יצירת כלי לזיהוי איומים ב-DNS

בדף הזה מוסבר איך ליצור ולשנות כלי לזיהוי איומים ב-DNS כדי לנטר רשתות VPC לצורך זיהוי פעילות זדונית ב-DNS שמופנית לאינטרנט.

מידע נוסף על זיהוי איומים ב-DNS זמין במאמר סקירה כללית על DNS Armor.

מעקב אחרי איומים ב-DNS יכול להשפיע על החיוב שלכם. למידע נוסף, ראו תמחור של Cloud DNS.

לפני שמתחילים

לפני שיוצרים כלי לזיהוי איומים ב-DNS, צריך לבצע את הפעולות הבאות.

  • מפעילים את Network Security API בפרויקט.
  • חשוב לוודא שיש לכם את התפקידים הנדרשים כדי להפעיל את הכלי לזיהוי איומים ב-DNS.
  • אם רוצים להשתמש ב-Google Cloud CLI כדי לבצע משימות, צריך לעדכן את Google Cloud CLI לגרסה האחרונה.

יצירת כלי לזיהוי איומים ב-DNS

כדי ליצור כלי לזיהוי איומי DNS לכל רשתות ה-VPC בפרויקט, מבצעים את השלבים הבאים. כל רשתות ה-VPC החדשות שיתווספו לפרויקט יעברו מעקב באופן אוטומטי.

אפשר להפעיל רק גלאי איומים אחד של DNS לפרויקט.

המסוף

  1. נכנסים לדף Advanced threat detection במסוף Google Cloud .

    מעבר אל 'זיהוי איומים מתקדם'

  2. לוחצים על יצירת כלי לזיהוי איומים ב-DNS.

  3. מזינים שם לגלאי האיומים ב-DNS.

  4. בוחרים באפשרות All VPC networks in the project (כל רשתות ה-VPC בפרויקט).

  5. לוחצים על יצירה.

gcloud

gcloud network-security dns-threat-detectors create NAME \
  --location=global \
  --project=PROJECT_ID \
  --provider="INFOBLOX"

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של הכלי לזיהוי איומים ב-DNS.
  • PROJECT_ID: מזהה הפרויקט.

API

POST https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors?dnsThreatDetectorId=NAME

{
    "provider"  : "INFOBLOX"
}

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של הכלי לזיהוי איומים ב-DNS.
  • PROJECT_ID: מזהה הפרויקט.

החרגה של רשת VPC ממעקב אחר איומים

כדי להחריג רשת VPC ממעקב אחרי איומים, צריך לערוך את הכלי לזיהוי איומים ב-DNS. אפשר גם להחריג את הרשת כשיוצרים גלאי איומים ב-DNS.

רשתות VPC חדשות שנוספות לפרויקט נבדקות אוטומטית.

המסוף

  1. נכנסים לדף Advanced threat detection במסוף Google Cloud .

    מעבר אל 'זיהוי איומים מתקדם'

  2. לוחצים על עוד ובוחרים באפשרות עריכה.

  3. בקטע Scope, בוחרים באפשרות All VPC networks in the project except excluded networks.

  4. בוחרים את רשתות ה-VPC שלא רוצים לעקוב אחריהן.

  5. לוחצים על Save.

gcloud

gcloud network-security dns-threat-detectors update NAME  \
  --add-excluded-networks=LIST_OF_NETWORKS \
  --provider="INFOBLOX" \
  --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של הכלי לזיהוי איומים ב-DNS.
  • LIST_OF_NETWORKS: רשימת רשתות ה-VPC שרוצים להחריג.
  • PROJECT_ID: מזהה הפרויקט.

API

PATCH https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME

{
    "name"                  : "NAME",
    "excluded_networks"     : [ "LIST_OF_NETWORKs" ],
    "provider"              : "INFOBLOX"
}

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של הכלי לזיהוי איומים ב-DNS.
  • PROJECT_ID: מזהה הפרויקט.
  • LIST_OF_NETWORKS: רשימה מופרדת בפסיקים של רשתות VPC שרוצים להחריג. כל רשת צריכה להיות מוקפת במירכאות.

הסרת הכלי לזיהוי איומים ב-DNS

אתם יכולים למחוק את הכלי לזיהוי איומים ב-DNS.

המסוף

  1. נכנסים לדף Advanced threat detection במסוף Google Cloud .

    מעבר אל 'זיהוי איומים מתקדם'

  2. לוחצים על סמל האפשרויות הנוספות ובוחרים באפשרות מחיקה.

gcloud

gcloud network-security dns-threat-detectors delete NAME \
  --project=PROJECT_ID \
  --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של הכלי לזיהוי איומים ב-DNS.
  • PROJECT_ID: מזהה הפרויקט.

API

DELETE https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME

{
    "name"          : "NAME",
}

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של הכלי לזיהוי איומים ב-DNS.
  • PROJECT_ID: מזהה הפרויקט.

הוספת תוויות

אפשר להוסיף תוויות לכלי לזיהוי איומים ב-DNS אחרי שהוא נוצר.

המסוף

  1. נכנסים לדף Network Security במסוף Google Cloud .

    מעבר אל "אבטחת רשת"

  2. לוחצים על עוד ובוחרים באפשרות תווית.

  3. מזינים או בוחרים תוויות לגלאי האיומים ב-DNS.

המאמרים הבאים