DNS 보안 범주별로 위협 로그를 필터링하면 어떤 범주가 표시됩니까?

DNS 보안 범주별로 위협 로그를 필터링하면 어떤 범주가 표시됩니까?

15890
Created On 02/02/23 19:58 PM - Last Modified 10/09/25 18:00 PM


Question


DNS 보안 범주별로 위협 로그를 필터링하면 어떤 범주가 표시됩니까?

Environment


DNS 보안 라이센스
PAN-OS 10.0 이상

Answer


DNS 보안 로그는 위협 로그에서 범주별로 필터링할 수 있습니다. 방화벽 에서 관찰된 범주 및 탐지에 따라 하나 이상의 고유 위협 ID(UTID)를 표시할 수 있습니다.

위협 로그에서 각 범주를 기준으로 설정하면 필터에 어떤 내용이 표시되는지 확인하세요.


1. DNS-C2

  • 로그 필터: ( category-of-threatid eq dns-c2 )
    • 명령 및 제어 (특정 도메인의 UTID 감지됨)
    • DNS 터널 감지 (UTID: 109001001/109001002)
    • DGA 도메인 감지 (UTID: 109000001)
    • NXNS 공격 (UTID: 109010007)
    • DNS 리바인딩 (UTID: 109010009)
    • DNS 침투 (UTID: 109001003)
dns-c2

2. dns-맬웨어

  • 로그 필터: ( category-of-threatid eq dns-malware )
    • 맬웨어 (특정 도메인의 UTID가 감지됨)
    • 맬웨어로 인한 DNS 손상 (UTID: 109003001)
    • 랜섬웨어 (UTID : 109003002)
dns-malware



3. dns-그레이웨어

  • 로그 필터: ( category-of-threatid eq dns-grayware )
    • Grayware 도메인 (UTID: 109010002)
    • 고속 유동 감지 - (UTID: 109010005)
    • 악성 NRD (UTID: 109010006)
    • Dangling 도메인 (UTID: 109010008)
    • 와일드카드 남용( UTID: 109002001)
    • 전략적으로 오래된 도메인( UTID: 109002002)
    • 하위 도메인 평판 (UTID: 109002004)
    • 스쿼팅 (UTID : 109002003)
dns-grayware


4. DNS-광고 추적

  • 로그 필터: ( category-of-threatid eq dns-adtracking )
    • 광고 추적 도메인 (UTID: 109004000)
    • CNAME 클로킹 (UTID: 109004001)
dns-adtracking


5. DNS-DDNS

  • 로그 필터: ( category-of-threatid eq dns-ddns )
    • 동적 DNS 호스팅 도메인 (UTID: 109020002)


6. dns-새로운-도메인

  • 로그 필터: ( category-of-threatid eq dns-new-domain )
    • 새로 등록된 도메인 (UTID: 109020001)


7. DNS 피싱

  • 로그 필터: ( category-of-threatid eq dns-phishing )
    • 피싱 도메인 (UTID: 109010001)


8. DNS 주차

  • 로그 필터: ( category-of-threatid eq dns-parked )
    • 주차된 도메인(UTID: 109010003)


9. DNS 프록시

  • 로그 필터: ( category-of-threatid eq dns-proxy )
    • 프록시 회피 및 익명화 (UTID: 109010004)


10. DNS-DNS 구성

  • 로그 필터: ( category-of-threatid eq dns- dnsmisconfig)


비슷한 접근 방식으로 Advanced DNS Security 로그는 다음과 같이 필터링할 수 있습니다.

  • DNS 하이재킹 ?adns-hijacking
    • (위협 범주 eq adns 하이재킹)
      ????
  • DNS 오류 ?adns-dnsmisconfig
    • (위협 범주 ID eq adns-dnsmisconfig) ?
  • DNS ?adns-benign
    • (위협 범주 eq adns-benign)
  • 맬웨어 도메인 ?adns-malware
    • (위협 범주 eq adns-malware)
  • 명령 및 제어 도메인 ?adns-c2
    • (위협 범주 eq adns-c2)
  • 피싱 도메인 -adns-phishing
    • (위협 카테고리 eq adns-phishing)
  • 동적 DNS 호스팅 도메인 ?adns-ddns
    • (위협 범주, ADNS-DDNS)
  • 새로 등록된 도메인 ?adns-new-domain
    • (위협 카테고리 eq adns-new-domain)
  • Grayware 도메인 ?adns-grayware
    • (위협 카테고리 eq adns-garyware)
  • 주차된 도메인 ?adns-parked
    • (위협 범주 eq adns-parked)
  • 프록시 회피 및 익명화 ?adns-proxy
    • (위협 범주 eq adns-proxy)
  • 광고 추적 도메인 ?adns-adtracking
    • (위협 카테고리 eq adns-adtracking)

Additional Information


https://docs.paloaltonetworks.com/dns-security/administration/about-dns-security/cloud-delivered-dns-signatures
https://docs.paloaltonetworks.com/dns-security/administration/configure-dns-security/enable-advanced-dns-security
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000samnCAA&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language