DNSセキュリティ カテゴリで脅威ログをフィルターすると、どのようなカテゴリが表示されますか?

DNSセキュリティ カテゴリで脅威ログをフィルターすると、どのようなカテゴリが表示されますか?

15896
Created On 02/02/23 19:58 PM - Last Modified 10/09/25 18:00 PM


Question


DNSセキュリティ カテゴリで脅威ログをフィルターすると、どのようなカテゴリが表示されますか?

Environment


DNSセキュリティ ライセンス
PAN-OS 10.0以上

Answer


DNSセキュリティ ログは、脅威ログのカテゴリ別にフィルタリングできます。ファイアウォールで観察されたカテゴリと検出に応じて、1 つ以上の一意の脅威 ID (UTID) が表示されます。

各カテゴリが脅威ログの基準として設定されている場合、フィルターに何が表示されるかを確認してください。


1. DNS-C2 の

  • ログ フィルター: ( category-of-threatid eq dns-c2 )
    • コマンド アンド コントロール(特定ドメインの UTID が検出されました)
    • DNSトンネル検出(UTID: 109001001/109001002)
    • DGA ドメイン検出(UTID: 109000001)
    • NXNS 攻撃(UTID: 109010007)
    • DNSリバインディング(UTID: 109010009)
    • DNS侵入(UTID: 109001003)
dns-c2

2. DNSマルウェア

  • ログ フィルター: ( category-of-threatid eq dns-malware )
    • マルウェア(特定ドメインの UTID が検出されました)
    • マルウェアによるDNS侵害(UTID: 109003001)
    • ランサムウェア(UTID: 109003002)
dns-malware



3. DNS グレーウェア

  • ログ フィルター: ( category-of-threatid eq dns-grayware )
    • グレーウェア ドメイン(UTID: 109010002)
    • 高速フラックス検出 - (UTID: 109010005)
    • 悪意のあるNRD (UTID: 109010006)
    • ダングリングドメイン(UTID: 109010008)
    • ワイルドカードの乱用 ( UTID: 109002001)
    • 戦略的に熟成されたドメイン ( UTID: 109002002)
    • サブドメインの評判(UTID: 109002004)
    • スクワット(UTID : 109002003)
dns-grayware


4. DNS広告トラッキング

  • ログ フィルター: ( category-of-threatid eq dns-adtracking )
    • 広告トラッキングドメイン(UTID: 109004000)
    • CNAME クローキング(UTID: 109004001)
dns-adtracking


5. dns-ddns

  • ログ フィルター: ( category-of-threatid eq dns-ddns )
    • ダイナミックDNSホストドメイン(UTID: 109020002)


6. DNS-新しいドメイン

  • ログ フィルター: ( category-of-threatid eq dns-new-domain )
    • 新規登録ドメイン(UTID: 109020001)


7. DNSフィッシング

  • ログ フィルター: ( category-of-threatid eq dns-phishing )
    • フィッシング ドメイン(UTID: 109010001)


8. DNSパーク

  • ログ フィルター: ( category-of-threatid eq dns-parked )
    • パークドメイン (UTID: 109010003)


9. DNSプロキシ

  • ログ フィルター: ( category-of-threatid eq dns-proxy )
    • プロキシ回避と匿名化(UTID: 109010004)


10. dns-dnsmisconfig

  • ログ フィルター: ( category-of-threatid eq dns- dnsmisconfig)


同様のアプローチで、Advanced DNS Security ログは次のようにフィルタリングできます。

  • DNSハイジャック?adns-hijacking
    • (脅威のカテゴリ EQ ADNS ハイジャック)
      ????
  • DNS の設定ミス?adns-dnsmisconfig
    • (脅威のカテゴリはadns-dnsmisconfigと同等)?
  • DNS ?adns-benign
    • (脅威のカテゴリー、同等、良性)
  • マルウェアドメイン?adns-malware
    • (脅威のカテゴリは ADNS マルウェアと同等)
  • コマンド アンド コントロール ドメイン?adns-c2
    • (脅威のカテゴリー eq adns-c2)
  • フィッシング ドメイン?adns-phishing
    • (脅威のカテゴリはadns-phishingと同義)
  • ダイナミックDNSホストドメイン?adns-ddns
    • (脅威のカテゴリ eq adns-ddns)
  • 新規登録ドメイン?adns-new-domain
    • (脅威のカテゴリは adns-new-domain と同じです)
  • グレーウェアドメイン?adns-grayware
    • (脅威のカテゴリ、eq adns-garyware)
  • パークドメイン?adns-parked
    • (脅威のカテゴリ EQ ADNS パーキング)
  • プロキシ回避と匿名化?adns-proxy
    • (脅威のカテゴリは adns-proxy です)
  • 広告トラッキングドメイン?adns-adtracking
    • (脅威のカテゴリ、つまり adns-adtracking)

Additional Information


https://docs.paloaltonetworks.com/dns-security/administration/about-dns-security/cloud-delivered-dns-signatures
https://docs.paloaltonetworks.com/dns-security/administration/configure-dns-security/enable-advanced-dns-security
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000samnCAA&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language