Gunakan fitur audit log untuk melacak sumber serangan dan menganalisis lalu lintas. - Cloud Firewall

Cloud Firewall secara otomatis mencatat semua lalu lintas dalam log dan menyediakan halaman Audit Log untuk menampilkan log peristiwa, log lalu lintas, serta log operasi. Hal ini memungkinkan Anda melacak sumber serangan dan mengaudit lalu lintas dengan mudah. Secara default, Anda dapat memeriksa log audit tujuh hari sebelumnya, yang memungkinkan pemantauan aset secara real-time dan penanganan peristiwa keamanan secara efisien.

Catatan

Secara default, Cloud Firewall menyimpan log selama tujuh hari terakhir. Jika Anda ingin menyimpan log lebih dari tujuh hari, memenuhi persyaratan perlindungan klasifikasi tertentu, atau mengekspor data log mentah, Anda dapat mengaktifkan fitur analisis log. Untuk informasi lebih lanjut, lihat Ikhtisar.

Jenis-jenis log audit

Fitur audit log mendukung tiga jenis log: log peristiwa, log lalu lintas, dan log operasi.

Log Peristiwa: Log lalu lintas yang diidentifikasi sebagai ancaman potensial atau perilaku abnormal oleh Cloud Firewall. Log peristiwa menampilkan informasi utama tentang peristiwa keamanan, termasuk waktu deteksi, jenis ancaman, alamat IP sumber, alamat IP tujuan, jenis aplikasi, tingkat keparahan, dan tindakan kebijakan. Informasi ini memudahkan pelacakan dan analisis peristiwa.
Anda dapat mengklik Obtain Attack Sample dalam daftar log peristiwa untuk menghasilkan sampel serangan dalam tujuh hari terakhir untuk log peristiwa yang diblokir oleh fitur pembenahan virtual dan perlindungan dasar. Kemudian, Anda dapat melihat detail peristiwa serangan berdasarkan sampel tersebut. Sampel serangan yang dihasilkan dapat disimpan selama satu bulan.
Log Lalu Lintas: Log lalu lintas jaringan normal yang melewati Cloud Firewall. Anda dapat melihat informasi seperti alamat IP sumber, alamat IP tujuan, port, protokol, dan volume lalu lintas. Log lalu lintas sangat berguna untuk analisis perilaku jaringan dan memahami pola penggunaan jaringan.
Log Operasi: Log semua operasi yang dilakukan di Konsol Cloud Firewall, seperti perubahan konfigurasi aturan atau pengaturan sistem dan intervensi yang dilakukan oleh administrator. Log operasi membantu Anda mengaudit perilaku pengguna dan mengelola perubahan sistem.

Kueri log audit

Bagian ini menjelaskan cara menggunakan fitur audit log untuk menanyakan log lalu lintas. Kondisi kueri bervariasi berdasarkan jenis log, dan kondisi yang tersedia ditampilkan pada halaman Audit Log.

Masuk ke Konsol Cloud Firewall.
Di panel navigasi di sebelah kiri, pilih Log Monitoring > Log Audit.
Klik tab Traffic Logs dan pilih tab sesuai dengan jenis firewall.
Tentukan kondisi kueri dan rentang waktu, lalu klik Search.

Bidang utama log lalu lintas

Tabel berikut menjelaskan bidang utama log lalu lintas untuk membantu Anda memahami karakteristik dan perilaku lalu lintas secara lebih rinci.

Catatan

Saat menanyakan log lalu lintas, Anda dapat mengklik List Configurations di sebelah kanan kondisi kueri dan memilih bidang yang ingin ditampilkan dalam daftar log lalu lintas. Selain bidang yang diperlukan, Anda dapat memilih hingga delapan bidang opsional.

Bidang	Deskripsi
Rule Name/Rule ID	Nama kebijakan kontrol akses atau kebijakan perlindungan yang dilalui oleh lalu lintas. Jika tidak ada nama kebijakan yang ditampilkan, lalu lintas tidak sesuai dengan kebijakan kontrol akses atau kebijakan perlindungan.
Pre-match Access Control Policy Status	Ketika lalu lintas melewati Cloud Firewall, Cloud Firewall mencocokkan lalu lintas dengan kebijakan kontrol akses secara berurutan berdasarkan prioritas kebijakan. Jika Cloud Firewall tidak dapat mengidentifikasi aplikasi atau nama domain lalu lintas saat Cloud Firewall mencocokkan lalu lintas dengan kebijakan kontrol akses, nilai parameter Pre-match Access Control Policy Status adalah Aplikasi Tidak Teridentifikasi atau Nama Domain Tidak Teridentifikasi, dan nilai parameter Pre-match Access Control Policy adalah nama kebijakan kontrol akses. Nilai valid untuk Pre-match Access Control Policy Status: Application Unidentified: Cloud Firewall tidak dapat mengidentifikasi aplikasi lalu lintas. Domain Name Unidentified: Cloud Firewall tidak dapat mengidentifikasi nama domain lalu lintas. Normal: Cloud Firewall dapat mengidentifikasi aplikasi dan nama domain lalu lintas.
Pre-match Access Control Policy
Application Identification Status	Status identifikasi aplikasi lalu lintas saat Cloud Firewall mencocokkan lalu lintas dengan kebijakan kontrol akses. Nilai valid: Teridentifikasi. Diblokir oleh Kebijakan. Koneksi TCP Gagal. Payload Tidak Diterima. Menganalisis. Tidak Teridentifikasi dalam Mode Ketat. Tidak Teridentifikasi dalam Mode Longgar. Tanpa Status: Fitur Deep Packet Inspection (DPI) dinonaktifkan.

Apa yang harus dilakukan selanjutnya

Secara default, Cloud Firewall menyimpan log tujuh hari terakhir. Jika Anda ingin menyimpan log lebih dari tujuh hari atau memenuhi persyaratan perlindungan klasifikasi tertentu, Anda dapat mengaktifkan fitur analisis log. Untuk informasi lebih lanjut, lihat Ikhtisar.
Cloud Firewall menyediakan fitur penangkapan paket. Anda dapat menggunakan fitur ini untuk menangkap paket data jaringan untuk alamat IP dan port tertentu, serta menganalisis paket tersebut. Ini membantu Anda mengidentifikasi pengecualian yang terjadi di jaringan, menganalisis perilaku serangan, dan mengidentifikasi risiko keamanan komunikasi jaringan. Untuk informasi lebih lanjut, lihat Gunakan fitur penangkapan paket.
Mengapa log lalu lintas deteksi ICMP secara berkala dikirim oleh Cloud Firewall?
Mengapa log lalu lintas mencatat lalu lintas yang jenis aplikasinya Tidak Dikenal?
Apakah saya bisa langsung mengekspor catatan audit log?
Apakah data analisis log tetap tersimpan setelah saya melepaskan Cloud Firewall?