Sebelum memulai
Pastikan hal berikut telah diselesaikan sebelum Anda melihat log ancaman DNS:
- Aktifkan Network Security API di project Anda.
- Verifikasi bahwa Anda memiliki peran
DNS Threat Detector Viewer.
Log ancaman ditulis ke Cloud Logging dan dapat menimbulkan biaya penyimpanan tambahan. Lihat Menggunakan logging dan pemantauan: Harga atau Harga untuk Google Cloud Observability: Cloud Logging.
Melihat log ancaman
Anda dapat melihat log di konsol Google Cloud .
Setiap entri log menyertakan detail untuk mengidentifikasi kueri dan ancaman DNS yang sesuai.
Konsol
Di konsol Google Cloud , buka halaman Logs Explorer.
Filter log untuk
networksecurity.googleapis.com/DnsThreatDetector.
Kolom kumpulan data log ancaman
Setiap log ancaman memiliki kolom berikut.
| Nama | Jenis | Deskripsi |
|---|---|---|
detectionTime |
string | Waktu saat ancaman terdeteksi dalam UTC. Stempel waktu dalam format ISO 8601. |
dnsQuery |
DnsLog | Format Log Cloud DNS. |
partnerId |
string | ID partner unik. |
threatInfo |
threatInfo | Detail ancaman yang terdeteksi. |
Kolom info ancaman
Tabel berikut menjelaskan format kolom threatInfo.
| Nama | Jenis | Deskripsi |
|---|---|---|
threatID |
string | ID ancaman unik. |
threat |
string | Nama ancaman yang terdeteksi. |
threatDescription |
string | Deskripsi mendetail tentang ancaman yang terdeteksi. |
category |
string | Subjenis ancaman yang terdeteksi. |
type |
string | Jenis ancaman yang terdeteksi. Misalnya, DNS_Tunnel, DGA (Domain Generation Algorithms), atau C2 (Command and Control). |
severity |
string | Tingkat keseriusan (Tinggi, Sedang, Rendah, atau Info), yang terkait dengan ancaman yang terdeteksi. Untuk mengetahui informasi selengkapnya, lihat Definisi Tingkat Keparahan Infoblox |
confidence |
string | Tingkat keyakinan prediksi ancaman (tinggi, sedang, rendah). Untuk mengetahui informasi selengkapnya, lihat Definisi Tingkat Keyakinan Infoblox |
threatFeed |
string | Feed ancaman yang memicu notifikasi ancaman ini. |
indicatorType |
string | Jenis indikator yang memicu notifikasi ancaman ini. Misalnya, URL, IP, Hash, atau Host. |
threatIndicator |
string | Indikator ancaman yang memicu notifikasi ini. |
Kolom Kueri DNS
Tabel berikut menjelaskan format kolom DnsQuery.
| Nama | Jenis | Deskripsi |
|---|---|---|
projectNumber |
string | Nomor project sumber. |
location |
string | Google Cloud region, misalnya us-east1, tempat
respons ditayangkan. |
queryName |
string | Nama kueri DNS, RFC 1035 4.1.2. |
queryType |
string | Jenis kueri DNS, RFC 1035 4.1.2. |
responseCode |
string | Kode respons, RFC 1035 4.1.1. |
rdata |
string | Jawaban DNS dalam format presentasi, RFC 1035 5.1, dipangkas hingga 260 byte. |
authAnswer |
string | Jawaban resmi, RFC 1035. |
sourceIp |
string | IP yang memulai kueri. |
destinationIp |
string | Alamat IP target, hanya berlaku untuk kasus penerusan. |
protocol |
string | TCP atau UDP. |
queryTime |
string | Stempel waktu saat kueri DNS dikirim. |
vmInstanceId |
string | Nama instance VM Compute Engine, hanya berlaku untuk kueri yang dimulai oleh VM Compute Engine. |
vmProjectNumber |
string | Google Cloud project ID jaringan tempat kueri dikirim, hanya berlaku untuk kueri yang dimulai oleh instance VM Compute Engine. |
serverlessInstanceId |
string | ID instance serverless tempat kueri dikirim, hanya berlaku untuk kueri yang dimulai oleh Serverless. |
Langkah berikutnya
Pelajari lebih lanjut cara Menggunakan logging dan pemantauan, termasuk cara mengaktifkan logging untuk jaringan VPC Anda.
Pelajari lebih lanjut Deteksi ancaman lanjutan.
Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan pemantauan ancaman, lihat Pemecahan masalah.
Untuk mempelajari cara mendapatkan notifikasi saat ancaman terdeteksi, lihat Ringkasan pemberitahuan.