¿Qué información se envía a las redes de palo alto cuando se habilita la función DNS pasiva

PAN-os 6,0 y posteriores

Detalles

La activación de la supervisión DNS pasiva es una función opt-in en PAN-OS 6,0 o posterior. Permite que el cortafuegos de Palo Alto Networks actúe como un sensor DNS pasivo y envíe información de DNS selecta a Palo Alto Networks para su análisis con el fin de mejorar la inteligencia de amenazas y las capacidades de prevención de amenazas.

Las respuestas DNS sólo se reenvían a las redes de palo alto y sólo se reenvían cuando se cumplen los siguientes requisitos:

1. Bit de respuesta DNS configurado
2. El bit truncado de DNS no se establece
3. No se ha establecido el bit recursivo de DNS
4. El código de respuesta DNS es 0 o 3 (NX)
5. Conteo de preguntas DNS mayor que 0
6. El conteo de RR de respuesta DNS es mayor que 0, o si es 0, las banderas deben ser 3 (NX)
7. EL tipo de registro de consulta DNS son "A, NS, CNAME, AAAA, MX"

Para habilitar la supervisión de DNS pasiva en un firewall Palo Alto Networks (pan-os 7,1 y versiones anteriores) vaya a: objetos > perfiles de seguridad > Perfil de anti-spyware > firmas DNS y marque la casilla habilitar la supervisión DNS pasiva y confirmar los cambios:

Para habilitar DNS pasivo en PAN-OS 8,0 y más adelante, ir al dispositivo > Setup > telemetría

Propietario: achalla