當您配置了自訂防護規則或威脅情報防護規則,對應生效範圍內的網域名稱查詢請求命中對應的防護規則後,便會產生安全日誌,您可以通過安全日志功能查看詳細的威脅網域名稱處置日誌。
操作步驟
選擇安全日志 > 内网DNS防火墙。
欄位說明
如果查詢網域名稱命中自定义防护规则,不涉及威胁情报类型、威胁等级、置信度等參數,所以對應欄位的內容為空白。
欄位 | 說明 |
解析应答时间 | DNS伺服器應答的時間。 |
源IP地址 | 源IP地址是指向DNS發起解析請求的IP地址,一般為用戶端IP地址。 |
查询域名 | 本次DNS請求查詢的目標網域名稱。 |
威胁情报类型 | 威脅情報分類,例如病毒木馬、遠控、APT進階持久性威脅、漏洞利用、異常通訊、供應鏈攻擊、勒索攻擊、挖礦行為、釣魚攻擊、合規風險。預設選擇所有類型。 |
威胁等级 | 表示該網域名稱與惡意活動的關聯程度或潛在危害的嚴重性。分為高危、中危及以上、低危及以上多個層級,反映該網域名稱可能涉及的攻擊類型和影響範圍。預設選擇高危。 |
置信度 | 表示威脅情報庫對該網域名稱威脅判斷的可信程度。高信賴度意味著情報來源可靠、證據充分;低信賴度則可能因資料不足或存在爭議。分為低及以上、中及以上、高,預設選擇高。 |
查询记录类型 | 例如A、AAAA、CNAME、MX等解析類型。 |
协议 | 本次網域名稱查詢請求所用的協議,企業遞迴網關接入情境一般為UDP、移動解析HTTPDNS接入情境一般為HTTP、HTTPS 。 |
解析结果 | 網域名稱解析結果。 |
拦截处置动作 | DNS防火牆在識別到合格DNS流量後,需要進行攔截處置。支援的處置動作如下:
|
命中规则ID | 本次網域名稱查詢命中的防護規則ID,單擊ID可查看具體規則資訊。 |
规则分类 | 本次查詢命中的防護規則類型,分為威胁情报防护规则和自定义防护规则。 |
解析服务器IP | 本次DNS查詢請求應答權威伺服器IP地址。 |
條件查詢
生效範圍條件查詢
預設展示所有生效範圍的安全日誌,支援選擇具體生效範圍(VPC)查詢日誌。
時間條件查詢
支援最長1年內的任意時間段查詢。
關鍵詞查詢
支援通過網域名稱等關鍵詞查詢。