Welche Kategorien werden angezeigt, wenn Sie Bedrohungsprotokolle nach DNS Sicherheitskategorie filtern?

DNS Sicherheitsprotokolle können in Bedrohungsprotokollen nach Kategorie gefiltert werden. Je nach Kategorie und auf einer Firewall beobachteten Erkennungen können eine oder mehrere eindeutige Bedrohungs-IDs (UTIDs) angezeigt werden.

Bitte sehen Sie sich an, was der Filter anzeigen würde, wenn jede Kategorie als Kriterium in den Bedrohungsprotokollen festgelegt ist:


1. DNS-C2

• Protokollfilter: ( Kategorie der Bedrohung, ID, eq DNS-C2 )
  • Befehl und Kontrolle (UTID einer bestimmten Domäne erkannt)
  • DNS Tunnelerkennung (UTID: 109001001/109001002)
  • DGA-Domänenerkennung (UTID: 109000001)
  • NXNS-Angriff (UTID: 109010007)
  • DNS Rebinding (UTID: 109010009)
  • DNS Infiltration (UTID: 109001003)

2. DNS-Malware

• Protokollfilter: ( Bedrohungskategorie, ID, DNS-Malware )
  • Malware (UTID einer bestimmten Domäne erkannt)
  • Durch Malware kompromittiertes DNS (UTID: 109003001)
  • Ransomware (UTID: 109003002)

3. DNS-Grayware

• Protokollfilter: ( Bedrohungskategorie, ID, DNS-Grayware )
  • Grayware-Domänen (UTID: 109010002)
  • F astflux-Erkennung - (UTID: 109010005)
  • Bösartige NRD (UTID: 109010006)
  • Dangling Domains (UTID: 109010008)
  • Wildcard-Missbrauch ( UTID: 109002001)
  • Strategisch gealterte Domänen ( UTID: 109002002)
  • Subdomain-Reputation (UTID: 109002004)
  • Hocken (UTID: 109002003)

4. DNS-Adtracking

• Protokollfilter: ( Bedrohungskategorie eq dns-adtracking )
  • Ad-Tracking-Domänen (UTID: 109004000)
  • CNAME-Cloaking (UTID: 109004001)

5. DNS-DDNs

• Protokollfilter: ( Bedrohungskategorie id eq dns-ddns )
  • Dynamisches DNS, gehostete Domänen (UTID: 109020002)

6. DNS-neue-Domäne

• Protokollfilter: ( Bedrohungskategorie, ID, eq DNS-neue Domäne )
  • Neu registrierte Domains (UTID: 109020001)

7. DNS-Phishing

• Protokollfilter: ( Bedrohungskategorie, ID, z. B. DNS-Phishing )
  • Phishing-Domänen (UTID: 109010001)

8. DNS-geparkt

• Protokollfilter: ( Bedrohungskategorie, ID, DNS-geparkt )
  • Geparkte Domains (UTID: 109010003)

9. DNS-Proxy

• Protokollfilter: ( Bedrohungskategorie, ID, DNS-Proxy )
  • Proxy-Vermeidung und Anonymisierer (UTID: 109010004)

10. dns-dnsmisconfig

• Protokollfilter: ( Kategorie der Bedrohung, ID, eq DNS-DNS- Misconfig)

Mit einem ähnlichen Ansatz können Advanced DNS Security-Protokolle wie folgt gefiltert werden:

• DNS -Hijacking ?adns-hijacking
  • (Bedrohungskategorie, z. B. ADNs-Hijacking)
    ????
• DNS Fehlkonfiguration ?adns-dnsmisconfig
  • (Bedrohungskategorie, ID, z. B. ADNs -DNS-Fehlkonfiguration) ?
• DNS ?adns-benign
  • (Kategorie der Bedrohung: gering , gutartig)
• Malware-Domänen ?adns-malware
  • (Bedrohungskategorie, z. B. ADNs-Malware)
• Befehls- und Kontrolldomänen ?adns-c2
  • (Bedrohungkategorie = adns-c2)
• Phishing-Domänen ?adns-phishing
  • (Bedrohungskategorie, z. B. ADNs-Phishing)
• Dynamisches DNS gehostete Domänen ?adns-ddns
  • (Bedrohungkategorie, ID, gleich ADNs-DDNS)
• Neu registrierte Domänen ?adns-new-domain
  • (Bedrohungkategorie, ID, gleich ADNs-neue-Domäne)
• Grayware-Domänen ?adns-grayware
  • (Bedrohungkategorie: ID, z. B. ADNs-Garyware)
• Geparkte Domänen ?adns-parked
  • (Bedrohungkategorie, ID, Equal Adns-Parked)
• Proxy-Vermeidung und Anonymisierer ?adns-proxy
  • (Bedrohungkategorie, ID, Equal Adns-Proxy)
• Anzeigenverfolgungsdomänen ?adns-adtracking
  • (Bedrohungkategorie, ID, ADNs-Adtracking)