Antes de começar
Verifique se o seguinte foi concluído antes de visualizar os registros de ameaças de DNS:
- Ative a API Network Security no projeto.
- Verifique se você tem o papel de
DNS Threat Detector Viewer.
Os registros de ameaças são gravados no Cloud Logging e podem gerar custos adicionais de armazenamento. Consulte Usar geração de registros e monitoramento: preços ou Preços do Google Cloud Observability: Cloud Logging.
Ver registros de ameaças
É possível conferir os registros no console do Google Cloud .
Cada entrada de registro inclui detalhes para identificar a consulta DNS e a ameaça correspondentes.
Console
No console do Google Cloud , acesse a página Análise de registros.
Filtre os registros de
networksecurity.googleapis.com/DnsThreatDetector.
Campos de registro de ameaças
Cada registro de ameaça tem os seguintes campos.
| Nome | Tipo | Descrição |
|---|---|---|
detectionTime |
string | Hora em que a ameaça foi detectada em UTC. O carimbo de data/hora está no formato ISO 8601. |
dnsQuery |
DnsLog | Formato do registro do Cloud DNS. |
partnerId |
string | Identificador exclusivo do parceiro. |
threatInfo |
threatInfo | Os detalhes da ameaça detectada. |
Campo de informações sobre ameaças
Confira na tabela a seguir o formato do campo threatInfo.
| Nome | Tipo | Descrição |
|---|---|---|
threatID |
string | Identificador exclusivo de ameaça. |
threat |
string | O nome da ameaça detectada. |
threatDescription |
string | Uma descrição detalhada da ameaça detectada. |
category |
string | O subtipo da ameaça detectada. |
type |
string | O tipo de ameaça detectada. Por exemplo, DNS_Tunnel, DGA (algoritmos de geração de domínio) ou C2 (comando e controle). |
severity |
string | A gravidade (alta, média, baixa ou informação) associada à ameaça detectada. Para mais informações, consulte a Definição de nível de gravidade da Infoblox. |
confidence |
string | Confiança da previsão de ameaça (alta, média, baixa). Para mais informações, consulte a definição de nível de confiança da Infoblox. |
threatFeed |
string | Feed de ameaças que acionou este alerta. |
indicatorType |
string | O tipo de indicador que acionou esse alerta de ameaça. Por exemplo, URL, IP, hash ou host. |
threatIndicator |
string | O indicador de ameaça que acionou este alerta. |
Campo "Consulta DNS"
Confira na tabela a seguir o formato do campo DnsQuery.
| Nome | Tipo | Descrição |
|---|---|---|
projectNumber |
string | Número do projeto de origem. |
location |
string | Google Cloud region, por exemplo, us-east1, de onde a resposta foi veiculada. |
queryName |
string | Nome da consulta DNS, RFC 1035 4.1.2. |
queryType |
string | Tipo de consulta de DNS, RFC 1035 4.1.2. |
responseCode |
string | Código de resposta, RFC 1035 4.1.1. |
rdata |
string | Resposta de DNS no formato de apresentação, RFC 1035 5.1, truncado para 260 bytes. |
authAnswer |
string | Resposta autoritativa, RFC 1035. |
sourceIp |
string | IP que gerou a consulta. |
destinationIp |
string | Endereço IP de destino, aplicável somente a casos de encaminhamento. |
protocol |
string | TCP ou UDP. |
queryTime |
string | Carimbo de data/hora de quando a consulta DNS foi enviada. |
vmInstanceId |
string | Nome da instância da VM do Compute Engine, aplicável apenas a consultas iniciadas por VMs do Compute Engine. |
vmProjectNumber |
string | Google Cloud ID do projeto da rede de onde a consulta foi enviada, aplicável apenas a consultas iniciadas por instâncias de VM do Compute Engine. |
serverlessInstanceId |
string | ID da instância sem servidor de onde a consulta foi enviada, aplicável apenas a consultas iniciadas pelo Serverless. |
A seguir
Saiba como usar a geração de registros e o monitoramento, incluindo como ativar a geração de registros para suas redes VPC.
Saiba mais sobre a detecção avançada de ameaças.
Para encontrar soluções para problemas comuns que podem ocorrer ao usar o monitoramento de ameaças, consulte Solução de problemas.
Para saber como receber alertas quando uma ameaça for detectada, consulte Visão geral de alertas.