概述
本安全入門提供了有關常規(guī)DNS操作���、IDS事件類型、調查要求�、建議和參考的信息。
技術摘要
域名系統(tǒng)(DNS)是TCP/IP應用程序使用的分布式數據庫��,用于解析主機名及其相應的IP地址。解決程序通常如下:
1.應用程序向DNS客戶端發(fā)送名稱查詢�����。
2.DNS客戶端檢查其本地緩存是否有匹配項�����。如果未找到匹配項��,則會向DNS服務器發(fā)送查詢�。
3.DNS服務器尋找匹配項。如果未找到匹配項����,則繼續(xù)DNS查詢過程,直到找到權威記錄����。
4.DNS客戶端返回結果��。
常見的DNS事件類型包括:
-
查詢事件–當DNS查找中觀察到的域與簽名匹配時�����,將觸發(fā)查詢事件。這些簽名會在發(fā)起的流量上觸發(fā)����,其中源IP正在使用目標端口53對目標IP執(zhí)行查找,并且觀察到的域與惡意軟件活動或違反策略相關聯���。
-
響應事件–當觀察到的域查找結果包含與簽名匹配的NXDOMAIN或Sinkhole響應時���,將觸發(fā)響應事件。這些簽名會在返回流量上觸發(fā)�����,其中源IP返回對源端口為53的目標IP執(zhí)行的查詢的響應��,并且觀察到的域已與惡意軟件活動相關聯���。
NXDOMAIN響應–NXDOMAIN響應指示查詢的域名無法通過DNS服務器的查找過程進行解析�。域查找中的主機名和NXDOMAIN響應的組合將觸發(fā)這些簽名�����。
Sinkhole響應–Sinkhole響應表示DNS查找中的域已被服務提供商觀察到存在惡意活動�,并隨后將這些域的流量轉移到非惡意Sinkhole,從而基本上阻止了惡意站點的流量。這會破壞僵尸網絡和c2基礎設施�����。
-
更新事件–當觀察到的DNS流量包含來自不屬于受監(jiān)控基礎設施(外部主機)的主機的資源記錄更新時�����,將觸發(fā)更新事件�����。
要求
-
日志記錄:為了響應DNS安全事件����,在托管設備上配置適當級別的日志記錄至關重要。所需的最基本的日志記錄是網絡客戶端使用的主名稱服務器的DNS日志記錄和向這些客戶端租賃IP的服務器的DHCP日志記錄���。在Microsoft Windows環(huán)境中�����,活動目錄域的主名稱服務器將是域控制器。請咨詢管理您的網絡和系統(tǒng)基礎設施的IT支持供應商�,以驗證您是否在域控制器上相應配置了DNS和DHCP客戶端日志記錄。
需要考慮的一些日志記錄注意事項。
-
由于日志記錄量和這些日志的保留而產生的潛在存儲需求
-
對日志記錄設備(例如CPU��、內存和磁盤)的性能影響
要考慮的其他設備日志記錄配置:服務器事件日志���、身份驗證日志���、端點AV日志、Web代理日志和網絡安全設備/防火墻日志(這是一個非詳盡列表)��。這為組織提供了收集遙測數據�����,理想情況下集中收集����,同時獨立于源系統(tǒng),用于跟蹤和定位惡意行為����、歷史查找和警報。
建議
-
建議調查DNS請求的來源是否存在潛在的惡意活動�����。這可以通過查看DNS日志來關聯域查詢和時間戳來識別DNS查詢源自的內部主機來完成。
-
一旦識別出發(fā)起DNS查詢的內部主機��,您將需要調查該主機是否存在針對特定威脅識別出的任何危害跡象���。這可能涉及檢查AV和防火墻日志以確定對受影響主機的影響�。
相關CIS子控制
-
1.3使用DHCP日志記錄更新資產清單–在所有DHCP服務器或IP地址管理工具上使用動態(tài)主機配置協(xié)議(DHCP)日志記錄來更新組織的硬件資產清單����。傳感器:日志管理系統(tǒng)/SIEM。
-
7.7使用DNS過濾服務–使用DNS過濾服務幫助阻止對已知惡意域的訪問��。傳感器:DNS域過濾系統(tǒng)�。
-
8.7啟用DNS查詢日志記錄–啟用域名系統(tǒng)(DNS)查詢日志記錄以檢測已知惡意域的主機名查找。傳感器:DNS域過濾系統(tǒng)���。
