AnsweredAssumed Answered

DNS Trap

Question asked by korzhf8744f15-77ff-45ae-beab-e51c60fd8de0 on Sep 12, 2018
Latest reply on Sep 24, 2018 by Valeri Loukine

Приветствую!

 

Есть вопрос по Protection type: DNS Trap.

 

Настроен дефолтный DNS Trap, в политике Threat Prevention прописано правило:

Protected Scope: server

Action: MyProfie (в профиле включен Activate DNS Trap, Protection Activation: High Confidence - Prevent, остальные Detect)

 

В событиях на SmartEvent вижу:

---

Event Name: Virus Incident
Source: server
Scope: server
Destination: a104-73-80-132.deploy.static.akamaitechnologies.com (104.73.80.132)
Service: tcp/443
Automatic Reaction Status: Mail: ok
Product Name: Check Point Anti-Virus
Malware Activity: Malicious network activity
Confidence Level: Low
Protection Name: Phishing_website.upvi
Action: Detect
Severity: Critical
Protection Type: DNS Trap

---

 

Стандартно, если я правильно понимаю, при перехвате dns query, CP по дефолту возвращает 62.0.58.94. Обращение к этому адресу (Destionation: 62.0.58.94) из Protected Scope (в моем случае - server) превентится (Action: Prevented) и генерируется событие c Protected Type: DNS Trap, в котором, кстати, указывается URL, при попытке разрешить который, узел и получил адрес трапа(62.0.58.94).

 

Я же вижу событие со следующими характеристиками:

Destination: a104-73-80-132.deploy.static.akamaitechnologies.com (104.73.80.132)

Action: Detect

Protection Type: DNS Trap

 

В destination не адрес ловушки и, соответственно, Action не Prevent. Почему DNS Trap не сработала? 

 

В каком случае генерируется такое событие? Зависит ли это от Confidence Level?

Outcomes