Обнаруживайте вредоносный трафик в вашей сети и получайте подробные отчеты.
Скачайте и установите VM-решение DNSeye уже сегодня
Оставить заявку
Защитите всех своих пользователей на уровне DNS от вредоносного содержимого Интернета с помощью искусственного интеллекта.
Бесплатная пробная версия на 14 дней
Попробовать бесплатно
Получите самую продвинутую динамическую аналитику киберугроз для углубленного доменного анализа.
Регистрация не требуется
Получить свой первый анализ
Решения по необходимости

Простота формирования DNS-журнала

проблема

Сбор журналов DNS из разных и распределенных источников очень сложен. Несмотря на то, что компании тратят много времени и усилий на достижение этой цели, лишь небольшая часть из них добивается успеха.

Почему важен сбор журнала DNS?

Во-первых, некоторые вредоносные действия можно увидеть только в результате анализа журнала DNS, поскольку зараженные клиенты пытаются подключиться к доменам, у которых нет IP-адресов.

Другим примером важности сбора журналов DNS является туннелирование DNS. Эта атака не может быть обнаружена с помощью брандмауэра или прокси-сервера, поскольку они предназначены для работы на прикладном уровне (уровень 7). Технологии DLP (предотвращение потери данных) предназначены для мониторинга протоколов, таких как HTTP, FTP, IM, Telnet, TCP/IP, SMTP, POP3 и IMAP, к которым могут быть подключены файлы; однако они не анализируют журналы DNS и не исследуют сетевой уровень.

И последнее, но не менее важное: сбор журнала DNS может быть необходим с точки зрения законов и нормативных актов.

Почему сбор журнала DNS сложен?

Среднее количество мгновенных DNS-запросов может достигать 15 тысяч в типовой корпоративной сети с 10 тысячами пользователей. Такой высокий показатель обусловлен целым рядом факторов. Например, при запросе обычной новостной веб-страницы выполняется примерно 70-100 DNS-запросов. Кроме того, даже когда устройства не используются, службы, работающие в фоновом режиме, продолжают генерировать DNS-запросы. Почтовые серверы также выполняют многочисленные DNS-запросы во время простой передачи электронной почты. Таким образом, каждое устройство в сети постоянно выполняет DNS-запрос для предоставления или получения интернет-услуг. Это создает огромное количество данных.

Также журналы DNS содержат большое количество "сырых" данных, которые не имеют особого смысла, если их не обрабатывать. В журналах содержатся IP-адрес клиента и запрошенный домен, что не помогает анализу безопасности. Регистрируя эти бесполезные данные, ваша компания не соответствует требованиям различных законов и нормативных актов. Журналы DNS должны дополняться из других источников.

Третья причина заключается в том, что журналы DNS не являются стандартными. Каждый DNS создает свой журнал. Обработка этих журналов - крайне затруднительна из-за различных стандартов и типов данных.

Решения Roksit

Благодаря продукту DNSEye от Roksit можно без проблем собирать журналы из широкого спектра различных типов и моделей DNS-серверов. Таким образом, журналы DNS централизованы.

Кроме того, упрощается обогащение журналов DNS ценными данными, такими как имя компьютера, имя пользователя и MAC-адрес. Для достижения этой цели журналы безопасности DHCP, DNS и AD сопоставляются при помощи DNSEye. В результате команды SOC будут иметь доступ к такой информации, как определение какому пользователю принадлежит заданный IP-адрес клиента, Mac-адрес и имя хоста в указанный день и дату, а также связанные DNS-запросы.

После ознакомления с источниками журналов DNS наш продукт DNSEye показывает зараженные устройства, постоянно пытающиеся подключиться к командному центру.Это подозрительные активности, которые должны быть тщательно проанализированы командами SOC.

DNSEye также может блокировать атаку туннелирования DNS еще до ее начала.

Таким образом, собирать журналы DNS из разных и распределенных источников очень просто с Roksit.