DNS パケットの TTL 値が 30 秒に変更されることがあるのはなぜですか?

• PAシリーズ次世代ファイアウォール
• PAN-OS 10.2 (英語)
• DNS セキュリティ

1. デバイスに DNS セキュリティ ライセンスがあり、スパイウェア対策プロファイルが DNS トラフィックに適用されている場合、DNS 署名ルックアップ処理がクラウドに対して実行されます。
2. クラウドからの応答(またはタイムアウト)がない場合、そのDNSパケットのTTLは30秒に変更されます。
3. この値 30 秒は調整できません。
4. このタイムアウト値の変更は、以下の設定です。

Device > Setup > Content-ID > Realtime Signature Lookup > DNS Signature Lookup Timeout (ms)

5. このDNSシグネチャ検索処理を除外するのは、以下の設定です。

Objects > Anti-Spyware > [Profile] > DNS Exceptions > DNS Domain/FQDN Allow list

6. グローバルカウンタ「ctd_dns_modify_ttl」は、TTL変更が発生したときにカウントされます。