DNSANOMALYについて、以下の認識で合ってますでしょうか。
・イベントソースはDNS問い合わせを行った端末
・ターゲットは未登録のDNSサーバ
・データフィードのIPはDNSとの通信を検知した機器
また、イベントログの詳細で「不正なDNSサーバーとの通信に成功した」とありますが、
これはイベントソースの端末とターゲットの通信が成功したのでしょうか。
それともターゲットに向けて通信を試みた時点でDNSANOMALYは検出されるのでしょうか。
ネットワーク環境としては対象端末から直接ターゲットには通信できない設定となっています。
・イベントソースはDNS問い合わせを行った端末
・ターゲットは未登録のDNSサーバ
・データフィードのIPはDNSとの通信を検知した機器
また、イベントログの詳細で「不正なDNSサーバーとの通信に成功した」とありますが、
これはイベントソースの端末とターゲットの通信が成功したのでしょうか。
それともターゲットに向けて通信を試みた時点でDNSANOMALYは検出されるのでしょうか。
ネットワーク環境としては対象端末から直接ターゲットには通信できない設定となっています。
ご認識の通りです。
通信に成功しているため検知されているものとなります。
DNSトラフィックの不審な通信を検知するメソッドとなっており、このメソッドではTCPポート53を使用している大規模なデータ転送を検知可能なため、望まれないその他のアクティビティへのDNSサービスの悪用を検知できます。 例として、悪意ある目的(データ流出など)で行われるDNSプロトコル経由でのネットワークトラフィックのトンネリングなどです。 DNSサーバの使用量が突然変わった場合、マルウェア感染を示している可能性があります。
また、検知されているDNSサーバ(ターゲットに記載されているIP)への通信ができない仕様とのことであればDNSトラフィックの動作に異常、もしくは攻撃の可能性があるため、対象の端末をご確認いただく必要があります。
通信に成功しているため検知されているものとなります。
DNSトラフィックの不審な通信を検知するメソッドとなっており、このメソッドではTCPポート53を使用している大規模なデータ転送を検知可能なため、望まれないその他のアクティビティへのDNSサービスの悪用を検知できます。 例として、悪意ある目的(データ流出など)で行われるDNSプロトコル経由でのネットワークトラフィックのトンネリングなどです。 DNSサーバの使用量が突然変わった場合、マルウェア感染を示している可能性があります。
また、検知されているDNSサーバ(ターゲットに記載されているIP)への通信ができない仕様とのことであればDNSトラフィックの動作に異常、もしくは攻撃の可能性があるため、対象の端末をご確認いただく必要があります。