DNS-Bedrohungsdetektor erstellen

Auf dieser Seite wird beschrieben, wie Sie einen DNS-Bedrohungsdetektor erstellen und ändern, um VPC-Netzwerke auf schädliche, internetgebundene DNS-Aktivitäten zu überwachen.

Weitere Informationen zur DNS-Bedrohungserkennung finden Sie unter DNS Armor – Übersicht.

Die DNS-Bedrohungsüberwachung kann sich auf Ihre Abrechnung auswirken. Weitere Informationen finden Sie unter Cloud DNS-Preise.

Hinweis

Führen Sie die folgenden Schritte aus, bevor Sie einen DNS-Bedrohungsdetektor erstellen.

  • Aktivieren Sie die Network Security API in Ihrem Projekt.
  • Prüfen Sie, ob Sie die erforderlichen Rollen zum Aktivieren eines DNS-Bedrohungsdetektors haben.
  • Wenn Sie die Google Cloud CLI zum Ausführen von Aufgaben verwenden möchten, aktualisieren Sie die Google Cloud CLI auf die neueste Version.

DNS-Bedrohungsdetektor erstellen

Führen Sie die folgenden Schritte aus, um einen DNS-Bedrohungsdetektor für alle Ihre VPC-Netzwerke in einem Projekt zu erstellen. Alle neuen VPC-Netzwerke, die dem Projekt hinzugefügt werden, werden automatisch überwacht.

Pro Projekt kann nur ein DNS-Bedrohungsdetektor aktiviert sein.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Erweiterte Bedrohungserkennung auf.

    Zur erweiterten Bedrohungserkennung

  2. Klicken Sie auf DNS-Bedrohungsdetektor erstellen.

  3. Geben Sie einen Namen für den DNS-Bedrohungsdetektor ein.

  4. Wählen Sie Alle VPC-Netzwerke im Projekt aus.

  5. Klicken Sie auf Erstellen.

gcloud

gcloud network-security dns-threat-detectors create NAME \
  --location=global \
  --project=PROJECT_ID \
  --provider="INFOBLOX"

Ersetzen Sie Folgendes:

  • NAME: der Name für Ihren DNS-Bedrohungsdetektor.
  • PROJECT_ID: Ihre Projekt-ID.

API

POST https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors?dnsThreatDetectorId=NAME

{
    "provider"  : "INFOBLOX"
}

Ersetzen Sie Folgendes:

  • NAME: der Name Ihres DNS-Bedrohungsdetektors.
  • PROJECT_ID: Ihre Projekt-ID.

Bedrohungsdetektor validieren

Die folgenden Testdomains können Sie verwenden, um DNS-Bedrohungsdomains zu überprüfen:

  • dnst-gcp-blox.com
  • ftags-gcp-blox.com
  • dga-gcp-blox.com

Weitere Informationen finden Sie unter Für einige missbräuchliche oder schädliche Domains werden keine DNS-Bedrohungsereignisse generiert.

Optional können Sie für umfangreichere Tests den Infoblox-Simulator für die Erkennung von Bedrohungen verwenden. Das Tool führt lokale dig-Befehle für eine bestimmte Liste von Domains aus, um schädliche Aktivitäten zu simulieren. Es ist nur für Test- und Demonstrationszwecke vorgesehen. Anschließend können Sie prüfen, ob die erwarteten Bedrohungslogs in Cloud Logging generiert werden.

Eine detaillierte Anleitung zum Simulieren von DNS-Bedrohungen und zum Aufrufen von Bedrohungslogs im Log-Explorer finden Sie im Tutorial „Erste Schritte mit der erweiterten Bedrohungserkennung von DNS Armor“.

VPC-Netzwerk von der Bedrohungsüberwachung ausschließen

Sie können ein VPC-Netzwerk von der Bedrohungsüberwachung ausschließen, indem Sie den DNS-Bedrohungsdetektor bearbeiten. Sie können das Netzwerk auch beim Erstellen eines DNS-Bedrohungsdetektors ausschließen.

Neue VPC-Netzwerke, die dem Projekt hinzugefügt werden, werden automatisch überwacht.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Erweiterte Bedrohungserkennung auf.

    Zur erweiterten Bedrohungserkennung

  2. Klicken Sie auf das Dreipunkt-Menü und wählen Sie Bearbeiten aus.

  3. Wählen Sie im Bereich Bereich die Option Alle VPC-Netzwerke im Projekt mit Ausnahme ausgeschlossener Netzwerke aus.

  4. Wählen Sie die VPC-Netzwerke aus, die Sie nicht überwachen möchten.

  5. Klicken Sie auf Speichern.

gcloud

gcloud network-security dns-threat-detectors update NAME  \
  --add-excluded-networks=LIST_OF_NETWORKS \
  --provider="INFOBLOX" \
  --location=global

Ersetzen Sie Folgendes:

  • NAME: der Name Ihres DNS-Bedrohungsdetektors.
  • LIST_OF_NETWORKS: die Liste der VPC-Netzwerke, die Sie ausschließen möchten.
  • PROJECT_ID: Ihre Projekt-ID.

API

PATCH https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME

{
    "name"                  : "NAME",
    "excluded_networks"     : [ "LIST_OF_NETWORKs" ],
    "provider"              : "INFOBLOX"
}

Ersetzen Sie Folgendes:

  • NAME: der Name Ihres DNS-Bedrohungsdetektors.
  • PROJECT_ID: Ihre Projekt-ID.
  • LIST_OF_NETWORKS: eine durch Kommas getrennte Liste der VPC-Netzwerke, die Sie ausschließen möchten. Jedes Netzwerk muss in Anführungszeichen stehen.

DNS-Bedrohungsdetektor entfernen

Sie können Ihren DNS-Bedrohungsdetektor löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Erweiterte Bedrohungserkennung auf.

    Zur erweiterten Bedrohungserkennung

  2. Klicken Sie auf das Dreipunkt-Menü  und wählen Sie Löschen aus.

gcloud

gcloud network-security dns-threat-detectors delete NAME \
  --project=PROJECT_ID \
  --location=global

Ersetzen Sie Folgendes:

  • NAME: der Name Ihres DNS-Bedrohungsdetektors.
  • PROJECT_ID: Ihre Projekt-ID.

API

DELETE https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME

{
    "name"          : "NAME",
}

Ersetzen Sie Folgendes:

  • NAME: der Name Ihres DNS-Bedrohungsdetektors.
  • PROJECT_ID: Ihre Projekt-ID.

Labels hinzufügen

Sie können Ihrem DNS-Bedrohungsdetektor Labels hinzufügen, nachdem er erstellt wurde.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Erweiterte Bedrohungserkennung auf.

    Zur erweiterten Bedrohungserkennung

  2. Klicken Sie auf das Dreipunkt-Menü  und wählen Sie Labels aus.

  3. Geben Sie Labels für Ihren DNS-Bedrohungsdetektor ein oder wählen Sie sie aus.

Nächste Schritte