Ver registros de amenazas

Antes de comenzar

Antes de ver los registros de amenazas de DNS, verifica que se hayan completado los siguientes pasos:

Los registros de amenazas se escriben en Cloud Logging y pueden generar costos de almacenamiento adicionales. Consulta Uso del registro y la supervisión: Precios o Precios de Google Cloud Observability: Cloud Logging.

Ver registros de amenazas

Puedes ver los registros en la Google Cloud consola.

Cada entrada de registro incluye detalles para identificar la consulta de DNS y la amenaza correspondientes.

Console

  1. En la Google Cloud consola, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Filtra los registros para networksecurity.googleapis.com/DnsThreatDetector.

Campos de registros de amenazas

Cada registro de amenazas tiene los siguientes campos.

Nombre Tipo Descripción
detectionTime cadena Es la fecha y hora en que se detectó la amenaza en UTC. La marca de tiempo está en formato ISO 8601.
dnsQuery DnsLog Es el formato del registro de Cloud DNS.
partnerId cadena Es el identificador único del socio.
threatInfo threatInfo Son los detalles de la amenaza detectada.

Campo de información sobre la amenaza

En la siguiente tabla, se describe el formato del campo threatInfo.

Nombre Tipo Descripción
threatID cadena Es el identificador único de la amenaza.
threat cadena El nombre de la amenaza detectada.
threatDescription cadena Una descripción detallada de la amenaza detectada.
category cadena El subtipo de la amenaza detectada.
type cadena El tipo de amenaza detectada. Por ejemplo, DNS_Tunnel, DGA (algoritmos de generación de dominios) o C2 (comando y control).
severity cadena

Es la gravedad (alta, media, baja o informativa) asociada con la amenaza detectada.

Para obtener más información, consulta la Definición de nivel de gravedad de Infoblox.
confidence cadena

Es la confianza de la predicción de amenazas (alta, media o baja).

Para obtener más información, consulta la Definición del nivel de confianza de Infoblox.
threatFeed cadena Es el feed de amenazas que activó esta alerta.
indicatorType cadena Es el tipo de indicador que activó esta alerta de amenaza. Por ejemplo, URL, IP, hash o host.
threatIndicator cadena Es el indicador de amenaza que activó esta alerta.

Campo Consulta de DNS

En la siguiente tabla, se describe el formato del campo DnsQuery.

Nombre Tipo Descripción
projectNumber cadena Es el número del proyecto de origen.
location cadena Región deGoogle Cloud , por ejemplo, us-east1, desde la que se entregó la respuesta.
queryName cadena Nombre de la consulta de DNS, RFC 1035 4.1.2.
queryType cadena Tipo de consulta de DNS, RFC 1035 4.1.2.
responseCode cadena Código de respuesta, RFC 1035 4.1.1
rdata cadena Respuesta de DNS en formato de presentación, RFC 1035 5.1, truncada a 260 bytes.
authAnswer cadena Respuesta autorizada, RFC 1035.
sourceIp cadena Es la IP que originó la búsqueda.
destinationIp cadena Dirección IP de destino, aplicable solo a casos de reenvío.
protocol cadena TCP o UDP.
queryTime cadena Es la marca de tiempo del momento en que se envió la consulta de DNS.
vmInstanceId cadena Nombre de la instancia de VM de Compute Engine, aplicable solo a las consultas iniciadas por las VMs de Compute Engine.
vmProjectNumber cadena Google Cloud ID del proyecto de la red desde la que se envió la consulta, aplicable solo a las consultas iniciadas por instancias de VM de Compute Engine.
serverlessInstanceId cadena ID de la instancia sin servidores desde la que se envió la consulta, aplicable solo a las consultas iniciadas por Serverless.

¿Qué sigue?