事前準備
查看 DNS 威脅記錄前,請先確認已完成下列事項:
- 在專案中啟用 Network Security API。
- 確認您具備
DNS Threat Detector Viewer角色。
系統會將威脅記錄寫入 Cloud Logging,因此可能會產生額外的儲存空間費用。請參閱「使用記錄和監控功能:定價」或「Google Cloud Observability 定價:Cloud Logging」。
查看威脅記錄檔
您可以在 Google Cloud 控制台中查看記錄。
每個記錄項目都包含詳細資料,可識別對應的 DNS 查詢和威脅。
主控台
前往 Google Cloud 控制台的「Logs Explorer」頁面。
篩選「
networksecurity.googleapis.com/DnsThreatDetector」的記錄。
威脅記錄欄位
每個威脅記錄都有下列欄位。
| 名稱 | 類型 | 說明 |
|---|---|---|
detectionTime |
字串 | 偵測到威脅的時間 (以世界標準時間為準)。時間戳記採用 ISO 8601 格式。 |
dnsQuery |
DnsLog | Cloud DNS 記錄格式。 |
partnerId |
字串 | 合作夥伴的專屬 ID。 |
threatInfo |
threatInfo | 偵測到的威脅詳細資料。 |
威脅資訊欄位
下表說明 threatInfo 欄位的格式。
| 名稱 | 類型 | 說明 |
|---|---|---|
threatID |
字串 | 專屬威脅 ID。 |
threat |
字串 | 偵測到的威脅名稱。 |
threatDescription |
字串 | 偵測到的威脅詳細說明。 |
category |
字串 | 偵測到的威脅子類型。 |
type |
字串 | 偵測到的威脅類型。例如 DNS_Tunnel、DGA (網域產生演算法) 或 C2 (指令與控制)。 |
severity |
字串 | 與偵測到的威脅相關聯的嚴重程度 (高、中、低或資訊)。 詳情請參閱 Infoblox 的 嚴重程度定義 |
confidence |
字串 | 威脅預測的可信度 (高、中、低)。 詳情請參閱 Infoblox 的 信心水準定義 |
threatFeed |
字串 | 觸發這則威脅快訊的威脅動態消息。 |
indicatorType |
字串 | 觸發這則威脅快訊的指標類型。例如網址、IP、雜湊或主機。 |
threatIndicator |
字串 | 觸發這則快訊的威脅指標。 |
「DNS 查詢」欄位
下表說明 DnsQuery 欄位的格式。
| 名稱 | 類型 | 說明 |
|---|---|---|
projectNumber |
字串 | 來源專案編號。 |
location |
字串 | Google Cloud 地區,例如提供回應的地區中的 us-east1。 |
queryName |
字串 | DNS 查詢名稱,RFC 1035 4.1.2。 |
queryType |
字串 | DNS 查詢類型,RFC 1035 4.1.2。 |
responseCode |
字串 | 回覆碼,RFC 1035 4.1.1。 |
rdata |
字串 | 以簡報格式呈現的 DNS 回答,RFC 1035 5.1,超過 260 位元組以後的內容將被截斷。 |
authAnswer |
字串 | 權威回答,RFC 1035。 |
sourceIp |
字串 | 查詢的 IP 來源。 |
destinationIp |
字串 | 目標 IP 位址,僅適用於轉送案例。 |
protocol |
字串 | TCP 或 UDP。 |
queryTime |
字串 | 傳送 DNS 查詢時的時間戳記。 |
vmInstanceId |
字串 | Compute Engine VM 執行個體名稱,僅適用於由 Compute Engine VM 發出的查詢。 |
vmProjectNumber |
字串 | Google Cloud 傳送查詢的網路所屬專案 ID,僅適用於由 Compute Engine VM 執行個體發出的查詢。 |
serverlessInstanceId |
字串 | 傳送查詢的無伺服器執行個體 ID,僅適用於無伺服器發出的查詢。 |
後續步驟
進一步瞭解如何使用記錄和監控功能,包括如何為虛擬私有雲網路啟用記錄功能。
進一步瞭解進階威脅偵測。
如要尋找使用威脅監控功能時可能遇到的常見問題解決方案,請參閱疑難排解。
如要瞭解如何在偵測到威脅時收到快訊,請參閱「快訊總覽」。