Quelles catégories seront affichées lorsque vous filtrerez les journaux de menaces par catégorie de sécurité DNS ?

Les journaux de sécurité DNS peuvent être filtrés par catégorie dans les journaux des menaces. En fonction de la catégorie et des détections observées sur un pare-feu, un ou plusieurs identifiants de menace uniques (UTID) peuvent être affichés.

Veuillez voir ce que le filtre afficherait lorsque chaque catégorie est définie comme critère dans les journaux des menaces :


1. DNS-C2

• Filtre de journal : ( category-of-threatid eq dns-c2 )
  • Commande et contrôle (UTID d'un domaine spécifique détecté)
  • Détection de tunnel DNS (UTID : 109001001/109001002)
  • Détection de domaine DGA (UTID : 109000001)
  • Attaque NXNS (UTID : 109010007)
  • Reliure DNS (UTID : 109010009)
  • Infiltration DNS (UTID : 109001003)

2. DNS-malware

• Filtre de journal : ( catégorie-de-menace eq dns-malware )
  • Logiciel malveillant (UTID d'un domaine spécifique détecté)
  • DNS compromis par un logiciel malveillant (UTID : 109003001)
  • Ransomware (UTID : 109003002)

3. DNS-grayware

• Filtre de journal : ( category-of-threatid eq dns-grayware )
  • Domaines Grayware (UTID : 109010002)
  • Détection de flux rapide - (UTID: 109010005)
  • NRD malveillant (UTID : 109010006)
  • Domaines suspendus (UTID : 109010008)
  • Abus de caractère générique ( UTID : 109002001)
  • Domaines stratégiquement vieillis ( UTID: 109002002)
  • Réputation du sous-domaine (UTID : 109002004)
  • Accroupi (UTID : 109002003)

4. Suivi des publicités DNS

• Filtre de journal : ( catégorie-de-menace eq dns-adtracking )
  • Domaines de suivi des publicités (UTID : 109004000)
  • Masquage CNAME (UTID : 109004001)

5. DNS-DDNS

• Filtre de journal : ( category-of-threatid eq dns-ddns )
  • Domaines hébergés DNS dynamiques (UTID : 109020002)

6. dns-nouveau-domaine

• Filtre de journal : ( category-of-threatid eq dns-new-domain )
  • Domaines nouvellement enregistrés (UTID : 109020001)

7. phishing DNS

• Filtre de journal : ( catégorie-de-menace eq dns-phishing )
  • Domaines de phishing (UTID : 109010001)

8. DNS-parké

• Filtre de journal : ( category-of-threatid eq dns-parked )
  • Domaines garés (UTID : 109010003)

9. proxy DNS

• Filtre de journal : ( category-of-threatid eq dns-proxy )
  • Évitement des proxys et anonymisation (UTID : 109010004)

10. dns-dnsmisconfig

• Filtre de journal : ( category-of-threatid eq dns- dnsmisconfig)

Dans une approche similaire, les journaux Advanced DNS Security peuvent être filtrés comme suit :

• Détournement DNS ?adns-hijacking
  • (catégorie de menace eq piratage d'ADN)
    ????
• Mauvaise configuration DNS ?adns-dnsmisconfig
  • (catégorie-de-menace eq adns-dnsmisconfig) ?
• DNS ?adns-bénin
  • (catégorie de menace eq adns-bénigne)
• Domaines de logiciels malveillants ?adns-malware
  • (catégorie de menace eq adns-malware )
• Domaines de commande et de contrôle ?adns-c2
  • (catégorie-de-menace eq adns-c2 )
• Domaines de phishing ?adns-phishing
  • (catégorie-de-menace eq adns-phishing )
• Domaines hébergés DNS dynamiques ?adns-ddns
  • (catégorie-de-menace eq adns-ddns )
• Nouveaux domaines enregistrés ?adns-new-domain
  • (catégorie-de-menace eq adns-nouveau-domaine )
• Domaines Grayware ?adns-grayware
  • (catégorie-de-menace eq adns-garyware )
• Domaines garés ?adns-parked
  • (catégorie-de-menace eq adns-parked )
• Évitement des proxys et anonymisation ?adns-proxy
  • (catégorie-de-menace eq adns-proxy )
• Domaines de suivi des publicités ?adns-adtracking
  • (catégorie-de-menace eq adns-adtracking )