Antes de empezar
Verifica que se hayan completado los siguientes pasos antes de ver los registros de amenazas de DNS:
- Habilita la API Network Security en tu proyecto.
- Comprueba que tienes el rol
DNS Threat Detector Viewer.
Los registros de amenazas se escriben en Cloud Logging y pueden generar costes de almacenamiento adicionales. Consulta Usar el registro y la monitorización: precios o Precios de Google Cloud Observability: Cloud Logging.
Ver registros de amenazas
Puedes ver los registros en la Google Cloud consola.
Cada entrada de registro incluye detalles para identificar la consulta de DNS y la amenaza correspondientes.
Consola
En la Google Cloud consola, ve a la página Explorador de registros.
Filtra los registros de
networksecurity.googleapis.com/DnsThreatDetector.
Campos de registro de amenazas
Todos los registros de amenazas tienen los siguientes campos.
| Nombre | Tipo | Descripción |
|---|---|---|
detectionTime |
cadena | Hora en la que se detectó la amenaza (en UTC). La marca de tiempo está en formato ISO 8601. |
dnsQuery |
DnsLog | Formato de registro de Cloud DNS. |
partnerId |
cadena | Identificador único del partner. |
threatInfo |
threatInfo | Los detalles de la amenaza detectada. |
Campo de información sobre la amenaza
En la siguiente tabla se describe el formato del campo threatInfo.
| Nombre | Tipo | Descripción |
|---|---|---|
threatID |
cadena | Identificador único de la amenaza. |
threat |
cadena | Nombre de la amenaza detectada. |
threatDescription |
cadena | Una descripción detallada de la amenaza detectada. |
category |
cadena | Subtipo de la amenaza detectada. |
type |
cadena | Tipo de amenaza detectada. Por ejemplo, DNS_Tunnel, DGA (algoritmos de generación de dominios) o C2 (comando y control). |
severity |
cadena | La gravedad (Alta, Media, Baja o Información) asociada a la amenaza detectada. Para obtener más información, consulta la definición de nivel de gravedad de Infoblox. |
confidence |
cadena | Confianza de la predicción de la amenaza (alta, media o baja). Para obtener más información, consulta la definición del nivel de confianza de Infoblox. |
threatFeed |
cadena | Feed de amenazas que ha activado esta alerta de amenaza. |
indicatorType |
cadena | El tipo de indicador que ha activado esta alerta de amenaza. Por ejemplo, URL, IP, Hash o Host. |
threatIndicator |
cadena | El indicador de amenazas que ha activado esta alerta. |
Campo Consulta de DNS
En la siguiente tabla se describe el formato del campo DnsQuery.
| Nombre | Tipo | Descripción |
|---|---|---|
projectNumber |
cadena | Número de proyecto de origen. |
location |
cadena | Google Cloud region, por ejemplo, us-east1, desde la que se ha publicado la respuesta. |
queryName |
cadena | Nombre de consulta de DNS, RFC 1035 4.1.2. |
queryType |
cadena | Tipo de consulta de DNS, RFC 1035 4.1.2. |
responseCode |
cadena | Código de respuesta, RFC 1035 4.1.1. |
rdata |
cadena | Respuesta de DNS en formato de presentación, RFC 1035 5.1, truncada a 260 bytes. |
authAnswer |
cadena | Respuesta autorizada, RFC 1035. |
sourceIp |
cadena | IP de origen de la consulta. |
destinationIp |
cadena | Dirección IP de destino. Solo se aplica a los casos de reenvío. |
protocol |
cadena | TCP o UDP. |
queryTime |
cadena | Marca de tiempo de cuándo se envió la consulta de DNS. |
vmInstanceId |
cadena | Nombre de la instancia de VM de Compute Engine. Solo se aplica a las consultas iniciadas por VMs de Compute Engine. |
vmProjectNumber |
cadena | Google Cloud ID de proyecto de la red desde la que se envió la consulta. Solo se aplica a las consultas iniciadas por instancias de VM de Compute Engine. |
serverlessInstanceId |
cadena | ID de la instancia sin servidor desde la que se envió la consulta. Solo se aplica a las consultas iniciadas por Serverless. |
Siguientes pasos
Consulta más información sobre cómo usar el registro y la monitorización, incluido cómo habilitar el registro en tus redes de VPC.
Consulta más información sobre la detección avanzada de amenazas.
Para encontrar soluciones a los problemas habituales que pueden surgir al usar la monitorización de amenazas, consulta la sección Solución de problemas.
Para saber cómo recibir alertas cuando se detecte una amenaza, consulta el artículo Descripción general de las alertas.