IPS用のDNS保護のカスタマイズ

この記事では、アカウントがIPSサービスの一部として施行するDNS保護を選択する方法を説明します。

DNSの保護の概要

CatoのDNS保護はIPSサービスを強化し、アカウント内のDNSトラフィックに対するセキュリティレベルを細かく制御します。 DNSの保護は、使用しているDNSサーバーに関わらず適用されます。つまり、Cato DNSサーバー、信頼されたサーバー、信頼されていないサーバーに対しても適用されます。

Catoは継続的にDNSドメインとカテゴリを更新し、DNS保護ページに新しいタイプの保護を追加しています。

DNS保護は、ホストと悪意のあるサーバーの間に接続が発生する前にDNSリクエストをブロックすることで強力なセキュリティを提供します (TCPまたはUDPハンドシェイクなし)。 DNSの保護が無効になっている場合でも、IPSサービスはDNSの脅威に対していくつかの保護を提供しますが、DNSの保護でカバーされているすべての脅威をカバーするわけではありません。宛先にアクセスされるため、後の段階でブロックされます。 そのため、ベストプラクティスとして、IPSとDNS保護の両方を有効にすることを推奨します。

脅威カタログを使用して、基本的なIPSサービスに含まれるDNS保護とDNSの保護に含まれる保護を確認できます。

DNSの保護タイプの理解

これらの特定のDNS保護を有効または無効にして、セキュリティ要件を満たすことができます。

  • 悪意のあるドメイン:悪意のあるコンテンツをホストまたは配信することが知られているドメインへのDNSリクエストを検出します。 これらのリクエストをブロックすることにより、マルウェア、エクスプロイト、その他の脅威を使用する宛先へのユーザーやデバイスの接続を防ぐのに役立ちます。
  • 新規登録ドメイン:最近登録され、まだ確立された評判を持たないドメインへのDNSリクエストを検出します。 攻撃者は、短期間のキャンペーン、フィッシング、マルウェア配信、またはコマンド&コントロール活動に新規登録ドメインをしばしば使用します。
    • DNSの保護がリスクのあるドメインをどの程度積極的に特定してブロックするかを制御するために、最後の14日、21日、30日、または60日に登録されたドメインをブロックするしきい値を設定します。
  • クリプトマイナー: 暗号通貨の採掘活動に関連するドメインへのDNSリクエストを検出します。 これにより、デバイスのリソースを消費し、性能を低下させ、ホストが侵害されている可能性を示す未承認のマイニングソフトウェアを特定してブロックするのに役立ちます。
  • コマンド&コントロール (C&C): マルウェアが攻撃者が制御するインフラストラクチャと通信するために使用されるドメインへのDNSリクエストを検出します。 この保護には、DNS Fast-Flux ドメインも含まれており、攻撃者が悪意のあるサーバーを隠すためにDNSレコードを急速に変更し、テイクダウンを困難にします。
  • ドメイン生成アルゴリズム: マルウェアがコマンド&コントロールサーバーを見つけるために一般的に使用するアルゴリズムによって生成されたドメインへのDNSリクエストを検出します。 これらのドメインをブロックすることで、攻撃者がアクティブなドメイン名を頻繁に変更しても、マルウェア通信を中断させることができます。
  • フィッシング: 信頼されたウェブサイトを偽装し、資格情報や機密情報を盗むために使用されるドメインへのDNSリクエストを検出します。 この保護には、悪意のあるドメインがブラウザの保護を回避し、内部リソースにアクセスしようとするDNSリバインディング攻撃も含まれます。
  • ダイナミック DNS: ドメインレコードが頻繁に異なるIPアドレスを指すように変更されるダイナミックDNSサービスを利用するドメインへのDNSリクエストを検出します。 ダイナミックDNSは正当なものですが、攻撃者は悪意のあるインフラストラクチャを迅速に移動し、検出を回避するために使用することがよくあります。
  • DNSトンネリング: DNSクエリと応答を通じてデータをトンネルする試みのあるDNSトラフィックを検出します。 この保護には、データが徐々にエクスフィルされる超低速のDNSトンネリング技術も含まれ、ボリュームベースの検出をトリガーしないようにしています。

DNSシンクホール

DNSリクエストがブロックされた場合、リクエストがホストからプライベートDNSサーバーやアクセスポイントなどの他のデバイスを経由するため、リクエストを行っている元のホストのIPアドレスを特定することはしばしば不可能です。 Catoはこの問題を解決し、悪意のあるDNSリクエストを発行するネットワーク上の感染したホストのIPアドレスを特定するDNSシンクホールオプションを提供します。

シンクホールはどのように機能するのか?

DNS保護がシンクホールアクションに設定されている場合、DNS保護エンジンは悪意のあるドメインをクエリしているホストに偽の応答を返し、クエリを指定されたCatoシンクホールサーバーのIPアドレスに解決します。 CatoはCatoのシステム範囲(例えば10.254.x.x)でIPをホストにプッシュします。 その後、ホストはそのIPアドレスに直接インターネット経由で接続を試みるため、IPSサービスがホストのIPアドレスを識別できます。 サービスはトラフィックをブロックし、イベントログでホストIPアドレスを送信元IPとして報告します。

シンクホールイベントの理解

シンクホールアクションが実行されると、2つのイベントが生成されます。 最初のイベントは、ホストが悪意のある宛先を最初に問い合わせたときに実行されるシンクホールアクションを報告し、送信元IPフィールドはクライアントホストの住所を反映していない可能性があります。 2番目のイベントは、ホストがシンクホールサーバーへの接続を試みたときにDNSリクエストがブロックされたことを報告し、イベントのアクションもシンクホールです。 この2番目のイベントは、送信元IPフィールドで実際のホストIPアドレスを報告します。 これにより、イベントページをフィルタリングして、シンクホールサーバーのIPアドレスに接続するすべてのトラフィックのイベントを表示することで、ネットワーク上の感染したホストを簡単に特定できます。

DNSの保護イベントの詳細については、DNS保護イベントを分析するをご覧ください。

ブロックおよびシンクホールアクションのエンドユーザーエクスペリエンス

IPSエンジンがDNSリクエストをブロックすると、エンドユーザーがDNS応答を受け取る前にドメインへの接続が切断されます。

DNSリクエストがシンクホール化されると、エンドユーザーはDNS応答を受け取り、ホストがシンクホールサーバーに接続を試みると接続が切断されます。

前提条件

  • DNS保護はIPSライセンスに含まれています。 IPSライセンスの購入に関する詳細については、Catoの担当者にお問い合わせください。

悪意のあるドメインのサンプルワークフロー

これは、悪意のあるドメイン DNS保護のワークフローの例であり、ホストが悪意のあるドメインにアクセスしようとしたときのものです。

  1. ホストデバイスはブラウザから悪意のあるドメインにアクセスしようとします。
  2. IPSエンジンは悪意のあるドメインへのDNSリクエストがあることを識別し、DNSリクエストをブロックします。
  3. DNSリクエストは、ホストと悪意のあるサーバー間に接続が確立される前にブロックされます(TCPやUDPのハンドシェイクはありません)。

あなたのアカウントのDNS保護を定義する

DNS保護ページを使用して、IPSエンジンがあなたのアカウントに対して適用するDNS保護の種類を選択します。 アカウントのDNS保護を有効にすると、IPSエンジンはCato Cloudを介して送信されるすべてのDNSリクエストを検査します。 CatoをDNSサーバーとして使用しないアカウントでも、プライベートDNSサーバーを使用してDNSリクエストが検査されます。

それぞれのDNS保護に対して、以下のアクションのいずれかを設定できます:

  • 許可 - IPSエンジンは保護を施行しませんが、トラフィックを監視するためにイベントが生成されます。
  • ブロック - 保護に一致するトラフィックのDNSリクエストをIPSエンジンがブロックし、イベントが生成されます。
  • シンクホール - DNSリクエストは最初にシンクホールサーバーに転送され、その後、サーバーに接続しようとするトラフィックがブロックされます。 シンクホールアクションの各フェーズに対して、別々のイベントが生成されます。 詳細については、DNSシンクホールをご覧ください。

DNS保護のデフォルト設定

Catoセキュリティチームは、組織の正当なトラフィックに影響を与える可能性に基づいて、各DNS保護のデフォルトアクションを定義します。

  • デフォルトのブロックアクション - デフォルトでブロックアクションが割り当てられた保護は一般的に誤検出が少なく、正当なトラフィックに影響を与えません。 これらのDNS保護をデフォルトのブロックアクションのままにしておくことをお勧めします。
  • デフォルトの許可アクション - デフォルトで許可アクションが割り当てられた保護は、誤検出を生成する可能性があり、組織内の正当なトラフィックをブロックする可能性があります。 ブロックアクションにこれらの保護を変更する前に、最初にこのDNS保護をいくつかの週間許可アクションで実行し、誤検出一致の数を監視するためにイベントをレビューすることをお勧めします。
DNS_Protection_Policy.png

アカウント用にDNSの保護を定義するには:

  1. ナビゲーションペインから、セキュリティ > DNS保護を選択します。
  2. アカウントのDNS保護ポリシーを有効(緑)または無効(灰色)にするには、スライダーをクリックします。

  3. DNS保護の種類をカスタマイズするには、その行のアクションまたはトラッキングをクリックします。

    そのDNS保護タイプのパネルが開かれます。

    1. アクションセクションでは、保護と一致するDNSトラフィックを許可ブロック、またはシンクホールするよう選択します。
      注:新規登録ドメインに対してアクションを設定した場合は、直近の14日、21日、または30日以内に登録されたドメインをブロックするしきい値を設定してください。
    2. トラッキング」セクションで、DNSトラフィックに対するメール通知を送信するかどうかを選択します。
  4. 適用をクリックし、その後保存をクリックします。

DNSトラフィックの許可リスト

IPSページでIPS許可リストルールを作成し、例外を定義して特定のDNS保護署名でDNSトラフィックを許可することができます。また、ブロックイベントログからDNS保護署名を許可リストに追加することもできます。 IPS許可リストルールの作成について詳しくは、IPS署名の許可リストを参照してください。

また、DNS保護スキャンから除外するために、IPS許可リストに特定の信頼できるドメイン名を許可リストに追加することができます。

特定のドメイン名を許可リストに追加する方法:

  1. ナビゲーションメニューから、セキュリティ > IPS をクリックします。
  2. 新規をクリックします。 新規許可リストパネルが表示されます。
  3. ルールの名前を入力します。

  4. ルールのスコープを次のように選択します:

    • デフォルトのCato DNSサーバーまたはプライベートDNSサーバーを使用するように設定されたトラフィックについて、WANを選択してください。
    • 公開DNSサーバーを使用するように設定されたトラフィックについて、アウトバウンドを選択してください。
  5. 宛先」の下で、ドメインを選択し、必要なドメイン名を追加します。
  6. 適用をクリックします。 IPS許可リストのルールがルールベースに追加されます。
  7. 保存をクリックしてください。

脅威ダッシュボードによるDNS保護のモニタリング

脅威ダッシュボードには、アカウントにおけるDNS保護状況を監視するための3つのウィジェットが含まれています。

  • 脅威の種類 - DNSカテゴリの種類の名称と各種類のイベント数を表示します
  • トップドメイン - ブロックされたトップドメインと各ドメインのDNS保護イベント数を表示します
  • トップホスト - 各ホスト(ソースIPアドレス)のDNS保護イベント数を含むトップホストのリストを表示します
Threats_Dashboard_-_DNS.png

DNS保護イベントの分析

ホーム > イベント ページには、アカウントのすべてのDNS保護イベントが表示されます。 強力な検索ツールを使用すると、必要な関連データを含む主要イベントを掘り下げて特定することができます。

DNS保護イベントは、次のフィールドによって識別できます:

  • イベントタイプ - セキュリティ
  • サブタイプ - DNS保護
  • DNS保護カテゴリ - DNSリクエストに一致するカトのDNS保護タイプ
  • DNSクエリ - DNSリクエストで照会されたドメイン

イベントページの使用についての詳細はこちらをご覧ください。 DNS保護 プリセットを使用してイベントをフィルタリングできます。

この記事は役に立ちましたか?

8人中8人がこの記事が役に立ったと言っています

0件のコメント