概述
本安全入門提供了有關(guān)常規(guī)DNS操作�����、IDS事件類型����、調(diào)查要求��、建議和參考的信息��。
技術(shù)摘要
域名系統(tǒng)(DNS)是TCP/IP應(yīng)用程序使用的分布式數(shù)據(jù)庫(kù)�����,用于解析主機(jī)名及其相應(yīng)的IP地址���。解決程序通常如下:
1.應(yīng)用程序向DNS客戶端發(fā)送名稱查詢����。
2.DNS客戶端檢查其本地緩存是否有匹配項(xiàng)��。如果未找到匹配項(xiàng)����,則會(huì)向DNS服務(wù)器發(fā)送查詢��。
3.DNS服務(wù)器尋找匹配項(xiàng)�。如果未找到匹配項(xiàng)���,則繼續(xù)DNS查詢過(guò)程��,直到找到權(quán)威記錄����。
4.DNS客戶端返回結(jié)果�。
常見(jiàn)的DNS事件類型包括:
-
查詢事件–當(dāng)DNS查找中觀察到的域與簽名匹配時(shí),將觸發(fā)查詢事件��。這些簽名會(huì)在發(fā)起的流量上觸發(fā)�����,其中源IP正在使用目標(biāo)端口53對(duì)目標(biāo)IP執(zhí)行查找���,并且觀察到的域與惡意軟件活動(dòng)或違反策略相關(guān)聯(lián)。
-
響應(yīng)事件–當(dāng)觀察到的域查找結(jié)果包含與簽名匹配的NXDOMAIN或Sinkhole響應(yīng)時(shí)�,將觸發(fā)響應(yīng)事件���。這些簽名會(huì)在返回流量上觸發(fā),其中源IP返回對(duì)源端口為53的目標(biāo)IP執(zhí)行的查詢的響應(yīng)�����,并且觀察到的域已與惡意軟件活動(dòng)相關(guān)聯(lián)����。
NXDOMAIN響應(yīng)–NXDOMAIN響應(yīng)指示查詢的域名無(wú)法通過(guò)DNS服務(wù)器的查找過(guò)程進(jìn)行解析。域查找中的主機(jī)名和NXDOMAIN響應(yīng)的組合將觸發(fā)這些簽名��。
Sinkhole響應(yīng)–Sinkhole響應(yīng)表示DNS查找中的域已被服務(wù)提供商觀察到存在惡意活動(dòng)�,并隨后將這些域的流量轉(zhuǎn)移到非惡意Sinkhole,從而基本上阻止了惡意站點(diǎn)的流量����。這會(huì)破壞僵尸網(wǎng)絡(luò)和c2基礎(chǔ)設(shè)施。
-
更新事件–當(dāng)觀察到的DNS流量包含來(lái)自不屬于受監(jiān)控基礎(chǔ)設(shè)施(外部主機(jī))的主機(jī)的資源記錄更新時(shí)���,將觸發(fā)更新事件��。
要求
-
日志記錄:為了響應(yīng)DNS安全事件��,在托管設(shè)備上配置適當(dāng)級(jí)別的日志記錄至關(guān)重要�����。所需的最基本的日志記錄是網(wǎng)絡(luò)客戶端使用的主名稱服務(wù)器的DNS日志記錄和向這些客戶端租賃IP的服務(wù)器的DHCP日志記錄����。在Microsoft Windows環(huán)境中,活動(dòng)目錄域的主名稱服務(wù)器將是域控制器���。請(qǐng)咨詢管理您的網(wǎng)絡(luò)和系統(tǒng)基礎(chǔ)設(shè)施的IT支持供應(yīng)商��,以驗(yàn)證您是否在域控制器上相應(yīng)配置了DNS和DHCP客戶端日志記錄�。
需要考慮的一些日志記錄注意事項(xiàng)���。
-
由于日志記錄量和這些日志的保留而產(chǎn)生的潛在存儲(chǔ)需求
-
對(duì)日志記錄設(shè)備(例如CPU�����、內(nèi)存和磁盤)的性能影響
要考慮的其他設(shè)備日志記錄配置:服務(wù)器事件日志���、身份驗(yàn)證日志、端點(diǎn)AV日志���、Web代理日志和網(wǎng)絡(luò)安全設(shè)備/防火墻日志(這是一個(gè)非詳盡列表)���。這為組織提供了收集遙測(cè)數(shù)據(jù),理想情況下集中收集���,同時(shí)獨(dú)立于源系統(tǒng)���,用于跟蹤和定位惡意行為、歷史查找和警報(bào)�����。
建議
-
建議調(diào)查DNS請(qǐng)求的來(lái)源是否存在潛在的惡意活動(dòng)��。這可以通過(guò)查看DNS日志來(lái)關(guān)聯(lián)域查詢和時(shí)間戳來(lái)識(shí)別DNS查詢?cè)醋缘膬?nèi)部主機(jī)來(lái)完成��。
-
一旦識(shí)別出發(fā)起DNS查詢的內(nèi)部主機(jī)��,您將需要調(diào)查該主機(jī)是否存在針對(duì)特定威脅識(shí)別出的任何危害跡象���。這可能涉及檢查AV和防火墻日志以確定對(duì)受影響主機(jī)的影響�����。
相關(guān)CIS子控制
-
1.3使用DHCP日志記錄更新資產(chǎn)清單–在所有DHCP服務(wù)器或IP地址管理工具上使用動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)日志記錄來(lái)更新組織的硬件資產(chǎn)清單�����。傳感器:日志管理系統(tǒng)/SIEM���。
-
7.7使用DNS過(guò)濾服務(wù)–使用DNS過(guò)濾服務(wù)幫助阻止對(duì)已知惡意域的訪問(wèn)��。傳感器:DNS域過(guò)濾系統(tǒng)�。
-
8.7啟用DNS查詢?nèi)罩居涗洦C啟用域名系統(tǒng)(DNS)查詢?nèi)罩居涗浺詸z測(cè)已知惡意域的主機(jī)名查找�����。傳感器:DNS域過(guò)濾系統(tǒng)�。
