เนื่องจากหลายๆองค์กรจะมี Internal DNS ซึ่งจะให้ Client ภายในเรียกใช้งาน ดังนั้น Traffic ที่ STA ของ Cyber Command จะตรวจสอบเจอจะเป็น Traffic DNS Request ที่ถูกส่งออกมาจาก Internal DNS Server ซึ่งตัว DNS Server ไม่ได้เป็นเครื่องที่ตั้งต้นในการขอ แต่เกิดจาก Client ภายในขอมาอีกที
ดังนั้นจึงจะต้อง Whitelist Internal DNS ออกจากตัว Cyber Command เพื่อให้การแสดงผล Threat ไม่ผิดเพี้ยนและชี้มาว่า DNS Server ภายในเป็นตัวขอ Malicious Request
ขั้นตอนการทำ
1. ไปที่ System
2. ไปที่ Security Capabilities > Whitelists > Audit Whitelist > กด Add
3. กรอก IP Internal DNS แล้วเลือก Log Type: DNS Audit
แล้วกด Save
4. ไปที่ Security Whitelist กด Add Alert Whitelist
เลือก Threat Type: All
เลือก Src IP ของ DNS Server (ถ้ามีหลายเครื่องให้ใส่มาให้หมด)
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น