安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.65
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","内网DNS服务器场景")}}

内网DNS服务器场景

更新时间:2022-07-29

说明:

当探针收到镜像数据是内网DNS代理后的数据时,会将DNS服务器判断为风险主机或业务,无法定位到真实的问题业务。

思路:镜像内网DNS代理之前的数据,及PC或业务到内网DNS这段的数据。抓内网DNS服务器地址和53端口的数据包。

  1. 若内网DNS服务器IP即为源,又为目的,说明DNS服务器前后的流量都镜像到了,需要将DNS服务器地址作为源地址加入安全白名单。

  2. 若内网DNS服务器IP只为目的,说明镜像的流量都是DNS服务器之前的流量,则表明镜像正确。

  3. 若内网DNS服务器IP只为源,则表明镜像的数据只有代理后的,需要重新镜像,如果由于实际网络环境等其他客观原因无法调整镜像位置的,需要按照通过其他手段将DNS服务器的日志发送给SIP(SIEM模块),同时将DNS服务器作为源地址加入到白名单,下面按照这种思路展开说明。