topic Re: DNS Trap in Russian

DNS Trap

MK9 — Wed, 12 Sep 2018 12:03:28 GMT

Приветствую!

Есть вопрос по Protection type: DNS Trap.

Настроен дефолтный DNS Trap, в политике Threat Prevention прописано правило:

Protected Scope: server

Action: MyProfie (в профиле включен Activate DNS Trap, Protection Activation: High Confidence - Prevent, остальные Detect)

В событиях на SmartEvent вижу:

---

Event Name: Virus Incident
Source: server
Scope: server
Destination: a104-73-80-132.deploy.static.akamaitechnologies.com (104.73.80.132)
Service: tcp/443
Automatic Reaction Status: Mail: ok
Product Name: Check Point Anti-Virus
Malware Activity: Malicious network activity
Confidence Level: Low
Protection Name: Phishing_website.upvi
Action: Detect
Severity: Critical
Protection Type: DNS Trap

---

Стандартно, если я правильно понимаю, при перехвате dns query, CP по дефолту возвращает 62.0.58.94. Обращение к этому адресу (Destionation: 62.0.58.94) из Protected Scope (в моем случае - server) превентится (Action: Prevented) и генерируется событие c Protected Type: DNS Trap, в котором, кстати, указывается URL, при попытке разрешить который, узел и получил адрес трапа(62.0.58.94).

Я же вижу событие со следующими характеристиками:

Destination: a104-73-80-132.deploy.static.akamaitechnologies.com (104.73.80.132)

Action: Detect

Protection Type: DNS Trap

В destination не адрес ловушки и, соответственно, Action не Prevent. Почему DNS Trap не сработала?

В каком случае генерируется такое событие? Зависит ли это от Confidence Level?

Re: DNS Trap

_Val_ — Wed, 12 Sep 2018 15:38:40 GMT

Oтвет в самом вопросе. Вы пишете: Protection Activation: High Confidence - Prevent, остальные Detect.

В логе: Confidence Level: Low

Re: DNS Trap

MK9 — Fri, 14 Sep 2018 07:37:30 GMT

Спасибо за комментарий)

Я, в принципе, тоже так рассуждаю. Но меня смутило несколько событий в выборке, их всего три, в которых Confidence Level: Low, а Action: Prevent.

---

Start Time: 12:32:36 03 Aug 2018
End Time: 12:33:37 03 Aug 2018
Source: server
Scope: server
Destination: DNS_Trap_62.0.58.94 (62.0.58.94)
Service: tcp/443
Direction: Other
Category: Threat Prevention
Product Name: Check Point Anti-Bot
Malware Activity: Communication with C&C site
Event Definition Name: Bot Incident
Confidence Level: Low
Protection Name: cnc server.TC.xw
Action: Prevent
Severity: Critical
Protection Type: DNS Trap

---

Либо я что-то не понимаю, либо на тот момент менялась политика или профиль:)

Re: DNS Trap

Dmitriy_Chazov — Tue, 18 Sep 2018 06:28:54 GMT

А эти описания указаные в Anti-Virus Malware DNS Trap feature :

"Connection was allowed because a DNS trap was set"

"DNS response was replaced with a DNS trap bogus IP"

"Connection to DNS trap bogus IP"

появляются когда Protection Activation для Low Confidence установлен в Prevent?

или где я могу их увидеть.

Re: DNS Trap

_Val_ — Tue, 18 Sep 2018 07:46:42 GMT

все необходимое для установки фичи тут: Threat Prevention R80.10 (Part of Check Point Infinity)

Re: DNS Trap

Dmitriy_Chazov — Tue, 18 Sep 2018 12:07:32 GMT

Вы не ответили, на мой вопрос, где в логах я могу увидеть эти сообщения которые приведены и зAnti-Virus Malware DNS Trap feature:

конкретно для 77.30 и 80.10 где их смотреть.

Например в версии 77.30 в SmartView Tracker я вижу описание события "Connections to IP associated by DNS trap witch malicious domain"

Re: DNS Trap

MK9 — Tue, 18 Sep 2018 19:46:29 GMT

Когда блокируется, я вижу "Connection to DNS trap bogus IP" - тут все понятно, попытка соединения с bogus IP.

Re: DNS Trap

_Val_ — Mon, 24 Sep 2018 13:11:37 GMT

SmartViewTracker сущеcтвует и на R80.10. SmartLog действительно может опускать определенные поля. CPlgv.exe из директории где лежат все исполнимые файлы Сматрконсоли