Quelles informations sont soumises aux réseaux de Palo Alto lors de l'activation de la fonction DNS passive

Pan-OS 6,0 et ultérieur

Détails

L'activation de la surveillance DNS passive est une fonctionnalité opt-in dans Pan-OS 6,0 ou version ultérieure. Il permet au pare-feu de Palo Alto Networks d'agir comme un capteur DNS passif et d'envoyer des informations DNS Select à Palo Alto Networks pour analyse afin d'améliorer l'intelligence des menaces et les capacités de prévention des menaces.

Les réponses DNS ne sont transmises Qu'aux réseaux Palo Alto et ne sont transmises que lorsque les conditions suivantes sont remplies:

1. Le bit de réponse DNS est défini
2. Le bit tronqué DNS n'est pas défini
3. Le bit recursive DNS n'est pas défini
4. Le code de réponse DNS est 0 ou 3 (NX)
5. Nombre de questions DNS supérieure à 0
6. DNS réponse RR Count est plus grand que 0 ou si elle est 0, les drapeaux doivent être 3 (NX)
7. Le type d'enregistrement de requête DNS est "A, NS, CNAME, AAAA, MX"

Pour activer la surveillance DNS passive sur un pare-feu de Palo Alto Networks (Pan-OS 7,1 et versions antérieures), accédez à: objets > profils de sécurité > anti-spyware Profile > signatures DNS et cochez la case Activer la surveillance DNS passive et valider les modifications:

Pour activer DNS passif sur PAN-OS 8,0 et ultérieur, accédez à Device > Setup > télémétrie

propriétaire: younes