当您配置了自定义防护规则或威胁情报防护规则,对应生效范围内的域名查询请求命中对应的防护规则后,便会产生安全日志,您可以通过安全日志功能查看详细的威胁域名处置日志。
操作步骤
访问云解析DNS-日志服务。
选择安全日志 > 内网DNS防火墙。
字段说明
如果查询域名命中自定义防护规则,不涉及威胁情报类型、威胁等级、置信度等参数,所以对应字段的内容为空。
字段 | 说明 |
解析应答时间 | DNS服务器应答的时间。 |
源IP地址 | 源IP地址是指向DNS发起解析请求的IP地址,一般为客户端IP地址。 |
查询域名 | 本次DNS请求查询的目标域名。 |
威胁情报类型 | 威胁情报分类,例如病毒木马、远控、APT高级持续性威胁、漏洞利用、异常通信、供应链攻击、勒索攻击、挖矿行为、钓鱼攻击、合规风险。默认选择所有类型。 |
威胁等级 | 表示该域名与恶意活动的关联程度或潜在危害的严重性。分为高危、中危及以上、低危及以上多个级别,反映该域名可能涉及的攻击类型和影响范围。默认选择高危。 |
置信度 | 表示威胁情报库对该域名威胁判断的可信程度。高置信度意味着情报来源可靠、证据充分;低置信度则可能因数据不足或存在争议。分为低及以上、中及以上、高,默认选择高。 |
查询记录类型 | 例如A、AAAA、CNAME、MX等解析类型。 |
协议 | 本次域名查询请求所用的协议,企业递归网关接入场景一般为UDP、移动解析HTTPDNS接入场景一般为HTTP、HTTPS 。 |
解析结果 | 域名解析结果。 |
拦截处置动作 | DNS防火墙在识别到符合条件的DNS流量后,需要进行拦截处置。支持的处置动作如下:
|
命中规则ID | 本次域名查询命中的防护规则ID,单击ID可查看具体规则信息。 |
规则分类 | 本次查询命中的防护规则类型,分为威胁情报防护规则和自定义防护规则。 |
解析服务器IP | 本次DNS查询请求应答权威服务器IP地址。 |
条件查询
生效范围条件查询
默认展示所有生效范围的安全日志,支持选择具体生效范围(VPC)查询日志。
时间条件查询
支持最长1年内的任意时间段查询。
关键词查询
支持通过域名等关键词查询。