Сбор журналов DNS из разных и распределенных источников очень сложен. Несмотря на то, что компании тратят много времени и усилий на достижение этой цели, лишь небольшая часть из них добивается успеха.
Во-первых, некоторые вредоносные действия можно увидеть только в результате анализа журнала DNS, поскольку зараженные клиенты пытаются подключиться к доменам, у которых нет IP-адресов.
Другим примером важности сбора журналов DNS является туннелирование DNS. Эта атака не может быть обнаружена с помощью брандмауэра или прокси-сервера, поскольку они предназначены для работы на прикладном уровне (уровень 7). Технологии DLP (предотвращение потери данных) предназначены для мониторинга протоколов, таких как HTTP, FTP, IM, Telnet, TCP/IP, SMTP, POP3 и IMAP, к которым могут быть подключены файлы; однако они не анализируют журналы DNS и не исследуют сетевой уровень.
И последнее, но не менее важное: сбор журнала DNS может быть необходим с точки зрения законов и нормативных актов.
Среднее количество мгновенных DNS-запросов может достигать 15 тысяч в типовой корпоративной сети с 10 тысячами пользователей. Такой высокий показатель обусловлен целым рядом факторов. Например, при запросе обычной новостной веб-страницы выполняется примерно 70-100 DNS-запросов. Кроме того, даже когда устройства не используются, службы, работающие в фоновом режиме, продолжают генерировать DNS-запросы. Почтовые серверы также выполняют многочисленные DNS-запросы во время простой передачи электронной почты. Таким образом, каждое устройство в сети постоянно выполняет DNS-запрос для предоставления или получения интернет-услуг. Это создает огромное количество данных.
Также журналы DNS содержат большое количество "сырых" данных, которые не имеют особого смысла, если их не обрабатывать. В журналах содержатся IP-адрес клиента и запрошенный домен, что не помогает анализу безопасности. Регистрируя эти бесполезные данные, ваша компания не соответствует требованиям различных законов и нормативных актов. Журналы DNS должны дополняться из других источников.
Третья причина заключается в том, что журналы DNS не являются стандартными. Каждый DNS создает свой журнал. Обработка этих журналов - крайне затруднительна из-за различных стандартов и типов данных.
Благодаря продукту DNSEye от Roksit можно без проблем собирать журналы из широкого спектра различных типов и моделей DNS-серверов. Таким образом, журналы DNS централизованы.
Кроме того, упрощается обогащение журналов DNS ценными данными, такими как имя компьютера, имя пользователя и MAC-адрес. Для достижения этой цели журналы безопасности DHCP, DNS и AD сопоставляются при помощи DNSEye. В результате команды SOC будут иметь доступ к такой информации, как определение какому пользователю принадлежит заданный IP-адрес клиента, Mac-адрес и имя хоста в указанный день и дату, а также связанные DNS-запросы.
После ознакомления с источниками журналов DNS наш продукт DNSEye показывает зараженные устройства, постоянно пытающиеся подключиться к командному центру.Это подозрительные активности, которые должны быть тщательно проанализированы командами SOC.
DNSEye также может блокировать атаку туннелирования DNS еще до ее начала.
Таким образом, собирать журналы DNS из разных и распределенных источников очень просто с Roksit.