检测到可疑或恶意活动时,DNS Armor 会生成威胁日志。您可以使用 Cloud Logging 查看和分析威胁日志,并获得可据以采取行动的洞见。此外,当您使用 DNS 威胁检测器监控 您的 VPC 网络时,该检测器会导出可使用 Cloud Monitoring 指标进行检查的指标。
您可以使用以下两个指标:
networksecurity.googleapis.com/dnsthreatdetector/sent_dns_log_count:发送给您的提供商以供检查的日志数。networksecurity.googleapis.com/dnsthreatdetector/received_dns_threat_count:检测到的威胁日志数。此指标包括严重级别和威胁类型。
这些指标包含过滤器,可让您更有效地分析信息,例如通过威胁检测器 ID 或位置过滤特定 DNS Armor 实例生成的日志。
准备工作
在查看 DNS 威胁日志之前,请验证是否已完成以下操作:
- 在您的项目中启用 Network Security API 。
- 验证您是否拥有
DNS Threat Detector Viewer角色。
威胁日志会写入 Cloud Logging,并可能会产生额外的存储费用。请参阅使用日志记录和监控:价格 或Google Cloud Visibility 价格:Cloud Logging。
查看威胁日志
您可以在 Google Cloud 控制台中查看日志。
每个日志条目都包含用于标识相应 DNS 查询和威胁的详细信息。
控制台
在 Google Cloud 控制台中,前往 Logs Explorer 页面。
过滤
networksecurity.googleapis.com/DnsThreatDetector的日志。
威胁日志记录字段
每个威胁日志都包含以下字段。
| 名称 | 类型 | 说明 |
|---|---|---|
detectionTime |
字符串 | 检测到威胁的时间(采用 UTC 时间)。时间戳采用 ISO 8601 格式。 |
dnsQuery |
DnsLog | Cloud DNS 日志格式。 |
partnerId |
字符串 | 唯一合作伙伴标识符。 |
threatInfo |
threatInfo | 检测到的威胁的详细信息。 |
威胁信息字段
下表介绍了 threatInfo 字段的格式。
| 名称 | 类型 | 说明 |
|---|---|---|
threatID |
字符串 | 唯一威胁标识符。 |
threat |
字符串 | 检测到的威胁的名称。 |
threatDescription |
字符串 | 检测到的威胁的详细说明。 |
category |
字符串 | 检测到的威胁的子类型。 |
type |
字符串 | 检测到的威胁类型。例如,DNS_Tunnel、DGA(网域生成算法)或 C2(命令和控制)。 |
severity |
字符串 | 与检测到的威胁关联的严重级别(高、中、低或信息) 如需了解详情,请参阅 Infoblox 的严重级别定义。 |
confidence |
字符串 | 威胁预测的置信度(高、中、低)。 如需了解详情,请参阅 Infoblox 的置信度定义。 |
threatFeed |
字符串 | 触发了相应威胁提醒的威胁 Feed。 |
indicatorType |
字符串 | 触发了相应威胁提醒的指示器类型。例如,网址、IP、哈希或主机。 |
threatIndicator |
字符串 | 触发了相应提醒的威胁指示器。 |
DNS 查询字段
下表介绍了 DnsQuery 字段的格式。
| 名称 | 类型 | 说明 |
|---|---|---|
projectNumber |
字符串 | 来源项目编号。 |
location |
字符串 | 从中传送响应的Google Cloud 区域,例如 us-east1。 |
queryName |
字符串 | DNS 查询名称,RFC 1035 4.1.2。 |
queryType |
字符串 | DNS 查询类型,IANA DNS 参数:资源记录 (RR) 类型。 |
responseCode |
字符串 | 响应代码,IANA DNS 参数:DNS RCODE。 |
rdata |
字符串 | 演示格式的 DNS 应答,IANA DNS 参数:资源记录 (RR) 类型,截断为 260 个字节。 |
authAnswer |
字符串 | 权威应答,IANA DNS 参数:DNS 标头标志。 |
sourceIp |
字符串 | 发起查询的 IP。 |
destinationIp |
字符串 | 目标 IP 地址,仅适用于转发情况。 |
protocol |
字符串 | TCP 或 UDP。 |
queryTime |
字符串 | 发送 DNS 查询时的时间戳。 |
vmInstanceId |
字符串 | Compute Engine 虚拟机实例名称,仅适用于 Compute Engine 虚拟机发起的查询。 |
vmProjectNumber |
字符串 | 从中发送查询的网络的Google Cloud 项目 ID,仅适用于 Compute Engine 虚拟机实例发起的查询。 |
serverlessInstanceId |
字符串 | 从中发送查询的无服务器实例的 ID,仅适用于由无服务器发起的查询。 |
监控威胁日志
您可以在 Cloud Monitoring 中创建基于日志的指标 和自定义信息中心,以直观呈现日志数据。
如需获取有关如何为 DNS Armor 创建自定义信息中心的分步指南,请参阅 使用基于日志的指标和自定义信息中心直观呈现 DNS Armor's 高级威胁检测日志教程。 本教程中的示例自定义信息中心包含以下 widget:
- 威胁日志:项目中所有包含的网络生成的威胁日志。
- 按区域划分的威胁日志:按区域分组的威胁日志。
- 按威胁分组:根据威胁类型对威胁日志进行分类。
- 热门列表 - ThreatID:前 30 个威胁 ID。
- 按严重级别分组:按严重级别对威胁日志进行分组。
- 热门列表 - 来源:前 30 个实例 ID(来源虚拟机)。
- 按网域分组:按查询中找到的 网域名对威胁日志进行分组。
考虑因素:
基于日志的指标的提取延迟时间较长,不适合实时监控或敏感提醒。由于日志提取可能会延迟,因此在显示正确的日志计数时也可能会出现延迟。
为基于日志的指标配置提醒时,我们建议将对齐周期设置为至少 5 分钟。对齐周期有助于防止微小的波动触发提醒。
在高负载时段内,将日志发送到 Cloud Logging 或者接收及显示日志的过程可能存在延迟。如需了解详情 ,请参阅排查 Logs Explorer 问题。
如需详细了解 Cloud Monitoring 信息中心,请参阅 信息中心概览。
后续步骤
详细了解如何使用日志记录和监控,包括如何为 VPC 网络启用日志记录。
详细了解高级威胁检测。
如需了解您在使用威胁监控时可能会遇到的常见问题的解决方案,请参阅问题排查。
如需了解如何在检测到威胁时收到提醒,请参阅提醒概览。