Diese Seite wurde von der Cloud Translation API übersetzt.

Bedrohungslogs ansehen

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind, bevor Sie DNS-Bedrohungslogs ansehen:

Bedrohungslogs werden in Cloud Logging geschrieben und können zu zusätzlichen Speicherkosten führen. Weitere Informationen finden Sie unter Logging und Monitoring verwenden: Preise oder Preise für Google Cloud Observability: Cloud Logging.

Zum Ausführen dieser Aufgabe müssen Sie die folgenden Berechtigungen oder die folgenden IAM-Rollen haben.

Berechtigungen

Rollen

Sie können Logs in der Google Cloud -Konsole aufrufen.

Jeder Logeintrag enthält Details zur Identifizierung der entsprechenden DNS-Abfrage und ‑Bedrohung.

Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf:

Zum Log-Explorer
Filtern Sie die Logs nach networksecurity.googleapis.com/DnsThreatDetector.

Jedes Bedrohungslog enthält die folgenden Felder.

Name	Typ	Beschreibung
`detectionTime`	String	Zeitpunkt, zu dem die Bedrohung erkannt wurde, in UTC. Der Zeitstempel hat das ISO 8601-Format.
`dnsQuery`	DnsLog	Cloud DNS-Logformat
`partnerId`	String	Eindeutige Partner-ID.
`threatInfo`	threatInfo	Details zur erkannten Bedrohung.

In der folgenden Tabelle wird das Format des Felds threatInfo beschrieben.

Name	Typ	Beschreibung
`threatID`	String	Eindeutige Kennung der Bedrohung.
`threat`	String	Der Name der erkannten Bedrohung.
`threatDescription`	String	Eine detaillierte Beschreibung der erkannten Bedrohung.
`category`	String	Der Untertyp der erkannten Bedrohung.
`type`	String	Die Art der erkannten Bedrohung. Beispiele: DNS_Tunnel, DGA (Domain Generation Algorithms) oder C2 (Command and Control).
`severity`	String	Der Schweregrad (Hoch, Mittel, Niedrig oder Info), der der erkannten Bedrohung zugeordnet ist. Weitere Informationen finden Sie in der Definition der Schweregradebenen von Infoblox.
`confidence`	String	Konfidenz der Bedrohungsvorhersage (hoch, mittel, niedrig). Weitere Informationen finden Sie in der Definition der Vertrauenswürdigkeitsstufe von Infoblox.
`threatFeed`	String	Der Threat-Feed, der diese Warnung ausgelöst hat.
`indicatorType`	String	Der Typ des Indikators, der diese Bedrohungsbenachrichtigung ausgelöst hat. z. B. URL, IP-Adresse, Hash oder Host.
`threatIndicator`	String	Der Bedrohungsindikator, der diese Benachrichtigung ausgelöst hat.

In der folgenden Tabelle wird das Format des Felds DnsQuery beschrieben.

Name	Typ	Beschreibung
`projectNumber`	String	Nummer des Quellprojekts.
`location`	String	Google Cloud -Region, z. B. `us-east1`, aus der die Antwort bereitgestellt wurde.
`queryName`	String	DNS-Abfragename, RFC 1035 4.1.2.
`queryType`	String	DNS-Abfragetyp, RFC 1035 4.1.2.
`responseCode`	String	Antwortcode, RFC 1035 4.1.1.
`rdata`	String	DNS-Antwort im Präsentationsformat, RFC 1035 5.1, verkürzt auf 260 Byte.
`authAnswer`	String	Autoritative Antwort, RFC 1035.
`sourceIp`	String	IP, von der die Abfrage stammt.
`destinationIp`	String	Ziel-IP-Adresse, gilt nur für Weiterleitungsfälle.
`protocol`	String	`TCP` oder `UDP`.
`queryTime`	String	Zeitstempel für das Senden der DNS-Abfrage.
`vmInstanceId`	String	Name der VM-Instanz von Compute Engine; gilt nur für Abfragen, die von Compute Engine-VMs initiiert werden.
`vmProjectNumber`	String	Google Cloud Projekt-ID des Netzwerks, von dem die Abfrage gesendet wurde; gilt nur für Abfragen, die von Compute Engine-VM-Instanzen initiiert wurden.
`serverlessInstanceId`	String	ID der serverlosen Instanz, von der die Abfrage gesendet wurde; gilt nur für Abfragen, die von Serverless initiiert wurden.

Weitere Informationen zum Verwenden von Logging und Monitoring, einschließlich des Aktivierens von Logging für Ihre VPC-Netzwerke
Weitere Informationen zur erweiterten Bedrohungserkennung
Informationen zu Lösungen für häufige Probleme, die bei der Verwendung der Bedrohungsüberwachung auftreten können, finden Sie unter Fehlerbehebung.
Informationen dazu, wie Sie benachrichtigt werden, wenn eine Bedrohung erkannt wird, finden Sie unter Übersicht über Benachrichtigungen.