概述

本安全入门提供了有关常规DNS操作 、网络IDS事件类型
、安全调查要求、入门建议和参考的网络信息。

技术摘要

域名系统(DNS)是安全TCP/IP应用程序使用的分布式数据库
，用于解析主机名及其相应的入门IP地址。解决程序通常如下 ：

1.应用程序向DNS客户端发送名称查询。网络

2.DNS客户端检查其本地缓存是安全否有匹配项。如果未找到匹配项，入门则会向DNS服务器发送查询。网络

3.DNS服务器寻找匹配项。安全如果未找到匹配项，模板下载入门则继续DNS查询过程，网络直到找到权威记录。安全

4.DNS客户端返回结果
。入门

常见的DNS事件类型包括：

查询事件–当DNS查找中观察到的域与签名匹配时，将触发查询事件。这些签名会在发起的流量上触发 ，其中源IP正在使用目标端口53对目标IP执行查找，并且观察到的域与恶意软件活动或违反策略相关联。响应事件–当观察到的域查找结果包含与签名匹配的NXDOMAIN或Sinkhole响应时，将触发响应事件。云计算这些签名会在返回流量上触发 ，其中源IP返回对源端口为53的目标IP执行的查询的响应，并且观察到的域已与恶意软件活动相关联 。

NXDOMAIN响应–NXDOMAIN响应指示查询的域名无法通过DNS服务器的查找过程进行解析 。域查找中的主机名和NXDOMAIN响应的组合将触发这些签名。

Sinkhole响应–Sinkhole响应表示DNS查找中的域已被服务提供商观察到存在恶意活动 ，并随后将这些域的香港云服务器流量转移到非恶意Sinkhole ，从而基本上阻止了恶意站点的流量。这会破坏僵尸网络和c2基础设施 。

更新事件–当观察到的DNS流量包含来自不属于受监控基础设施（外部主机）的主机的资源记录更新时
，将触发更新事件 。

要求

日志记录 ：为了响应DNS安全事件，在托管设备上配置适当级别的日志记录至关重要。所需的最基本的日志记录是网络客户端使用的服务器租用主名称服务器的DNS日志记录和向这些客户端租赁IP的服务器的DHCP日志记录。在Microsoft Windows环境中 ，活动目录域的主名称服务器将是域控制器 。请咨询管理您的网络和系统基础设施的IT支持供应商
，以验证您是否在域控制器上相应配置了DNS和DHCP客户端日志记录。

需要考虑的一些日志记录注意事项
 。

由于日志记录量和这些日志的源码下载保留而产生的潜在存储需求对日志记录设备（例如CPU 、内存和磁盘）的性能影响

要考虑的其他设备日志记录配置 ：服务器事件日志、身份验证日志  、端点AV日志
、Web代理日志和网络安全设备/防火墙日志（这是一个非详尽列表） 。这为组织提供了收集遥测数据 ，理想情况下集中收集 ，同时独立于源系统，用于跟踪和定位恶意行为、历史查找和警报 。

建议

建议调查DNS请求的来源是高防服务器否存在潜在的恶意活动 。这可以通过查看DNS日志来关联域查询和时间戳来识别DNS查询源自的内部主机来完成 。一旦识别出发起DNS查询的内部主机 ，您将需要调查该主机是否存在针对特定威胁识别出的任何危害迹象 。这可能涉及检查AV和防火墙日志以确定对受影响主机的影响。

相关CIS子控制

1.3使用DHCP日志记录更新资产清单–在所有DHCP服务器或IP地址管理工具上使用动态主机配置协议(DHCP)日志记录来更新组织的硬件资产清单。传感器：日志管理系统/SIEM
。7.7使用DNS过滤服务–使用DNS过滤服务帮助阻止对已知恶意域的访问。传感器 ：DNS域过滤系统
。8.7启用DNS查询日志记录–启用域名系统(DNS)查询日志记录以检测已知恶意域的主机名查找 。传感器 ：DNS域过滤系统 。