Cette page a été traduite par l'API Cloud Translation.

Afficher les journaux de menaces

Avant de commencer

Avant de consulter les journaux des menaces DNS, vérifiez que les éléments suivants ont été effectués :

Les journaux des menaces sont écrits dans Cloud Logging et peuvent entraîner des coûts de stockage supplémentaires. Consultez Utiliser la journalisation et la surveillance : tarifs ou Tarifs de Google Cloud Observability : Cloud Logging.

Pour effectuer cette tâche, vous devez avoir reçu les autorisations OU les rôles IAM suivants :

Autorisations

Rôles

Vous pouvez afficher les journaux dans la console Google Cloud .

Chaque entrée de journal inclut des informations permettant d'identifier la requête DNS et la menace correspondantes.

Dans la console Google Cloud , accédez à la page Explorateur de journaux.

Accéder à l'explorateur de journaux
Filtrez les journaux pour networksecurity.googleapis.com/DnsThreatDetector.

Chaque journal des menaces comporte les champs suivants.

Nom	Type	Description
`detectionTime`	chaîne	Heure à laquelle la menace a été détectée (en UTC). L'horodatage est au format ISO 8601.
`dnsQuery`	DnsLog	Format des journaux Cloud DNS.
`partnerId`	chaîne	Identifiant unique du partenaire.
`threatInfo`	threatInfo	Détails de la menace détectée.

Le tableau suivant décrit le format du champ threatInfo.

Nom	Type	Description
`threatID`	chaîne	Identifiant unique de la menace.
`threat`	chaîne	Nom de la menace détectée.
`threatDescription`	chaîne	Description détaillée de la menace détectée.
`category`	chaîne	Sous-type de la menace détectée.
`type`	chaîne	Type de la menace détectée. Par exemple, DNS_Tunnel, DGA (algorithmes de génération de domaine) ou C2 (commande et contrôle).
`severity`	chaîne	Niveau de gravité (élevé, moyen, faible ou info) associé à la menace détectée. Pour en savoir plus, consultez la page Définition des niveaux de gravité d'Infoblox.
`confidence`	chaîne	Niveau de confiance de la prédiction de menace (élevé, moyen ou faible). Pour en savoir plus, consultez la Définition du niveau de confiance d'Infoblox.
`threatFeed`	chaîne	Flux de menaces ayant déclenché cette alerte.
`indicatorType`	chaîne	Type d'indicateur ayant déclenché cette alerte de menace. Par exemple, URL, adresse IP, hachage ou hôte.
`threatIndicator`	chaîne	Indicateur de menace ayant déclenché cette alerte.

Le tableau suivant décrit le format du champ DnsQuery.

Nom	Type	Description
`projectNumber`	chaîne	Numéro du projet source.
`location`	chaîne	RégionGoogle Cloud (par exemple, `us-east1`) à partir de laquelle la réponse a été diffusée.
`queryName`	chaîne	Nom de la requête DNS, RFC 1035 4.1.2.
`queryType`	chaîne	Type de requête DNS, RFC 1035 4.1.2.
`responseCode`	chaîne	Code de réponse, RFC 1035 4.1.1
`rdata`	chaîne	Réponse DNS au format de présentation, RFC 1035 5.1, tronquée à 260 octets.
`authAnswer`	chaîne	Réponse faisant autorité, RFC 1035
`sourceIp`	chaîne	Adresse IP à l'origine de la requête.
`destinationIp`	chaîne	Adresse IP cible, applicable uniquement aux cas de transfert
`protocol`	chaîne	`TCP` ou `UDP`.
`queryTime`	chaîne	Code temporel de l'envoi de la requête DNS.
`vmInstanceId`	chaîne	Nom d'instance de la VM Compute Engine, applicable uniquement aux requêtes initiées par des VM Compute Engine
`vmProjectNumber`	chaîne	ID de projetGoogle Cloud du réseau à partir duquel la requête a été envoyée, applicable uniquement aux requêtes initiées par des instances de VM Compute Engine.
`serverlessInstanceId`	chaîne	ID d'instance sans serveur à partir duquel la requête a été envoyée, applicable uniquement aux requêtes initiées par Serverless.

Découvrez comment utiliser la journalisation et la surveillance, y compris comment activer la journalisation pour vos réseaux VPC.
En savoir plus sur la détection avancée des menaces
Pour trouver des solutions aux problèmes courants que vous pouvez rencontrer lors de l'utilisation de la surveillance des menaces, consultez la page Dépannage.
Pour savoir comment être averti lorsqu'une menace est détectée, consultez la présentation des alertes.