创建 DNS 威胁检测器

本页面介绍了如何创建和修改 DNS 威胁检测器,以监控 VPC 网络中是否存在恶意、网络绑定 DNS 活动。

如需详细了解 DNS 威胁检测,请参阅威胁监控

DNS 威胁监控可能会影响您的结算。如需了解详情,请参阅 Cloud DNS 价格

准备工作

在创建 DNS 威胁检测器之前,请完成以下操作。

  • 在项目中启用 Network Security API
  • 确保您拥有启用 DNS 威胁检测器所需的角色。
  • 如果您想使用 Google Cloud CLI 执行任务,请将 Google Cloud CLI 更新到最新版本。

创建 DNS 威胁检测器

如需为项目中的所有 VPC 网络创建 DNS 威胁检测器,请完成以下步骤。系统会自动监控添加到项目中的所有新 VPC 网络。

您只能为项目启用一个 DNS 威胁检测器。

控制台

  1. 在 Google Cloud 控制台中,前往高级威胁检测页面。

    前往“高级威胁检测”

  2. 点击创建 DNS 威胁检测器

  3. 为 DNS 威胁检测器输入名称。

  4. 选择项目中的所有 VPC 网络

  5. 点击创建

gcloud

gcloud beta network-security dns-threat-detectors create NAME \
  --location=global \
  --project=PROJECT_ID \
  --provider="INFOBLOX"

替换以下内容:

  • NAME:DNS 威胁检测器的名称。
  • PROJECT_ID:您的项目 ID。

API

POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME

{
    "name"          : "NAME",
    "scope"         : "PROJECT_ID",
    "provider"  : "INFOBLOX"
}

替换以下内容:

  • NAME:DNS 威胁检测器的名称。
  • PROJECT_ID:您的项目 ID。

从威胁监控中排除 VPC 网络

您可以修改 DNS 威胁检测器,将某个 VPC 网络从威胁监控中排除。您还可以在创建 DNS 威胁检测器时排除相应网络。

添加到项目中的新 VPC 网络会自动受到监控。

控制台

  1. 在 Google Cloud 控制台中,前往高级威胁检测页面。

    前往“高级威胁检测”

  2. 点击更多,然后选择修改

  3. 范围部分中,选择项目中的所有 VPC 网络(不包括已排除的网络)

  4. 选择您不想监控的 VPC 网络。

  5. 点击保存

gcloud

gcloud beta network-security dns-threat-detectors update NAME  \
  --add-excluded-networks=projects/LIST_OF_NETWORKS \
  --provider="INFOBLOX" \
  --location=global

替换以下内容:

  • NAME:DNS 威胁检测器的名称。
  • LIST_OF_NETWORKS:您要排除的 VPC 网络列表。
  • PROJECT_ID:您的项目 ID。

API

PATCH https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME

{
    "name"                  : "NAME",
    "scope"                 : "PROJECT_ID",
    "excluded_networks"     : [ "LIST_OF_NETWORKs" ],
    "provider"              : "INFOBLOX"
}

替换以下内容:

  • NAME:DNS 威胁检测器的名称。
  • PROJECT_ID:您的项目 ID。
  • LIST_OF_NETWORKS:要排除的 VPC 网络的英文逗号分隔列表。每个网络都必须用英文引号括起来。

移除 DNS 威胁检测器

您可以删除 DNS 威胁检测器。

控制台

  1. 在 Google Cloud 控制台中,前往高级威胁检测页面。

    前往“高级威胁检测”

  2. 点击更多,然后选择删除

gcloud

gcloud beta network-security dns-threat-detectors delete NAME \
  --project=PROJECT_ID \
  --location=global

替换以下内容:

  • NAME:DNS 威胁检测器的名称。
  • PROJECT_ID:您的项目 ID。

API

DELETE https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME

{
    "name"          : "NAME",
    "scope"         : "PROJECT_ID"
}

替换以下内容:

  • NAME:DNS 威胁检测器的名称。
  • PROJECT_ID:您的项目 ID。

添加标签

您可以在创建 DNS 威胁检测器后为其添加标签。

控制台

  1. 在 Google Cloud 控制台中,前往网络安全页面。

    前往“网络安全”

  2. 点击更多,然后选择标签

  3. 为 DNS 威胁检测器输入或选择标签。

后续步骤

  • 如需查看检测到的任何威胁,请参阅查看威胁
  • 如需详细了解日志记录,请参阅使用日志记录和监控
  • 如需了解您在使用 DNS 威胁检测器时可能会遇到的常见问题的解决方案,请参阅问题排查