Afficher les journaux de menaces

Avant de commencer

Avant de consulter les journaux de menaces DNS, vérifiez vous avez entrepris les démarches suivantes :

Les journaux de menaces sont écrits dans Cloud Logging et peuvent entraîner des coûts de stockage supplémentaires. Consultez Utiliser la journalisation et la surveillance : tarifs ou Tarifs de Google Cloud Observability : Cloud Logging.

Pour effectuer cette tâche, vous devez avoir reçu les autorisations OU les rôles IAM suivants :

Autorisations

Rôles

Vous pouvez afficher les journaux dans la console Google Cloud .

Chaque entrée de journal inclut des informations permettant d'identifier la requête DNS et la menace correspondantes.

Dans la console Google Cloud , accédez à la page Explorateur de journaux.

Accéder à l'Explorateur de journaux
Filtrez les journaux pour networksecurity.googleapis.com/DnsThreatDetector.

Chaque journal de menaces comporte les champs suivants.

Nom	Type	Description
`detectionTime`	string	Heure à laquelle la menace a été détectée au format UTC. Le code temporel est au format ISO 8601.
`dnsQuery`	DnsLog	Format Cloud DNS Log.
`partnerId`	string	Identifiant partenaire unique.
`threatInfo`	threatInfo	Détails de la menace détectée.

Le tableau suivant décrit le format du champ threatInfo.

Nom	Type	Description
`threatID`	string	Identifiant unique de la menace.
`threat`	string	Nom de la menace détectée.
`threatDescription`	string	Description détaillée de la menace détectée.
`category`	string	Sous-type de la menace détectée.
`type`	string	Type de la menace détectée. Par exemple, DNS_Tunnel, DGA (algorithmes de génération de domaines) ou C2 (commande et contrôle).
`severity`	string	Niveau de gravité (élevée, moyenne, faible ou info) associé à la menace détectée. Pour en savoir plus, consultez Définition des niveaux de gravité (en anglais) sur le site d'Infoblox.
`confidence`	string	Niveau de confiance de la prédiction de menace (élevé, moyen ou faible). Pour en savoir plus, consultez Définition du niveau de confiance (en anglais) sur le site d'Infoblox.
`threatFeed`	string	Flux de menaces ayant déclenché cette alerte.
`indicatorType`	string	Type d'indicateur ayant déclenché cette alerte de menace. Par exemple, URL, IP (adresse IP), Hash (hachage) ou Host (hôte).
`threatIndicator`	string	Indicateur de menace ayant déclenché cette alerte.

Le tableau suivant décrit le format du champ DnsQuery.

Nom	Type	Description
`projectNumber`	string	Numéro du projet source.
`location`	string	RégionGoogle Cloud (par exemple, `us-east1`) à partir de laquelle la réponse a été livrée.
`queryName`	string	Nom de la requête DNS, RFC 1035 4.1.2.
`queryType`	string	Type de requête DNS, RFC 1035 4.1.2.
`responseCode`	string	Code de réponse, RFC 1035 4.1.1.
`rdata`	string	Réponse DNS au format de présentation, RFC 1035 5.1, tronquée à 260 octets.
`authAnswer`	string	Réponse faisant autorité, RFC 1035.
`sourceIp`	string	Adresse IP à l'origine de la requête.
`destinationIp`	string	Adresse IP cible, applicable uniquement aux cas de transfert.
`protocol`	string	`TCP` ou `UDP`.
`queryTime`	string	Code temporel de l'envoi de la requête DNS.
`vmInstanceId`	string	Nom d'instance de la VM Compute Engine, applicable uniquement aux requêtes initiées par des VM Compute Engine.
`vmProjectNumber`	string	ID de projetGoogle Cloud du réseau à partir duquel la requête a été envoyée, applicable uniquement aux requêtes initiées par des VM Compute Engine.
`serverlessInstanceId`	string	ID d'instance sans serveur à partir duquel la requête a été envoyée, applicable uniquement aux requêtes initiées par Serverless.

Découvrez comment utiliser la journalisation et la surveillance, y compris comment activer la journalisation pour vos réseaux VPC.
Apprenez-en plus sur la détection avancée des menaces.
Pour trouver des solutions aux problèmes courants que vous pourriez rencontrer en utilisant la surveillance des menaces, consultez Dépannage.
Pour savoir comment être averti lorsqu'une menace est détectée, consultez la présentation des alertes.