DNSトラフィックは、ほぼすべての組織に存在しており、大量のデータを作成しますが、セキュリティ チームはこれらのデータを無視したり、適切に分析するためのツールを持っていないことが多いです。サイバー犯罪者は、他のマルウェアの配信や貴重なデータの盗用を目的として、コマンドアンドコントロール(C2)アクティビティを隠すためにDNSを不正使用することが多くなってきています。
攻撃者によって統制された不正なドメインによって、次から次へとコマンドアンドコントロール チャネルを迅速に移動することが可能になるため、ブラックリストやWeb評価などの従来のセキュリティ管理がバイパスされます。
パロアルトネットワークスはオプトインのパッシブDNSモニタリングを行うことで、不正なドメインとそれに関連付けられたインフラストラクチャのデータベースを作成します。このインテリジェンスは保護機能に転換され、脅威防御サブスクリプションの一部として提供されます。
保護の継続的な向上
パッシブDNSは、ファイアウォールがDNSセンサーとして機能し、選択したDNS情報をパロアルトネットワークスに送信して分析できるようにして、脅威インテリジェンスと防御機能の向上を図るオプトイン機能です。
弊社の脅威調査チームは、DNSシステムを悪用するマルウェアの増殖およびセキュリティ回避の技法を正確に深く理解するために、この情報を使用します。また、PAN-DB URLフィルタリング、DNSベースのコマンドアンドコントロール シグネチャ、WildFire™内のお客様の精度と防御機能の向上のために、収集された情報を使用します。
プライバシーとセキュリティ
パッシブDNSモニタリングによって送信されるデータは、ドメイン名からIPアドレスへの単なるマッピング情報です。パロアルトネットワークスはこのデータの送信元の記録を保持していません、よって、後でこのデータを送信元に関連付ける機能はありません。
収集されるデータには、非再帰的DNSクエリや応答パケットへのペイロードが含まれるため、弊社が受信するインテリジェンスは、個々のクライアントではなく、ローカルの再帰的リゾルバから発行されたものになります。弊社は脅威調査に必要な情報のみを収集するため、お客様の組織から、機密扱いの可能性がある会社情報や従業員情報が漏れることはありません。