查看和监控威胁日志

检测到可疑或恶意活动时,DNS Armor 会生成威胁日志。您可以使用 Cloud Logging 查看和分析威胁日志,并获得可据以采取行动的洞见。此外,当您使用 DNS 威胁检测器监控 您的 VPC 网络时,该检测器会导出可使用 Cloud Monitoring 指标进行检查的指标。

您可以使用以下两个指标:

  • networksecurity.googleapis.com/dnsthreatdetector/sent_dns_log_count:发送给您的提供商以供检查的日志数。
  • networksecurity.googleapis.com/dnsthreatdetector/received_dns_threat_count:检测到的威胁日志数。此指标包括严重级别和威胁类型。

这些指标包含过滤器,可让您更有效地分析信息,例如通过威胁检测器 ID 或位置过滤特定 DNS Armor 实例生成的日志。

准备工作

在查看 DNS 威胁日志之前,请验证是否已完成以下操作:

威胁日志会写入 Cloud Logging,并可能会产生额外的存储费用。请参阅使用日志记录和监控:价格Google Cloud Visibility 价格:Cloud Logging

查看威胁日志

您可以在 Google Cloud 控制台中查看日志。

每个日志条目都包含用于标识相应 DNS 查询和威胁的详细信息。

控制台

  1. 在 Google Cloud 控制台中,前往 Logs Explorer 页面。

    转到日志浏览器

  2. 过滤 networksecurity.googleapis.com/DnsThreatDetector 的日志。

威胁日志记录字段

每个威胁日志都包含以下字段。

名称 类型 说明
detectionTime 字符串 检测到威胁的时间(采用 UTC 时间)。时间戳采用 ISO 8601 格式。
dnsQuery DnsLog Cloud DNS 日志格式。
partnerId 字符串 唯一合作伙伴标识符。
threatInfo threatInfo 检测到的威胁的详细信息。

威胁信息字段

下表介绍了 threatInfo 字段的格式。

名称 类型 说明
threatID 字符串 唯一威胁标识符。
threat 字符串 检测到的威胁的名称。
threatDescription 字符串 检测到的威胁的详细说明。
category 字符串 检测到的威胁的子类型。
type 字符串 检测到的威胁类型。例如,DNS_Tunnel、DGA(网域生成算法)或 C2(命令和控制)。
severity 字符串

与检测到的威胁关联的严重级别(高、中、低或信息)

如需了解详情,请参阅 Infoblox 的严重级别定义

confidence 字符串

威胁预测的置信度(高、中、低)。

如需了解详情,请参阅 Infoblox 的置信度定义

threatFeed 字符串 触发了相应威胁提醒的威胁 Feed。
indicatorType 字符串 触发了相应威胁提醒的指示器类型。例如,网址、IP、哈希或主机。
threatIndicator 字符串 触发了相应提醒的威胁指示器。

DNS 查询字段

下表介绍了 DnsQuery 字段的格式。

名称 类型 说明
projectNumber 字符串 来源项目编号。
location 字符串 从中传送响应的Google Cloud 区域,例如 us-east1
queryName 字符串 DNS 查询名称,RFC 1035 4.1.2
queryType 字符串 DNS 查询类型,IANA DNS 参数:资源记录 (RR) 类型
responseCode 字符串 响应代码,IANA DNS 参数:DNS RCODE
rdata 字符串 演示格式的 DNS 应答,IANA DNS 参数:资源记录 (RR) 类型,截断为 260 个字节。
authAnswer 字符串 权威应答,IANA DNS 参数:DNS 标头标志
sourceIp 字符串 发起查询的 IP。
destinationIp 字符串 目标 IP 地址,仅适用于转发情况。
protocol 字符串 TCPUDP
queryTime 字符串 发送 DNS 查询时的时间戳。
vmInstanceId 字符串 Compute Engine 虚拟机实例名称,仅适用于 Compute Engine 虚拟机发起的查询。
vmProjectNumber 字符串 从中发送查询的网络的Google Cloud 项目 ID,仅适用于 Compute Engine 虚拟机实例发起的查询。
serverlessInstanceId 字符串 从中发送查询的无服务器实例的 ID,仅适用于由无服务器发起的查询。

监控威胁日志

您可以在 Cloud Monitoring 中创建基于日志的指标自定义信息中心,以直观呈现日志数据。

如需获取有关如何为 DNS Armor 创建自定义信息中心的分步指南,请参阅 使用基于日志的指标和自定义信息中心直观呈现 DNS Armor's 高级威胁检测日志教程。 本教程中的示例自定义信息中心包含以下 widget:

  • 威胁日志:项目中所有包含的网络生成的威胁日志。
  • 按区域划分的威胁日志:按区域分组的威胁日志。
  • 按威胁分组:根据威胁类型对威胁日志进行分类。
  • 热门列表 - ThreatID:前 30 个威胁 ID。
  • 按严重级别分组:按严重级别对威胁日志进行分组。
  • 热门列表 - 来源:前 30 个实例 ID(来源虚拟机)。
  • 按网域分组:按查询中找到的 网域名对威胁日志进行分组。
为 DNS Armor 创建的自定义信息中心示例。
包含 widget 的自定义 DNS Armor 信息中心。

考虑因素:

  • 基于日志的指标的提取延迟时间较长,不适合实时监控或敏感提醒。由于日志提取可能会延迟,因此在显示正确的日志计数时也可能会出现延迟。

  • 为基于日志的指标配置提醒时,我们建议将对齐周期设置为至少 5 分钟。对齐周期有助于防止微小的波动触发提醒。

  • 在高负载时段内,将日志发送到 Cloud Logging 或者接收及显示日志的过程可能存在延迟。如需了解详情 ,请参阅排查 Logs Explorer 问题

如需详细了解 Cloud Monitoring 信息中心,请参阅 信息中心概览

后续步骤