Détection avancée des menaces avec DNS Armor

Fonctionnement de DNS Armor

Lorsque vous activez un détecteur de menaces DNS pour un projet, DNS Armor envoie de manière sécurisée vos journaux de requêtes DNS liées à Internet au moteur d'analyse basé sur Google Cloudet reposant sur notre partenaire Infoblox. Ce moteur utilise un mélange de flux de données d'intelligence sur les menaces et d'analyse comportementale basée sur l'IA pour identifier les menaces. Toute activité malveillante détectée génère un journal de menaces DNS Armor, qui est ensuite renvoyé à votre projet et écrit dans Cloud Logging pour que vous puissiez le consulter et prendre les mesures nécessaires.

La détection avancée des menaces de DNS Armor vous permet de détecter les menaces suivantes :

• Tunnelisation DNS pour l'exfiltration de données : requêtes DNS structurées pour transporter secrètement des données hors de votre réseau, en contournant souvent les pare-feu traditionnels.
• Commande et contrôle (C2) des logiciels malveillants : communication DNS provenant d'une charge de travail compromise qui tente de contacter le serveur d'un pirate informatique pour obtenir des instructions.
• Algorithmes de génération de noms de domaine (DGA) : requêtes DNS vers des domaines générés par des machines et qui semblent aléatoires. Les logiciels malveillants les créent pour trouver leurs serveurs de commande et de contrôle et s'y connecter.
• Fast Flux : requêtes DNS vers des domaines qui modifient rapidement leurs adresses IP associées. Cette technique est utilisée pour rendre l'infrastructure malveillante plus difficile à suivre et à bloquer.
• DNS zero day : requêtes DNS vers des domaines nouvellement enregistrés que les pirates informatiques utilisent pour leurs activités malveillantes avant que ces domaines ne développent une mauvaise réputation bien connue.
• Distribution de logiciels malveillants : requêtes DNS vers des domaines malveillants et à haut risque appartenant à des acteurs malveillants, et connus pour héberger ou distribuer des logiciels malveillants, ou susceptibles de le faire à l'avenir.
• Domaines similaires : requêtes DNS vers des domaines que l'on sait malveillants, qui sont intentionnellement mal orthographiés ou arrangés de sorte à ressembler à des marques légitimes et de confiance.
• Kits d'exploitation : requêtes DNS vers des sites Web qui tentent d'exploiter automatiquement les failles des charges de travail cloud pour installer des logiciels malveillants.
• Menaces persistantes avancées (APT) : requêtes DNS vers des domaines associés à des campagnes d'attaque ciblées et à long terme, souvent menées par des groupes sophistiqués à des fins d'espionnage ou de vol de données.

Le détecteur de menaces avancé est un service configuré à l'échelle mondiale et disponible au niveau du projet, mais il fonctionne de manière indépendante dans chaque région (consultez la section Lieux DNS Armor pour obtenir la liste des régions compatibles). Il peut être activé pour tous les réseaux VPC d'un projet, avec la possibilité d'exclure jusqu'à 100 réseaux spécifiques.

Les moteurs de détection sont déployés au niveau régional et reçoivent le trafic DNS de la même région. Par exemple, le trafic DNS d'un client situé dans us-central1 est transféré vers un moteur de détection déployé dans us-central1.

Les configurations de détection sont configurées à l'échelle mondiale. La configuration de votre détecteur de menaces DNS est identique, quelle que soit la région locale dans laquelle les menaces sont analysées.

Performances et scaling

Lors de la détection des menaces d'exfiltration de données qui utilisent le tunneling DNS, plusieurs requêtes DNS génèrent un ou plusieurs événements de menace.

Impact sur la facturation

Vous serez facturé en fonction du nombre de requêtes DNS liées à Internet générées par vos charges de travail. Cela exclut les éléments suivants :

• Requêtes VPC internes (par exemple, noms d'hôte internes)
• Requêtes transférées vers des résolveurs sur site ou d'autres VPC
• Requêtes entre des VPC appairés
• Zones DNS internes de Compute Engine

Pour estimer le nombre de requêtes DNS liées à Internet, utilisez les métriques Cloud Monitoring. Plus précisément, la métrique dns.googleapis.com/query/response_count et le filtre target_type=external.

DNS Armor a également une incidence sur votre facture Cloud Logging, car les résultats de détection des menaces sont écrits dans le compte Cloud Logging de votre projet. Pour en savoir plus, consultez Tarifs de Google Cloud Observability : Cloud Logging.

Pour en savoir plus sur l'impact de DNS Armor sur votre facturation, consultez Tarifs de Cloud DNS.

Autres options de sécurité

Outre DNS Armor, d'autres options de sécurité sont disponibles, telles que Google Security Operations et Security Command Center. Les deux services doivent être configurés manuellement dans votre projet.

Google Security Operations est un service qui normalise, indexe, met en corrélation et analyse les données de télémétrie de sécurité et de réseau. Pour en savoir plus, consultez la documentation Google SecOps.

Security Command Center fournit un service centralisé de signalement des failles et des menaces. Il évalue votre niveau de sécurité et la surface d'attaque de vos données, identifie les failles et vous aide à atténuer les risques. Pour en savoir plus, consultez la documentation Security Command Center.

Étape suivante

• Créez un détecteur de menaces DNS.
• Affichez les journaux de menaces.
• Résolvez les problèmes courants.
• Tutoriel de l'atelier de programmation