PAN-OS 10.xx の前後で DNS セキュリティドメインの例外を追加する方法

62833

Created On 04/15/20 19:33 PM - Last Modified 08/15/23 12:09 PM

Objective

ノート：ドメインカテゴリを修正する必要があると思われる場合は、「変更リクエスト」を送信してください。ここ、プロセスが定義されていますここ。ドメインまたは URL の変更は、DNS セキュリティクラウドおよびアンチスパイウェアデータベースに反映されます。
ただし、PAN の更新を待てない緊急の場合に備えて、このドキュメントで説明されているように例外を追加できます。この例外はファイアウォールに対してローカルであり、ファイアウォールの再起動には影響しません。

ノート： DNS セキュリティ例外の追加は、PAN-OS 9.xx と PAN-OS 10.xx 以降で異なります。 PAN-OS 9.xx には、FQDN または DNS 署名の UTID (固有脅威 ID) を使用して例外を追加するオプションがありませんが、PAN-OS >=10.xx では FQDN に基づいて例外を追加できます。またはUTID。

背景情報:
PAN-OS 9.xx:
DNS セキュリティカテゴリが DNS トラフィックをブロックすると、DNS セキュリティの UTID が表示されます。たとえば、DGA カテゴリの TID は 109000001 です。これは、DNS セキュリティの同じ UTID によって異なるドメインを識別できることを意味します。つまり、すべての DGA ドメインが 1 つの脅威 ID -> 109000001 を表示します。
このような状況で、ドメインが誤検知である場合、唯一の選択肢はカテゴリ全体 (DGA) に例外を追加することです。ただし、CLI で DNS セキュリティの UTID を使用して、そのドメインの例外を追加できます。
この記事では、1 つのドメインに例外を追加し、その DNS セキュリティカテゴリにある他のすべてのドメインをブロックする方法について説明します。

PAN-OS 10.xx:
PAN-OS 10.xx では、DNS 署名の FQDN または UTID によって例外を追加できます。 DNS セキュリティカテゴリのリストは次のとおりです。ここ。

Environment

PAN-OS 9.xx
PAN-OS 10.xx 以降
パロアルトファイアウォール
DNSセキュリティライセンス

Procedure

以下は、PAN-OS 9.xx で考えられる 2 つの解決策です。

解決策:1

ドメインの判定を無害に変更したり、ドメインをホワイトリストに登録したりできます。これは、次のようにファイアウォール CLI コマンドから実行できます。

ステップ1：

ドメイン「abc.com」が DGA として識別されたとします。この場合、ファイアウォールの背後にあるホストによって DNS クエリが作成された場合、そのクエリはシンクホールアドレスに解決されます。
走行例ですnslookupネットワークに接続されている Windows マシン上でコマンドを実行します。

> nslookup abc.com
abc.com の正規名 = singhole.paloaltonetworks.com。

ファイアウォールの脅威ログは次のようにして確認できます。

ステップ2：

ファイアウォール CLI で次のコマンドを実行して、ドメイン判定のステータスを確認します。

> dns-proxy dns-signature キャッシュを表示 | abc.comに一致
*.abc.com C2 109000001 86327 0

次のコマンドでドメイン判定のステータスを良性に変更します。このドメインをパロアルトネットワークファイアウォールのホワイトリストとして追加していることに注意してください。このエントリは、ローカルのファイアウォールでのみ有効です。

> debug dnsproxyd dns-signature response verdict <new verdict you want> fqdn <FQDN> ttl <Time to live> gtid <preferably higher number> match-subdomain <yes|no>

abc.com の例:

> デバッグ dnsproxyd dns 署名応答の判定ホワイトリスト gtid 420000700 ttl 30758400 fqdn abc.com match-subdomain はい

ドメインがホワイトリストに登録されていることを確認できます。最後の数字の 0 は、このドメインへのヒット数を示します。

> dns-proxy dns-signature キャッシュを表示 | ABCに一致
*.abc.com ホワイトリスト 420000700 30758373 0

データプレーンで判定が良性に変更されたことも確認できます。

> デバッグデータプレーン show dns-cache print | ABCに一致
abc.com、ワイルドカード: はい、ttl: 0/331353/0、temp: 0、良性の判定、utid: 420000700

ステップ-3 :

同じドメインで再度 DNS クエリを送信すると、正しい IP アドレスに解決されます。

> nslookup abc.com
名前: abc.com
住所: 13.227.74.129

ノート：キャッシュは TTL 値に基づいて期限切れになります。設定できる最大 TTL は 30758400 秒、つまり 1 年です。キャッシュはファイアウォールの再起動時に消えることもあります。

ノート：記事に記載されているデバッグコマンドを実行する前に、次の手順を実行してください。この記事これはそれに伴うリスクを説明しています。

解決策:2

を作成します拡張された動的リスト許可する必要があるドメインを含めます。
警告： EDL ステータスは「許可」ではなく「アラート」である必要があります。そうでない場合、EDL モジュールはスキップされ、DNS セキュリティアクションが実行されます。概要を追加しています。詳細はこちらをご覧くださいここ。
- EDLアクションが「」に設定されている場合許可する。、 EDL 設定は単に無視されます。その結果、DNS セキュリティアクションが実行されます。 ==> したがって、DNS トラフィックは引き続き発生する可能性があります。ブロックされましたDNSセキュリティによる。
- EDLアクションが「」に設定されている場合警戒してください。 EDL アクションが実行されます。その結果、DNS セキュリティアクションがバイパスされます。
- DNS トラフィックが許可された、アクションが「アラート」であるため、脅威ログ (TID:12000000、「不審なドメイン」) が表示されます。ログは無視してください。

Additional Information

PAN-OS 10.xx バージョンでは、FQDN または DNS 署名の UTID によって DNS セキュリティ例外を追加できます。

ステップ1 :

FQDN による例外の追加は、DNS 署名がクラウドで利用可能であり、DNS 署名の UTID が ThreatVault から見えない場合に便利です。これは、DNS 署名の UTID が不明であることを意味します。
以下に示すように、サブドメインに例外を追加することもできます。
[オブジェクト] -> [スパイウェア対策プロファイル] -> [DNS 例外] に移動してください。

CLI:

> set profiles spyware based-default botnet-domains whitelist 10yxnzg0k9f64ah804u532vwzhzq66.ipgreat.com description "allowing this domain"