Antes de começar
Verifique se os seguintes passos foram concluídos antes de ver os registos de ameaças de DNS:
- Ative a API Network Security no seu projeto.
- Valide que tem a função de
DNS Threat Detector Viewer.
Os registos de ameaças são escritos no Cloud Logging e podem resultar em custos de armazenamento adicionais. Consulte Utilize o registo e a monitorização: preços ou Preços da Google Cloud Observability: Cloud Logging.
Veja registos de ameaças
Pode ver os registos na Google Cloud consola.
Cada entrada de registo inclui detalhes para identificar a consulta DNS e a ameaça correspondente.
Consola
Na Google Cloud consola, aceda à página Explorador de registos.
Filtre os registos de
networksecurity.googleapis.com/DnsThreatDetector.
Campos do registo de registos de ameaças
Todos os registos de ameaças têm os seguintes campos.
| Nome | Tipo | Descrição |
|---|---|---|
detectionTime |
de string | Hora em que a ameaça é detetada em UTC. A data/hora está no formato ISO 8601. |
dnsQuery |
DnsLog | Formato de registo do Cloud DNS. |
partnerId |
de string | Identificador exclusivo do parceiro. |
threatInfo |
threatInfo | Os detalhes da ameaça detetada. |
Campo de informações sobre ameaças
A tabela seguinte descreve o formato do campo threatInfo.
| Nome | Tipo | Descrição |
|---|---|---|
threatID |
de string | Identificador exclusivo da ameaça. |
threat |
de string | O nome da ameaça detetada. |
threatDescription |
de string | Uma descrição detalhada da ameaça detetada. |
category |
de string | O subtipo da ameaça detetada. |
type |
de string | O tipo de ameaça detetada. Por exemplo, DNS_Tunnel, DGA (Domain Generation Algorithms) ou C2 (Command and Control). |
severity |
de string | A gravidade (alta, média, baixa ou informação) associada à ameaça detetada. Para mais informações, consulte a Definição do nível de gravidade da Infoblox |
confidence |
de string | Confiança da previsão de ameaças (alta, média, baixa). Para mais informações, consulte a Definição do nível de confiança da Infoblox |
threatFeed |
de string | Feed de ameaças que acionou este alerta de ameaça. |
indicatorType |
de string | O tipo de indicador que acionou este alerta de ameaça. Por exemplo, URL, IP, hash ou anfitrião. |
threatIndicator |
de string | O indicador de ameaça que acionou este alerta. |
Campo de consulta DNS
A tabela seguinte descreve o formato do campo DnsQuery.
| Nome | Tipo | Descrição |
|---|---|---|
projectNumber |
de string | Número do projeto de origem. |
location |
de string | Google Cloud region, por exemplo, us-east1, a partir da qual a resposta foi publicada. |
queryName |
de string | Nome da consulta DNS, RFC 1035 4.1.2. |
queryType |
de string | Tipo de consulta DNS, RFC 1035 4.1.2. |
responseCode |
de string | Código de resposta, RFC 1035 4.1.1. |
rdata |
de string | Resposta DNS no formato de apresentação, RFC 1035 5.1, truncada para 260 bytes. |
authAnswer |
de string | Resposta credível, RFC 1035. |
sourceIp |
de string | IP que origina a consulta. |
destinationIp |
de string | Endereço IP de destino, aplicável apenas para casos de encaminhamento. |
protocol |
de string | TCP ou UDP. |
queryTime |
de string | Data/hora em que a consulta DNS foi enviada. |
vmInstanceId |
de string | Nome da instância de VM do Compute Engine, aplicável apenas a consultas iniciadas por VMs do Compute Engine. |
vmProjectNumber |
de string | Google Cloud ID do projeto da rede a partir da qual a consulta foi enviada, aplicável apenas a consultas iniciadas por instâncias de VM do Compute Engine. |
serverlessInstanceId |
de string | ID da instância sem servidor a partir da qual a consulta foi enviada, aplicável apenas a consultas iniciadas pelo Serverless. |
O que se segue?
Saiba como usar o registo e a monitorização, incluindo como ativar o registo para as suas redes VPC.
Saiba mais sobre a deteção avançada de ameaças.
Para encontrar soluções para problemas comuns que pode encontrar ao usar a monitorização de ameaças, consulte a secção Resolução de problemas.
Para saber como receber alertas quando uma ameaça é detetada, consulte a vista geral dos alertas.