このページは Cloud Translation API によって翻訳されました。

脅威のログを表示する

始める前に

DNS の脅威ログを表示する前に、次の操作が完了していることを確認します。

脅威ログは Cloud Logging に書き込まれるため、追加のストレージ費用が発生する可能性があります。ロギングとモニタリングの使用: 料金または Google Cloud Observability の料金: Cloud Logging をご覧ください。

このタスクを実行するには、次の権限または次の IAM のロールが付与されている必要があります。

権限

ロール

ログは Google Cloud コンソールで確認できます。

各ログエントリには、対応する DNS クエリと脅威を特定するための詳細が含まれています。

すべての脅威ログに次のフィールドがあります。

名前	型	説明
`detectionTime`	文字列	脅威が検出された時刻（UTC）。タイムスタンプは ISO 8601 形式です。
`dnsQuery`	DnsLog	Cloud DNS ログ形式。
`partnerId`	文字列	パートナーの固有識別子。
`threatInfo`	threatInfo	検出された脅威の詳細。

次の表に、threatInfo フィールドの形式を示します。

名前	型	説明
`threatID`	文字列	脅威の固有識別子。
`threat`	文字列	検出された脅威の名前。
`threatDescription`	文字列	検出された脅威の詳細な説明。
`category`	文字列	検出された脅威のサブタイプ。
`type`	文字列	検出された脅威の種類。たとえば、DNS トンネル、DGA（ドメイン生成アルゴリズム）、C2（コマンド＆コントロール）などです。
`severity`	文字列	検出された脅威の重大度（高、中、低、情報）。詳細については、Infoblox の重大度レベルの定義をご覧ください。
`confidence`	文字列	脅威予測の信頼度（高、中、低）。詳細については、Infoblox の信頼度の定義をご覧ください。
`threatFeed`	文字列	この脅威アラートをトリガーした脅威フィード。
`indicatorType`	文字列	この脅威アラートをトリガーしたインジケーターのタイプ。たとえば、URL、IP、ハッシュ、ホストなどです。
`threatIndicator`	文字列	このアラートをトリガーした脅威インジケーター。

次の表に、DnsQuery フィールドの形式を示します。

名前	型	説明
`projectNumber`	文字列	ソースプロジェクト番号。
`location`	文字列	レスポンスの送信元となるGoogle Cloud リージョン（`us-east1` など）
`queryName`	文字列	DNS クエリの名前（RFC 1035 4.1.2）
`queryType`	文字列	DNS クエリの種類（RFC 1035 4.1.2）
`responseCode`	文字列	レスポンスコード（RFC 1035 4.1.1）
`rdata`	文字列	プレゼンテーション形式の DNS 回答（RFC 1035 5.1）。260 バイトで切り捨て。
`authAnswer`	文字列	権威ある回答（RFC 1035）
`sourceIp`	文字列	クエリの発信元の IP
`destinationIp`	文字列	ターゲットの IP アドレス（転送の場合のみ）
`protocol`	文字列	`TCP` または `UDP`
`queryTime`	文字列	DNS クエリ送信時のタイムスタンプ。
`vmInstanceId`	文字列	Compute Engine VM インスタンス名。Compute Engine VM によって開始されたクエリにのみ使用されます。
`vmProjectNumber`	文字列	クエリの送信元ネットワークのGoogle Cloud プロジェクト ID。Compute Engine VM によって開始されたクエリにのみ使用されます。
`serverlessInstanceId`	文字列	クエリの送信元のサーバーレスインスタンス ID。サーバーレスによって開始されたクエリにのみ使用されます。