概述
本安全入門提供了有關(guān)常規(guī)DNS操作�����、IDS事件類型����、調(diào)查要求、建議和參考的信息�����。
技術(shù)摘要
域名系統(tǒng)(DNS)是TCP/IP應(yīng)用程序使用的分布式數(shù)據(jù)庫����,用于解析主機(jī)名及其相應(yīng)的IP地址�����。解決程序通常如下:
1.應(yīng)用程序向DNS客戶端發(fā)送名稱查詢���。
2.DNS客戶端檢查其本地緩存是否有匹配項(xiàng)�����。如果未找到匹配項(xiàng)�����,則會(huì)向DNS服務(wù)器發(fā)送查詢����。
3.DNS服務(wù)器尋找匹配項(xiàng)。如果未找到匹配項(xiàng)�����,則繼續(xù)DNS查詢過程����,直到找到權(quán)威記錄。
4.DNS客戶端返回結(jié)果����。
常見的DNS事件類型包括:
-
查詢事件–當(dāng)DNS查找中觀察到的域與簽名匹配時(shí),將觸發(fā)查詢事件����。這些簽名會(huì)在發(fā)起的流量上觸發(fā),其中源IP正在使用目標(biāo)端口53對(duì)目標(biāo)IP執(zhí)行查找����,并且觀察到的域與惡意軟件活動(dòng)或違反策略相關(guān)聯(lián)。
-
響應(yīng)事件–當(dāng)觀察到的域查找結(jié)果包含與簽名匹配的NXDOMAIN或Sinkhole響應(yīng)時(shí)�����,將觸發(fā)響應(yīng)事件。這些簽名會(huì)在返回流量上觸發(fā)�����,其中源IP返回對(duì)源端口為53的目標(biāo)IP執(zhí)行的查詢的響應(yīng)���,并且觀察到的域已與惡意軟件活動(dòng)相關(guān)聯(lián)。
NXDOMAIN響應(yīng)–NXDOMAIN響應(yīng)指示查詢的域名無法通過DNS服務(wù)器的查找過程進(jìn)行解析�����。域查找中的主機(jī)名和NXDOMAIN響應(yīng)的組合將觸發(fā)這些簽名�����。
Sinkhole響應(yīng)–Sinkhole響應(yīng)表示DNS查找中的域已被服務(wù)提供商觀察到存在惡意活動(dòng)����,并隨后將這些域的流量轉(zhuǎn)移到非惡意Sinkhole,從而基本上阻止了惡意站點(diǎn)的流量�����。這會(huì)破壞僵尸網(wǎng)絡(luò)和c2基礎(chǔ)設(shè)施。
-
更新事件–當(dāng)觀察到的DNS流量包含來自不屬于受監(jiān)控基礎(chǔ)設(shè)施(外部主機(jī))的主機(jī)的資源記錄更新時(shí)����,將觸發(fā)更新事件。
要求
-
日志記錄:為了響應(yīng)DNS安全事件����,在托管設(shè)備上配置適當(dāng)級(jí)別的日志記錄至關(guān)重要。所需的最基本的日志記錄是網(wǎng)絡(luò)客戶端使用的主名稱服務(wù)器的DNS日志記錄和向這些客戶端租賃IP的服務(wù)器的DHCP日志記錄�����。在Microsoft Windows環(huán)境中����,活動(dòng)目錄域的主名稱服務(wù)器將是域控制器。請(qǐng)咨詢管理您的網(wǎng)絡(luò)和系統(tǒng)基礎(chǔ)設(shè)施的IT支持供應(yīng)商���,以驗(yàn)證您是否在域控制器上相應(yīng)配置了DNS和DHCP客戶端日志記錄�����。
需要考慮的一些日志記錄注意事項(xiàng)����。
-
由于日志記錄量和這些日志的保留而產(chǎn)生的潛在存儲(chǔ)需求
-
對(duì)日志記錄設(shè)備(例如CPU、內(nèi)存和磁盤)的性能影響
要考慮的其他設(shè)備日志記錄配置:服務(wù)器事件日志���、身份驗(yàn)證日志�����、端點(diǎn)AV日志�����、Web代理日志和網(wǎng)絡(luò)安全設(shè)備/防火墻日志(這是一個(gè)非詳盡列表)�����。這為組織提供了收集遙測(cè)數(shù)據(jù),理想情況下集中收集����,同時(shí)獨(dú)立于源系統(tǒng),用于跟蹤和定位惡意行為����、歷史查找和警報(bào)。
建議
-
建議調(diào)查DNS請(qǐng)求的來源是否存在潛在的惡意活動(dòng)���。這可以通過查看DNS日志來關(guān)聯(lián)域查詢和時(shí)間戳來識(shí)別DNS查詢?cè)醋缘膬?nèi)部主機(jī)來完成�����。
-
一旦識(shí)別出發(fā)起DNS查詢的內(nèi)部主機(jī)���,您將需要調(diào)查該主機(jī)是否存在針對(duì)特定威脅識(shí)別出的任何危害跡象�����。這可能涉及檢查AV和防火墻日志以確定對(duì)受影響主機(jī)的影響����。
相關(guān)CIS子控制
-
1.3使用DHCP日志記錄更新資產(chǎn)清單–在所有DHCP服務(wù)器或IP地址管理工具上使用動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)日志記錄來更新組織的硬件資產(chǎn)清單�����。傳感器:日志管理系統(tǒng)/SIEM�����。
-
7.7使用DNS過濾服務(wù)–使用DNS過濾服務(wù)幫助阻止對(duì)已知惡意域的訪問�����。傳感器:DNS域過濾系統(tǒng)。
-
8.7啟用DNS查詢?nèi)罩居涗洦C啟用域名系統(tǒng)(DNS)查詢?nèi)罩居涗浺詸z測(cè)已知惡意域的主機(jī)名查找���。傳感器:DNS域過濾系統(tǒng)�����。
