Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DNS DGA検出の概要

ドメイン生成アルゴリズム (DNS) ドメイン生成アルゴリズム (DGA) は、潜在的な C&C サーバーとのランデブーポイントとして使用される、一見ランダムに見えるドメイン名を生成します。DNS DGA検出では、機械学習(ML)モデルに加え、事前に計算された既知のDGAドメイン名を使用し、ドメインの判定を提供することで、SRXシリーズファイアウォールでのDNSクエリのインラインブロックとシンクホール化を支援します。

Juniper ATP Cloudは、機械学習ベースのDGA検出モデルを提供します。SRXシリーズファイアウォールは、セキュリティメタデータのコレクターとして機能し、DGA分析のためにメタデータをJuniper ATP Cloudにストリーミングします。ジュニパーでは、ATP Cloudサービスとセキュリティメタデータストリーミングフレームワークの両方を使用して、クラウドでDGA検査を実施しています。

DNS DGA検出は、Juniper ATP Cloudライセンスでのみ利用可能です。機能固有のライセンス情報については、「 ATP Cloud のソフトウェア ライセンス」を参照してください。

DNS DGA検出を表示するには、Juniper ATP Cloud Webポータルにログインし、[ > DNSの監視]に移動します。DGA検出は 、図1に示すように表示されます。

図1:DNS DGAページ DNS DGA Page

DGAの検出手順

DNS DGA検出の手順は次のとおりです。

  1. クライアントは DNS 要求を生成し、それを企業の DNS サーバーに転送します。
  2. 企業 DNS サーバーはローカル キャッシュをチェックし、一致するレコードがないことを検出します。キャッシュ ミスが発生し、企業の DNS サーバーがパブリック DNS サーバーへのクエリを試みます。
  3. SRXシリーズデバイスは、レコードタイプA/AAAA/CNAME/MXなどのDNSリクエストを受信します。
  4. SRXシリーズデバイスは、DNSクエリーを受信すると、ローカルDNSキャッシュを参照します。
  5. ドメインがキャッシュ内に存在しない場合(キャッシュミス)、SRXは分析のためにドメインをJuniper ATP Cloudに送信します。
  6. Juniper ATP Cloudサービスは、迅速なDGA機械学習モデルを実行し、以下の判定でSRXシリーズデバイスに対して応答します。

    • 綺麗

    • DGAの

    • 怪しい

  7. ドメインがキャッシュ内に存在する場合(キャッシュヒット)、SRXシリーズデバイスは判定を参照します。
    • ドメインがクリーンな場合、SRXシリーズデバイスはクエリを転送し、セッションの残りの部分を無視します。
    • ドメインがDGAとしてマークされている場合、SRXシリーズデバイスはポリシーで定義されたアクション(許可/ドロップ/シンクホール/ログなど)を実行します
  8. ドメインがキャッシュに存在しない場合、SRXシリーズデバイスは
    • ドメインをコピーし、DGA分析のためにJuniper ATPクラウドに送信します。
    • クエリを元の宛先に転送し、保留中の応答パケットから適切なコンテキスト (クエリの種類) を要求します。
手記:

許可リスト、ブロックリスト、C&Cを確認できるのはSecIntelだけです。security-metadata-streaming CLI設定は、このリストとの照合を実行しません。C&C および DGA/トンネルを検出するには、両方の機能をポリシーで有効にする必要があります。