Bedrohungslogs ansehen und überwachen

DNS Armor generiert Bedrohungslogs, wenn verdächtige oder schädliche Aktivitäten erkannt werden. Mit Cloud Logging können Sie die Threat-Logs ansehen und analysieren, um verwertbare Informationen zu erhalten. Wenn Sie außerdem einen DNS-Bedrohungsdetektor haben, der Ihr VPC-Netzwerk überwacht, exportiert der Detektor Messwerte, die mit Cloud Monitoring-Messwerten untersucht werden können.

Es sind zwei Messwerte verfügbar:

  • networksecurity.googleapis.com/dnsthreatdetector/sent_dns_log_count: Anzahl der Logs, die zur Überprüfung an Ihren Anbieter gesendet werden.
  • networksecurity.googleapis.com/dnsthreatdetector/received_dns_threat_count: Die Anzahl der erkannten Bedrohungslogs. Dieser Messwert umfasst den Schweregrad und die Art der Bedrohung.

Diese Messwerte enthalten Filter, mit denen Sie Informationen effektiver analysieren können, z. B. durch Filtern nach Logs, die von einer bestimmten DNS Armor-Instanz über ihre Threat Detector-ID oder ihren Standort generiert wurden.

Hinweis

Prüfen Sie, ob die folgenden Schritte ausgeführt wurden, bevor Sie sich DNS-Bedrohungslogs ansehen:

Bedrohungslogs werden in Cloud Logging geschrieben und können zusätzliche Speicherkosten verursachen. Weitere Informationen finden Sie unter Logging und Monitoring verwenden: Preise oder Preise für Google Cloud Observability: Cloud Logging.

Bedrohungslogs ansehen

Sie können Logs in der Google Cloud -Konsole aufrufen.

Jeder Logeintrag enthält Details zur Identifizierung der entsprechenden DNS-Abfrage und ‑Bedrohung.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf:

    Zum Log-Explorer

  2. Filtern Sie die Logs nach networksecurity.googleapis.com/DnsThreatDetector.

Felder für Bedrohungslog-Einträge

Jedes Bedrohungslog enthält die folgenden Felder.

Name Typ Beschreibung
detectionTime String Zeitpunkt, zu dem die Bedrohung erkannt wurde, in UTC. Der Zeitstempel ist im ISO 8601-Format.
dnsQuery DnsLog Cloud DNS-Logformat
partnerId String Eindeutige Partner-ID.
threatInfo threatInfo Details zur erkannten Bedrohung.

Feld für Gefahreninformationen

In der folgenden Tabelle wird das Format des Felds threatInfo beschrieben.

Name Typ Beschreibung
threatID String Eindeutige Kennung der Bedrohung.
threat String Der Name der erkannten Bedrohung.
threatDescription String Eine detaillierte Beschreibung der erkannten Bedrohung.
category String Der Untertyp der erkannten Bedrohung.
type String Die Art der erkannten Bedrohung. Beispiele: DNS_Tunnel, DGA (Domain Generation Algorithms) oder C2 (Command and Control).
severity String

Der Schweregrad (Hoch, Mittel, Niedrig oder Info), der der erkannten Bedrohung zugeordnet ist.

Weitere Informationen finden Sie in der Definition der Schweregradebenen von Infoblox.

confidence String

Konfidenz der Bedrohungsvorhersage (hoch, mittel, niedrig).

Weitere Informationen finden Sie in der Definition der Vertrauenswürdigkeitsstufe von Infoblox.

threatFeed String Threat-Feed, der diese Warnung über Bedrohungen ausgelöst hat.
indicatorType String Der Typ des Indikators, der diese Bedrohungsbenachrichtigung ausgelöst hat. z. B. URL, IP-Adresse, Hash oder Host.
threatIndicator String Der Bedrohungsindikator, der diese Benachrichtigung ausgelöst hat.

Feld „DNS-Abfrage“

In der folgenden Tabelle wird das Format des Felds DnsQuery beschrieben.

Name Typ Beschreibung
projectNumber String Projektnummer der Quelle.
location String Google Cloud -Region, z. B. us-east1, aus der die Antwort bereitgestellt wurde.
queryName String DNS-Abfragename, RFC 1035 4.1.2.
queryType String DNS-Abfragetyp, IANA DNS Parameters: Resource Record (RR) TYPEs.
responseCode String Antwortcode, IANA DNS Parameters: DNS RCODEs.
rdata String DNS-Antwort im Präsentationsformat, IANA DNS Parameters: Resource Record (RR) TYPEs, verkürzt auf 260 Byte.
authAnswer String Autoritative Antwort, IANA DNS Parameters: DNS Header Flags.
sourceIp String IP, von der die Abfrage stammt.
destinationIp String Ziel-IP-Adresse, gilt nur für Weiterleitungsfälle.
protocol String TCP oder UDP.
queryTime String Zeitstempel für das Senden der DNS-Abfrage.
vmInstanceId String Name der VM-Instanz von Compute Engine; gilt nur für Abfragen, die von Compute Engine-VMs initiiert werden.
vmProjectNumber String Google Cloud Projekt-ID des Netzwerks, von dem die Abfrage gesendet wurde; gilt nur für Abfragen, die von Compute Engine-VM-Instanzen initiiert wurden.
serverlessInstanceId String ID der serverlosen Instanz, von der die Abfrage gesendet wurde; gilt nur für Abfragen, die von Serverless initiiert wurden.

Bedrohungslogs überwachen

Sie können Ihre Logdaten visualisieren, indem Sie logbasierte Messwerte und ein benutzerdefiniertes Dashboard in Cloud Monitoring erstellen.

Eine Schritt-für-Schritt-Anleitung zum Erstellen eines benutzerdefinierten Dashboards für DNS Armor finden Sie im Tutorial zur Visualisierung der Logs der erweiterten Bedrohungserkennung von DNS Armor mithilfe von logbasierten Messwerten und benutzerdefiniertem Dashboard. Das benutzerdefinierte Beispiel-Dashboard in dieser Anleitung enthält die folgenden Widgets:

  • Bedrohungslogs: Die generierten Bedrohungslogs für alle enthaltenen Netzwerke in einem Projekt.
  • Bedrohungslogs nach Region: Die Bedrohungslogs sind nach Region gruppiert.
  • Nach Bedrohung gruppieren: Bedrohungslogs werden nach Bedrohungstyp kategorisiert.
  • Top-Liste – ThreatID: Die 30 wichtigsten ThreatIDs.
  • Nach Schweregrad gruppieren: Gruppieren von Bedrohungslogs nach Schweregrad.
  • Top-Liste – Quelle: Die 30 wichtigsten Instanz-IDs (Quell-VMs).
  • Nach Domains gruppieren: Gruppiert Bedrohungslogs nach den in den Anfragen gefundenen Domainnamen.
Beispiel für ein benutzerdefiniertes Dashboard für DNS Armor.
Ein benutzerdefiniertes DNS Armor-Dashboard mit Widgets.

Überlegungen:

  • Logbasierte Messwerte haben längere Erfassungsverzögerungen und eignen sich nicht für die Echtzeitüberwachung oder sensible Benachrichtigungen. Es kann auch zu Verzögerungen bei der Anzeige der korrekten Anzahl von Protokollen kommen, da die Aufnahme von Protokollen verzögert werden kann.

  • Wenn Sie Benachrichtigungen für logbasierte Messwerte konfigurieren, empfehlen wir, den Ausrichtungszeitraum auf mindestens fünf Minuten festzulegen. Der Abgleichszeitraum trägt dazu bei, dass keine Benachrichtigungen durch geringfügige Schwankungen ausgelöst werden.

  • Bei hoher Auslastung kann es beim Senden der Logs an Cloud Logging sowie bei deren Empfang oder Anzeige zu Verzögerungen kommen. Weitere Informationen finden Sie unter Fehlerbehebung beim Log-Explorer.

Weitere Informationen zu Cloud Monitoring-Dashboards finden Sie unter Dashboards – Übersicht.

Nächste Schritte