Приветствую!
Есть вопрос по Protection type: DNS Trap.
Настроен дефолтный DNS Trap, в политике Threat Prevention прописано правило:
Protected Scope: server
Action: MyProfie (в профиле включен Activate DNS Trap, Protection Activation: High Confidence - Prevent, остальные Detect)
В событиях на SmartEvent вижу:
---
Event Name: Virus Incident
Source: server
Scope: server
Destination: a104-73-80-132.deploy.static.akamaitechnologies.com (104.73.80.132)
Service: tcp/443
Automatic Reaction Status: Mail: ok
Product Name: Check Point Anti-Virus
Malware Activity: Malicious network activity
Confidence Level: Low
Protection Name: Phishing_website.upvi
Action: Detect
Severity: Critical
Protection Type: DNS Trap
---
Стандартно, если я правильно понимаю, при перехвате dns query, CP по дефолту возвращает 62.0.58.94. Обращение к этому адресу (Destionation: 62.0.58.94) из Protected Scope (в моем случае - server) превентится (Action: Prevented) и генерируется событие c Protected Type: DNS Trap, в котором, кстати, указывается URL, при попытке разрешить который, узел и получил адрес трапа(62.0.58.94).
Я же вижу событие со следующими характеристиками:
Destination: a104-73-80-132.deploy.static.akamaitechnologies.com (104.73.80.132)
Action: Detect
Protection Type: DNS Trap
В destination не адрес ловушки и, соответственно, Action не Prevent. Почему DNS Trap не сработала?
В каком случае генерируется такое событие? Зависит ли это от Confidence Level?