Visualizar e monitorar registros de ameaças

O DNS Armor gera registros de ameaças quando atividades suspeitas ou maliciosas são detectadas. Use o Cloud Logging para ver e analisar os registros de ameaças e receber insights úteis. Além disso, quando você tem um detector de ameaças de DNS monitorando sua rede VPC, ele exporta métricas que podem ser examinadas com as métricas do Cloud Monitoring.

Duas métricas estão disponíveis:

  • networksecurity.googleapis.com/dnsthreatdetector/sent_dns_log_count: contagem de registros enviados ao provedor para inspeção.
  • networksecurity.googleapis.com/dnsthreatdetector/received_dns_threat_count: o número de registros de ameaças detectados. Essa métrica inclui a gravidade e o tipo de ameaça.

Essas métricas contêm filtros que permitem analisar informações de maneira mais eficaz, como filtrar registros gerados por uma instância específica do DNS Armor usando o ID ou a localização do detector de ameaças.

Antes de começar

Verifique se o seguinte foi concluído antes de acessar os registros de ameaças de DNS:

Os registros de ameaças são gravados no Cloud Logging e podem gerar custos adicionais de armazenamento. Consulte Usar geração de registros e monitoramento: preços ou Preços do Google Cloud Observability: Cloud Logging.

Ver registros de ameaças

É possível conferir os registros no console do Google Cloud .

Cada entrada de registro inclui detalhes para identificar a consulta DNS e a ameaça correspondentes.

Console

  1. No console do Google Cloud , acesse a página Análise de registros.

    Acessar a Análise de registros

  2. Filtre os registros de networksecurity.googleapis.com/DnsThreatDetector.

Campos de registro de ameaças

Cada registro de ameaça tem os seguintes campos.

Nome Tipo Descrição
detectionTime string Hora em que a ameaça foi detectada em UTC. O carimbo de data/hora está no formato ISO 8601.
dnsQuery DnsLog Formato do registro do Cloud DNS.
partnerId string Identificador exclusivo do parceiro.
threatInfo threatInfo Os detalhes da ameaça detectada.

Campo de informações sobre ameaças

Confira na tabela a seguir o formato do campo threatInfo.

Nome Tipo Descrição
threatID string Identificador exclusivo de ameaça.
threat string O nome da ameaça detectada.
threatDescription string Uma descrição detalhada da ameaça detectada.
category string O subtipo da ameaça detectada.
type string O tipo de ameaça detectada. Por exemplo, DNS_Tunnel, DGA (algoritmos de geração de domínio) ou C2 (comando e controle).
severity string

A gravidade (alta, média, baixa ou informação) associada à ameaça detectada.

Para mais informações, consulte a Definição de nível de gravidade da Infoblox.

confidence string

Confiança da previsão de ameaça (alta, média, baixa).

Para mais informações, consulte a definição de nível de confiança da Infoblox.

threatFeed string Feed de ameaças que acionou este alerta.
indicatorType string O tipo de indicador que acionou esse alerta de ameaça. Por exemplo, URL, IP, hash ou host.
threatIndicator string O indicador de ameaça que acionou este alerta.

Campo "Consulta de DNS"

Confira na tabela a seguir o formato do campo DnsQuery.

Nome Tipo Descrição
projectNumber string Número do projeto de origem.
location string Google Cloud região, por exemplo, us-east1, de onde a resposta foi veiculada.
queryName string Nome da consulta DNS, RFC 1035 4.1.2.
queryType string Tipo de consulta DNS, IANA DNS Parameters: Resource Record (RR) TYPEs.
responseCode string Código de resposta, Parâmetros de DNS da IANA: RCODEs de DNS.
rdata string Resposta de DNS no formato de apresentação, IANA DNS Parameters: Resource Record (RR) TYPEs, truncado para 260 bytes.
authAnswer string Resposta autoritativa, IANA DNS Parameters: DNS Header Flags.
sourceIp string IP que gerou a consulta.
destinationIp string Endereço IP de destino, aplicável somente a casos de encaminhamento.
protocol string TCP ou UDP.
queryTime string Carimbo de data/hora de quando a consulta DNS foi enviada.
vmInstanceId string Nome da instância da VM do Compute Engine, aplicável apenas a consultas iniciadas por VMs do Compute Engine.
vmProjectNumber string Google Cloud ID do projeto da rede de onde a consulta foi enviada, aplicável apenas a consultas iniciadas por instâncias de VM do Compute Engine.
serverlessInstanceId string ID da instância sem servidor de onde a consulta foi enviada, aplicável apenas a consultas iniciadas pelo Serverless.

Monitorar registros de ameaças

É possível visualizar os dados de registro criando métricas com base em registros e um painel personalizado no Cloud Monitoring.

Para um guia detalhado sobre como criar um painel personalizado para o DNS Armor, consulte o tutorial Como visualizar os registros da detecção avançada de ameaças do DNS Armor usando métricas com base em registros e o painel personalizado. O painel personalizado de exemplo neste tutorial inclui os seguintes widgets:

  • Registros de ameaças: os registros de ameaças gerados para todas as redes incluídas em um projeto.
  • Registros de ameaças por região: os registros de ameaças agrupados por região.
  • Agrupar por ameaça: categoriza os registros de ameaças com base no tipo de ameaça.
  • Lista principal – ThreatID: os 30 principais IDs de ameaça.
  • Agrupar por gravidade: agrupa os registros de ameaças por nível de gravidade.
  • Lista principal – origem: os 30 principais IDs de instância (VMs de origem).
  • Agrupar por domínios: agrupa os registros de ameaças pelos nomes de domínio encontrados nas consultas.
Exemplo de um painel personalizado criado para o DNS Armor.
Um painel personalizado do DNS Armor com widgets.

Considerações:

  • As métricas com base em registros têm atrasos de ingestão maiores e não são adequadas para monitoramento em tempo real ou alertas sensíveis. Também pode haver atrasos na exibição da contagem correta de registros devido a um possível atraso na ingestão de registros.

  • Ao configurar alertas para métricas com base em registros, recomendamos definir o período de alinhamento para pelo menos cinco minutos. O período de alinhamento ajuda a evitar que pequenas flutuações acionem alertas.

  • Durante períodos de muita atividade, pode haver um tempo de espera no envio de registros para o Cloud Logging ou no recebimento e exibição dos registros. Para mais informações, consulte Solução de problemas do Explorador de registros.

Para mais informações sobre painéis do Cloud Monitoring, consulte Visão geral dos painéis.

A seguir