Melihat log ancaman

Sebelum memulai

Pastikan hal berikut telah diselesaikan sebelum Anda melihat log ancaman DNS:

• Aktifkan Network Security API di project Anda.
• Verifikasi bahwa Anda memiliki peran DNS Threat Detector Viewer.

Log ancaman ditulis ke Cloud Logging dan dapat menimbulkan biaya penyimpanan tambahan. Lihat Menggunakan logging dan pemantauan: Harga atau Harga untuk Google Cloud Observability: Cloud Logging.

Izin yang diperlukan untuk langkah ini

Untuk menjalankan tugas ini, Anda harus diberi izin berikut atau peran IAM berikut.

Izin

• resourcemanager.projects.get
• resourcemanager.projects.list
• networksecurity.dnsThreatDetectors.get
• networksecurity.dnsThreatDetectors.list

Peran

• roles/networksecurity.dnsThreatDetectorViewer
• roles/logging.viewer

Melihat log ancaman

Anda dapat melihat log di konsol Google Cloud .

Setiap entri log menyertakan detail untuk mengidentifikasi kueri dan ancaman DNS yang sesuai.

Kolom kumpulan data log ancaman

Setiap log ancaman memiliki kolom berikut.

Nama	Jenis	Deskripsi
detectionTime	string	Waktu saat ancaman terdeteksi dalam UTC. Stempel waktu dalam format ISO 8601.
dnsQuery	DnsLog	Format Log Cloud DNS.
partnerId	string	ID partner unik.
threatInfo	threatInfo	Detail ancaman yang terdeteksi.

Kolom info ancaman

Tabel berikut menjelaskan format kolom threatInfo.

Nama	Jenis	Deskripsi
threatID	string	ID ancaman unik.
threat	string	Nama ancaman yang terdeteksi.
threatDescription	string	Deskripsi mendetail tentang ancaman yang terdeteksi.
category	string	Subjenis ancaman yang terdeteksi.
type	string	Jenis ancaman yang terdeteksi. Misalnya, DNS_Tunnel, DGA (Domain Generation Algorithms), atau C2 (Command and Control).
severity	string	Tingkat keseriusan (Tinggi, Sedang, Rendah, atau Info), yang terkait dengan ancaman yang terdeteksi. Untuk mengetahui informasi selengkapnya, lihat Definisi Tingkat Keparahan Infoblox
confidence	string	Tingkat keyakinan prediksi ancaman (tinggi, sedang, rendah). Untuk mengetahui informasi selengkapnya, lihat Definisi Tingkat Keyakinan Infoblox
threatFeed	string	Feed ancaman yang memicu notifikasi ancaman ini.
indicatorType	string	Jenis indikator yang memicu notifikasi ancaman ini. Misalnya, URL, IP, Hash, atau Host.
threatIndicator	string	Indikator ancaman yang memicu notifikasi ini.

Kolom Kueri DNS

Tabel berikut menjelaskan format kolom DnsQuery.

Nama	Jenis	Deskripsi
projectNumber	string	Nomor project sumber.
location	string	Google Cloud region, misalnya us-east1, tempat respons ditayangkan.
queryName	string	Nama kueri DNS, RFC 1035 4.1.2.
queryType	string	Jenis kueri DNS, RFC 1035 4.1.2.
responseCode	string	Kode respons, RFC 1035 4.1.1.
rdata	string	Jawaban DNS dalam format presentasi, RFC 1035 5.1, dipangkas hingga 260 byte.
authAnswer	string	Jawaban resmi, RFC 1035.
sourceIp	string	IP yang memulai kueri.
destinationIp	string	Alamat IP target, hanya berlaku untuk kasus penerusan.
protocol	string	TCP atau UDP.
queryTime	string	Stempel waktu saat kueri DNS dikirim.
vmInstanceId	string	Nama instance VM Compute Engine, hanya berlaku untuk kueri yang dimulai oleh VM Compute Engine.
vmProjectNumber	string	Google Cloud project ID jaringan tempat kueri dikirim, hanya berlaku untuk kueri yang dimulai oleh instance VM Compute Engine.
serverlessInstanceId	string	ID instance serverless tempat kueri dikirim, hanya berlaku untuk kueri yang dimulai oleh Serverless.

Langkah berikutnya

• Pelajari lebih lanjut cara Menggunakan logging dan pemantauan, termasuk cara mengaktifkan logging untuk jaringan VPC Anda.

• Pelajari lebih lanjut Deteksi ancaman lanjutan.

• Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan pemantauan ancaman, lihat Pemecahan masalah.

• Untuk mempelajari cara mendapatkan notifikasi saat ancaman terdeteksi, lihat Ringkasan pemberitahuan.