جمع سجلات تدقيق استعلامات DNS
الوصف
جمع سجلات تدقيق استعلامات DNS على أصول المؤسسة حيثما كان ذلك مناسبًا ومدعومًا.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة إدارة معلومات وأحداث الأمان مع إدارة السجلات واكتشاف التهديدات والتحقيق وإعداد تقارير الامتثال عبر مصادر بيانات المؤسسة
Cisco (Splunk) · قائم على حجم البيانات المستوعبة أو حجم العمل
منصة سحابية أصلية لإدارة معلومات وأحداث الأمان والاستجابة الآلية للتهديدات مع تحليلات مدعومة بالذكاء الاصطناعي واستجابة آلية للتهديدات وتكامل أصلي مع بيئة السحابة
Microsoft · الدفع حسب الاستخدام (لكل غيغابايت مستوعبة)
منصة عالية الأداء لإدارة السجلات والمراقبة مصممة للبيانات بحجم بيتابايت مع البحث في الوقت الفعلي
CrowdStrike · اشتراك لكل غيغابايت
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
تهرب القيادة والتحكم القائم على DNS
السريةتتواصل البرمجيات الخبيثة مع بنية القيادة والتحكم التحتية باستخدام نفق DNS أو DNS-over-HTTPS، وبدون تسجيل استعلامات DNS لا تستطيع المؤسسة كشف هذه القنوات السرية أو تحديد المضيفات المخترقة.
تسريب البيانات عبر استعلامات DNS
السريةيشفر المهاجمون البيانات المسروقة في نطاقات فرعية لاستعلامات DNS لتسريب المعلومات الحساسة عبر بروتوكول DNS، والذي بدون تسجيل الاستعلامات يبدو كحركة مرور DNS عادية ويتجاوز ضوابط DLP التقليدية.
حل نطاقات خبيثة بدون كشف
السلامةتحل أصول المؤسسة نطاقات خبيثة معروفة ومواقع تصيد أو بنية تهديد مسجلة حديثاً، لكن بدون سجلات استعلامات DNS لا يمتلك فريق الأمان رؤية لمؤشرات الاختراق هذه.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود تسجيل استعلامات DNS على خوادم DNS المؤسسية
خوادم DNS الداخلية والمحللات ليس لديها تسجيل استعلامات ممكّن، مما يوفر رؤية صفرية للنطاقات التي يتم حلها بواسطة أصول المؤسسة ويلغي مصدر بيانات حرجاً لكشف التهديدات.
تجاوز استعلامات DNS للمحللات المراقبة
يُسمح لنقاط النهاية بإجراء استعلامات DNS مباشرة إلى محللات خارجية (8.8.8.8 و1.1.1.1) بدلاً من إجبارها عبر خوادم DNS المؤسسية، مما يتجاوز تماماً أي تسجيل DNS موجود.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| تقني | تهيئة تصفية DNS وإحصائيات الحظر | شهرياً |
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |