Zararlı Trafiği Anında Tespit Edin ve Detaylı Raporlar Alın!
DNSEye VM uygulamasını indirin  ve yükleyin
İletişime Geçin
Kurumunuzu ve Çalışanlarınızı Zararlı İçeriklerden Yapay Zekanın Yardımıyla Koruyun!
14 gün ücretsiz deneyin
Ücretsiz Deneyin
Dünyanın En Gelişmiş Dinamik Siber Tehdit İstihbaratıyla Tanışın!
Analiz etmeye hemen başlayın
Ücretsiz Analiz Alın
İhtiyaca Göre Çözümler

DNS Loglarınızı Kolayca Toplayın

İhtiyaç

Farklı ve dağıtılmış kaynaklardan DNS loglarını toplamak oldukça zordur. Şirketler bunu başarmak için çok fazla zaman ve emek harcamasına karşılık çok az bir kısmı başarılı olmaktadır.

DNS loglarını toplamak neden önemli?

İlk olarak, bazı kötü amaçlı faaliyetler, yalnızca DNS Log analizi sayesinde tespit edilebilir, çünkü virüslü istemciler, IP adresleri olmayan domainlere bağlanmaya çalışmaktadır(DGA domainlerinde olduğu gibi).

DNS Loglarını toplamanın önemini gösteren bir başka örnek de DNS Tüneli Oluşturmadır. Bu saldırı Güvenlik Duvarı veya Proxy ile tespit edilemez, çünkü uygulama katmanında (Layer 7) çalışacak şekilde tasarlanmıştır. DLP teknolojileri (Veri Kaybını Önleme) HTTP, FTP, IM, Telnet, TCP/IP, SMTP, POP3 ve IMAP gibi dosyaların eklenebileceği protokolleri izlemek için tasarlanmıştır ancak DNS Loglarını analiz etmedikleri gibi Ağ katmanını da incelemezler.

Son olarak, DNS günlüğünün toplanması, yönetmelikler ve yasalar için bir gereklilik olabilir.

DNS loglarını toplamak neden karmaşıktır?

Ortalama anlık DNS sorgu sayısı, 10 bin kullanıcılı tipik bir kurumsal ağda 15 bine ulaşabilir. Bu yüksek sayı çeşitli faktörlerden kaynaklanmaktadır.  Bunu bir örnekle açıklamamız gerekirse, normal bir haber web sayfası istendiğinde yaklaşık 70-100 DNS sorgusu yapılır. Ayrıca cihazlar kullanımda değilken bile arka planda çalışan servisler DNS sorguları üretmeye devam eder. Posta sunucuları bile basit bir e-posta iletimi sırasında çok sayıda DNS sorgusu gerçekleştirir. Bu şekilde, bir ağdaki her cihaz, İnternet hizmetleri sağlamak veya almak için sürekli olarak bir DNS sorgusu gerçekleştirir. Böylece ortaya analiz edilmesi güçleşen çok sayıda veri çıkar.

Ayrıca, DNS loglarının işlenmemesi durumunda, pek bir anlam ifade etmeyen büyük miktarda ham veri oluşacaktır. İstemcinin IP adresini ve çağrılan domain bilgisini içeren bu loglar güvenlik analizi için yararlı değildir. Öte yandan, şirketiniz işe yaramayan verileri kaydetse bile bu durum farklı ülkelerin düzenleme ve yasaların gerekliliklerini karşılamayabilir. DNS logları diğer kaynaklarla zenginleştirilmelidir.

Üçüncü ve son sebep ise, DNS logları standart değildir. Her DNS’in değişik standart ve veri tiplerinde farklı bir log üretmesi, onları ayrıştırıp kullanmayı oldukça zorlaştırır.

Roksit'in Çözümü

Loglar Roksit DNSEye ürünü sayesinde geniş bir yelpazede dağıtılan farklı tür ve model DNS sunucularından sorunsuz bir şekilde toplanabilir. Böylece DNS logları merkezileştirilmiş olur.

Ayrıca cihaz adı, kullanıcı adı ve MAC adresi gibi verilerle DNS loglarını  zenginleştirmek kolaylaşır. Bunu yapabilmek için DHCP, DNS ve AD Güvenlik günlükleri “DNSEye” ile ilişkilendirilmelidir. Böylece, SOC ekipleri DNS sorguları sayesinde herhangi bir tarihteki istemci IP adresinin ait olduğu kullanıcı, MAC adresi, sunucu adı gibi bilgilere kolayca erişebilecektir. DNS log kaynakları DNSEye ürünümüze tanımlandıktan sonra, hangi virüslü cihazların sürekli olarak komuta merkezine bağlanmaya çalıştığı görülmektedir. Bunlar, SOC ekipleri tarafından dikkatlice analiz edilmesi gereken şüpheli faaliyetlerdir.

Ayrıca, DNSEye DNS Tünelleme Saldırılarını daha başlamadan engelleyebilir. Sonuç olarak, Roksit ile DNS loglarınızı farklı ve dağıtılmış kaynaklardan toplamak çok kolaydır.