Create a Post
cancel
Showing results for 
Search instead for 
Did you mean: 
MK9
Contributor

DNS Trap

Приветствую!

Есть вопрос по Protection type: DNS Trap.

Настроен дефолтный DNS Trap, в политике Threat Prevention прописано правило:

Protected Scope: server

Action: MyProfie (в профиле включен Activate DNS Trap, Protection Activation: High Confidence - Prevent, остальные Detect)

В событиях на SmartEvent вижу:

---

Event Name: Virus Incident
Source: server
Scope: server
Destination: a104-73-80-132.deploy.static.akamaitechnologies.com (104.73.80.132)
Service: tcp/443
Automatic Reaction Status: Mail: ok
Product Name: Check Point Anti-Virus
Malware Activity: Malicious network activity
Confidence Level: Low
Protection Name: Phishing_website.upvi
Action: Detect
Severity: Critical
Protection Type: DNS Trap

---

Стандартно, если я правильно понимаю, при перехвате dns query, CP по дефолту возвращает 62.0.58.94. Обращение к этому адресу (Destionation: 62.0.58.94) из Protected Scope (в моем случае - server) превентится (Action: Prevented) и генерируется событие c Protected Type: DNS Trap, в котором, кстати, указывается URL, при попытке разрешить который, узел и получил адрес трапа(62.0.58.94).

Я же вижу событие со следующими характеристиками:

Destination: a104-73-80-132.deploy.static.akamaitechnologies.com (104.73.80.132)

Action: Detect

Protection Type: DNS Trap

В destination не адрес ловушки и, соответственно, Action не Prevent. Почему DNS Trap не сработала? 

В каком случае генерируется такое событие? Зависит ли это от Confidence Level?

0 Kudos
7 Replies
_Val_
Admin
Admin

Oтвет в самом вопросе. Вы пишете: Protection Activation: High Confidence - Prevent, остальные Detect.

В логе: Confidence Level: Low

MK9
Contributor

Спасибо за комментарий)

Я, в принципе, тоже так рассуждаю. Но меня смутило несколько событий в выборке, их всего три, в которых Confidence Level: Low, а Action: Prevent.

---

Start Time: 12:32:36 03 Aug 2018
End Time: 12:33:37 03 Aug 2018
Source: server
Scope: server
Destination: DNS_Trap_62.0.58.94 (62.0.58.94)
Service: tcp/443
Direction: Other
Category: Threat Prevention
Product Name: Check Point Anti-Bot
Malware Activity: Communication with C&C site
Event Definition Name: Bot Incident
Confidence Level: Low
Protection Name: cnc server.TC.xw
Action: Prevent
Severity: Critical
Protection Type: DNS Trap

---

Либо я что-то не понимаю, либо на тот момент менялась политика или профиль:)

0 Kudos
Dmitriy_Chazov
Contributor

А эти описания указаные в Anti-Virus Malware DNS Trap feature :

"Connection was allowed because a DNS trap was set"

"DNS response was replaced with a DNS trap bogus IP"

"Connection to DNS trap bogus IP"

появляются когда Protection Activation для Low Confidence установлен в Prevent?

или где я могу их увидеть.

0 Kudos
_Val_
Admin
Admin

все необходимое для установки фичи тут: Threat Prevention R80.10 (Part of Check Point Infinity) 

0 Kudos
Dmitriy_Chazov
Contributor

Вы не ответили, на мой вопрос, где в логах я могу увидеть эти сообщения которые приведены и зAnti-Virus Malware DNS Trap feature:

конкретно для 77.30 и 80.10 где их смотреть.

Например в версии 77.30 в SmartView Tracker я вижу описание события "Connections to IP associated by DNS trap witch malicious domain"

0 Kudos
_Val_
Admin
Admin

SmartViewTracker сущеcтвует и на R80.10. SmartLog действительно может опускать определенные поля. CPlgv.exe из директории где лежат все исполнимые файлы Сматрконсоли


0 Kudos
MK9
Contributor

Когда блокируется, я вижу "Connection to DNS trap bogus IP" - тут все понятно, попытка соединения с bogus IP.

0 Kudos
Upcoming Events

    CheckMates Events