- Products
- Learn
- Local User Groups
- Partners
- More
This website uses Cookies. Click Accept to agree to our website's cookie use as described in our Privacy Policy. Click Preferences to customize your cookie settings.
- Products
- Learn
- Local User Groups
- Upcoming Events
- Americas
- EMEA
- Czech Republic and Slovakia
- Denmark
- Netherlands
- Germany
- Sweden
- United Kingdom and Ireland
- France
- Spain
- Norway
- Ukraine
- Baltics and Finland
- Greece
- Portugal
- Austria
- Kazakhstan and CIS
- Switzerland
- Romania
- Turkey
- Belarus
- Belgium & Luxembourg
- Russia
- Poland
- Georgia
- DACH - Germany, Austria and Switzerland
- Iberia
- Africa
- Adriatics Region
- Eastern Africa
- Israel
- Nordics
- Middle East and Africa
- Balkans
- Italy
- Bulgaria
- Cyprus
- APAC
- Partners
- More
- ABOUT CHECKMATES & FAQ
- Sign In
- Leaderboard
- Events
Step Into the Future of
AI-Powered Cyber Security
The State of Ransomware Q1 2026
Key Trends and Their Impact
AI Security Masters E8:
Claude Mythos: New Era in Cyber Security
Blueprint Architecture for Securing
The AI Factory & AI Data Center
Call For Papers
Your Expertise. Our Stage
CheckMates Go:
CheckMates Fest
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for
Who rated this post
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
DGA vs DNS Tunneling no Check Point (ThreatCloud AI)
Como fechar o caso com evidência (TAC-grade) sem cair em troubleshooting “no escuro”
Por que esse post existe (dor real)
Se você já passou por um desses cenários, sabe como isso vira “tempo queimado” rápido:
-
“Domínios aleatórios” aparecendo em logs (parece DGA, mas ninguém consegue provar).
-
Suspeita de DNS tunneling, mas a análise vira opinião porque falta baseline e evidência.
-
A equipe cria exceção global “pra resolver rápido” e isso vira buraco permanente.
-
Alguém confunde ThreatCloud (inteligência) com enforcement, e o troubleshooting vai para o lado errado.
Este guia é um modelo TAC-grade para explicar, provar e operar DGA e DNS tunneling com rigor.
0) Modelo mental (o erro #1 que quebra troubleshooting)
Control plane: ThreatCloud AI (inteligência/veredito)
-
ThreatCloud AI fornece reputação + contexto + veredito (ex.: suspeito/malicioso, categoria).
-
Ele não aplica bloqueio sozinho.
Data plane: Enforcement point (gateway/endpoint/cloud)
-
O bloqueio/detecção acontece no enforcement point, controlado por:
-
blades habilitadas
-
policy e escopo
-
visibilidade do DNS (path real do DNS)
-
✅ Regra TAC: caso fechado = timestamp + entidade (host/user) + FQDN + veredito/categoria + ação aplicada no enforcement point.
1) Fast triage em 10 minutos (sem achismo)
-
Fixe o timestamp do evento/teste (exato).
-
Identifique host/user/IP de origem.
-
Extraia o FQDN e observe o padrão:
-
muitos domínios “randomizados”/únicos → tende a DGA
-
poucos domínios base, subdomínios longos e variáveis → tende a tunneling
-
-
Confirme no log do enforcement point:
-
categoria/veredito (DGA/DNS tunneling/suspicious DNS)
-
ação (Prevent/Detect/Bypass/Allow)
-
-
Classifique rapidamente:
-
1 host com padrão forte → maior chance de comprometimento
-
muitos hosts no mesmo “domínio estranho” → valide CDN/telemetria/SaaS antes de escalar
-
2) Tabela TAC — Sintoma → Causa provável → Como provar
| Sintoma no campo | Causa provável | Como provar (evidência mínima) |
|---|---|---|
| Muitos domínios “randômicos”, first-seen | DGA/C2 resiliente | Log com FQDNs múltiplos + timestamp + ação (Detect/Prevent) + origem (host/user) |
| Subdomínios muito longos/alta entropia | DNS tunneling (payload) | Padrão em log/PCAP: labels longos + cadência alta + mesmo domínio base |
| “Suspeito”, mas não bloqueia | Sem enforcement / scope errado / DNS fora do gateway | Log mostra Allow/Bypass ou ausência de evento no enforcement point |
| “Bloqueou”, mas parece falso positivo | Domínio legítimo (CDN/telemetria/SaaS) parecido com DGA | Evidência de múltiplos hosts acessando o mesmo domínio + validação de legitimidade |
| Ambiente com ruído e exceções crescendo | Governança fraca | Exceções sem owner/expiry e sem evidence pack anexado |
| Resultado inconsistente por rede/usuário | DNS path diferente (resolver local, DoH/DoT, split) | Host A loga no gateway; Host B sai direto / DoH — comportamento diverge |
3) DGA (Domain Generation Algorithm) — o que você precisa saber para operar
O que é (no nível certo)
DGA é geração automática de domínios por malware para manter C2 mesmo com bloqueios. A característica operacional é alta rotatividade de domínios “newly seen”.
O que sustenta a detecção (defensável e observável)
-
Features lexicais/estatísticas (entropia, comprimento de labels, distribuição de caracteres)
-
Churn: muitos FQDNs únicos em curto intervalo
-
Contexto: first-seen/newly observed + correlações (quando disponíveis)
✅ Prova TAC mínima para fechar DGA
-
timestamp do teste
-
host/user
-
lista de FQDNs (amostra + contagem em janela curta)
-
categoria/veredito
-
ação aplicada
4) DNS Tunneling — o que realmente fecha o caso
O que é (no nível certo)
DNS tunneling = abuso de DNS para exfiltração e/ou C2. A chave é padrão comportamental, não um IOC único.
Sinais técnicos que valem investigação
-
subdomínios longos e pouco “humanos” (payload-like)
-
alta frequência com cadência regular (beaconing)
-
domínio base repetido com label variando
-
baseline por host “quebrado” (um endpoint muda o perfil DNS)
✅ Prova TAC mínima
-
timestamp
-
host/user
-
FQDN + padrão (ex.: 10 exemplos com labels longos)
-
taxa/volume (quando disponível)
-
categoria/veredito
-
ação aplicada
-
(ideal) PCAP/log do resolver para evidenciar o padrão
5) Onde buscar evidência (sem depender de memória)
Enforcement (fonte de verdade)
-
SmartLog / SmartEvent / pipeline SIEM
Query lógica (adapte à sua sintaxe):
-
(Action: Prevent OR Detect) AND (Category: "DNS Tunneling" OR "DGA") AND (src:<IP> OR user:<user>) AND (time:<window>)
Correlação
-
sempre por timestamp e entidade (host/user)
-
checar recorrência: 5–15 min em torno do evento
Rede (quando precisar “prova definitiva”)
-
logs do resolver corporativo ou PCAP para:
-
cadência
-
estrutura dos subdomínios
-
volume
-
6) Evidence Pack (copiar/colar) — padrão CheckMates/TAC
Cole isso quando abrir tópico/caso:
-
Versão/Take do gateway:
-
Blades relevantes habilitadas:
-
Timestamp exato do teste:
-
Host / User / IP origem:
-
FQDN(s) (amostra):
-
Categoria/Veredito:
-
Ação aplicada (Prevent/Detect/Bypass/Allow):
-
Policy/Rule/Blade (se log expõe):
-
Recorrência (quantos eventos em X min):
-
Rede: DNS via gateway? resolver local? DoH/DoT?
-
Anexo: screenshot/exports do log no intervalo do teste
7) Governança de exceções (onde a maioria dos ambientes “perde maturidade”)
Exceção sem controle vira dívida de risco.
Toda exceção deve ter:
-
escopo (grupo/host — não global por padrão)
-
justificativa
-
owner
-
review/expiry date
-
evidence pack anexado
Referências oficiais (Check Point)
-
sk175623 — ThreatCloud DGA protection
-
sk178487 — ThreatCloud DNS Tunneling Protection
-
sk176865 — Check Point response to Log4j RCE
Pergunta para a comunidade (para gerar discussão útil)
Na experiência de vocês, o que mais dói hoje?
-
Falsos positivos em “domínios estranhos” (DGA vs CDN/telemetria), ou
-
Suspeita de DNS tunneling sem baseline/evidência suficiente para fechar o caso?
About CheckMates
Learn Check Point
Advanced Learning
YOU DESERVE THE BEST SECURITY
©1994-2026 Check Point Software Technologies Ltd. All rights reserved.
Copyright
Privacy Policy
About Us
UserCenter