DNS Analyzer Dashboard

Im DNS Analyzer Dashboard werden grundlegende Statistikinformationen der DNS Request-Verarbeitung grafisch in einer Timeline angezeigt. Über das "Zahnrad" können die Konfigurationseinstellungen bearbeitet werden.

Prerequisites

• QRadar SIEM Release 7.3.1 und aktueller
• Es werden Logsourcen benötigt, die DNS Domain Infos unterstützen
• QRadar Network Insights (QNI) unterstützt Flow Records mit DNS Visibilität
• Die App benötigt 4 GB RAM, von daher empfehlenswert einen Apphost zu etablieren
• Der X-Force Threat Intelligence Feed muss aktiviert sein
  

Architektur

QRadar DNS Analyzer unterstützt Einblicke in den lokalen DNS Traffic und identifiziert heimtückische Aktivitäten. Angereichert durch die Informationen aus dem IBM X-Force Intelligence Feed unterstützen diese Erkenntnisse das Security Team bei der Früherkennung folgender Zugriffe, die aus ihrem Netzwerk aufgerufen werden:

• Domain Generated Algorithm (DGA)
• Tunneling oder
• Squatting Domains

Data Sources / Analytics Settings

QNI Flows oder Logs mit Domain Informationen von Geräten wie einem DNS Servers (BIND), Proxies, Apache Web Servers oder anderen BIND kompatiblen Geräten helfen dabei, ausgehenden Internet-Verkehr zu überwachen und zu erkennen, wenn heimtückische Seiten aufgerufen werden. Beispielsweise:

• BIND DNS server
• Infoblox DNS server
• Microsoft DNS server
• BlueCat Networks Adonis DNS server
• Apache Proxy server
• Squid Proxy server
• McAfee Web Gateway server
• Cisco IronPort Web Security Appliance
• Check Point Firewall

Pulse Integration

DNS Analyzer ist ebenso im “next Generation Dashboard” Pulse integriert.

Domain Filtering

Mit dem DNS Analyzer Dashboard besteht die Möglichkeit mit DNS Domain Black- und Whitelisten zu arbeiten.

Blacklist Event Log Nachrichten

Wurde beispielsweise von der DNS Analyzer App ein Zugriff auf eine in der DNS-Blacklist-Domain festgestellt, werden dafür automatisch Blacklist Event Log Nachrichten generiert.

MS DNS Debug Logs aktivieren

Die MS DNS Debug Logs können im DNS Manager des Microsoft Active Directory Servers unter Properties im Register "Debug Logging" aktiviert werden. Je nach Einstellungen kann das sehr Performance-intensiv sein!

Der "Logfile Pfad" wird in der Konfiguration der QRadar Logsource verwendet und zur Verarbeitung ausgelesen.

MS DNS Debug Logs

Hier ein Praxisbeispiel für eine Logsource, die DNS Domain Infos unterstützt. Über einfaches Onboarding der Microsoft DNS Debug Logs im SIEM360 mit dem Protocol Type “Wincollect Microsoft DNS Debug” können die DNS Domain Infos vom DNS Analyser analysiert werden.