O DNS Armor gera registros de ameaças quando atividades suspeitas ou maliciosas são detectadas. Use o Cloud Logging para ver e analisar os registros de ameaças e receber insights úteis. Além disso, quando você tem um detector de ameaças de DNS monitorando sua rede VPC, ele exporta métricas que podem ser examinadas com as métricas do Cloud Monitoring.
Duas métricas estão disponíveis:
networksecurity.googleapis.com/dnsthreatdetector/sent_dns_log_count: contagem de registros enviados ao provedor para inspeção.networksecurity.googleapis.com/dnsthreatdetector/received_dns_threat_count: o número de registros de ameaças detectados. Essa métrica inclui a gravidade e o tipo de ameaça.
Essas métricas contêm filtros que permitem analisar informações de maneira mais eficaz, como filtrar registros gerados por uma instância específica do DNS Armor usando o ID ou a localização do detector de ameaças.
Antes de começar
Verifique se o seguinte foi concluído antes de acessar os registros de ameaças de DNS:
- Ative a API Network Security no projeto.
- Verifique se você tem o papel de
DNS Threat Detector Viewer.
Os registros de ameaças são gravados no Cloud Logging e podem gerar custos adicionais de armazenamento. Consulte Usar geração de registros e monitoramento: preços ou Preços do Google Cloud Observability: Cloud Logging.
Ver registros de ameaças
É possível conferir os registros no console do Google Cloud .
Cada entrada de registro inclui detalhes para identificar a consulta DNS e a ameaça correspondentes.
Console
No console do Google Cloud , acesse a página Análise de registros.
Filtre os registros de
networksecurity.googleapis.com/DnsThreatDetector.
Campos de registro de ameaças
Cada registro de ameaça tem os seguintes campos.
| Nome | Tipo | Descrição |
|---|---|---|
detectionTime |
string | Hora em que a ameaça foi detectada em UTC. O carimbo de data/hora está no formato ISO 8601. |
dnsQuery |
DnsLog | Formato do registro do Cloud DNS. |
partnerId |
string | Identificador exclusivo do parceiro. |
threatInfo |
threatInfo | Os detalhes da ameaça detectada. |
Campo de informações sobre ameaças
Confira na tabela a seguir o formato do campo threatInfo.
| Nome | Tipo | Descrição |
|---|---|---|
threatID |
string | Identificador exclusivo de ameaça. |
threat |
string | O nome da ameaça detectada. |
threatDescription |
string | Uma descrição detalhada da ameaça detectada. |
category |
string | O subtipo da ameaça detectada. |
type |
string | O tipo de ameaça detectada. Por exemplo, DNS_Tunnel, DGA (algoritmos de geração de domínio) ou C2 (comando e controle). |
severity |
string | A gravidade (alta, média, baixa ou informação) associada à ameaça detectada. Para mais informações, consulte a Definição de nível de gravidade da Infoblox. |
confidence |
string | Confiança da previsão de ameaça (alta, média, baixa). Para mais informações, consulte a definição de nível de confiança da Infoblox. |
threatFeed |
string | Feed de ameaças que acionou este alerta. |
indicatorType |
string | O tipo de indicador que acionou esse alerta de ameaça. Por exemplo, URL, IP, hash ou host. |
threatIndicator |
string | O indicador de ameaça que acionou este alerta. |
Campo "Consulta de DNS"
Confira na tabela a seguir o formato do campo DnsQuery.
| Nome | Tipo | Descrição |
|---|---|---|
projectNumber |
string | Número do projeto de origem. |
location |
string | Google Cloud região, por exemplo, us-east1, de onde a resposta foi veiculada. |
queryName |
string | Nome da consulta DNS, RFC 1035 4.1.2. |
queryType |
string | Tipo de consulta DNS, IANA DNS Parameters: Resource Record (RR) TYPEs. |
responseCode |
string | Código de resposta, Parâmetros de DNS da IANA: RCODEs de DNS. |
rdata |
string | Resposta de DNS no formato de apresentação, IANA DNS Parameters: Resource Record (RR) TYPEs, truncado para 260 bytes. |
authAnswer |
string | Resposta autoritativa, IANA DNS Parameters: DNS Header Flags. |
sourceIp |
string | IP que gerou a consulta. |
destinationIp |
string | Endereço IP de destino, aplicável somente a casos de encaminhamento. |
protocol |
string | TCP ou UDP. |
queryTime |
string | Carimbo de data/hora de quando a consulta DNS foi enviada. |
vmInstanceId |
string | Nome da instância da VM do Compute Engine, aplicável apenas a consultas iniciadas por VMs do Compute Engine. |
vmProjectNumber |
string | Google Cloud ID do projeto da rede de onde a consulta foi enviada, aplicável apenas a consultas iniciadas por instâncias de VM do Compute Engine. |
serverlessInstanceId |
string | ID da instância sem servidor de onde a consulta foi enviada, aplicável apenas a consultas iniciadas pelo Serverless. |
Monitorar registros de ameaças
É possível visualizar os dados de registro criando métricas com base em registros e um painel personalizado no Cloud Monitoring.
Para um guia detalhado sobre como criar um painel personalizado para o DNS Armor, consulte o tutorial Como visualizar os registros da detecção avançada de ameaças do DNS Armor usando métricas com base em registros e o painel personalizado. O painel personalizado de exemplo neste tutorial inclui os seguintes widgets:
- Registros de ameaças: os registros de ameaças gerados para todas as redes incluídas em um projeto.
- Registros de ameaças por região: os registros de ameaças agrupados por região.
- Agrupar por ameaça: categoriza os registros de ameaças com base no tipo de ameaça.
- Lista principal – ThreatID: os 30 principais IDs de ameaça.
- Agrupar por gravidade: agrupa os registros de ameaças por nível de gravidade.
- Lista principal – origem: os 30 principais IDs de instância (VMs de origem).
- Agrupar por domínios: agrupa os registros de ameaças pelos nomes de domínio encontrados nas consultas.
Considerações:
As métricas com base em registros têm atrasos de ingestão maiores e não são adequadas para monitoramento em tempo real ou alertas sensíveis. Também pode haver atrasos na exibição da contagem correta de registros devido a um possível atraso na ingestão de registros.
Ao configurar alertas para métricas com base em registros, recomendamos definir o período de alinhamento para pelo menos cinco minutos. O período de alinhamento ajuda a evitar que pequenas flutuações acionem alertas.
Durante períodos de muita atividade, pode haver um tempo de espera no envio de registros para o Cloud Logging ou no recebimento e exibição dos registros. Para mais informações, consulte Solução de problemas do Explorador de registros.
Para mais informações sobre painéis do Cloud Monitoring, consulte Visão geral dos painéis.
A seguir
Saiba como usar a geração de registros e o monitoramento, incluindo como ativar a geração de registros para suas redes VPC.
Saiba mais sobre a detecção avançada de ameaças.
Para encontrar soluções para problemas comuns que podem ocorrer ao usar o monitoramento de ameaças, consulte Solução de problemas.
Para saber como receber alertas quando uma ameaça é detectada, consulte Visão geral de alertas.