どのPCが疑わしいDNSクエリを作成したかを特定するにはどうすればよいですか?
私たちのIDSは、ボットネット(または同様のもの)に向かう疑わしいDNSパケットを検出しました。
DCは再帰的なリレーなので、その要求を行ったクライアントを特定するにはどうすればよいですか(Windows DNSサーバー)。
ローカルDNSフォワーダー(ドメインコントローラー)でのDNS要求のログ記録が最も簡単です。ドメインコントローラー以外のTCP/UDPポート53アウトバウンドをブロックすると、再帰的なDNSルックアップを実行できるのはそのコントローラーだけであることが保証されます。
Netflowも別のオプションですが、ネットワーク内のすべてのUDPおよびTCPセッションに関するライフサイクルおよびエンドポイント情報を格納しているため、データストレージ要件が大きくなります。
効果的なNSM(ネットワークセキュリティモニタリング)を使用するには、DNSログとNetflowの両方を有効にする必要があります。標準的な方法の問題ではないログは、法廷審問で無視されるので、両方を十分に準備しておく価値があります。これらをオンにして、データを収集し、証拠として使用して、再びオフにすることはできません。