概述

本安全入門提供了有關(guān)常規(guī)DNS操作、IDS事件類型、調(diào)查要求、建議和參考的信息。

技術(shù)摘要

域名系統(tǒng)(DNS)是TCP/IP應(yīng)用程序使用的分布式數(shù)據(jù)庫，用于解析主機名及其相應(yīng)的IP地址。解決程序通常如下：

1.應(yīng)用程序向DNS客戶端發(fā)送名稱查詢。

2.DNS客戶端檢查其本地緩存是否有匹配項。如果未找到匹配項，則會向DNS服務(wù)器發(fā)送查詢。

3.DNS服務(wù)器尋找匹配項。如果未找到匹配項，則繼續(xù)DNS查詢過程，直到找到權(quán)威記錄。

4.DNS客戶端返回結(jié)果。

常見的DNS事件類型包括：

• 查詢事件–當(dāng)DNS查找中觀察到的域與簽名匹配時，將觸發(fā)查詢事件。這些簽名會在發(fā)起的流量上觸發(fā)，其中源IP正在使用目標(biāo)端口53對目標(biāo)IP執(zhí)行查找，并且觀察到的域與惡意軟件活動或違反策略相關(guān)聯(lián)。
• 響應(yīng)事件–當(dāng)觀察到的域查找結(jié)果包含與簽名匹配的NXDOMAIN或Sinkhole響應(yīng)時，將觸發(fā)響應(yīng)事件。這些簽名會在返回流量上觸發(fā)，其中源IP返回對源端口為53的目標(biāo)IP執(zhí)行的查詢的響應(yīng)，并且觀察到的域已與惡意軟件活動相關(guān)聯(lián)。

NXDOMAIN響應(yīng)–NXDOMAIN響應(yīng)指示查詢的域名無法通過DNS服務(wù)器的查找過程進(jìn)行解析。域查找中的主機名和NXDOMAIN響應(yīng)的組合將觸發(fā)這些簽名。

Sinkhole響應(yīng)–Sinkhole響應(yīng)表示DNS查找中的域已被服務(wù)提供商觀察到存在惡意活動，并隨后將這些域的流量轉(zhuǎn)移到非惡意Sinkhole，從而基本上阻止了惡意站點的流量。這會破壞僵尸網(wǎng)絡(luò)和c2基礎(chǔ)設(shè)施。

• 更新事件–當(dāng)觀察到的DNS流量包含來自不屬于受監(jiān)控基礎(chǔ)設(shè)施（外部主機）的主機的資源記錄更新時，將觸發(fā)更新事件。

要求

• 日志記錄：為了響應(yīng)DNS安全事件，在托管設(shè)備上配置適當(dāng)級別的日志記錄至關(guān)重要。所需的最基本的日志記錄是網(wǎng)絡(luò)客戶端使用的主名稱服務(wù)器的DNS日志記錄和向這些客戶端租賃IP的服務(wù)器的DHCP日志記錄。在Microsoft Windows環(huán)境中，活動目錄域的主名稱服務(wù)器將是域控制器。請咨詢管理您的網(wǎng)絡(luò)和系統(tǒng)基礎(chǔ)設(shè)施的IT支持供應(yīng)商，以驗證您是否在域控制器上相應(yīng)配置了DNS和DHCP客戶端日志記錄。

需要考慮的一些日志記錄注意事項。

• 由于日志記錄量和這些日志的保留而產(chǎn)生的潛在存儲需求
• 對日志記錄設(shè)備（例如CPU、內(nèi)存和磁盤）的性能影響

要考慮的其他設(shè)備日志記錄配置：服務(wù)器事件日志、身份驗證日志、端點AV日志、Web代理日志和網(wǎng)絡(luò)安全設(shè)備/防火墻日志（這是一個非詳盡列表）。這為組織提供了收集遙測數(shù)據(jù)，理想情況下集中收集，同時獨立于源系統(tǒng)，用于跟蹤和定位惡意行為、歷史查找和警報。

建議

• 建議調(diào)查DNS請求的來源是否存在潛在的惡意活動。這可以通過查看DNS日志來關(guān)聯(lián)域查詢和時間戳來識別DNS查詢源自的內(nèi)部主機來完成。
• 一旦識別出發(fā)起DNS查詢的內(nèi)部主機，您將需要調(diào)查該主機是否存在針對特定威脅識別出的任何危害跡象。這可能涉及檢查AV和防火墻日志以確定對受影響主機的影響。

相關(guān)CIS子控制

• 1.3使用DHCP日志記錄更新資產(chǎn)清單–在所有DHCP服務(wù)器或IP地址管理工具上使用動態(tài)主機配置協(xié)議(DHCP)日志記錄來更新組織的硬件資產(chǎn)清單。傳感器：日志管理系統(tǒng)/SIEM。
• 7.7使用DNS過濾服務(wù)–使用DNS過濾服務(wù)幫助阻止對已知惡意域的訪問。傳感器：DNS域過濾系統(tǒng)。
• 8.7啟用DNS查詢?nèi)罩居涗洦C啟用域名系統(tǒng)(DNS)查詢?nèi)罩居涗浺詸z測已知惡意域的主機名查找。傳感器：DNS域過濾系統(tǒng)。