Prima di iniziare
Prima di visualizzare i log delle minacce DNS, verifica che siano state completate le seguenti operazioni:
- Abilita l'API Network Security nel tuo progetto.
- Verifica di disporre del ruolo
DNS Threat Detector Viewer.
I log delle minacce vengono scritti in Cloud Logging e possono comportare costi di archiviazione aggiuntivi. Consulta Utilizzare logging e monitoraggio: prezzi o Prezzi di Google Cloud Observability: Cloud Logging.
Visualizza i log delle minacce
Puoi visualizzare i log nella console Google Cloud .
Ogni voce di log include i dettagli per identificare la query DNS e la minaccia corrispondenti.
Console
Nella console Google Cloud , vai alla pagina Esplora log.
Filtra i log per
networksecurity.googleapis.com/DnsThreatDetector.
Campi dei record di log delle minacce
Ogni log delle minacce ha i seguenti campi.
| Nome | Tipo | Descrizione |
|---|---|---|
detectionTime |
string | Ora in cui viene rilevata la minaccia in UTC. Il timestamp è in formato ISO 8601. |
dnsQuery |
DnsLog | Formato dei log di Cloud DNS. |
partnerId |
string | Identificatore univoco del partner. |
threatInfo |
threatInfo | I dettagli della minaccia rilevata. |
Campo Informazioni sul pericolo
La tabella seguente descrive il formato del campo threatInfo.
| Nome | Tipo | Descrizione |
|---|---|---|
threatID |
string | Identificatore univoco della minaccia. |
threat |
string | Il nome della minaccia rilevata. |
threatDescription |
string | Una descrizione dettagliata della minaccia rilevata. |
category |
string | Il sottotipo della minaccia rilevata. |
type |
string | Il tipo di minaccia rilevata. Ad esempio, DNS_Tunnel, DGA (Domain Generation Algorithms) o C2 (Command and Control). |
severity |
string | La gravità (Alta, Media, Bassa o Informazioni) associata alla minaccia rilevata. Per ulteriori informazioni, consulta la definizione del livello di gravità di Infoblox. |
confidence |
string | Confidenza della previsione della minaccia (alta, media, bassa). Per ulteriori informazioni, consulta la definizione del livello di confidenza di Infoblox. |
threatFeed |
string | Feed sulle minacce che ha attivato questo avviso sulle minacce. |
indicatorType |
string | Il tipo di indicatore che ha attivato questo avviso di minaccia. Ad esempio, URL, IP, hash o host. |
threatIndicator |
string | L'indicatore di minaccia che ha attivato questo avviso. |
Campo Query DNS
La tabella seguente descrive il formato del campo DnsQuery.
| Nome | Tipo | Descrizione |
|---|---|---|
projectNumber |
string | Numero di progetto di origine. |
location |
string | Google Cloud , ad esempio us-east1, da cui
è stata pubblicata la risposta. |
queryName |
string | Nome query DNS, RFC 1035 4.1.2. |
queryType |
string | Tipo di query DNS, RFC 1035 4.1.2. |
responseCode |
string | Codice di risposta, RFC 1035 4.1.1. |
rdata |
string | Risposta DNS in formato di presentazione, RFC 1035 5.1, troncata a 260 byte. |
authAnswer |
string | Risposta autorevole, RFC 1035. |
sourceIp |
string | IP che ha generato la query. |
destinationIp |
string | Indirizzo IP di destinazione, applicabile solo per le richieste di inoltro. |
protocol |
string | TCP o UDP. |
queryTime |
string | Timestamp di invio della query DNS. |
vmInstanceId |
string | Nome dell'istanza VM di Compute Engine, applicabile solo alle query avviate dalle VM di Compute Engine. |
vmProjectNumber |
string | ID progettoGoogle Cloud della rete da cui è stata inviata la query, applicabile solo alle query avviate dalle istanze VM di Compute Engine. |
serverlessInstanceId |
string | ID istanza serverless da cui è stata inviata la query, applicabile solo alle query avviate da Serverless. |
Passaggi successivi
Scopri di più su come utilizzare Logging e Monitoring, inclusa la procedura per abilitare la registrazione per le reti VPC.
Scopri di più sul rilevamento avanzato delle minacce.
Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo del monitoraggio delle minacce, consulta Risoluzione dei problemi.
Per scoprire come ricevere avvisi quando viene rilevata una minaccia, consulta la Panoramica degli avvisi.