DNS Armor generiert Bedrohungslogs, wenn verdächtige oder schädliche Aktivitäten erkannt werden. Mit Cloud Logging können Sie die Threat-Logs ansehen und analysieren, um verwertbare Informationen zu erhalten. Wenn Sie außerdem einen DNS-Bedrohungsdetektor haben, der Ihr VPC-Netzwerk überwacht, exportiert der Detektor Messwerte, die mit Cloud Monitoring-Messwerten untersucht werden können.
Es sind zwei Messwerte verfügbar:
networksecurity.googleapis.com/dnsthreatdetector/sent_dns_log_count: Anzahl der Logs, die zur Überprüfung an Ihren Anbieter gesendet werden.networksecurity.googleapis.com/dnsthreatdetector/received_dns_threat_count: Die Anzahl der erkannten Bedrohungslogs. Dieser Messwert umfasst den Schweregrad und die Art der Bedrohung.
Diese Messwerte enthalten Filter, mit denen Sie Informationen effektiver analysieren können, z. B. durch Filtern nach Logs, die von einer bestimmten DNS Armor-Instanz über ihre Threat Detector-ID oder ihren Standort generiert wurden.
Hinweis
Prüfen Sie, ob die folgenden Schritte ausgeführt wurden, bevor Sie sich DNS-Bedrohungslogs ansehen:
- Aktivieren Sie die Network Security API in Ihrem Projekt.
- Prüfen Sie, ob Sie die Rolle
DNS Threat Detector Viewerhaben.
Bedrohungslogs werden in Cloud Logging geschrieben und können zusätzliche Speicherkosten verursachen. Weitere Informationen finden Sie unter Logging und Monitoring verwenden: Preise oder Preise für Google Cloud Observability: Cloud Logging.
Bedrohungslogs ansehen
Sie können Logs in der Google Cloud -Konsole aufrufen.
Jeder Logeintrag enthält Details zur Identifizierung der entsprechenden DNS-Abfrage und ‑Bedrohung.
Console
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf:
Filtern Sie die Logs nach
networksecurity.googleapis.com/DnsThreatDetector.
Felder für Bedrohungslog-Einträge
Jedes Bedrohungslog enthält die folgenden Felder.
| Name | Typ | Beschreibung |
|---|---|---|
detectionTime |
String | Zeitpunkt, zu dem die Bedrohung erkannt wurde, in UTC. Der Zeitstempel ist im ISO 8601-Format. |
dnsQuery |
DnsLog | Cloud DNS-Logformat |
partnerId |
String | Eindeutige Partner-ID. |
threatInfo |
threatInfo | Details zur erkannten Bedrohung. |
Feld für Gefahreninformationen
In der folgenden Tabelle wird das Format des Felds threatInfo beschrieben.
| Name | Typ | Beschreibung |
|---|---|---|
threatID |
String | Eindeutige Kennung der Bedrohung. |
threat |
String | Der Name der erkannten Bedrohung. |
threatDescription |
String | Eine detaillierte Beschreibung der erkannten Bedrohung. |
category |
String | Der Untertyp der erkannten Bedrohung. |
type |
String | Die Art der erkannten Bedrohung. Beispiele: DNS_Tunnel, DGA (Domain Generation Algorithms) oder C2 (Command and Control). |
severity |
String | Der Schweregrad (Hoch, Mittel, Niedrig oder Info), der der erkannten Bedrohung zugeordnet ist. Weitere Informationen finden Sie in der Definition der Schweregradebenen von Infoblox. |
confidence |
String | Konfidenz der Bedrohungsvorhersage (hoch, mittel, niedrig). Weitere Informationen finden Sie in der Definition der Vertrauenswürdigkeitsstufe von Infoblox. |
threatFeed |
String | Threat-Feed, der diese Warnung über Bedrohungen ausgelöst hat. |
indicatorType |
String | Der Typ des Indikators, der diese Bedrohungsbenachrichtigung ausgelöst hat. z. B. URL, IP-Adresse, Hash oder Host. |
threatIndicator |
String | Der Bedrohungsindikator, der diese Benachrichtigung ausgelöst hat. |
Feld „DNS-Abfrage“
In der folgenden Tabelle wird das Format des Felds DnsQuery beschrieben.
| Name | Typ | Beschreibung |
|---|---|---|
projectNumber |
String | Projektnummer der Quelle. |
location |
String | Google Cloud -Region, z. B. us-east1, aus der die Antwort bereitgestellt wurde. |
queryName |
String | DNS-Abfragename, RFC 1035 4.1.2. |
queryType |
String | DNS-Abfragetyp, IANA DNS Parameters: Resource Record (RR) TYPEs. |
responseCode |
String | Antwortcode, IANA DNS Parameters: DNS RCODEs. |
rdata |
String | DNS-Antwort im Präsentationsformat, IANA DNS Parameters: Resource Record (RR) TYPEs, verkürzt auf 260 Byte. |
authAnswer |
String | Autoritative Antwort, IANA DNS Parameters: DNS Header Flags. |
sourceIp |
String | IP, von der die Abfrage stammt. |
destinationIp |
String | Ziel-IP-Adresse, gilt nur für Weiterleitungsfälle. |
protocol |
String | TCP oder UDP. |
queryTime |
String | Zeitstempel für das Senden der DNS-Abfrage. |
vmInstanceId |
String | Name der VM-Instanz von Compute Engine; gilt nur für Abfragen, die von Compute Engine-VMs initiiert werden. |
vmProjectNumber |
String | Google Cloud Projekt-ID des Netzwerks, von dem die Abfrage gesendet wurde; gilt nur für Abfragen, die von Compute Engine-VM-Instanzen initiiert wurden. |
serverlessInstanceId |
String | ID der serverlosen Instanz, von der die Abfrage gesendet wurde; gilt nur für Abfragen, die von Serverless initiiert wurden. |
Bedrohungslogs überwachen
Sie können Ihre Logdaten visualisieren, indem Sie logbasierte Messwerte und ein benutzerdefiniertes Dashboard in Cloud Monitoring erstellen.
Eine Schritt-für-Schritt-Anleitung zum Erstellen eines benutzerdefinierten Dashboards für DNS Armor finden Sie im Tutorial zur Visualisierung der Logs der erweiterten Bedrohungserkennung von DNS Armor mithilfe von logbasierten Messwerten und benutzerdefiniertem Dashboard. Das benutzerdefinierte Beispiel-Dashboard in dieser Anleitung enthält die folgenden Widgets:
- Bedrohungslogs: Die generierten Bedrohungslogs für alle enthaltenen Netzwerke in einem Projekt.
- Bedrohungslogs nach Region: Die Bedrohungslogs sind nach Region gruppiert.
- Nach Bedrohung gruppieren: Bedrohungslogs werden nach Bedrohungstyp kategorisiert.
- Top-Liste – ThreatID: Die 30 wichtigsten ThreatIDs.
- Nach Schweregrad gruppieren: Gruppieren von Bedrohungslogs nach Schweregrad.
- Top-Liste – Quelle: Die 30 wichtigsten Instanz-IDs (Quell-VMs).
- Nach Domains gruppieren: Gruppiert Bedrohungslogs nach den in den Anfragen gefundenen Domainnamen.
Überlegungen:
Logbasierte Messwerte haben längere Erfassungsverzögerungen und eignen sich nicht für die Echtzeitüberwachung oder sensible Benachrichtigungen. Es kann auch zu Verzögerungen bei der Anzeige der korrekten Anzahl von Protokollen kommen, da die Aufnahme von Protokollen verzögert werden kann.
Wenn Sie Benachrichtigungen für logbasierte Messwerte konfigurieren, empfehlen wir, den Ausrichtungszeitraum auf mindestens fünf Minuten festzulegen. Der Abgleichszeitraum trägt dazu bei, dass keine Benachrichtigungen durch geringfügige Schwankungen ausgelöst werden.
Bei hoher Auslastung kann es beim Senden der Logs an Cloud Logging sowie bei deren Empfang oder Anzeige zu Verzögerungen kommen. Weitere Informationen finden Sie unter Fehlerbehebung beim Log-Explorer.
Weitere Informationen zu Cloud Monitoring-Dashboards finden Sie unter Dashboards – Übersicht.
Nächste Schritte
Weitere Informationen zum Verwenden von Logging und Monitoring, einschließlich zum Aktivieren von Logging für Ihre VPC-Netzwerke
Informationen zu Lösungen für häufige Probleme, die bei der Verwendung der Bedrohungsüberwachung auftreten können, finden Sie unter Fehlerbehebung.
Informationen dazu, wie Sie benachrichtigt werden, wenn eine Bedrohung erkannt wird, finden Sie unter Benachrichtigungsübersicht.