組織のネットワーク内にあるシステムは、特定の内部 DNS サーバーを使用しています。未承認の DNS サーバーが使用されている場合、不正なホストがネットワークに接続しているか、正規のホストが侵害されていることを意味します。通常ではない DNS トラフィックが発生している場合、ホストが正しく設定されていない可能性があります。このコンテンツ パックを利用して DNS アクティビティを監視してください。不要な DNS トラフィックを簡単に検出し、攻撃を未然に防ぐことができます。
コンテンツ パックのコンポーネント
アラーム
- DNS - DNS Changer IP アクティビティ
ビュー
DNS 要求と DNS の種類に関する詳細を確認できます。
- DNS NXDOMAIN ビュー
- DNS クエリー ビュー
レポート
DNS 関連イベントの日別のサマリーを確認できます。
- DNS - DNS トラフィック
相関分析ルール
新しいルールと既存のルールの両方が含まれています。を示します。
- DNS - 不正なホストとの接続 - イベントまたはフロー
- DNS - DNS Changer アクティビティ - イベントまたはフロー
- DNS - 不正なホストと GTI の接続 - イベントまたはフロー
- DNS - 外部の DNS サーバーとローカル ホストの接続 - フロー
- DNS - 複数の NXDomain イベント
- DNS - ローカル ホストからの複数の再接続イベント
- DNS - リモート ホストからの複数の再接続イベント
- DNS - DNS アンプ攻撃の可能性
- DNS - DNS 接続の可能性または不正な DNS サーバー
- DNS - パッシブ DNS トラフィック - 既知のマルウェア ドメイン
必要な製品
- McAfee Enterprise Security Manager (ESM) 11.x, 10.x
- McAfee Advanced Correlation Engine (ACE) 11.x, 10.x
- Some rules require McAfee Global Threat Intelligence (GTI) in order to function properly
コンテンツ パックのダウンロード
ServicePortal にご登録の方は、ナレッジセンターにログインすると、詳しいドキュメントを入手できます。また、コンテンツ パック ファイルをダウンロードできます。
記事を読む