Cybersecurity, IT Ops

Analisando queries de transações DNS para otimizar e proteger a operação de TI

Analisando queries de transações DNS para otimizar e proteger a operação de TI

By zerum

Criado:
26 nov, 2019
5 anos atrás
Data da última atualização: 17/10/2022

TAGS:

< Voltar para o blog

Veja como explorar requisições de nomes de domínio feitas através servidores DNS, e entender melhor seus usuários.

Queries de transações DNS carregam diversos campos que podem fornecer respostas sobre operações de TI, como quais são os recursos mais demandados pelos usuários, por exemplo.

Soluções de Wire Data Analytics, como o Zerum Valk, capturam o tráfego DNS, permitindo a análise dos seus metadados em tempo real.

Queries DNS mais executadas com sucesso

Para iniciar a análise de transações DNS com Wire Data Analytics, é importante distinguir o escopo dos sistemas. São sistemas acessíveis pela internet que possuem um nome público, como um servidor web, ou são sistemas internos, acessíveis apenas da sua rede, como um servidor SMTP ou SMB?

Com isso em mente, podemos analisar a quantidade de transações DNS realizadas por dia. Cada transação é composta pelo nome requisitado, a resposta associada, IP de origem e dados temporais como tempo total de resolução e tempo de transferência.

Assim é possível descobrir os recursos mais requisitados (utilizados) pelos usuários e desenhar um perfil do uso da rede, encontrar a causa de erros e otimizar a operação.

Lentidões no acesso a sistemas internos podem significar que o balanceamento de carga deve ser melhorado. A escalabilidade da plataforma de e-mails ou do banco de dados pode impactar a experiência dos usuários. Para melhorá-la, o servidor DNS deve incluir os servidores e os endereços na resposta para usar uma estratégia de Round Robin, por exemplo.

Queries mais executadas sem resposta

Algumas requisições DNS podem retornar sem resposta para o domínio requisitado. É comum ocorrerem erros na hora de digitar o endereço de um site.

Mas no caso de uma requisição que provem de um servidor interno, a causa pode ser a configuração do servidor requisitante que não foi atualizada ou mesmo o Resource Record do próprio servidor DNS ou ainda o hostname do serviço a ser resolvido pelo DNS.

Outra possibilidade é a tentativa de acesso a sites bloqueados pelo firewall ou endereços maliciosos, vazar informações ou estabelecer conexões com redes ocultas. Para saber mais, veja este artigo sobre como identificar abusos em DNS.

Em casos como esses, a análise de transações DNS é uma forma de monitorar e assegurar a integridade da operação.

A análise das transações DNS (com ou sem resposta) ajuda a entender o comportamento do seus usuários e servidores. Evidência as tendências no uso das ferramentas de produtividade, a degradação na experiência dos usuários e ainda pode ajudar no monitoramento da segurança do ambiente e na detecção de malware. Basta utilizar a tecnologia certa.

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

Para mais informações, entre em contato conosco!

Related articles

SOC e NOC: Entenda as diferenças e como se complementam
SOC e NOC: Entenda as diferenças e como se complementam

Quando se trata de segurança e estabilidade de ambientes conectados à rede, os...

2 semanas atrás

By Zerum Team

A importância da convergência entre EDR, SIEM e NDR
A importância da convergência entre EDR, SIEM e NDR

Ter visibilidade sobre a rede é o básico da segurança, mas é essencial...

1 mês atrás

By Zerum Team

Baseline dinâmica – O que é e por que usar?
Baseline dinâmica – O que é e por que usar?

Mesmo com os melhores dados à disposição, contextualizar grandes volumes de informações é...

5 meses atrás

By Zerum Team