不審な DNS クエリは何ですか。

パン OS デバイスの脅威は、不審な DNS クエリがトリガーを記録します。 

不審な DNS クエリの脅威ログの詳細。

署名を照会不審な DNS は何ですか。

不審な DNS クエリの署名は、潜在的に C2 交通違反マシンを示すことができるに関連付けられたドメインに DNS 解決を探しています。

不審な DNS クエリの署名殺すチェーンのすべてのポイントに保護を 1 つのソリューションは、脅威の俳優は、成功するために検査の追加ポイントを浸透、多層防御を提供するために注入にパロ ・ アルトのネットワークのアプローチの一部であります。現在の脅威の状況の動的なウイルス対策の保護、脆弱性の悪用の検出、および URL フィルタ リングが効果的です詳細を行うことができます。悪意のあるリンク先への接続は、名前解決が発生しても前に減らすことができる場合、これは行う必要があるものです。

疑わしい dns 署名をアラートに設定して、接続をリセットまたは削除することによって名前解決をブロックしたり、製品の dns 陥没機能を活用して sinkholed    したりできます。1 つは疑い DNS クエリの送信元の ip アドレスを識別できるように、パロ ・ アルトのネットワークのベスト プラクティスを遵守する提案されている軽減陥没することです。

不審な DNS クエリの署名の仕組みは?彼らはどこから来るのか。

不審な DNS クエリの署名 (ここで-SDNS 署名と呼ばれるに) 署名が現在存在するすべてのドメインに名前検索の検査パン OS アプライアンスを通過する DNS トラフィックで動作します。SDNS 署名パケット キャプチャが有効な場合は、それらの特定の領域で単に DNS クエリです。 

SDNS 署名は、パロ ・ アルトのネットワークのバックエンドに集まる知性の結果です。野火サンド ボックス サンプル爆発、外部情報のフィード、および研究者からの分析は、いくつかの例のこれらの署名可能性がありますとしています。

作成されると、これらの署名は、2 つの方法でパン OS 機器への道を行います。

• 3,800,000 3,999,999 の署名の形で、野火のコンテンツ 更新/変更できる 15 分ごとに、どのくらいの頻度に応じてコンテンツの更新スケジュールを構成すると、デバイスの野火と署名がまだアクティブかどうか。これらの署名は、脅威ログに次の形式で表示されます: Malwarefamilyname: ドメイン (例: なし: google [.]com)
  署名の生成に使用されたサンプルにファミリ名が関連付けられていない場合、' None ' はその場所をとります。

• 4,000,000 4,199,999 の署名の形でウイルス対策コンテンツ。AV コンテンツは通常、およそ 7 AM エストニア、24 時間に 1 回のリリースします。これらの署名は、脅威ログに次の形式で表示されます。疑わしい dns クエリ: Malwarefamilyname: ドメイン (例: 疑わしい dns クエリ: なし: google [.]com)
  署名の生成に使用されたサンプルにファミリ名が関連付けられていない場合、' None ' はその場所をとります。 

署名は、コンテンツの「スパイウェア」の部分に現れます。署名の ID 番号によって識別できるものの詳細については、このリンクを参照してください。

以前引き起こされている SDNS クエリ署名変化する脅威のモニターで自分の名前、なぜこれが起こったか疑問に思うかもしれない気づくことがあります。

SDNS 署名とコンテンツの現在の実装では、現在のコンテンツに割り当てられている ID をそれぞれの脅威には一般的に、です。コンテンツ領域が無限ではないので、SDNS で最も活動的で危険な脅威を維持するコンテンツ領域で任意の時間が優先されます。以来、脅威の状況が変わりやすいので、これらの署名を置き換えることができます。

脅威のモニター UI の私たちの現在の実装は、ファイアウォールにインストールされているコンテンツ データベースから直接「名」フィールドを照会します。つまり、1 つの脅威監視負荷、1 つのドメインと以前読んだことがある署名トリガーが今表示現在署名に割り当てられるもの。

例:

• 野火コンテンツ 1、Google [..]com が SDNS sig 3,800,000 を割り当てられます。
• この脅威のトリガー、および 3,800,000 Google [..] のエントリcom は脅威のログです。
• 野火コンテンツ 2 が適用されます。
• 野火コンテンツ 2、ビンビン [..]com が行わ google [..]SDNS sig 3,800,000 com。
• 以前の脅威トリガー今正しく表示しない名前ビンビン [..]com 以前トリガーに関連付けられています。

今のところ、最も簡単な回避策は DNS トラフィックを通過するセキュリティ規則に割り当てられているスパイウェア プロファイルを開いて SDNS 署名パケット キャプチャを有効にするのには。 パケット キャプチャは、静的データ、変更されません。

DNS 署名が変更する理由の詳細については、この記事を参照してください。

不審な DNS クエリ署名トリガーとは何を行う必要がありますか。

SDNS 署名トリガーは妥協の絶対適応として動作するものではありませんが、その他の指標と併せて、危険にさらされる可能性がありますまたはより多くの注意を必要とするホストを識別するために使用できます。ホストを表示する送信ネットワーク パターンを示しているが、悪意のある活動をされるとは限りません。

SDNS 署名は、ドメインへのトラフィックを生成するホストを見てプロアクティブなセキュリティ アナリスト検査またはさらにアクションが保証されている、ネットワーク上のトラフィックを識別することができます。1 つは AV を検出、脆弱性の署名トリガー、またはマルウェアとして分類された URL をブラウズしているウェブ経由で訪問しようと相まってホスト トリガー SDNS 署名を見ている SDNS 署名がホスト上でさらにアクションの必要性に自信の追加措置を追加する使用できます。

オート フォーカスの顧客は、野火のサンプル、その他公共のサンプル、およびマルウェアの評決し、特定のドメインにサンプルのクエリを通じて見えるかもしれません。これはアナリストがシグネチャが存在する理由とどのような潜在的なインシデント対応アクションのような疑わしいドメイン見てへのトラフィックを生成するサンプルの動作を理解を助けることができます。 

オート フォーカスは、不審な DNS ドメインにクエリを表示します。

署名を調査するには、さらに、サード パーティ オープン ソース情報源、どんな情報セキュリティ コミュニティは、ドメインを確認する素晴らしい方法です。

いくつかの例が含まれます。

• VirusTotal URL スキャンを介して他のベンダーの応答を確認します。
• 受動的な DNS 史 PassiveTotal を使用して、ドメインを確認します。
• WHOIS に登録されたドメインの所有者の詳細を参照してくださいとその他のデータを活用します。

アラートが調査の価値がある場合に決定がなされたら、コンテキストのデータを表示するホストにパケットをキャプチャ、ユーザーなどの活動および不審なトラフィックは、操作が必要かどうかのためのシーンを設定するのには助けることができます。

すべてをやった場合、上記特定 SDNS 署名は、アラートの重要な数を生成して言うことができる限りでは、ドメインに関連付けられる否定的な活動は表示されませんか?

このインスタンスでは、署名の候補である場合を識別を支援できるパロ ・ アルト ネットワークはかを無効にします。署名は、多くの顧客の重要なノイズを生成するのに表示されている場合の脅威ログを調べることを飽きることする必要はありません私たち。ただし、署名の正当な理由がある場合は、例外トラフィックを許可して、警告を停止するスパイウェア プロファイル機能を常に活用できます。

不審な DNS クエリ署名の例:

例として SHA256 932836effd33218470e1c78dad3505d59af31ecff599e875ed79f47114552883 を使用しましょう。

我々 は、このサンプルが実行されると、いくつかの疑いのある C2 HTTP トラフィックを生成したポータブル実行可能ファイルを見ることができます。

その結果、C2 ドメイン署名が関連付けられたドメインへのトラフィックを防ぐため生成されました。