Palo Alto Networks ファイアウォールの Advanced DNS Security は、さまざまな DNS ベースの攻撃を識別して防止するように設計されています。リストされているオプションの中で、「高エントロピー DNS ドメイン」は、Advanced DNS Security が検出してブロックできる DNS 攻撃の具体的な例です。
* なぜ「高エントロピー DNS ドメイン」なのか (正解 A)?高エントロピー DNS ドメインは、マルウェアやボットが検出を回避するためにランダムに生成されたドメイン名 (例: gfh34ksdu.com) を利用する攻撃でよく使用されます。これは、ドメイン生成アルゴリズム (DGA) ベースの攻撃の特徴です。
高度な DNS セキュリティを備えた Palo Alto Networks ファイアウォールは、機械学習を使用して DNS クエリのエントロピー (ランダム性) を分析し、このようなドメインを検出します。エントロピー値が高いと、動的に生成されたドメインまたは悪意のあるドメインである可能性が高くなります。
* 「ポリモーフィック DNS」(オプション B) ではないのはなぜですか?ポリモーフィック DNS は検出を回避するために DNS レコードを動的に変更する手法を指しますが、Palo Alto Networks のドキュメントでは、Advanced DNS Security によって軽減される攻撃タイプとして具体的には特定されていません。ファイアウォールは、DGA ドメインや異常な DNS トラフィック パターンの検出など、DNS クエリの動作に重点を置いています。
* 「CNAME クローキング」(オプション C) ではないのはなぜですか?CNAME クローキングでは、CNAME レコードを使用して DNS クエリを悪意のあるドメインまたは非表示のドメインにリダイレクトします。Palo Alto ファイアウォールは悪意のある DNS リダイレクトを検出してブロックできますが、Advanced DNS Security の主な焦点は、DGA ドメイン、トンネリング、高エントロピー クエリなどの DNS 悪用のパターンを特定することにあります。
* 「DNS ドメインのブランド変更」(オプション D) ではないのはなぜですか?DNS ドメインのブランド変更では、検出を回避するために悪意のあるアクティビティに関連付けられたドメイン名を変更します。これは通常、永続性を保つために使用される戦術ですが、Advanced DNS Security が特に対処している DNS 攻撃の種類の例ではありません。
高度な DNS セキュリティは、高エントロピー ドメイン、DNS トンネリング、プロトコル違反などの疑わしい DNS パターンを動的かつリアルタイムで識別することに重点を置いています。高エントロピー DNS ドメインは DGA などの攻撃メカニズムに直接結びついているため、これが正しい答えとなります。