בדף הזה מוסבר איך ליצור ולשנות כלי לזיהוי איומים ב-DNS כדי לעקוב אחרי פעילות זדונית ב-DNS שמוגבלת לאינטרנט ברשתות VPC.
מידע נוסף על זיהוי איומים ב-DNS זמין במאמר סקירה כללית על DNS Armor.
מעקב אחרי איומים ב-DNS יכול להשפיע על החיוב שלכם. למידע נוסף, ראו תמחור של Cloud DNS.
לפני שמתחילים
לפני שיוצרים כלי לזיהוי איומים ב-DNS, צריך לבצע את הפעולות הבאות.
- מפעילים את Network Security API בפרויקט.
- חשוב לוודא שיש לכם את התפקידים הנדרשים כדי להפעיל את הכלי לזיהוי איומים ב-DNS.
- אם רוצים להשתמש ב-Google Cloud CLI כדי לבצע משימות, צריך לעדכן את Google Cloud CLI לגרסה האחרונה.
יצירת כלי לזיהוי איומים ב-DNS
כדי ליצור כלי לזיהוי איומי DNS לכל רשתות ה-VPC בפרויקט, מבצעים את השלבים הבאים. כל רשתות ה-VPC החדשות שיתווספו לפרויקט יעברו מעקב באופן אוטומטי.
אפשר להפעיל רק גלאי איומים אחד של DNS לכל פרויקט.
המסוף
נכנסים לדף Advanced threat detection במסוף Google Cloud .
לוחצים על יצירת כלי לזיהוי איומים ב-DNS.
מזינים שם לגלאי האיומים ב-DNS.
בוחרים באפשרות All VPC networks in the project (כל רשתות ה-VPC בפרויקט).
לוחצים על יצירה.
gcloud
gcloud network-security dns-threat-detectors create NAME \ --location=global \ --project=PROJECT_ID \ --provider="INFOBLOX"
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של הכלי לזיהוי איומים ב-DNS. PROJECT_ID: מזהה הפרויקט.
API
POST https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors?dnsThreatDetectorId=NAME
{
"provider" : "INFOBLOX"
}
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של הכלי לזיהוי איומים ב-DNS. PROJECT_ID: מזהה הפרויקט.
החרגת רשת VPC ממעקב אחר איומים
כדי להחריג רשת VPC ממעקב אחרי איומים, צריך לערוך את הכלי לזיהוי איומי DNS. אפשר גם להחריג את הרשת כשיוצרים כלי לזיהוי איומים ב-DNS.
רשתות VPC חדשות שנוספות לפרויקט נבדקות באופן אוטומטי.
המסוף
נכנסים לדף Advanced threat detection במסוף Google Cloud .
לוחצים על עוד ובוחרים באפשרות עריכה.
בקטע היקף, בוחרים באפשרות כל רשתות ה-VPC בפרויקט, למעט רשתות מוחרגות.
בוחרים את רשתות ה-VPC שלא רוצים לנטר.
לוחצים על Save.
gcloud
gcloud network-security dns-threat-detectors update NAME \ --add-excluded-networks=LIST_OF_NETWORKS \ --provider="INFOBLOX" \ --location=global
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של הכלי לזיהוי איומים ב-DNS. -
LIST_OF_NETWORKS: רשימת רשתות ה-VPC שרוצים להחריג. PROJECT_ID: מזהה הפרויקט.
API
PATCH https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME
{
"name" : "NAME",
"excluded_networks" : [ "LIST_OF_NETWORKs" ],
"provider" : "INFOBLOX"
}
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של הכלי לזיהוי איומים ב-DNS. PROJECT_ID: מזהה הפרויקט.-
LIST_OF_NETWORKS: רשימה מופרדת בפסיקים של רשתות VPC שרוצים להחריג. כל רשת צריכה להיות במירכאות.
הסרת הכלי לזיהוי איומים ב-DNS
אפשר למחוק את הכלי לזיהוי איומים ב-DNS.
המסוף
נכנסים לדף Advanced threat detection במסוף Google Cloud .
לוחצים על סמל האפשרויות הנוספות ובוחרים באפשרות מחיקה.
gcloud
gcloud network-security dns-threat-detectors delete NAME \ --project=PROJECT_ID \ --location=global
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של הכלי לזיהוי איומים ב-DNS. PROJECT_ID: מזהה הפרויקט.
API
DELETE https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME
{
"name" : "NAME",
}
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של הכלי לזיהוי איומים ב-DNS. PROJECT_ID: מזהה הפרויקט.
הוספת תוויות
אפשר להוסיף תוויות לכלי לזיהוי איומים ב-DNS אחרי שהוא נוצר.
המסוף
נכנסים לדף Network Security במסוף Google Cloud .
לוחצים על עוד ובוחרים באפשרות תווית.
מזינים או בוחרים תוויות לגלאי האיומים ב-DNS.
המאמרים הבאים
- כדי לראות איומים שזוהו, אפשר לעיין במאמר בנושא הצגת איומים.
- מידע נוסף על רישום ביומן זמין במאמר שימוש ברישום ביומן ובמעקב.
- כדי למצוא פתרונות לבעיות נפוצות שאתם עשויים להיתקל בהן בכלי לזיהוי איומים ב-DNS, אפשר לעיין במאמר בנושא פתרון בעיות.