Powered by Zoomin Software. For more details please contactZoomin

Flowmon ADS User Guide

Table of Contents

DNSANOMALY – DNSの異常

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: April 5, 2026
  • 5 minute read
    • Flowmon Products
    • Flowmon Anomaly Detection System
    • Documentation

メソッドの説明

このメソッドでは、DNSトラフィックの不審な通信を検知します。このメソッドでは、TCPポート53を使用する大規模なデータ転送(DNSゾーン転送または会社環境からの機密データ流出の可能性による)を通知します。この検知の感度は、TCPTransferLimitオプションで調整できます。

このメソッドを拡張して、監視対象ネットワークで許可されていないDNSサーバの使用を検知できます。この拡張を有効にするには、許可されているDNSサーバのIPアドレスを定義するフィルタDNSServersを選択します。

次の拡張は、使用されているDNSサーバの単純なモデルに基づきます。この拡張の目的は、過去に広く使用されていなかったDNSサーバを監視対象デバイスが使用を開始したことを通知することです。LearnCyclesパラメータは、メソッドが検知に使用するモデルの学習に要する時間(5分間隔の数)を定義します。MinimalRatioパラメータは、DNSサーバの通信を異常なしと見なすために必要な接続数を定義します。監視対象ネットワーク内にイベントを報告する必要のないターゲットDNSサーバがある場合は、ServersToExcludeパラメータを設定すると、それらのサーバを検知対象から除外できます。同様に、DNSクライアントも、ClientsToExcludeパラメータを使用して検知から除外できます。検知対象からのDNSクライアントの除外は、再帰DNSサーバが監視対象インフラストラクチャの一部である場合に役立ちます。このタイプのサーバは、さまざまな多くの外部DNSサーバと通信するDNSクライアントの役割を持つことが多いため、多くのイベントが生成される可能性があります。

このメソッドは、以下のサブメソッドで構成されます。

  • TCPHighTraffic: TCPプロトコルを使って転送されたDNSデータの量を監視します。ネットワーク上のデバイスが転送データに関するユーザ定義の閾値を超過した場合、レポートします。

  • ForbiddenServer: 許可されたDNSサーバのユーザ定義リストに含まれていないDNSサーバとの通信についてレポートします。この検知メソッドは、DNSServersパラメータが設定されている場合にアクティブになります。

  • UnusualServer: クライアントデバイスではあまり使用されないDNSサーバとの通信をレポートします。検知は、クライアントとDNSサーバ間のデータ転送の統計に基づきます。この検知メソッドは、DNSServersパラメータが設定されている場合にアクティブになります。

メソッド設定

このメソッドは、IPアドレスに関係なく、ネットワーク全体にわたってすべてのネットワークトラフィックに対して適用することをお勧めします。トラフィックの適切な監視場所はインターネット接続回線です。

メソッドパラメータ

一般

  • WithoutResponse: 未認可のDNSサーバまたは異常なDNSサーバへの通信のレポート(応答がない場合でも)。このパラメータは、ForbiddenServerおよびUnusualServerサブメソッドに適用されます。

  • DNSServers: ローカルセキュリティポリシーが監視対象ネットワークで使用できるDNSサーバのIPアドレスを定義するフィルタ名。このパラメータは、ForbiddenServerおよびUnusualServerサブメソッドに適用されます。

ForbiddenServer

  • PolicyExceptions: 任意のDNSサーバとの通信が許可されているデバイスのIPアドレスを定義するフィルタの名前。

UnusualServer

  • LearnCycles: 分類器の学習を目的とした、5分間のサイクルの数。この期間中はイベントがレポートされません。

  • MinimalRatio: それぞれのIPアドレスによって使用されるDNSサーバの数の最小比(割合)。この値以上のDNSサーバは通常使用しているサーバと見なされます。

  • ServersToExclude: 分類器で無視するターゲットDNSサーバのIPアドレスを定義するフィルタ名。

  • ClientsToExclude: イベントを作成する必要のないDNSクライアントを指定するフィルタ名。

TCPHighTraffic

  • TCPTransferLimit: DNSサービスからTCPプロトコルを使用して転送されたデータの最小量の閾値(バイト数)。

  • EnabledTCP: DNSサービスからのTCPを使用したデータ転送が許可されているデバイスのIPアドレスを定義するフィルタ名(例: ゾーン転送のためのDNSサーバ)。

  • IgnoreInternal: TCPプロトコルを使用した監視対象ネットワーク内の大規模なDNS転送を無視できるようにします。yesに設定すると、外部IPアドレスを使用した大規模な転送のみがレポートされます。

フィルタの割り当て

このフィルタは、送信元IPアドレスの制限に使用されます。

結果の解釈

このメソッドでは、望まれないその他のアクティビティへのDNSサービスの悪用を検知できます。たとえば、悪意ある目的(データ流出など)で行われるDNSプロトコル経由でのネットワークトラフィックのトンネリングなどです。DNSサーバの使用量が突然変わった場合、マルウェア感染を示している可能性があります。

TitleResults for “How to create a CRG?”Also Available inAlert