לפני שמתחילים
לפני שצופים ביומני האיומים של ה-DNS, צריך לוודא שהפעולות הבאות הושלמו:
- מפעילים את Network Security API בפרויקט.
- מוודאים שיש לכם את התפקיד
DNS Threat Detector Viewer.
יומני האיומים נכתבים ב-Cloud Logging, ועלולים להוביל לעלויות אחסון נוספות. אפשר לעיין במאמר שימוש ברישום ביומן ובמעקב: תמחור או במאמר תמחור של Google Cloud Observability: Cloud Logging.
איך רואים את יומני האיומים
אפשר לראות את היומנים במסוף Google Cloud .
כל רשומה ביומן כוללת פרטים לזיהוי שאילתת ה-DNS והאיום התואמים.
המסוף
נכנסים לדף Logs Explorer במסוף Google Cloud .
מסננים את היומנים לפי
networksecurity.googleapis.com/DnsThreatDetector.
שדות של רשומות ביומן האיומים
כל יומן איומים כולל את השדות הבאים.
| שם | סוג | תיאור |
|---|---|---|
detectionTime |
מחרוזת | השעה שבה האיום זוהה לפי שעון UTC. חותמת הזמן היא בפורמט ISO 8601. |
dnsQuery |
DnsLog | פורמט היומן של Cloud DNS. |
partnerId |
מחרוזת | מזהה שותף ייחודי. |
threatInfo |
threatInfo | פרטי האיום שזוהה. |
שדה פרטי האיום
בטבלה הבאה מתואר הפורמט של השדה threatInfo.
| שם | סוג | תיאור |
|---|---|---|
threatID |
מחרוזת | מזהה ייחודי של האיום. |
threat |
מחרוזת | שם האיום שזוהה. |
threatDescription |
מחרוזת | תיאור מפורט של האיום שזוהה. |
category |
מחרוזת | סוג המשנה של האיום שזוהה. |
type |
מחרוזת | סוג האיום שזוהה. לדוגמה, DNS_Tunnel, DGA (Domain Generation Algorithms), or C2 (Command and Control). |
severity |
מחרוזת | רמת החומרה (גבוהה, בינונית, נמוכה או מידע) שמשויכת לאיום שזוהה. מידע נוסף זמין במאמר הגדרת רמת החומרה של Infoblox. |
confidence |
מחרוזת | רמת הסמך של חיזוי האיום (גבוהה, בינונית, נמוכה). מידע נוסף זמין במאמר של Infoblox בנושא הגדרה של רמת סמך. |
threatFeed |
מחרוזת | פיד האיומים שהפעיל את התראת האיום הזו. |
indicatorType |
מחרוזת | סוג האינדיקטור שהפעיל את התראת האיום הזו. לדוגמה, כתובת URL, כתובת IP, גיבוב או מארח. |
threatIndicator |
מחרוזת | אינדיקטור האיום שהפעיל את ההתראה הזו. |
השדה DNS Query
בטבלה הבאה מתואר הפורמט של השדה DnsQuery.
| שם | סוג | תיאור |
|---|---|---|
projectNumber |
מחרוזת | מספר פרויקט המקור. |
location |
מחרוזת | Google Cloud האזור, לדוגמה us-east1, שממנו התקבלה התגובה. |
queryName |
מחרוזת | שם שאילתת DNS, RFC 1035 4.1.2. |
queryType |
מחרוזת | סוג שאילתת DNS, פרמטרים של DNS של IANA: סוגים של רשומות משאבים (RR). |
responseCode |
מחרוזת | קוד תגובה, פרמטרים של DNS של IANA: קודי DNS RCODE. |
rdata |
מחרוזת | תשובת DNS בפורמט הצגה, פרמטרים של DNS של IANA: סוגים של רשומות משאבים (RR), קטועה ל-260 בייט. |
authAnswer |
מחרוזת | תשובה סמכותית, פרמטרים של DNS של IANA: דגלים של כותרת DNS. |
sourceIp |
מחרוזת | כתובת ה-IP שממנה הגיעה השאילתה. |
destinationIp |
מחרוזת | כתובת ה-IP של היעד, רלוונטי רק למקרים של העברה. |
protocol |
מחרוזת | TCP או UDP. |
queryTime |
מחרוזת | חותמת הזמן של שליחת שאילתת ה-DNS. |
vmInstanceId |
מחרוזת | שם מכונה וירטואלית של Compute Engine, רלוונטי רק לשאילתות שהופעלו על ידי מכונות וירטואליות של Compute Engine. |
vmProjectNumber |
מחרוזת | Google Cloud מזהה הפרויקט של הרשת שממנה נשלחה השאילתה. רלוונטי רק לשאילתות שמופעלות על ידי מכונות וירטואליות של Compute Engine. |
serverlessInstanceId |
מחרוזת | מזהה המופע ללא שרת שממנו נשלחה השאילתה. רלוונטי רק לשאילתות שהופעלו על ידי Serverless. |
המאמרים הבאים
מידע נוסף על שימוש ברישום ביומן ובניטור, כולל איך להפעיל רישום ביומן עבור רשתות VPC
מידע נוסף על זיהוי מתקדם של איומים
כדי למצוא פתרונות לבעיות נפוצות שאולי תיתקלו בהן כשאתם משתמשים בניטור איומים, ראו פתרון בעיות.
במאמר סקירה כללית על התראות מוסבר איך לקבל התראה כשמזוהה איום.