บทนำ
ในสภาพแวดล้อมที่มี LAN DNS Server ทำหน้าที่ Forward DNS Query ไปยังภายนอก Athena STA อาจระบุ DNS Server เป็น Risky Host หรือ Business System เนื่องจากทราฟฟิก DNS จะผ่าน DNS Server เสมอ บทความนี้อธิบายวิธีการจัดการเพื่อให้การตรวจจับมีความถูกต้อง
ข้อควรระวัง
- เมื่อ STA รับทราฟฟิกที่ถูก Forward โดย LAN DNS Server อาจไม่สามารถระบุต้นทางของทราฟฟิก DNS ที่แท้จริงได้
- DNS Server ภายในอาจถูกเข้าใจผิดว่าเป็น Host ที่มีความเสี่ยง
การวิเคราะห์ทราฟฟิก
- ทำการ Mirror ทราฟฟิกจาก PC หรือระบบธุรกิจ ก่อน ที่จะถึง LAN DNS Server
- ตรวจดู Packet บนพอร์ต 53 ของ DNS Server
- ถ้า IP ของ DNS Server ปรากฏเป็นทั้ง Source และ Destination: เพิ่ม IP ของ DNS Server เข้า Global Whitelist
- ถ้า IP ของ DNS Server ปรากฏเป็น Source อย่างเดียว: แสดงว่าทราฟฟิกที่ถูก Mirror มีเฉพาะข้อมูลที่ Forward แล้ว ต้องไป Mirror ใหม่จากต้นทาง
- ถ้า IP ของ DNS Server ปรากฏเป็น Destination อย่างเดียว: Mirror ถูกต้อง ให้เพิ่ม DNS Server เข้า Whitelist
ขั้นตอนการตั้งค่า Whitelist
- ล็อกอินเข้า Web Console ของ Athena STA
- ไปที่ Policy > Audit Whitelist
- คลิก Add และเพิ่ม IP ของ LAN DNS Server
- ระบุ Description เช่น "LAN DNS Server - Exclude from detection"
- กด Save และ Apply Policy
- หากใช้งาน Vulnerability Scanner ให้เพิ่ม IP ของ Scanner เข้า Whitelist ด้วย
การตรวจสอบ (Verification)
ตรวจสอบที่ Detection Logs และ Alerts ว่าไม่มีการแจ้งเตือน False Positive ที่มี DNS Server เป็นต้นทางแบบผิดบริบท และทราฟฟิก DNS ของ Client ถูกวิเคราะห์อย่างถูกต้อง
หมายเหตุ (Notes)
- แนะนำให้ใช้ Audit Whitelist แทนการสร้าง Global Exception ที่กว้างเกินไป
- ทุกครั้งที่เพิ่มหรือแก้ไข DNS Server ภายใน ต้องทบทวน Whitelist
- ในกรณีที่องค์กรมี DNS Server หลายตัว ควรเพิ่มทั้งหมดเข้า Whitelist
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น