בדף הזה מוסבר איך ליצור ולשנות כלי לזיהוי איומים ב-DNS כדי לנטר רשתות VPC לצורך זיהוי פעילות זדונית ב-DNS שמופנית לאינטרנט.
מידע נוסף על זיהוי איומים ב-DNS זמין במאמר סקירה כללית על DNS Armor.
מעקב אחרי איומים ב-DNS יכול להשפיע על החיוב שלכם. למידע נוסף, ראו תמחור של Cloud DNS.
לפני שמתחילים
לפני שיוצרים כלי לזיהוי איומים ב-DNS, צריך לבצע את הפעולות הבאות.
- מפעילים את Network Security API בפרויקט.
- חשוב לוודא שיש לכם את התפקידים הנדרשים כדי להפעיל את הכלי לזיהוי איומים ב-DNS.
- אם רוצים להשתמש ב-Google Cloud CLI כדי לבצע משימות, צריך לעדכן את Google Cloud CLI לגרסה האחרונה.
יצירת כלי לזיהוי איומים ב-DNS
כדי ליצור כלי לזיהוי איומי DNS לכל רשתות ה-VPC בפרויקט, מבצעים את השלבים הבאים. כל רשתות ה-VPC החדשות שיתווספו לפרויקט יעברו מעקב באופן אוטומטי.
אפשר להפעיל רק גלאי איומים אחד של DNS לפרויקט.
המסוף
נכנסים לדף Advanced threat detection במסוף Google Cloud .
לוחצים על יצירת כלי לזיהוי איומים ב-DNS.
מזינים שם לגלאי האיומים ב-DNS.
בוחרים באפשרות All VPC networks in the project (כל רשתות ה-VPC בפרויקט).
לוחצים על יצירה.
gcloud
gcloud network-security dns-threat-detectors create NAME \ --location=global \ --project=PROJECT_ID \ --provider="INFOBLOX"
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של הכלי לזיהוי איומים ב-DNS. PROJECT_ID: מזהה הפרויקט.
API
POST https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors?dnsThreatDetectorId=NAME
{
"provider" : "INFOBLOX"
}
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של הכלי לזיהוי איומים ב-DNS. PROJECT_ID: מזהה הפרויקט.
החרגה של רשת VPC ממעקב אחר איומים
כדי להחריג רשת VPC ממעקב אחרי איומים, צריך לערוך את הכלי לזיהוי איומים ב-DNS. אפשר גם להחריג את הרשת כשיוצרים גלאי איומים ב-DNS.
רשתות VPC חדשות שנוספות לפרויקט נבדקות אוטומטית.
המסוף
נכנסים לדף Advanced threat detection במסוף Google Cloud .
לוחצים על עוד ובוחרים באפשרות עריכה.
בקטע Scope, בוחרים באפשרות All VPC networks in the project except excluded networks.
בוחרים את רשתות ה-VPC שלא רוצים לעקוב אחריהן.
לוחצים על Save.
gcloud
gcloud network-security dns-threat-detectors update NAME \ --add-excluded-networks=LIST_OF_NETWORKS \ --provider="INFOBLOX" \ --location=global
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של הכלי לזיהוי איומים ב-DNS. -
LIST_OF_NETWORKS: רשימת רשתות ה-VPC שרוצים להחריג. PROJECT_ID: מזהה הפרויקט.
API
PATCH https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME
{
"name" : "NAME",
"excluded_networks" : [ "LIST_OF_NETWORKs" ],
"provider" : "INFOBLOX"
}
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של הכלי לזיהוי איומים ב-DNS. PROJECT_ID: מזהה הפרויקט.-
LIST_OF_NETWORKS: רשימה מופרדת בפסיקים של רשתות VPC שרוצים להחריג. כל רשת צריכה להיות מוקפת במירכאות.
הסרת הכלי לזיהוי איומים ב-DNS
אתם יכולים למחוק את הכלי לזיהוי איומים ב-DNS.
המסוף
נכנסים לדף Advanced threat detection במסוף Google Cloud .
לוחצים על סמל האפשרויות הנוספות ובוחרים באפשרות מחיקה.
gcloud
gcloud network-security dns-threat-detectors delete NAME \ --project=PROJECT_ID \ --location=global
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של הכלי לזיהוי איומים ב-DNS. PROJECT_ID: מזהה הפרויקט.
API
DELETE https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME
{
"name" : "NAME",
}
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של הכלי לזיהוי איומים ב-DNS. PROJECT_ID: מזהה הפרויקט.
הוספת תוויות
אפשר להוסיף תוויות לכלי לזיהוי איומים ב-DNS אחרי שהוא נוצר.
המסוף
נכנסים לדף Network Security במסוף Google Cloud .
לוחצים על עוד ובוחרים באפשרות תווית.
מזינים או בוחרים תוויות לגלאי האיומים ב-DNS.
המאמרים הבאים
- כדי לראות איומים שזוהו, אפשר לעיין במאמר בנושא הצגת איומים.
- מידע נוסף על רישום ביומן זמין במאמר שימוש ברישום ביומן ובמעקב.
- כדי למצוא פתרונות לבעיות נפוצות שאתם עשויים להיתקל בהן בכלי לזיהוי איומים ב-DNS, אפשר לעיין במאמר פתרון בעיות.