查看及監控威脅記錄

DNS Armor 偵測到可疑或惡意活動時,會產生威脅記錄。您可以透過 Cloud Logging 查看及分析威脅記錄,並取得可做為行動依據的洞察資料。此外,如果使用 DNS 威脅偵測工具監控 VPC 網路,偵測工具會匯出可透過 Cloud Monitoring 指標檢查的指標。

可用的指標有以下兩種:

  • networksecurity.googleapis.com/dnsthreatdetector/sent_dns_log_count:傳送給供應商檢查的記錄檔數量。
  • networksecurity.googleapis.com/dnsthreatdetector/received_dns_threat_count:偵測到的威脅記錄檔數量。這項指標包含嚴重程度和威脅類型。

這些指標包含篩選器,可讓您更有效率地分析資訊,例如透過威脅偵測工具 ID 或位置,篩選特定 DNS Armor 執行個體產生的記錄。

事前準備

查看 DNS 威脅記錄前,請先確認已完成下列事項:

系統會將威脅記錄寫入 Cloud Logging,因此可能會產生額外的儲存空間費用。請參閱「使用記錄和監控功能:定價」或「Google Cloud Observability 定價:Cloud Logging」。

查看威脅記錄

您可以在 Google Cloud 控制台查看威脅記錄。

每個記錄項目都包含詳細資料,可用於識別對應的 DNS 查詢和威脅。

控制台

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

    前往 Logs Explorer

  2. 篩選出 networksecurity.googleapis.com/DnsThreatDetector 的記錄。

威脅記錄欄位

每個威脅記錄都有下列欄位。

名稱 類型 說明
detectionTime string 偵測到威脅的時間 (以世界標準時間為準)。時間戳記採用 ISO 8601 格式。
dnsQuery DnsLog Cloud DNS 記錄格式。
partnerId string 合作夥伴的專屬 ID。
threatInfo threatInfo 偵測到的威脅詳細資料。

威脅資訊欄位

下表說明 threatInfo 欄位的格式。

名稱 類型 說明
threatID string 專屬威脅 ID。
threat string 偵測到的威脅名稱。
threatDescription string 偵測到的威脅詳細說明。
category string 偵測到的威脅子類型。
type string 偵測到的威脅類型,例如 DNS_Tunnel、DGA (網域產生演算法) 或 C2 (命令與控制)。
severity string

與偵測到的威脅相關聯的嚴重程度 (高、中、低或僅供參考)。

詳情請參閱 Infoblox 的嚴重程度定義

confidence string

威脅預測的可信度 (高、中、低)。

詳情請參閱 Infoblox 的信心水準定義

threatFeed string 觸發這項威脅警告的威脅動態消息。
indicatorType string 觸發這項威脅警告的指標類型,例如網址、IP、雜湊或主機。
threatIndicator string 觸發這項警告的威脅指標。

「DNS 查詢」欄位

下表說明「DnsQuery」欄位的格式。

名稱 類型 說明
projectNumber string 來源專案編號。
location string 提供回應的Google Cloud 地區,例如 us-east1
queryName string DNS 查詢名稱,RFC 1035 4.1.2
queryType 字串 DNS 查詢類型,請參閱 IANA DNS 參數:資源記錄 (RR) 類型
responseCode 字串 回應代碼,請參閱 IANA DNS Parameters:DNS RCODEs
rdata 字串 以簡報格式呈現的 DNS 回答,IANA DNS 參數:資源記錄 (RR) 類型,超過 260 位元組以後的內容會遭到截斷。
authAnswer 字串 權威答案,請參閱 IANA DNS 參數:DNS 標頭旗標
sourceIp 字串 查詢的 IP 來源。
destinationIp string 目標 IP 位址,僅適用於轉送案例。
protocol string TCPUDP
queryTime string 傳送 DNS 查詢時的時間戳記。
vmInstanceId string Compute Engine VM 執行個體名稱,僅適用於由 Compute Engine VM 發出的查詢。
vmProjectNumber string 傳送查詢的網路所屬Google Cloud 專案 ID,僅適用於由 Compute Engine VM 執行個體發出的查詢。
serverlessInstanceId string 傳送查詢的無伺服器執行個體 ID,僅適用於無伺服器發出的查詢。

監控威脅記錄

您可以建立記錄指標,並在 Cloud Monitoring 中建立自訂資訊主頁,以視覺化呈現記錄資料。

如需建立 DNS Armor 自訂資訊主頁的逐步指南,請參閱使用記錄指標和自訂資訊主頁,以圖表呈現 DNS Armor 的進階威脅偵測記錄教學課程。本教學課程中的自訂資訊主頁範例包含下列小工具:

  • 威脅記錄:專案中所有納入網路產生的威脅記錄。
  • 各區域的威脅記錄:依區域分組的威脅記錄。
  • 依威脅分組:根據威脅類型分類威脅記錄。
  • 熱門清單 - ThreatID:前 30 個威脅 ID。
  • 依嚴重程度分組:依嚴重程度將威脅記錄分組。
  • 熱門清單 - 來源:前 30 個執行個體 ID (來源 VM)。
  • 依網域分組:依查詢中找到的網域名稱,將威脅記錄分組。
為 DNS Armor 建立的自訂資訊主頁範例。
含有小工具的自訂 DNS Armor 資訊主頁。

注意事項:

  • 記錄指標的擷取延遲時間較長,不適合用於即時監控或發出敏感快訊。此外,記錄擷取作業可能會有延遲,導致系統無法及時顯示正確的記錄計數。

  • 為記錄指標設定快訊時,建議將對齊週期設為至少五分鐘。對齊期可避免因微幅波動而觸發快訊。

  • 在負載量大的期間,將記錄傳送至 Cloud Logging 或接收及顯示記錄方面可能會發生延遲。詳情請參閱「排解 Logs Explorer 問題」。

如要進一步瞭解 Cloud Monitoring 資訊主頁,請參閱「資訊主頁總覽」。

後續步驟