Параметры события

Каждый столбец таблицы событий содержит значения определенного параметра события. Вы можете выбрать отображаемые столбцы, см. раздел Настройка столбцов таблицы событий.

Список параметров события, используемых в веб-интерфейсе решения, приведен ниже:

Блок параметров события

Параметры в этом блоке

Информация о DNS-запросе

  • Дата и время DNS-запроса — дата и время поступления DNS-запроса.

  • Домен — домен источника DNS-запроса.

  • IP-адрес источника DNS-запроса — IP-адрес источника DNS-запроса.

  • Тип DNS-записи — тип ресурсной записи DNS, например:

    • A — связывает имя узла с адресом протокола IPv4.

    • AAAA — связывает имя узла с адресом протокола IPv6.

    • NS — указывает DNS-сервер для домена.

  • Действие политики — содержит названия:

    • Действия, выполняемого над DNS-запросом/ответом, например: Разрешать, Блокировать, Митигировать.

    • Политики BI.ZONE Secure DNS, применяемой для DNS-запроса/ответа, например: Anti DNS Tunnel, Web Category.

  • Класс DNS-запроса — значение указывает на тип сети, по которой передается DNS-запрос. Практически всегда содержит значение IN, соответствующее сети Интернет.

  • Криптографический протокол — название криптографического протокола (или значение Plain Text в случае его отсутствия), применяемого для шифрования DNS-трафика. Например: DoH, DoT.

Информация о DNS-ответе

  • Дата и время DNS-ответа — дата и время поступления DNS-ответа.

  • Код DNS-ответа — код DNS-ответа, сообщающий, бы ли успешно выполнен DNS-запрос и, в случае ошибки, причину этой ошибки. Например:

    • NOERROR — DNS-запрос обработан без ошибок.

    • FORMERR — ошибка формата DNS-запроса.

    • SERVFAIL — DNS-сервер не смог обработать запрос.

    • NXDOMAIN — доменное имя не найдено или не существует.

    • REFUSED — DNS-сервер отклонил запрос.

  • Расширенные DNS-ошибки — содержит описания ошибок при разрешении домена на всей цепочке взаимодействия от DNS-запроса до DNS-ответа.

  • Флаги заголовка DNS-ответа — флаги заголовка в пакете DNS, содержащие дополнительную информацию, например:

    • TC – сообщение было усечено из-за превышения разрешенной длины.

    • AA – отвечающий сервер имен является авторитетным сервером.

    • AD – все данные, включенные в разделы ответа и полномочий, были проверены сервером в соответствии с политикой этого сервера.

    • RD – указание серверу имен выполнять запрос рекурсивно.

    • CD – непроверенные данные приемлемы для системы, отправляющей запрос.

    • RA – сервер имен поддерживает рекурсивные запросы.

  • Размер DNS-ответа, байт — размер пакета DNS-ответа в байтах.

  • ID транзакции — целое число, являющееся уникальным идентификатором DNS-транзакции.

Расширенная информация

  • Источник информации об IoC — источник информации об индикаторе компрометации (IoC), например: BiZone CERT, FinCERT.

  • Категория в базе TI — категория вредоносной активности в базе TI (Threat Intelligence), например: Malware, Phishing.

  • Достоверность IoC — целое число в диапазоне от 1 до 100, указывающее на степень достоверности индикатора компрометации (IoC). Большее значение соответствует большей степени достоверности.

  • Группа веб-категорий — название группы веб-категорий, к которой относится домен, например, IT и бизнес.

  • Веб-категория — название веб-категории, к которой относится домен, например, Онлайн-встречи.

  • Обнаружен DNS-туннель — содержит значение Да, если для DNS-запроса обнаружен DNS-туннель.

    Политики DNS-ответа

  • IP-адрес в TI — IP-адрес из DNS-ответа, обнаруженный в базе TI (Threat Intelligence).

  • IP-адрес в BlackList — IP-адрес из DNS-ответа, обнаруженный в черном списке IP-адресов.

  • IP-адрес в Anti DNS Rebinding — IP-адрес, который был удален из DNS-ответа в результате применения политики Anti DNS Rebinding.