准备工作
在查看 DNS 威胁日志之前,请验证是否已完成以下操作:
- 在项目中启用 Network Security API。
- 验证您是否拥有
DNS Threat Detector Viewer角色。
威胁日志会写入 Cloud Logging,可能会产生额外的存储费用。请参阅使用日志记录和监控:价格或 Google Cloud Observability 价格:Cloud Logging。
查看威胁日志
您可以在 Google Cloud 控制台中查看日志。
每个日志条目都包含用于识别相应 DNS 查询和威胁的详细信息。
控制台
在 Google Cloud 控制台中,前往 Logs Explorer 页面。
过滤
networksecurity.googleapis.com/DnsThreatDetector的日志。
威胁日志记录字段
每个威胁日志都包含以下字段。
| 名称 | 类型 | 说明 |
|---|---|---|
detectionTime |
字符串 | 检测到威胁的时间(以世界协调时间 [UTC] 表示)。时间戳采用 ISO 8601 格式。 |
dnsQuery |
DnsLog | Cloud DNS 日志格式。 |
partnerId |
字符串 | 唯一合作伙伴标识符。 |
threatInfo |
threatInfo | 检测到的威胁的详细信息。 |
威胁信息字段
下表介绍了 threatInfo 字段的格式。
| 名称 | 类型 | 说明 |
|---|---|---|
threatID |
字符串 | 唯一威胁标识符。 |
threat |
字符串 | 检测到的威胁的名称。 |
threatDescription |
字符串 | 检测到的威胁的详细说明。 |
category |
字符串 | 检测到的威胁的子类型。 |
type |
字符串 | 检测到的威胁类型。例如,DNS_Tunnel、DGA(网域生成算法)或 C2(命令和控制)。 |
severity |
字符串 | 与检测到的威胁关联的严重程度(高、中、低或信息)。 如需了解详情,请参阅 Infoblox 的严重级别定义 |
confidence |
字符串 | 威胁预测的置信度(高、中、低)。 如需了解详情,请参阅 Infoblox 的置信度定义 |
threatFeed |
字符串 | 触发了相应威胁提醒的威胁 Feed。 |
indicatorType |
字符串 | 触发了相应威胁提醒的指示器类型。例如,网址、IP、哈希或主机。 |
threatIndicator |
字符串 | 触发了相应提醒的威胁指示器。 |
DNS 查询字段
下表介绍了 DnsQuery 字段的格式。
| 名称 | 类型 | 说明 |
|---|---|---|
projectNumber |
字符串 | 源项目编号。 |
location |
字符串 | 从中传送响应的Google Cloud 区域,例如 us-east1。 |
queryName |
字符串 | DNS 查询名称,RFC 1035 4.1.2。 |
queryType |
字符串 | DNS 查询类型,RFC 1035 4.1.2。 |
responseCode |
字符串 | 响应代码,RFC 1035 4.1.1。 |
rdata |
字符串 | 演示格式的 DNS 应答,RFC 1035 5.1,截断为 260 个字节。 |
authAnswer |
字符串 | 权威应答,RFC 1035。 |
sourceIp |
字符串 | 发起查询的 IP。 |
destinationIp |
字符串 | 目标 IP 地址,仅适用于转发情况。 |
protocol |
字符串 | TCP 或 UDP。 |
queryTime |
字符串 | 发送 DNS 查询时的时间戳。 |
vmInstanceId |
字符串 | Compute Engine 虚拟机实例名称,仅适用于 Compute Engine 虚拟机发起的查询。 |
vmProjectNumber |
字符串 | 从中发送查询的网络的Google Cloud 项目 ID,仅适用于 Compute Engine 虚拟机实例发起的查询。 |
serverlessInstanceId |
字符串 | 从中发送查询的无服务器实例的 ID,仅适用于由无服务器发起的查询。 |
后续步骤
详细了解如何使用日志记录和监控,包括如何为 VPC 网络启用日志记录。
详细了解高级威胁检测。
如需了解您在使用威胁监控时可能会遇到的常见问题的解决方案,请参阅问题排查。
如需了解如何在检测到威胁时收到提醒,请参阅提醒概览。