按DNS安全类别过滤威胁日志时将显示哪些类别？

DNS安全日志可按威胁日志中的类别进行过滤。根据防火墙上观察到的类别和检测，可以显示一个或多个唯一威胁 ID (UTID)。

请查看当威胁日志中将每个类别设置为条件时过滤器将显示的内容：


1. dns-c2

• 日志过滤器：（ category-of-threatid eq dns-c2 ）
  • 命令和控制（检测到特定域的 UTID）
  • DNS隧道检测（UTID：109001001/109001002）
  • DGA 域检测（UTID：109000001）
  • NXNS 攻击（UTID：109010007）
  • DNS重新绑定（UTID：109010009）
  • DNS渗透（UTID：109001003）

2. dns-恶意软件

• 日志过滤器：（ category-of-threatid eq dns-malware ）
  • 恶意软件（检测到特定域的 UTID）
  • 恶意软件破坏DNS （UTID：109003001）
  • 勒索软件（UTID：109003002）

3. dns 灰色软件

• 日志过滤器：（ category-of-threatid eq dns-grayware ）
  • 灰色软件域(UTID：109010002)
  • Fastflux检测 - （UTID：109010005）
  • 恶意 NRD （UTID：109010006）
  • 悬空域名(UTID：109010008)
  • 通配符滥用 ( UTID：109002001)
  • 战略老化域名 ( UTID: 109002002)
  • 子域名信誉（UTID：109002004）
  • 蹲守(UTID：109002003)

4. dns-广告跟踪

• 日志过滤器：（ category-of-threatid eq dns-adtracking ）
  • 广告追踪域(UTID: 109004000)
  • CNAME 隐藏(UTID: 109004001)

5. dns-ddns

• 日志过滤器：（ category-of-threatid eq dns-ddns ）
  • 动态DNS托管域(UTID：109020002)

6. dns-新域名

• 日志过滤器：（ category-of-threatid eq dns-new-domain ）
  • 新注册域名(UTID: 109020001)

7. DNS 网络钓鱼

• 日志过滤器：（ category-of-threatid eq dns-phishing ）
  • 网络钓鱼域名（UTID：109010001）

8. DNS 停放

• 日志过滤器：（ category-of-threatid eq dns-parked ）
  • 停放域名 (UTID: 109010003)

9. DNS 代理

• 日志过滤器：（ category-of-threatid eq dns-proxy ）
  • 代理规避和匿名器(UTID: 109010004)

10. dns-dnsmisconfig

• 日志过滤器：（ category-of-threatid eq dns- dnsmisconfig）

采用类似的方法，高级DNS安全日志可以进行如下过滤：

• DNS劫持？adns-hijacking
  • （威胁类别 eq adns 劫持）
    ????
• DNS配置错误？adns-dnsmisconfig
  • （威胁类别 eq adns-dnsmisconfig） ？
• DNS ?adns-良性
  • （威胁类别 eq adns-良性）
• 恶意软件域名?adns-malware
  • （威胁类别 eq adns-恶意软件）
• 命令和控制域?adns-c2
  • （威胁类别 eq adns-c2）
• 网络钓鱼域名？adns-phishing
  • （威胁类别 eq adns 网络钓鱼）
• 动态DNS托管域名?adns-ddns
  • （威胁类别 eq adns-ddns）
• 新注册域名?adns-new-domain
  • （威胁类别 eq adns-new-domain）
• 灰色软件域?adns-grayware
  • （威胁类别 eq adns-garyware）
• 停放域名?adns-parked
  • （威胁类别 eq adns-parked）
• 代理规避和匿名器?adns-proxy
  • （威胁类别 eq adns-proxy）
• 广告跟踪域名?adns-adtracking
  • （威胁类别 eq adns-adtracking）