DNS DGA 検出の概要
ドメインネームシステム(DNS)ドメイン生成アルゴリズム(DGA)は、潜在的なC&Cサーバーを持つランデブーポイントとして使用される一見ランダムなドメイン名を生成します。DNS DGA 検知では、機械学習モデルと、既知の計算済み DGA ドメイン名を使用し、ドメインの判別を行います。これにより、SRX シリーズ デバイスでの DNS クエリーのインライン ブロックとシンクホーリングに役立ちます。
Juniper ATP Cloudは、機械学習ベースのDGA検知モデルを提供します。SRXシリーズデバイスは、セキュリティメタデータのコレクターとして機能し、DGA分析のためにメタデータをJuniper ATPクラウドにストリーミングします。ATPクラウドサービスとセキュリティメタデータストリーミングフレームワークの両方を使用して、クラウドでDGA Inspectionを実行します。
DNS DGA検知は、ATPクラウドプレミアムライセンスでのみ利用できます。
DNS DGA 検出を表示するには、Juniper ATP クラウド Web ポータルにログインし、[Monitor > DNS] に移動します。DGA 検出は図 1 に示すように表示されます。
SRXシリーズデバイスでDNS DGA検出を有効にする
SRXシリーズデバイスでDNS DGA検知を有効にするには、 階層レベルで オプションを[edit services security-metadata-streaming policy dns-policy dns detections]設定しますdga。
security-metadata-streaming {
policy dns-policy {
dns {
detections {
dga {
action [deny | permit | sinkhole];
fallback-options {
notification {
log;
}
}
verdict-timeout value;
notification [log | log-detections];
}
}
}
}
}
ゾーンレベルでセキュリティメタデータストリーミングポリシーをセキュリティファイアウォールポリシーにアタッチします。
set security policies from-zone zone-name to-zone zone-name application-services security-metadata-streaming-policy dns-policy
コマンドを show services security-metadata-streaming dns statistics 使用して、セキュリティメタデータストリーミングポリシーのDNS統計を表示します。
user@host> show services security-metadata-streaming dns statistics Logical system: root-logical-system DNS session statistics: Cache Hits: 0 Cache Misses: 116 C2 Sessions Permitted: 0 C2 Sessions Dropped: 0 C2 Sessions Sinkholed: 12 DNS submission statistics: Domain Submission Success: 43 Domain Submission Failures: 0 Safe Verdicts Received: 8 C2 Verdicts Received: 12 DNS Tunnels Detected: 0 Latency Fallback Triggered: 0 ATP latency statistics: Average Latency: 63ms Maximum Latency: 119ms Minimum Latency: 39ms sub-50ms response: 52 (6%) sub-100ms response: 4000 (88%) sub-250ms response: 30 (4%) sub-500ms response: 2 (2%)
コマンドを show services dns-filtering cache 使用して、DNS キャッシュ内の詳細を表示します。
user@host> show services dns-filtering cache Logical System:root-logical-system DNS Cache Refresh Rate:5 Minutes on FPC0 PIC0 Domain-Name, TTL, Prevalence , Verdict, Hitcount a0.com, 480, 1, C2, 1 Logical System:root-logical-system DNS Cache Refresh Rate:5 Minutes on FPC0 PIC1 Domain-Name, TTL, Prevalence , Verdict, Hitcount a10.com, 480, 1, C2, 1
DNS DGA検出は、Junos OS 21.2R1以降のリリースでサポートされています。