¿Qué información se envía a las redes de palo alto cuando se habilita la función DNS pasiva
¿Qué información se envía a las redes de palo alto cuando se habilita la función DNS pasiva
19057
Created On 09/25/18 17:30 PM - Last Modified 06/07/23 17:29 PM
Resolution
PAN-os 6,0 y posteriores
Detalles
La activación de la supervisión DNS pasiva es una función opt-in en PAN-OS 6,0 o posterior. Permite que el cortafuegos de Palo Alto Networks actúe como un sensor DNS pasivo y envíe información de DNS selecta a Palo Alto Networks para su análisis con el fin de mejorar la inteligencia de amenazas y las capacidades de prevención de amenazas.
Las respuestas DNS sólo se reenvían a las redes de palo alto y sólo se reenvían cuando se cumplen los siguientes requisitos:
Bit de respuesta DNS configurado
El bit truncado de DNS no se establece
No se ha establecido el bit recursivo de DNS
El código de respuesta DNS es 0 o 3 (NX)
Conteo de preguntas DNS mayor que 0
El conteo de RR de respuesta DNS es mayor que 0, o si es 0, las banderas deben ser 3 (NX)
EL tipo de registro de consulta DNS son "A, NS, CNAME, AAAA, MX"
Para habilitar la supervisión de DNS pasiva en un firewall Palo Alto Networks (pan-os 7,1 y versiones anteriores) vaya a: objetos > perfiles de seguridad > Perfil de anti-spyware > firmas DNS y marque la casilla habilitar la supervisión DNS pasiva y confirmar los cambios:
Para habilitar DNS pasivo en PAN-OS 8,0 y más adelante, ir al dispositivo > Setup > telemetría