Ver registros de amenazas

Antes de comenzar

Antes de ver los registros de amenazas de DNS, verifica que se hayan completado los siguientes pasos:

Los registros de amenazas se escriben en Cloud Logging y pueden generar costos de almacenamiento adicionales. Consulta Usa el registro y la supervisión: Precios o Precios de Google Cloud Observability: Cloud Logging.

Visualiza registros de amenazas

Puedes ver registros en la consola de Google Cloud .

Cada entrada de registro incluye detalles para identificar la consulta de DNS y la amenaza correspondientes.

Consola

  1. En la consola de Google Cloud , accede a la página Explorador de registros.

    Ir a Explorador de registros

  2. Filtra los registros para networksecurity.googleapis.com/DnsThreatDetector.

Campos de registros de amenazas

Cada registro de amenazas tiene los siguientes campos.

Nombre Tipo Descripción
detectionTime cadena Es la fecha y hora en que se detectó la amenaza en UTC. La marca de tiempo está en formato ISO 8601.
dnsQuery DnsLog Es el formato del registro del Cloud DNS.
partnerId cadena Es el identificador único del socio.
threatInfo threatInfo Son los detalles de la amenaza detectada.

Campo de información sobre la amenaza

En la siguiente tabla, se describe el formato del campo threatInfo.

Nombre Tipo Descripción
threatID cadena Es el identificador único de la amenaza.
threat cadena Es el nombre de la amenaza detectada.
threatDescription cadena Es una descripción detallada de la amenaza detectada.
category cadena Es el subtipo de la amenaza detectada.
type cadena Es el tipo de amenaza detectada. Por ejemplo, DNS_Tunnel, DGA (algoritmos de generación de dominios) o C2 (comando y control).
severity cadena

Es la gravedad (alta, media, baja o informativa) asociada con la amenaza detectada.

Para obtener más información, consulta Definición de nivel de gravedad de Infoblox.
confidence cadena

Es la confianza de la predicción de amenazas (alta, media o baja).

Para obtener más información, consulta Definición del nivel de confianza de Infoblox.
threatFeed cadena Es el feed de amenazas que activó esta alerta.
indicatorType cadena Es el tipo de indicador que activó esta alerta de amenaza. Por ejemplo, URL, IP, hash o host.
threatIndicator cadena Es el indicador de amenaza que activó esta alerta.

Campo de consulta de DNS

En la siguiente tabla, se describe el formato del campo DnsQuery.

Nombre Tipo Descripción
projectNumber cadena Es el número del proyecto de origen.
location cadena Región deGoogle Cloud , por ejemplo, us-east1, desde la que se entregó la respuesta.
queryName cadena Es el nombre de la consulta de DNS, RFC 1035 4.1.2.
queryType cadena Es el tipo de consulta de DNS, RFC 1035 4.1.2.
responseCode cadena Es el código de respuesta, RFC 1035 4.1.1.
rdata cadena Es la respuesta de DNS en formato de presentación, RFC 1035 5.1, truncada a 260 bytes.
authAnswer cadena Es la respuesta autoritativa, RFC 1035.
sourceIp cadena Es el IP que originó la consulta.
destinationIp cadena Es la dirección IP de destino, aplicable solo a casos de reenvío.
protocol cadena Es TCP o UDP.
queryTime cadena Es la marca de tiempo del momento en que se envió la consulta de DNS.
vmInstanceId cadena Es el nombre de la instancia de VM de Compute Engine, aplicable solo a las consultas iniciadas por las VMs de Compute Engine.
vmProjectNumber cadena Es el ID del proyecto deGoogle Cloud de la red desde la que se envió la consulta, aplicable solo a las consultas iniciadas por instancias de VM de Compute Engine.
serverlessInstanceId cadena Es el ID de la instancia sin servidores desde la que se envió la consulta, aplicable solo a las consultas iniciadas por Serverless.

¿Qué sigue?