Журналы DNS приводят к ощутимым лицензионным и временным затратам для компаний по двум основным причинам:
Среднее количество мгновенных DNS-запросов может достигать 15 тысяч в типовой корпоративной сети с 10 тысячами пользователей. Такой высокий показатель обусловлен целым рядом факторов.
Например, при запросе обычной новостной веб-страницы выполняется примерно 70-100 DNS-запросов. Кроме того, даже когда устройства не используются, службы, работающие в фоновом режиме, продолжают генерировать DNS-запросы. Почтовые серверы также выполняют многочисленные DNS-запросы во время простой передачи электронной почты. Таким образом, каждое устройство в сети постоянно выполняет DNS-запрос для предоставления или получения интернет-услуг.
Журналы DNS содержат большое количество "сырых" данных, которые не имеют особого смысла, если их не обрабатывать. В журналах содержатся IP-адрес клиента и запрошенный домен, что не помогает анализу безопасности. Поскольку IP-адреса клиентов являются динамическими, ретроспективный анализ не всегда применим.
Кроме того, журналы не содержат никакой информации о содержимом или безопасности домена. Для анализа этих журналов в таком большом объеме требуется корреляция c SIEM. Кроме того, обработанные домены уже известны как безопасные, и каждый дополнительный процесс корреляции увеличивает стоимость SIEM и отнимает время команды SOC.
Roksit снижает затраты на обработку журналов SIEM двумя способами:
1- Устраняет необходимость в корреляции с SIEM
Ретроактивная проверка возможна путем обогащения журналов DNS постоянными данными, такими как имя устройства, имя пользователя и MAC-адрес, вместо того, чтобы просто полагаться на переменные IP-адреса клиентов. Для достижения этой цели журналы безопасности DHCP, DNS и AD в SIEM должны быть сопоставлены по правилам. В результате команды SOC будут иметь доступ к такой информации, как определение какому пользователю принадлежит заданный IP-адрес клиента, Mac-адрес и имя хоста в указанный день и дату, а также связанные DNS-запросы. После ознакомления с этими источниками журналов в нашем продукте Roksit DNSEye, Roksit выполняет эту корреляцию автоматически без корреляции SIEM.
2 Использование Roksit для уменьшения количества EPS, отправляемых в SIEM
Журналы DNS не имеют никакой информации о содержимом или безопасности домена. Кроме того, подавляющее большинство журналов содержит надежные и часто используемые домены, такие как Google, Facebook и WhatsApp, и эта информация не нуждается в обработке SIEM.
Roksit использует Cyber X-Ray, систему классификации на основе искусственного интеллекта, чтобы отличать безопасные домены от вредоносных или подозрительных доменов, а затем отправляет в SIEM только необходимые данные.