История запросов
В Журнале событий на вкладке «История запросов» 1 отображается таблица, содержащая информацию о всех запросах
- Дата и время DNS-запроса 2
- Источник запроса (IP-адрес) 3
- TI Feed 4
- Домен из запроса (FQDN) 5
- Статус (итоговое действие) 6
- Причина статуса 7
Кроме основных полей можно вывести дополнительные поля для отображения в результатах поиска:
- Зона
- Дата и время DNS-ответа
- Id запроса
- Код DNS-ответа
- Тип DNS-записи
- UUID запроса
- Компания
- Id компании
- Id пользователя
- TI Feed Id
- Источник TI Feed
- TI Индикатор
- Тип TI индикатора
Список полей для расширенного поиска
В таблице приведен список полей и их возможные значения, которые можно использовать для поиска событий с помощью Расширенного поиска
| Название поля для поиска | Название поля в таблице результатов | Описание и возможные значения |
|---|---|---|
| source_ip | Source IP | IP-адрес источника запроса |
| feed_name | TI Feed | Имя фида из справочника фидов (например, MALWARE, PHISHING) |
| fqdn | Домен | Полное доменное имя из запроса |
| action | Статус | Итоговое действие, примененное к запросу. Допустимые значения: ALLOW (Разрешен), DETECT (Предупреждение), BLOCK (Заблокирован) |
| reason | Причина | Код причины, по которой было принято решение |
| request_id | Id запроса | Уникальный числовой идентификатор запроса |
| response_code | Код DNS ответа | Код ответа DNS-сервера (RCODE). 0 — успех (NOERROR), 3 — имя не существует (NXDOMAIN), 5 — отказ (REFUSED) и др. |
| request_type | Тип DNS записи | Тип запрашиваемой DNS-записи (A, AAAA, MX, CNAME, TXT и т.д.) |
| request_uuid | UUID запроса | Уникальный идентификатор запроса в формате UUID |
| client_name | Компания | Название компании |
| client_id | Id компании | Уникальный идентификатор компании в формате UUID |
| user_id | Id пользователя | Уникальный идентификатор пользователя в формате UUID |
| feed_source_id | Id источника TI Feed | Внутренний идентификатор источника TI-фида |
| feed_source_name | Источник TI Feed | Название источника, из которого получен фид (например, Solar TI Feeds) |
| indicator_value | TI индикатор | Значение индикатора компрометации (IoC), с которым было найдено совпадение (домен или IP-адрес) |
| indicator_type | Тип TI индикатора | Тип индикатора. Возможные значения: IPV4-ADDR, IPV6-ADDR, DOMAIN-NAME |
| proxy_id | Id proxy | Идентификатор прокси-сервера (DNS Proxy), обработавшего запрос |
| answer_ips | IP-адрес DNS-ответа | IP-адрес(а), возвращенные в ответе на запрос |
| fqdn_from_domain_list | Домен из списка | Конкретное значение из белого или черного списка, с которым произошло совпадение |
| dga_score | DGA Probability | Вероятность того, что домен сгенерирован DGA-алгоритмом, по версии ML-модели |
| tunnel_score | Tunnel Probability | Вероятность того, что запрос является DNS-туннелированием, по версии ML-модели |
| type_from_domain_list | Тип записи домена в списке | Тип записи домена в белом или черном списке. Возможные значения: domain, wildcard, regexp |
| zone | Зона индикатора | Тип зоны индикатора, получаемый из TI Feeds |