DNSANOMALY – DNSの異常

メソッドの説明

このメソッドでは、DNSトラフィックの不審な通信を検知します。このメソッドでは、TCPポート53を使用する大規模なデータ転送(DNSゾーン転送または会社環境からの機密データ流出の可能性による)を通知します。この検知の感度は、TCPTransferLimitオプションで調整できます。

このメソッドを拡張して、監視対象ネットワークで許可されていないDNSサーバの使用を検知できます。この拡張を有効にするには、許可されているDNSサーバのIPアドレスを定義するフィルタDNSServersを選択します。

次の拡張は、使用されているDNSサーバの単純なモデルに基づきます。この拡張の目的は、過去に広く使用されていなかったDNSサーバを監視対象デバイスが使用開始したことを通知することです。LearnCyclesパラメータは、メソッドが検知に使用するモデルの学習に要する時間(5分間隔の数)を定義します。MinimalRatioパラメータは、DNSサーバの通信を異常なしと見なすために必要な接続数を定義します。監視対象ネットワークのDNSサーバを検知から除外するには、ServersToExcludeパラメータを設定します。

このメソッドは、以下のサブメソッドで構成されます。

• TCPHighTraffic: TCPプロトコルを使って転送されたDNSデータの量を監視します。ネットワーク上のデバイスが転送データに関するユーザ定義の閾値を超過した場合、レポートします。

• ForbiddenServer: 許可されたDNSサーバのユーザ定義リストに含まれていないDNSサーバとの通信についてレポートします。この検知メソッドは、DNSServersパラメータが設定されている場合にアクティブになります。

• UnusualServer: クライアントデバイスではあまり使用されないDNSサーバとの通信をレポートします。検知は、クライアントとDNSサーバ間のデータ転送の統計に基づきます。

メソッド設定

このメソッドは、IPアドレスに関係なく、ネットワーク全体にわたってすべてのネットワークトラフィックに対して適用することをお勧めします。トラフィックの適切な監視場所はインターネット接続回線です。

メソッドパラメータ

• WithoutResponse: 未認可のDNSサーバまたは異常なDNSサーバへの通信のレポート(応答がない場合でも)。

• TCPTransferLimit: DNSサービスからTCPプロトコルを使用して転送されたデータの最小量の閾値(バイト数)。

• EnabledTCP: DNSサービスからのTCPを使用したデータ転送が許可されているデバイスのIPアドレスを定義するフィルタ名(例: ゾーン転送のためのDNSサーバ)。

• DNSServers: 監視対象ネットワークで使用できるDNSサーバのIPアドレスを定義するフィルタ名。

• PolicyExceptions: 任意のDNSサーバとの通信が許可されているデバイスのIPアドレスを定義するフィルタの名前。

• LearnCycles: 分類器の学習を目的とした、5分間のサイクルの数。この期間中はイベントがレポートされません。このパラメータの値が0の場合、異常DNSサーバの使用の検知は無効になります。

• MinimalRatio: それぞれのIPアドレスによって使用されるDNSサーバの数の最小比(割合)。この値以上のDNSサーバは通常使用しているサーバと見なされます。

• ServersToExclude: 分類器で無視するDNSサーバのIPアドレスを定義するフィルタ名。

フィルタの割り当て

このフィルタは、送信元IPアドレス(異常なDNSサーバや制限対象のDNSサーバの使用を検知するため)と、送信元IPアドレスまたは宛先IPアドレス(DNS TCP転送を検知するため)の制限に使用されます。

結果の解釈

このメソッドでは、望まれないその他のアクティビティへのDNSサービスの悪用を検知できます。たとえば、悪意ある目的(データ流出など)で行われるDNSプロトコル経由でのネットワークトラフィックのトンネリングなどです。DNSサーバの使用量が突然変わった場合、マルウェア感染を示している可能性があります。