DNS Securityクラウドでデータが欠落している場合の基本的なデバッグ AutoFocus
50941
Created On 02/24/21 23:01 PM - Last Modified 08/13/24 08:54 AM
Objective
この記事では、セキュリティの基本的な検証とデバッグ手順を一覧表示します DNS- 。 セキュリティに関する問題が発生している場合は DNS- 、問題をステップバイステップでデバッグしてください。
ほとんどの場合、問題が解決しない場合は、この情報を含むPalo Alto Networksサポートのサポートケースを開いてください。
Environment
- アニー パロ アルト Firewall
- PAN-OS 9.x.x および 10.x.x
- DNS security ライセンス
Procedure
DNS-セキュリティ機能の構成の検証、ライセンス、およびクラウド接続の基本的なデバッグ手順を次に示します。 プロセス中に、あなた自身で問題を特定することができます、そうでなければ、次の情報をサポートケースを開いてください。
1. のライセンスを確認してください。 Firewall
> request license info Note: The result should look like as follows. License entry: Feature: DNS Security Description: Palo Alto Networks DNS Security License Serial: xxxxxxxxxxxx Issued: January xx, 2021 Expires: January xx, 2024 Expired?: no Base license: PA-VM
2. AutoFocus https://status.paloaltonetworks.com/ 3
にアクセスして、ステータスを確認します。 接続情報を確認する
> show dns-proxy dns-signature info Note: The result should look as following: Cloud URL: dns.service.paloaltonetworks.com:443 Last Result: Good ( 46 sec ago ) Last Server Address: 130.211.8.196 Parameter Exchange: Interval 1800 sec Whitelist Refresh: Interval 86400 sec ( Due 71954 sec ) Request Waiting Transmission: 0 Request Pending Response: 0 Cache Size: 10000
4. DNS- セキュリティ機能を有効にして機能するには、dns-security アクションを 「シンクホール」、「アラート」、または「ブロック」にする必要があります。 新しいスパイウェアプロファイルが作成されると、デフォルトのアクションは PaloAlto コンテンツリリースによって決まります。アクションが 「許可」の場合 DNS security は機能しません。
- PAN-OS9.x.x の場合は、次のように「パロアルトネットワーク DNS Security 」を追加します。
- PAN-OS10.x.x の場合は、セキュリティによって提供されるさまざまなカテゴリに基づいて選択する必要があります DNS- 。
5. DNS- 彼らはカウンターの複数の行で有用な情報のトンを提供し、 I 唯一のいくつかの興味深いものを保持しているプロキシカウンターをチェックしてください。
- これらの行から、要求を確認する "署名 API クエリ" を確認し、カウンタをreques_errorします。
- これらのカウンタには 3 つの列があり、最初の列は累積され、2 番目の列は op-command の最後の発行以降のデルタ、3 番目の列は 1 秒あたりのデルタです。
- もう 1 つのカウンターは、待機時間です。 時間はミリ秒 (ミリ秒)で、最大値、最小値、平均値を含め、データのバケット分割が続きます。
>show dns-proxy dns-signature counters Signature query API: [request ] : 59 +7 +0 /sec [request_error ] : 0 +0 +0 /sec [initial_connection ] : 40 +6 +0 /sec [response ] : 59 +7 +0 /sec Note: Another counter to notices are latency. [latency ] : max 21 (ms) min 0(ms) avg 17(ms) 50 or less : 19 100 or less : 0 200 or less : 0 400 or less : 0 else : 0
6. デフォルトのレイテンシー値は 100ms です。 DNS要求が "200 以下 : 0 " に該当する場合は、次のように "クラウド dns タイムアウト" を構成できます。
# set deviceconfig setting ctd cloud-dns-timeout
<value> <0-60000> set cloud DNS signature query timeout in milliseconds7. 次のコマンドで、プロキシのキャッシュを確認できます DNS- 。 このコマンドは、すべてのキャッシュを一覧表示し、長いリストをすることができます。 これを減らすには、1 つだけを選択します。> show dns-proxy dns-signature cache ==> will bring all 10000 entries, please select one. Cache size: 10000 >show dns-proxy dns-signature cache fqdn < name for only one domain> >show dns-proxy dns-signature cache fqdn italic.com Domain Verdict GTID TTL Hits ---------------------------------------------------------------------------- *.italic.com White list 31388 0
8. グローバルカウンタを確認し、リクエストの前後にグローバルカウンタを確認 DNS します。
admin@PA-VM> > show counter global | match ctd_dns
ctd_dns_req_lookup_action 1 0 info ctd pktproc DNS request signature lookup yield actions
ctd_dns_req_lookup_noaction 1151 0 info ctd pktproc DNS request signature lookup yield no actions
ctd_dns_req_lookup_miss 83 0 info ctd pktproc DNS request signature lookup not found
ctd_dns_wait_pkt_drop 87 0 drop ctd pktproc DNS packet drop when waiting
ctd_dns_sess_state_verify_failed 1 0 drop ctd pktproc DNS packet drop due to session state invalid
ctd_dns_malicious_reply 2 0 info ctd pktproc MP malicious response received
ctd_dns_benign_reply 72 0 info ctd pktproc MP benign response received
ctd_dns_failed_reply 10 0 info ctd pktproc MP failed response received
Note: only some lines are kept.9. このコマンドは から DNS シグネチャルックアップをトリガーするので、このコマンドから機能をテストできる重要なデバッグ コマンドの 1 つです Firewall Firewall MP 。
This will clear the clounters. >clear dns-proxy dns-signature counters Following command is an op command that emulate the dns query from managment plan and help to check the connectivity. > debug dnsproxyd dns-signature query bypass-cache yes fqdn test-malware.testpanw.come Debug dns-signature command successful. Note: In the next command you can see the counter are increased. Output has been modified to show only the relevant counters. > show dns-proxy dns-signature counters [response_send ] : 1 +0 +0 /sec [request_enqueue ] : 1 +0 +0 /sec [request_process ] : 1 +0 +0 /sec [request_batch ] : 1 +0 +0 /sec [response_batch ] : 1 +0 +0 /sec [response_complete ] : 1 +0 +0 /sec [cloud_query ] : 1 +0 +0 /sec Signature query API: [request ] : 1 +0 +0 /sec [response ] : 1 +0 +0 /sec [latency ] : max 12 (ms) min 0(ms) avg 12(ms) 50 or less : 1 100 or less : 0 200 or less : 0 400 or less : 0 else : 0
10. 次に、背後にあるクライアントを選択 firewall し、有効 policy になっているスパイウェアプロファイルを持つ クライアントトラフィックがヒットしていることを確認します DNS security 。 DNS悪意のあるドメインに検索要求を送信し、グローバル カウンターを再度収集します。 カウンタが変更されている場合は、要求が送受信されることを意味します。
From PAN CLI: clear the NGFW DNS : > clear dns-proxy dns-signature cache fqdn test-malware.testpanw.com From client: $ nslookup test-malware.testpanw.com ;; connection timed out; no servers could be reached ===> most of the time it may timeout $ nslookup test-dga.testpanw.com $ nslookup test-malware.testpanw.com From Firewall: > show counter global filter delta yes | match ctd_dns ctd_dns_req_lookup_action 1 0 info ctd pktproc DNS request signature lookup yield actions ctd_dns_req_lookup_miss 1 0 info ctd pktproc DNS request signature lookup not found ctd_dns_malicious_reply 1 0 info ctd pktproc MP malicious response received ctd_dns_wildcard_reply 1 0 info ctd pktproc MP wildcard response received ctd_dns_req_lookup_em 1 0 info ctd pktproc DNS cache lookup matched ctd_dns_request_mp 1 0 info ctd pktproc number of requests sent to MP ctd_dns_telemetry_req 2 0 info ctd pktproc number of telemetry requests sent to MP ctd_dns_pkt_denied 1 0 info ctd pktproc number of DNS pkt denied ctd_dns_action_block 2 0 info ctd pktproc DNS signature trigger block action ctd_dns_action_log 2 0 info ctd pktproc DNS signature trigger log action ctd_dns_action_pktlog 2 0 info ctd pktproc DNS signature trigger packet capture action11. ログインして AutoFocus タブを確認すると DNS Security 、dns-secが正常に動作している場合は、クエリリクエストを確認できます DNS 。
12. この情報をすべてサポートケースに添付してください。
Additional Information
DNS security
DGA DGA カテゴリをブロックしながら、1 つのドメインに対してのみ例外を追加する方法を構成する方法