Diese Seite wurde von der Cloud Translation API übersetzt.

DNS-Bedrohungsdetektor erstellen

Auf dieser Seite wird beschrieben, wie Sie einen DNS-Bedrohungsdetektor erstellen und ändern, um VPC-Netzwerke auf schädliche, internetgebundene DNS-Aktivitäten zu überwachen.

Weitere Informationen zur DNS-Bedrohungserkennung finden Sie unter Bedrohungsmonitoring.

Die DNS-Bedrohungsüberwachung kann sich auf Ihre Abrechnung auswirken. Weitere Informationen finden Sie unter Cloud DNS-Preise.

Hinweise

Führen Sie die folgenden Schritte aus, bevor Sie einen DNS-Bedrohungsdetektor erstellen.

Aktivieren Sie die Network Security API in Ihrem Projekt.
Prüfen Sie, ob Sie die erforderlichen Rollen zum Aktivieren eines DNS-Gefahrenerkenners haben.
Wenn Sie die Google Cloud CLI zum Ausführen von Aufgaben verwenden möchten, aktualisieren Sie die Google Cloud CLI auf die neueste Version.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe müssen Sie die folgenden Berechtigungen oder die folgenden IAM-Rollen haben.

Berechtigungen

networksecurity.dnsThreatDetectors.create
networksecurity.dnsThreatDetectors.delete
networksecurity.dnsThreatDetectors.get
networksecurity.dnsThreatDetectors.list
networksecurity.dnsThreatDetectors.update

Rollen

roles/networksecurity.dnsThreatDetectorAdmin

DNS-Bedrohungsdetektor erstellen

Führen Sie die folgenden Schritte aus, um einen DNS-Bedrohungsdetektor für alle Ihre VPC-Netzwerke in einem Projekt zu erstellen. Alle neuen VPC-Netzwerke, die dem Projekt hinzugefügt werden, werden automatisch überwacht.

Pro Projekt kann nur ein DNS-Bedrohungsdetektor aktiviert sein.

Konsole

Rufen Sie in der Google Cloud Console die Seite Erweiterte Bedrohungserkennung auf.

Erweiterte Bedrohungserkennung aufrufen
Klicken Sie auf DNS-Bedrohungsdetektor erstellen.
Geben Sie einen Namen für den DNS-Gefahrendetektor ein.
Wählen Sie Alle VPC-Netzwerke im Projekt aus.
Klicken Sie auf Erstellen.

gcloud

gcloud beta network-security dns-threat-detectors create NAME \
  --location=global \
  --project=PROJECT_ID \
  --provider="INFOBLOX"

Ersetzen Sie Folgendes:

NAME: der Name für Ihren DNS-Bedrohungsdetektor.
PROJECT_ID: Ihre Projekt-ID.

API

POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME

{
    "name"          : "NAME",
    "scope"         : "PROJECT_ID",
    "provider"  : "INFOBLOX"
}

Ersetzen Sie Folgendes:

NAME: der Name Ihres DNS-Bedrohungsdetektors.
PROJECT_ID: Ihre Projekt-ID.

VPC-Netzwerk von der Bedrohungsüberwachung ausschließen

Sie können ein VPC-Netzwerk von der Bedrohungsüberwachung ausschließen, indem Sie den DNS-Bedrohungsdetektor bearbeiten. Sie können das Netzwerk auch beim Erstellen eines DNS-Bedrohungsdetektors ausschließen.

Neue VPC-Netzwerke, die dem Projekt hinzugefügt werden, werden automatisch überwacht.

Konsole

Rufen Sie in der Google Cloud Console die Seite Erweiterte Bedrohungserkennung auf.

Erweiterte Bedrohungserkennung aufrufen
Klicken Sie auf das Dreipunkt-Menü und wählen Sie Bearbeiten aus.
Wählen Sie im Bereich Bereich die Option Alle VPC-Netzwerke im Projekt mit Ausnahme ausgeschlossener Netzwerke aus.
Wählen Sie die VPC-Netzwerke aus, die Sie nicht überwachen möchten.
Klicken Sie auf Speichern.

gcloud

gcloud beta network-security dns-threat-detectors update NAME  \
  --add-excluded-networks=projects/LIST_OF_NETWORKS \
  --provider="INFOBLOX" \
  --location=global

Ersetzen Sie Folgendes:

NAME: der Name Ihres DNS-Bedrohungsdetektors.
LIST_OF_NETWORKS: Die Liste der VPC-Netzwerke, die Sie ausschließen möchten.
PROJECT_ID: Ihre Projekt-ID.

API

PATCH https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME

{
    "name"                  : "NAME",
    "scope"                 : "PROJECT_ID",
    "excluded_networks"     : [ "LIST_OF_NETWORKs" ],
    "provider"              : "INFOBLOX"
}

Ersetzen Sie Folgendes:

NAME: der Name Ihres DNS-Bedrohungsdetektors.
PROJECT_ID: Ihre Projekt-ID.
LIST_OF_NETWORKS: eine durch Kommas getrennte Liste der VPC-Netzwerke, die Sie ausschließen möchten. Jedes Netzwerk muss in Anführungszeichen stehen.

DNS-Bedrohungsdetektor entfernen

Sie können Ihren DNS-Bedrohungsdetektor löschen.

Konsole

Rufen Sie in der Google Cloud Console die Seite Erweiterte Bedrohungserkennung auf.

Erweiterte Bedrohungserkennung aufrufen
Klicken Sie auf das Dreipunkt-Menü und wählen Sie Löschen aus.

gcloud

gcloud beta network-security dns-threat-detectors delete NAME \
  --project=PROJECT_ID \
  --location=global

Ersetzen Sie Folgendes:

NAME: der Name Ihres DNS-Bedrohungsdetektors.
PROJECT_ID: Ihre Projekt-ID.

API

DELETE https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/dnsThreatDetectors/NAME

{
    "name"          : "NAME",
    "scope"         : "PROJECT_ID"
}

Ersetzen Sie Folgendes:

NAME: der Name Ihres DNS-Bedrohungsdetektors.
PROJECT_ID: Ihre Projekt-ID.

Labels hinzufügen

Sie können Ihrem DNS-Bedrohungsdetektor Labels hinzufügen, nachdem er erstellt wurde.

Konsole

Rufen Sie in der Google Cloud -Console die Seite Netzwerksicherheit auf.

Netzwerksicherheit aufrufen
Klicken Sie auf das Dreipunkt-Menü und wählen Sie Label aus.
Geben Sie Labels für Ihren DNS-Bedrohungsdetektor ein oder wählen Sie sie aus.

Nächste Schritte

Informationen zu erkannten Bedrohungen finden Sie unter Bedrohungen ansehen.
Weitere Informationen zum Logging finden Sie unter Logging und Monitoring verwenden.
Informationen zu Lösungen für häufige Probleme, die bei der Verwendung des DNS-Gefahrenerkennungsmoduls auftreten können, finden Sie unter Fehlerbehebung.