DNS セキュリティ ポリシー

この記事では、DNS セキュリティ ポリシーと脅威インテリジェンス フィードの概要について説明します。

DNS セキュリティ ポリシーと脅威インテリジェンス フィードの構成の詳細については、次のハウツー ガイドを参照してください。

• DNS トラフィックをセキュリティで保護して表示 します。

• 脅威インテリジェンス フィードを使用して VNet をセキュリティで保護します。

DNS セキュリティ ポリシーとは

DNS セキュリティ ポリシーは、仮想ネットワーク (VNet) レベルで DNS クエリをフィルター処理してログする機能を提供します。 ポリシーは、VNet 内のパブリックとプライベートの両方の DNS トラフィックに適用されます。 DNS ログは、ストレージ アカウント、Log Analytics ワークスペース、イベント ハブに送信できます。 DNS クエリに対して選択的に許可、アラート、ブロックを行うことができます。

DNS セキュリティ ポリシーを使用すると、次のことができます。

• 既知または悪意のあるドメインの名前解決をブロックして、DNS ベースの攻撃から保護するルールを作成します。
• 詳細な DNS ログを保存して表示し、DNS トラフィックに関する分析情報を得ます。

DNS セキュリティ ポリシーには、次の要素とプロパティが関連付けられています。

• 場所: セキュリティ ポリシーが作成および展開される Azure リージョン。
• DNS トラフィック ルール: 優先度とドメイン リストに基づいて許可、ブロック、またはアラートを行うルール。
• 仮想ネットワーク リンク: セキュリティ ポリシーを VNet に関連付けるリンク。
• DNS ドメイン リスト: DNS ドメインの場所ベースのリスト。

DNS セキュリティ ポリシーは、Azure PowerShell または Azure portal を使用して構成できます。

DNS 脅威インテリジェンスとは

脅威インテリジェンス フィードを使用した Azure DNS セキュリティ ポリシーを使用すると、 Microsoft の Security Response Center (MSRC) によって提供される既知の悪意のあるドメインが名前解決からブロックされる可能性があるお客様の仮想ネットワーク上のセキュリティ インシデントを早期に検出および防止できます。

既に提供されている DNS セキュリティ ポリシーの機能とは別に、フィードはマネージド ドメインの一覧として使用でき、Microsoft 独自のマネージド脅威インテリジェント フィードを使用して、既知の悪意のあるドメインに対するワークロードの保護を可能にします。

脅威インテリジェンス フィードで DNS セキュリティ ポリシーを使用する利点を次に示します。

• スマート保護:

  • ほぼすべての攻撃は DNS クエリで始まります。 脅威インテリジェンスマネージド ドメインの一覧を使用すると、セキュリティ インシデントの検出と防止を早期に行うことができます。

• 継続的な更新:

  • Microsoft は、新しく検出された悪意のあるドメインから保護するためにフィードを自動的に更新します。

• 悪意のあるドメインの監視とブロック:

  • アラートのみのモードでのアクティビティの監視、またはブロック モードでの疑わしいアクティビティのブロックの柔軟性。

  • ログ記録を有効にすると、仮想ネットワーク内のすべての DNS トラフィックを可視化できます。

活用事例

• 既知の悪意のあるドメインに対する保護レイヤーを追加するために、DNS セキュリティ ポリシーで脅威インテリジェンスをマネージド ドメイン リストとして構成します。

• 仮想ネットワークから既知の悪意のあるドメインを解決しようとする侵害されたホストを可視化します。

• Threat Intel フィードが構成されている仮想ネットワークで悪意のあるドメインが解決されたときにアラートをログに記録して設定します。

• 仮想ネットワークや、Azure プライベート DNS ゾーン、プライベート リゾルバー、仮想ネットワーク内の他のサービスなど、他のサービスとシームレスに統合します。

ロケーション

セキュリティ ポリシーは、同じ Azure リージョン内の VNet にのみ適用できます。 次の例では、2 つの異なるリージョン (米国東部と米国中部) のそれぞれに 2 つのポリシーが作成されます。

DNS トラフィック ルール

DNS トラフィック ルールは、DNS クエリに対して実行されるアクションを決定します。

Azure portal で DNS トラフィック ルールを表示するには、DNS セキュリティ ポリシーを選び、[設定] で [DNS Traffic Rules] (DNS トラフィック ルール) を選びます。 次の例を参照してください。

• ルールは、100 から 65,000 の範囲の [優先度] の順に処理されます。 数値が小さいほど優先度が高くなります。
  • あるドメイン名が優先度の低いルールではブロックされ、優先度の高いルールでは同じドメインが許可されている場合、ドメイン名は許可されます。
  • ルールは DNS 階層に従います。 優先度の高いルールで contoso.com が許可されている場合、sub.contoso.com が優先度の低いルールでブロックされていても、sub.contoso.com は許可されます。
  • "." ドメインに適用されるルールを作成すると、すべてのドメインでポリシーを構成できます。 ドメインをブロックするときは、必要な Azure サービスをブロックしないように注意してください。
• リストに対してルールの動的な追加および削除を実行できます。 ポータルでルールを編集したら、必ず [保存] をクリックしてください。
• ルールごとに複数の [DNS Domain Lists] (DNS ドメイン リスト) が許可されます。 少なくとも 1 つの DNS ドメイン リストが必要です。
• 各ルールは、[許可]、[ブロック]、または [アラート] の 3 つの [Traffic Actions] (トラフィック アクション) のいずれかに関連付けられます。
  • 許可: 関連付けられているドメイン リストへのクエリを許可し、クエリをログします。
  • ブロック: 関連付けられているドメイン リストへのクエリをブロックし、ブロック アクションをログします。
  • アラート: 関連付けられているドメイン リストへのクエリを許可し、アラートをログします。
• ルールは、個別に [Enabled] (有効) または [無効] にできます。

仮想ネットワークのリンク

DNS セキュリティ ポリシーは、セキュリティ ポリシーにリンクされている VNet にのみ適用されます。 1 つのセキュリティ ポリシーを複数の VNet にリンクできますが、1 つの VNet がリンクできるのは 1 つの DNS セキュリティ ポリシーのみです。

次の例は、2 つの VNet (myeastvnet-40、myeastvnet-50) にリンクされている DNS セキュリティ ポリシーを示しています。

• リンクできるのは、セキュリティ ポリシーと同じ Azure リージョンにある VNet のみです。
• 仮想ネットワーク リンクを使用して VNet を DNS セキュリティ ポリシーにリンクすると、その DNS セキュリティ ポリシーが VNet 内のすべてのリソースに適用されます。

DNS ドメイン リスト

DNS ドメイン リストは、トラフィック ルールに関連付ける DNS ドメインのリストです。

ポリシーに関連付けられている現在のドメイン リストを表示するには、DNS セキュリティ ポリシーの [設定] の [DNS Domain Lists] (DNS ドメイン リスト) を選択します。

次の例は、myeast-secpol DNS セキュリティ ポリシーに関連付けられている DNS ドメイン リストを示しています。

ドメイン リストは、さまざまなセキュリティ ポリシー内の複数の DNS トラフィック ルールに関連付けることができます。 セキュリティ ポリシーには、少なくとも 1 つのドメイン リストが含まれている必要があります。 2 つのドメイン (malicious.contoso.com、exploit.adatum.com) を含む DNS ドメイン リスト (blocklist-1) の例を次に示します。

• DNS ドメイン リストには、少なくとも 1 つのドメインが含まれている必要があります。 ワイルドカード ドメインを使用できます。

Azure portal で DNS ドメイン リストを表示するときに、[設定]>[Associated DNS Traffic Rules] (関連付けられている DNS トラフィック ルール) を選択して、その DNS ドメイン リストを参照する、すべてのトラフィック ルールと関連付けられている DNS セキュリティ ポリシーのリストを表示することもできます。

要件および制限

関連するコンテンツ

• DNS トラフィックをセキュリティで保護して表示します。