บทนำ
ในบางสภาพแวดล้อม Internal DNS Server จะทำหน้าที่ Resolve Query จำนวนมากแทน Client ทั่วทั้งองค์กร ทำให้ Athena NDR เห็น DNS Traffic จำนวนมหาศาลมาจาก IP ของ DNS Server เพียงตัวเดียว ซึ่งอาจก่อให้เกิด False Positive หรือกระทบประสิทธิภาพการวิเคราะห์ การ Whitelist Internal DNS Server จึงเป็นสิ่งที่ควรทำหลัง Deploy
ข้อกำหนดเบื้องต้น
- ทราบ IP Address ของ Internal DNS Server ทั้งหมด
- บัญชี Admin ของ Athena NDR
ขั้นตอนการ Whitelist
- Login เข้า Athena NDR Web Console
- ไปที่ System > Security Capabilities > Whitelist
- เลือกแท็บ Internal DNS Server หรือ DNS Whitelist
- คลิก Add
- กรอก Src IP Address ของ DNS Server (สามารถเพิ่มหลาย IP ได้) และเลือก Type เป็น DNS
- บันทึก / Apply
การ Whitelist Asset / IP อื่นๆ ที่เกี่ยวข้อง
- หากมี Proxy Server ภายใน ควร Whitelist ด้วยลักษณะเดียวกัน
- หากมี Internal Scanner / Vulnerability Scanner ที่ทำการ Scan ทั่วทั้งองค์กร ควรแยก Whitelist เพื่อลด False Positive ของพฤติกรรม Port Scan
- สามารถตั้งค่า Asset Category เพื่อแยกการประมวลผลได้ที่ Assets
การตรวจสอบ
- หลัง Apply รอประมาณ 15-30 นาที แล้วสังเกต Incident/Detection ที่เกี่ยวกับ DNS ควรลดลง
- ตรวจสอบที่หน้า Incidents ว่า IP ของ DNS Server ไม่ถูกแจ้งเตือนผิดพลาดอีก
- ตรวจสอบที่ Assets ว่า IP ที่ Whitelist ยังคงมีข้อมูล Flow ปกติ
หมายเหตุ
- การ Whitelist ไม่ได้ทำให้ Traffic หายไป แต่ลดการสร้าง Alert ผิดพลาด
- ควร Review รายการ Whitelist เป็นระยะเพื่อไม่ให้ IP ที่ไม่ควรถูก Whitelist หลุดเข้ามา
- ระวังการ Whitelist IP ที่กว้างเกินไป อาจทำให้พลาดการตรวจจับภัยคุกคามจริง
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น