DNSセキュリティがDNSトンネリング テスト トラフィックを検出しないのはなぜですか?
4287
Created On 07/26/24 20:39 PM - Last Modified 01/07/25 11:54 AM
Question
DNSトンネリングを検出できるシグネチャは 2 つあります (109001001 と 109001002)。(完全な脅威 ID リストはこのリンクにあります。)
DNSセキュリティがDNSトンネリング テスト トラフィックを検出しないのはなぜですか?
Environment
- DNSセキュリティ ライセンス
- PAN-OS 9.1 以降
Answer
DNSセキュリティがテストから生成されたDNSトンネリング トラフィックを検出しなかった理由として考えられるのは、検出器が実際のDNSトンネリング攻撃に対して最適化されており、誤検知を防ぐためのルールがいくつか実装されているためです。
これにより、長年存在していたドメイン (独自のドメインを使用してテストを行った場合) がDNSトンネリング カテゴリとして検出されなくなります。さらにテストを実行したい場合は、新しいドメインを登録してDNSトンネリング テストに使用することができます。