Nesta página, descrevemos como criar e modificar um detector de ameaças DNS para monitorar redes VPC em busca de atividades DNS maliciosas e vinculadas à Internet.
Para mais informações sobre a detecção de ameaças de DNS, consulte Visão geral do DNS Armor.
O monitoramento de ameaças de DNS pode afetar seu faturamento. Consulte Preços do Cloud DNS para mais informações.
Antes de começar
Conclua as etapas a seguir antes de criar um detector de ameaças de DNS.
- Ative a API Network Security no projeto.
- Verifique se você tem os papéis necessários para ativar um detector de ameaças de DNS.
- Se você quiser usar a Google Cloud CLI para realizar tarefas, atualize para a versão mais recente.
Criar detector de ameaças de DNS
Para criar um detector de ameaças de DNS para todas as redes VPC em um projeto, siga estas etapas. Todas as novas redes VPC adicionadas ao projeto são monitoradas automaticamente.
Só é possível ativar um detector de ameaças de DNS por projeto.
Console
No console Google Cloud , acesse a página Detecção avançada de ameaças.
Clique em Criar detector de ameaças de DNS.
Insira um nome para o detector de ameaças de DNS.
Selecione Todas as redes VPC do projeto.
Clique em Criar.
gcloud
gcloud network-security dns-threat-detectors create NAME \ --location=global \ --project=PROJECT_ID \ --provider="INFOBLOX"
Substitua:
NAME: o nome do seu detector de ameaças de DNS.PROJECT_ID: o ID do projeto.
API
POST https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors?dnsThreatDetectorId=NAME
{
"provider" : "INFOBLOX"
}
Substitua:
NAME: o nome do seu detector de ameaças de DNS.PROJECT_ID: o ID do projeto.
Validar um detector de ameaças
Estes são domínios de teste que você pode usar para verificar domínios de ameaças de DNS:
dnst-gcp-blox.comftags-gcp-blox.comdga-gcp-blox.com
Para mais informações, consulte Eventos de ameaça de DNS não são gerados para alguns domínios abusivos ou ruins.
Se quiser fazer testes mais extensos, use o
simulador de detecção de ameaças da Infoblox.
A ferramenta executa comandos dig locais para uma lista especificada de domínios e simula atividades maliciosas. Ela foi criada apenas para fins de teste e demonstração.
Em seguida, verifique se os registros de ameaças esperados foram gerados no Cloud Logging.
Para instruções detalhadas sobre como simular ameaças de DNS e visualizar registros de ameaças no Explorador de registros, consulte o tutorial Como começar a usar a detecção avançada de ameaças do DNS Armor.
Excluir uma rede VPC do monitoramento de ameaças
É possível excluir uma rede VPC do monitoramento de ameaças editando o detector de ameaças de DNS. Também é possível excluir a rede ao criar um detector de ameaças de DNS.
As novas redes VPC adicionadas ao projeto são monitoradas automaticamente.
Console
No console Google Cloud , acesse a página Detecção avançada de ameaças.
Clique em Mais e selecione Editar.
Na seção Escopo, selecione Todas as redes VPC do projeto, exceto aquelas excluídas.
Selecione as redes VPC que você não quer monitorar.
Clique em Salvar.
gcloud
gcloud network-security dns-threat-detectors update NAME \ --add-excluded-networks=LIST_OF_NETWORKS \ --provider="INFOBLOX" \ --location=global
Substitua:
NAME: o nome do seu detector de ameaças de DNS.LIST_OF_NETWORKS: a lista de redes VPC que você quer excluir.PROJECT_ID: o ID do projeto.
API
PATCH https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME
{
"name" : "NAME",
"excluded_networks" : [ "LIST_OF_NETWORKs" ],
"provider" : "INFOBLOX"
}
Substitua:
NAME: o nome do seu detector de ameaças de DNS.PROJECT_ID: o ID do projeto.LIST_OF_NETWORKS: uma lista delimitada por vírgulas das redes VPC que você quer excluir. Cada rede precisa estar entre aspas.
Remover o detector de ameaças de DNS
Você pode excluir seu detector de ameaças de DNS.
Console
No console Google Cloud , acesse a página Detecção avançada de ameaças.
Clique em Mais e selecione Excluir.
gcloud
gcloud network-security dns-threat-detectors delete NAME \ --project=PROJECT_ID \ --location=global
Substitua:
NAME: o nome do seu detector de ameaças de DNS.PROJECT_ID: o ID do projeto.
API
DELETE https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME
{
"name" : "NAME",
}
Substitua:
NAME: o nome do seu detector de ameaças de DNS.PROJECT_ID: o ID do projeto.
Adicionar rótulos
É possível adicionar rótulos ao detector de ameaças de DNS depois que ele for criado.
Console
No console Google Cloud , acesse a página Detecção avançada de ameaças.
Clique em Mais e selecione Marcadores.
Insira ou selecione rótulos para seu detector de ameaças de DNS.
A seguir
- Para ver as ameaças detectadas, consulte Visualizar ameaças.
- Para mais informações sobre a geração de registros, consulte Usar geração de registros e monitoramento.
- Para encontrar soluções para problemas comuns que podem ocorrer com seu detector de ameaças de DNS, consulte Solução de problemas.