安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.77
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","DNS服务器日志导入")}}

DNS服务器日志导入

更新时间:2023-05-25

很多客户场景下都会面临DNS服务器失陷场景,无法直接判断到真实的失陷终端,进行真实的问题终端定位,需要将DNS的域名解析日志先发送到SIP,可以使用DNS服务器日志导入功能满足上述场景(也可以在[分析中心/SIEM分析系统模块添加]),管理员登录SIP进入到[资产中心/资产感知/配置/高级设置]页面,点击<>如下图所示。

点击<新增>,弹出配置参数输入框,如下图所示。

其中:

日志源名称DNS服务器发送端名称,自定义;

接入类型syslog,不可修改;

解析规则:包括两种,“DNS Log”代表windows 类型DNS服务器日志解析、“Dns Linux”代表linux类型DNS服务器日志解析

编码:默认UTF-8

TLS协议传输:根据实际项目需求选择是否勾选,默认不勾选,勾选后需要带入证书;如下图所示。

SIEM模块一样,DNS服务器日志导入功能,在2U设备上默认开启,1U设备上默认不展示,且最大支持5个日志源。