IP sumber, alamat IP tujuan, jenis aplikasi, tingkat keparahan, dan aksi kebijakan. Informasi ini membantu Anda melacak dan menganalisis event keamanan.
Untuk event yang diblokir oleh virtual patching dan perlindungan dasar, Anda dapat mengklik Obtain Attack Sample dalam daftar event logs untuk menghasilkan sampel serangan dari 7 hari terakhir. Sampel serangan tersebut berisi data rinci mengenai peristiwa serangan dan disimpan selama satu bulan.
Traffic logs mencatat seluruh traffic jaringan normal yang melewati Cloud Firewall. Setiap entri mencakup alamat IP sumber, alamat IP tujuan, nomor Port, protokol, dan volume traffic. Gunakan Traffic logs untuk memahami pola penggunaan jaringan dan melakukan analisis perilaku jaringan.
Operation logs mencatat seluruh aksi pengguna di Konsol Cloud Firewall, seperti perubahan konfigurasi aturan, penyesuaian pengaturan sistem, atau intervensi administratif apa pun. Operation logs membantu Anda mengaudit perilaku pengguna dan memastikan akuntabilitas atas perubahan sistem.

Kueri log audit

Prosedur berikut menggunakan contoh kueri Traffic logs untuk menunjukkan fitur audit log. Field kueri berbeda untuk setiap tipe log. Untuk field spesifik yang tersedia, lihat halaman di konsol.

Masuk ke Cloud Firewall console.
Di panel navigasi sebelah kiri, pilih Detection & Response > Log Audit.
Klik tab Traffic Logs dan pilih tipe firewall yang ingin Anda kueri log-nya.
Tentukan kondisi kueri dan rentang waktu, lalu klik Search.

Field utama traffic logs

Tabel berikut menjelaskan field utama dalam Traffic logs untuk membantu Anda memahami karakteristik dan perilaku traffic.

Catatan

Saat mengkueri traffic logs, Anda dapat mengklik List Configurations di sebelah kanan bilah pencarian untuk memilih field yang akan ditampilkan dalam daftar traffic logs. Selain field wajib, Anda dapat memilih hingga delapan field opsional.

Field	Description
Rule Name/Rule ID	Nama atau ID kebijakan kontrol akses atau aturan perlindungan serangan yang sesuai dengan traffic tersebut. Jika field ini kosong, artinya traffic tersebut tidak sesuai dengan kebijakan kontrol akses atau aturan perlindungan serangan mana pun.
Pre-match Access Control Policy Status	Saat traffic melewati Cloud Firewall, traffic tersebut dicocokkan dengan kebijakan kontrol akses berdasarkan prioritas. Jika Cloud Firewall tidak dapat mengidentifikasi aplikasi atau domain traffic saat mencocokkan kebijakan kontrol akses tertentu, field Pre-match Access Control Policy Status akan menampilkan status tidak teridentifikasi yang sesuai, dan field Pre-match Access Control Policy akan menampilkan nama kebijakan kontrol akses tersebut. Nilai yang valid untuk Pre-match Access Control Policy Status: Application Unidentified: Cloud Firewall tidak dapat mengidentifikasi aplikasi dari traffic tersebut. Domain Name Unidentified: Cloud Firewall tidak dapat mengidentifikasi nama domain dari traffic tersebut. Normal: Cloud Firewall dapat mengidentifikasi baik aplikasi maupun nama domain dari traffic tersebut.
Pre-match Access Control Policy
Application Identification Status	Status identifikasi aplikasi selama pencocokan kebijakan kontrol akses. Nilai yang valid: Identified Blocked by Policy TCP Connection Failed Payload Not Received Analyzing Not Identified in Strict Mode Not Identified in Loose Mode Stateless: Status saat Deep Packet Inspection (DPI) tidak dilakukan.

Referensi

Cloud Firewall menyimpan log audit selama tujuh hari secara default. Untuk menyimpan log lebih lama atau memenuhi persyaratan perlindungan terklasifikasi, Anda dapat mengaktifkan fitur analisis log. Untuk informasi selengkapnya, lihat Ikhtisar analisis log.
Cloud Firewall menyediakan tool packet capture untuk mengambil paket jaringan dari alamat IP dan Port tertentu. Anda kemudian dapat menganalisis isi paket tersebut untuk memecahkan masalah jaringan, menganalisis perilaku serangan, dan mengidentifikasi risiko keamanan. Untuk petunjuk lengkap, lihat Packet capture.
Mengapa saya melihat Traffic logs untuk probe ICMP periodik dari Alibaba Cloud?
Mengapa beberapa Traffic logs menampilkan aplikasi sebagai Unknown?
Apakah saya dapat mengekspor catatan audit log?
Apakah data analisis log tetap disimpan setelah saya melepas instans Cloud Firewall?