Google Cloud DNS Threat Detector-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Google Cloud DNS Threat Detector-Logs mit Google Cloud Storage V2 in Google Security Operations aufnehmen.

DNS Armor, basierend auf Infoblox, ist ein vollständig verwalteter Dienst, der Sicherheit auf DNS-Ebene für Ihre Google Cloud-Arbeitslasten bietet. Der erweiterte Bedrohungsdetektor wurde entwickelt, um schädliche Aktivitäten so früh wie möglich in der Angriffskette zu erkennen, nämlich bei der DNS-Abfrage, ohne dass die betriebliche Komplexität oder der Leistungs-Overhead erhöht werden. Nachdem eine Bedrohung erkannt wurde, können Sie über Cloud Logging umsetzbare Informationen zu DNS-Bedrohungen erhalten.

Wenn Sie einen DNS-Bedrohungsdetektor für ein Projekt aktivieren, sendet DNS Armor Ihre internetgebundenen DNS-Abfragelogs sicher an die auf Google Cloud basierende Analyse-Engine von Infoblox. Diese Engine verwendet eine Kombination aus Feeds für Bedrohungsdaten und KI-basierter Verhaltensanalyse, um Bedrohungen zu erkennen. Bei jeder erkannten schädlichen Aktivität wird ein DNS Armor-Bedrohungslog generiert, das dann an Ihr Projekt zurückgesendet und in Cloud Logging geschrieben wird, damit Sie es ansehen und darauf reagieren können.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • GCP-Projekt mit aktivierter Cloud Storage API.
  • Berechtigungen zum Erstellen und Verwalten von GCS-Buckets.
  • Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets.
  • Die Network Security API ist in Ihrem Projekt aktiviert.
  • Erforderliche IAM-Rollen zum Aktivieren eines DNS-Bedrohungsdetektors.
  • Berechtigungen zum Aufrufen von DNS-Bedrohungslogs: resourcemanager.projects.get, resourcemanager.projects.list, networksecurity.dnsThreatDetectors.get, networksecurity.dnsThreatDetectors.list oder die Rollen roles/networksecurity.dnsThreatDetectorViewer und roles/logging.viewer.

Google Cloud Storage-Bucket erstellen

  1. Gehen Sie zur Google Cloud Console.
  2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
  3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
  4. Klicken Sie auf Bucket erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. dns-threat-detector-logs.
    Standorttyp Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
    Standort Wählen Sie den Speicherort aus, z. B. us-central1.
    Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
    Zugriffskontrolle Einheitlich (empfohlen)
    Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

  6. Klicken Sie auf Erstellen.

DNS-Bedrohungsdetektor erstellen

In diesem Abschnitt wird beschrieben, wie Sie einen DNS-Bedrohungsdetektor erstellen, um VPC-Netzwerke auf schädliche, internetgebundene DNS-Aktivitäten zu überwachen.

Pro Projekt kann nur ein DNS-Bedrohungsdetektor aktiviert sein.

Google Cloud Console verwenden

  1. Rufen Sie in der Google Cloud Console die Seite Erweiterte Bedrohungserkennung auf.
  2. Klicken Sie auf DNS-Bedrohungsdetektor erstellen.
  3. Geben Sie einen Namen für den DNS-Bedrohungsdetektor ein.
  4. Wählen Sie Alle VPC-Netzwerke im Projekt aus.
  5. Klicken Sie auf Erstellen.

gcloud-Befehlszeilentool verwenden

Alternativ können Sie einen DNS-Bedrohungsdetektor mit dem Befehl gcloud erstellen:

gcloud beta network-security dns-threat-detectors create my-dns-threat-detector \
--location=global \
--project=PROJECT_ID \
--provider="infoblox"

Ersetzen Sie: - my-dns-threat-detector: Der Name für Ihren DNS-Bedrohungsdetektor. – PROJECT_ID: Ihre Projekt-ID.

Cloud Logging so konfigurieren, dass DNS Threat Detector-Logs nach GCS exportiert werden

DNS Armor-Bedrohungslogs werden in Cloud Logging geschrieben. Sie müssen eine Logsenke konfigurieren, um diese Logs in Ihren GCS-Bucket zu exportieren.

  1. Rufen Sie in der Google Cloud Console Logging > Log-Router auf.
  2. Klicken Sie auf Senke erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Name der Senke: Geben Sie einen aussagekräftigen Namen ein, z. B. dns-threat-detector-to-gcs.
    • Senkenbeschreibung: Optionale Beschreibung.
  4. Klicken Sie auf Weiter.
  5. Gehen Sie im Bereich Senkendienst auswählen so vor:
    • Senkendienst: Wählen Sie Cloud Storage-Bucket aus.
    • Cloud Storage-Bucket auswählen: Wählen Sie den Bucket (z. B. dns-threat-detector-logs) aus dem Drop-down-Menü aus.
  6. Klicken Sie auf Weiter.

  7. Geben Sie im Abschnitt Logs auswählen, die in der Senke enthalten sind die folgende Filterabfrage ein:

    resource.type="networksecurity.googleapis.com/DnsThreatDetector"
logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2FDnsThreatDetector"

Ersetzen Sie PROJECT_ID durch Ihre GCP-Projekt-ID.

  1. Klicken Sie auf Weiter.
  2. Prüfen Sie die Konfiguration und klicken Sie auf Senke erstellen.

gcloud-Befehlszeilentool verwenden

Alternativ können Sie mit dem gcloud-Befehl eine Logsenke erstellen:

gcloud logging sinks create dns-threat-detector-to-gcs \
    gs://dns-threat-detector-logs \
    --log-filter='resource.type="networksecurity.googleapis.com/DnsThreatDetector" AND logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2FDnsThreatDetector"' \
    --project=PROJECT_ID

Ersetzen Sie: - dns-threat-detector-logs: Ihren GCS-Bucket-Namen. – PROJECT_ID: Ihre GCP-Projekt-ID.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

Feed in Google SecOps konfigurieren, um Google Cloud DNS Threat Detector-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. GCP DNS Threat Detector Logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.

  6. Wählen Sie Google Cloud DNS Threat Detector als Logtyp aus.

  7. Klicken Sie auf Dienstkonto abrufen.

  8. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  9. Kopieren Sie diese E-Mail-Adresse. Sie verwenden es in der nächsten Aufgabe.

  10. Klicken Sie auf Weiter.

  11. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://dns-threat-detector-logs/

      Ersetzen Sie:

      • dns-threat-detector-logs: Der Name Ihres GCS-Buckets.
    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:
      • Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
      • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.
    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
    • Asset-Namespace: Der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  12. Klicken Sie auf Weiter.

  13. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets, z. B. dns-threat-detector-logs.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

  6. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
record.jsonPayload.dnsQuery.responseCode, record.jsonPayload.dnsQuery.authAnswer, record.jsonPayload.dnsQuery.queryTime, record.jsonPayload.partnerId, record.jsonPayload.detectionTime, record.logName additional.fields Werte werden in die zusätzliche Karte kopiert und dann als Karteneinträge mit „value.string_value“ zusammengeführt, sofern nicht leer.
record.receiveTimestamp metadata.collected_timestamp Wird als ISO8601-Zeitstempel geparst.
metadata.event_type Auf „NETWORK_CONNECTION“ festgelegt, wenn „has_principal“ und „has_target“ vorhanden sind, auf „STATUS_UPDATE“, wenn „has_principal“ vorhanden ist, andernfalls auf „GENERIC_EVENT“
record.timestamp metadata.event_timestamp Wird als ISO8601-Zeitstempel geparst.
record.insertId metadata.product_log_id Wert wird direkt kopiert, wenn er nicht leer ist
record.jsonPayload.dnsQuery.rdata network.dns.answers Der Wert wird in „answer.data“ kopiert und dann als Array zusammengeführt, sofern er nicht leer ist.
record.jsonPayload.dnsQuery.queryName, record.jsonPayload.dnsQuery.queryType network.dns.questions questions.name aus queryName, questions.type aus queryType (String zu Integer) zugeordnet und dann als Array zusammengeführt, sofern nicht leer
record.jsonPayload.dnsQuery.responseCode network.dns.response_code Mit vordefinierter Tabelle von String zu Ganzzahl zugeordnet
record.jsonPayload.dnsQuery.protocol network.ip_protocol Wert wird direkt kopiert, wenn er nicht leer ist
record.jsonPayload.dnsQuery.sourceIp principal.asset.ip Wert wird direkt kopiert, wenn er nicht leer ist
record.jsonPayload.dnsQuery.sourceIp principal.ip Wert wird direkt kopiert, wenn er nicht leer ist
record.jsonPayload.dnsQuery.location principal.location.country_or_region Wert wird direkt kopiert, wenn er nicht leer ist
record.resource.labels.location principal.location.name Wert wird direkt kopiert, wenn er nicht leer ist
record.jsonPayload.dnsQuery.vmProjectNumber, record.jsonPayload.dnsQuery.projectNumber principal.resource.attribute.labels Werte werden in die Zusatzkarte kopiert und dann als Karteneinträge zusammengeführt, sofern sie nicht leer sind.
record.jsonPayload.dnsQuery.vmInstanceId principal.resource.id Wert wird direkt kopiert, wenn er nicht leer ist
record.resource.labels.id principal.resource.product_object_id Wert wird direkt kopiert, wenn er nicht leer ist
record.resource.type principal.resource.type Wert wird direkt kopiert, wenn er nicht leer ist
security_result Zusammengeführt aus der erstellten security_result-Karte
record.jsonPayload.threatInfo.confidence security_result.confidence Entspricht LOW_CONFIDENCE, wenn (?i)Low, MEDIUM_CONFIDENCE, wenn (?i)Medium, HIGH_CONFIDENCE, wenn (?i)High
record.jsonPayload.threatInfo.threatDescription security_result.description Wert wird direkt kopiert, wenn er nicht leer ist
record.jsonPayload.threatInfo.threatIndicatorType, record.jsonPayload.threatInfo.threatIndicator, record.jsonPayload.threatInfo.threatFeed, record.jsonPayload.threatInfo.category, record.jsonPayload.threatInfo.type, record.jsonPayload.threatInfo.threat, record.jsonPayload.threatInfo.severity, record.resource.labels.resource_container security_result.detection_fields Werte werden in die Zusatzkarte kopiert und dann als Karteneinträge zusammengeführt, sofern sie nicht leer sind.
record.severity security_result.severity LOW, wenn (?i)Low, INFORMATIONAL, wenn (?i)(Informational|Info), MEDIUM, wenn (?i)Medium, CRITICAL, wenn (?i)Critical, HIGH, wenn (?i)High
record.jsonPayload.threatInfo.threatId security_result.threat_id Wert wird direkt kopiert, wenn er nicht leer ist
record.jsonPayload.dnsQuery.destinationIp target.asset.ip Wert wird direkt kopiert, wenn er nicht leer ist
record.jsonPayload.dnsQuery.destinationIp target.ip Wert wird direkt kopiert, wenn er nicht leer ist
metadata.vendor_name Auf „Google Cloud“ festlegen
metadata.product_name Auf „Google Cloud DNS Threat Detector“ festgelegt

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten