組織のネットワーク内にあるシステムは、特定の内部 DNS サーバーを使用しています。未承認の DNS サーバーが使用されている場合、不正なホストがネットワークに接続しているか、正規のホストが侵害されていることを意味します。通常ではない DNS トラフィックが発生している場合、ホストが正しく設定されていない可能性があります。このコンテンツ パックを利用して DNS アクティビティを監視してください。不要な DNS トラフィックを簡単に検出し、攻撃を未然に防ぐことができます。
コンテンツ パックのコンポーネント
アラーム
- DNS - DNS Changer IP アクティビティ
ビュー
DNS 要求と DNS の種類に関する詳細を確認できます。
- DNS NXDOMAIN ビュー
- DNS クエリー ビュー
レポート
DNS 関連イベントの日別のサマリーを確認できます。
- DNS - DNS トラフィック
相関分析ルール
新しいルールと既存のルールの両方が含まれています。を示します。
- DNS - 不正なホストとの接続 - イベントまたはフロー
- DNS - DNS Changer アクティビティ - イベントまたはフロー
- DNS - 不正なホストと GTI の接続 - イベントまたはフロー
- DNS - 外部の DNS サーバーとローカル ホストの接続 - フロー
- DNS - 複数の NXDomain イベント
- DNS - ローカル ホストからの複数の再接続イベント
- DNS - リモート ホストからの複数の再接続イベント
- DNS - DNS アンプ攻撃の可能性
- DNS - DNS 接続の可能性または不正な DNS サーバー
- DNS - パッシブ DNS トラフィック - 既知のマルウェア ドメイン
必要な製品
- McAfee Enterprise Security Manager (ESM) 11.x, 10.x
- McAfee Advanced Correlation Engine (ACE) 11.x, 10.x
- Some rules require McAfee Global Threat Intelligence (GTI) in order to function properly
コンテンツ パックのデモ
コンテンツ パックは、McAfee Enterprise Security Manager のユーザー インターフェースから直接利用できます。コンテンツ パックの利用方法をビデオでご確認ください。
ビデオを見る
コンテンツ パックのダウンロード
ServicePortal にご登録の方は、ナレッジセンターにログインすると、詳しいドキュメントを入手できます。また、コンテンツ パック ファイルをダウンロードできます。
記事を読む