This website uses Cookies. Click Accept to agree to our website's cookie use as described in our Privacy Policy. Click Preferences to customize your cookie settings.
Accept
Reject
Preferences
ABOUT CHECKMATES CYBER SECURITY COMMUNITY & FAQ
Create a Post
Help
cancel
Turn on suggestions
Showing results for 
Search instead for 
Did you mean: 

Are you a member of CheckMates?

×
Sign in with your Check Point UserCenter/PartnerMap account to access more great content and get a chance to win some Apple AirPods! If you don't have an account, create one now for free!
MK9
Contributor
‎2018-09-12 05:03 AM

DNS Trap

Приветствую!

Есть вопрос по Protection type: DNS Trap.

Настроен дефолтный DNS Trap, в политике Threat Prevention прописано правило:

Protected Scope: server

Action: MyProfie (в профиле включен Activate DNS Trap, Protection Activation: High Confidence - Prevent, остальные Detect)

В событиях на SmartEvent вижу:

---

Event Name: Virus Incident
Source: server
Scope: server
Destination: a104-73-80-132.deploy.static.akamaitechnologies.com (104.73.80.132)
Service: tcp/443
Automatic Reaction Status: Mail: ok
Product Name: Check Point Anti-Virus
Malware Activity: Malicious network activity
Confidence Level: Low
Protection Name: Phishing_website.upvi
Action: Detect
Severity: Critical
Protection Type: DNS Trap

---

Стандартно, если я правильно понимаю, при перехвате dns query, CP по дефолту возвращает 62.0.58.94. Обращение к этому адресу (Destionation: 62.0.58.94) из Protected Scope (в моем случае - server) превентится (Action: Prevented) и генерируется событие c Protected Type: DNS Trap, в котором, кстати, указывается URL, при попытке разрешить который, узел и получил адрес трапа(62.0.58.94).

Я же вижу событие со следующими характеристиками:

Destination: a104-73-80-132.deploy.static.akamaitechnologies.com (104.73.80.132)

Action: Detect

Protection Type: DNS Trap

В destination не адрес ловушки и, соответственно, Action не Prevent. Почему DNS Trap не сработала? 

В каком случае генерируется такое событие? Зависит ли это от Confidence Level?

0 Kudos
7 Replies
_Val_
Admin
Admin
‎2018-09-12 08:38 AM

Oтвет в самом вопросе. Вы пишете: Protection Activation: High Confidence - Prevent, остальные Detect.

В логе: Confidence Level: Low

MK9
Contributor
‎2018-09-14 12:37 AM
In response to _Val_

Спасибо за комментарий)

Я, в принципе, тоже так рассуждаю. Но меня смутило несколько событий в выборке, их всего три, в которых Confidence Level: Low, а Action: Prevent.

---

Start Time: 12:32:36 03 Aug 2018
End Time: 12:33:37 03 Aug 2018
Source: server
Scope: server
Destination: DNS_Trap_62.0.58.94 (62.0.58.94)
Service: tcp/443
Direction: Other
Category: Threat Prevention
Product Name: Check Point Anti-Bot
Malware Activity: Communication with C&C site
Event Definition Name: Bot Incident
Confidence Level: Low
Protection Name: cnc server.TC.xw
Action: Prevent
Severity: Critical
Protection Type: DNS Trap

---

Либо я что-то не понимаю, либо на тот момент менялась политика или профиль:)

0 Kudos
Dmitriy_Chazov
Contributor
‎2018-09-17 11:28 PM
In response to _Val_

А эти описания указаные в Anti-Virus Malware DNS Trap feature :

"Connection was allowed because a DNS trap was set"

"DNS response was replaced with a DNS trap bogus IP"

"Connection to DNS trap bogus IP"

появляются когда Protection Activation для Low Confidence установлен в Prevent?

или где я могу их увидеть.

0 Kudos
_Val_
Admin
Admin
‎2018-09-18 12:46 AM
In response to Dmitriy_Chazov

все необходимое для установки фичи тут: Threat Prevention R80.10 (Part of Check Point Infinity) 

0 Kudos
Dmitriy_Chazov
Contributor
‎2018-09-18 05:07 AM
In response to _Val_

Вы не ответили, на мой вопрос, где в логах я могу увидеть эти сообщения которые приведены и зAnti-Virus Malware DNS Trap feature:

конкретно для 77.30 и 80.10 где их смотреть.

Например в версии 77.30 в SmartView Tracker я вижу описание события "Connections to IP associated by DNS trap witch malicious domain"

0 Kudos
_Val_
Admin
Admin
‎2018-09-24 06:11 AM
In response to Dmitriy_Chazov

SmartViewTracker сущеcтвует и на R80.10. SmartLog действительно может опускать определенные поля. CPlgv.exe из директории где лежат все исполнимые файлы Сматрконсоли


0 Kudos
MK9
Contributor
‎2018-09-18 12:46 PM
In response to Dmitriy_Chazov

Когда блокируется, я вижу "Connection to DNS trap bogus IP" - тут все понятно, попытка соединения с bogus IP.

0 Kudos
Upcoming Events

    CheckMates Events
    li.common.scroll-to.top