Viditelnost do DNS provozu / Visibility into DNS traffic

Viditelnost do DNS provozu / Visibility into DNS traffic

Ahoj,

zajímá vás, co se děje ve vašem DNS? Možná máte několik otázek týkajících se funkčnosti serveru DNS, které dosud zůstávají bez odpovědi?

Z oblasti IT operací jako:

  • Kdo jsou nejběžnější „Tazatelé“ – např. jaké jsou IP a DNS jména nejaktivnějších uživatelů služby DNS?
  • Jaké jsou přesné dotazy na IP / DNS / podsíť v daném čase před problémem se zabezpečením?
  • Jaké záznamy a typy záznamů jsou žádány?
  • Jaké je využití mého serveru DNS v průběhu času?
  • Jaké jsou kódy stavu odpovědi?

Nebo některé z oblasti zabezpečení, jako jsou:

  • Nepoužívá se můj server DNS jako skrytý kanál k přenosu možného řídícího provozu C&C škodlivého softwaru?
  • Nepoužívá se můj server DNS k utajené exfiltraci dat?
  • Nejsou na mém serveru DNS nějaké podezřelé či nestandardní dotazy?
  • Měli bychom utáhnout pravidla? Upravit scope? Nastavit lepší zabezpečení?

Bez použití specifických a mnohdy drahých nástrojů můžete všechny tyto informace získat ze serveru DNS (a téměř bez práce) pomocí LOGmanageru. Vše, co potřebujete, je zahájit protokolování aktivity DNS, nasměrovat protokol serveru DNS na správný parser v LOGmanageru a volitelně vylepšit zpracování strojových dat z DNS nějakou akcí. Volitelná akce v LOGmanageru přidá větší viditelnost z hlediska zabezpečení tokům DNS, ale samozřejmě je to jen volitelný krok – v případě potřeby nebo zvědavosti.

Níže je snímek obrazovky, co můžete očekávat, pokud použijete LOGmanager k analýze DNS. Máte zájem vědět, jak na to? Přejděte na naše uživatelské fórum a najděte průvodce konfigurací krok za krokem.

Mirek

Hi Folks,

Are you interested in what is happening with your DNS ? You might have several questions about DNS server functionality, which remains untill now without answer, right?

From IT operations perspective:

  • Who are the most common „Queriers“ – for example: what are the IPs and DNS names of most active DNS service users?
  • What are the exact queries per IP/DNS/subnet in a given time prior security issue?
  • Which records and record types are being asked?
  • What is utilization of my DNS server through time?
  • What are the response status codes?

From IT security perspecitve:

  • Is my DNS server used as a covert channel to transfer malware C&C traffic?
  • Is my DNS server used for data exfiltration?
  • Are there any suspicious, non-standard queries flowing through my DNS server?
  • Do we need to tighten the rules? Modify the scope? Implement additional security? …

Without having any specific tools you can get all this information from DNS server almost out of the box with LOGmanager. All you need to do is to start logging the DNS activity, point the DNS server logs to the right parser and optionally enhance the processing with some action (which can add more visibility from security perspective to DNS flows, but of course, this is just an optional step – if needed).

Below is a screenshot of what You can expect if using LOGmanager to analyze DNS. Interested in deatils? Just go to our user forum to find a proper step by step guide.

Mirek

Část dashboardu na analýzu DNS / Part of the LOGmanager DNS Analytics dashboard

logo
© 2021 Sirwisa a. s. Všechna práva vyhrazena.