查看威脅記錄檔

事前準備

查看 DNS 威脅記錄前，請先確認已完成下列事項：

系統會將威脅記錄寫入 Cloud Logging，因此可能會產生額外的儲存空間費用。請參閱「使用記錄和監控功能：定價」或「Google Cloud Observability 定價：Cloud Logging」。

如要執行這項任務，必須獲得下列權限「或」下列 IAM 角色。

權限

角色

您可以在 Google Cloud 控制台查看威脅記錄。

每個記錄項目都包含詳細資料，可用於識別對應的 DNS 查詢和威脅。

每個威脅記錄都有下列欄位。

名稱	類型	說明
`detectionTime`	string	偵測到威脅的時間 (以世界標準時間為準)。時間戳記採用 ISO 8601 格式。
`dnsQuery`	DnsLog	Cloud DNS 記錄格式。
`partnerId`	string	合作夥伴的專屬 ID。
`threatInfo`	threatInfo	偵測到的威脅詳細資料。

下表說明 threatInfo 欄位的格式。

名稱	類型	說明
`threatID`	string	專屬威脅 ID。
`threat`	string	偵測到的威脅名稱。
`threatDescription`	string	偵測到的威脅詳細說明。
`category`	string	偵測到的威脅子類型。
`type`	string	偵測到的威脅類型，例如 DNS_Tunnel、DGA (網域產生演算法) 或 C2 (命令與控制)。
`severity`	string	與偵測到的威脅相關聯的嚴重程度 (高、中、低或僅供參考)。詳情請參閱 Infoblox 的嚴重程度定義。
`confidence`	string	威脅預測的可信度 (高、中、低)。詳情請參閱 Infoblox 的信心水準定義。
`threatFeed`	string	觸發這項威脅警告的威脅動態消息。
`indicatorType`	string	觸發這項威脅警告的指標類型，例如網址、IP、雜湊或主機。
`threatIndicator`	string	觸發這項警告的威脅指標。

下表說明「DnsQuery」欄位的格式。

名稱	類型	說明
`projectNumber`	string	來源專案編號。
`location`	string	提供回應的Google Cloud 地區，例如 `us-east1`。
`queryName`	string	DNS 查詢名稱，RFC 1035 4.1.2。
`queryType`	string	DNS 查詢類型，RFC 1035 4.1.2。
`responseCode`	string	回應代碼，RFC 1035 4.1.1。
`rdata`	string	以簡報格式呈現的 DNS 回答，RFC 1035 5.1，超過 260 位元組以後的內容會遭到截斷。
`authAnswer`	string	授權回答，RFC 1035。
`sourceIp`	string	查詢的 IP 來源。
`destinationIp`	string	目標 IP 位址，僅適用於轉送案例。
`protocol`	string	`TCP` 或 `UDP`。
`queryTime`	string	傳送 DNS 查詢時的時間戳記。
`vmInstanceId`	string	Compute Engine VM 執行個體名稱，僅適用於由 Compute Engine VM 發出的查詢。
`vmProjectNumber`	string	傳送查詢的網路所屬Google Cloud 專案 ID，僅適用於由 Compute Engine VM 執行個體發出的查詢。
`serverlessInstanceId`	string	傳送查詢的無伺服器執行個體 ID，僅適用於無伺服器發出的查詢。