【Netskope】DNSセキュリティの設定方法について｜Nextmode Blog

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。

今回は、NetskopeのDNSセキュリティの設定方法についてご紹介いたします。

DNS Securityとは？

DNS Securityは、端末やユーザーがアクセスしようとするドメイン名（DNSクエリ）を起点に、危険な通信をブロックしたり、可視化したりするセキュリティ対策です。代表的には、悪性ドメイン（マルウェア配布、C2、フィッシング等）への名前解決を防いだり、リスクの高いカテゴリへのアクセスを制御したりします。必要に応じて以下のブログもご参照ください。

• 【Netskope】DNSセキュリティについて整理した件

検証構成

• テナントバージョン：137.0.6.294
• 検証OS：Windows 11

DNSセキュリティを設定するための主な手順

DNSセキュリティを設定するための主な手順は以下となります。

1. ステアリング構成を作成する DNSトラフィックをNetskopeクラウドに誘導

2. デフォルトの「ローカルIPアドレス範囲」のルーティングバイパスを「DNSトラフィックを除くバイパス」に設定

3. DNS例外を作成：お使いのステアリング構成に合わせてください。ステアリング例外でローカルドメインを指定することで、ローカルドメインをバイパスする必要があります。

4. DNSプロファイルを作成：異なるドメインカテゴリに対して実行されるアクションを定義する。例えば、フィッシング詐欺に分類されるすべてのドメインをブロックすることができます。

5. リアルタイム保護ポリシーを作成：作成したDNSプロファイル用です。

ポリシーを有効にすると、検出されたすべての DNS 脅威がアラートに記録されます。デバッグ目的ですべてのログを記録する DNS 設定が設定されている場合、それらのイベントはネットワーク イベントの下にキャプチャされます。

ステアリング構成を作成する DNSトラフィックをNetskopeクラウドに誘導

Settings > Security Cloud Platform > Steering Configuration > 利用するConfiguration を選択EDITします。

TRAFFIC STEERING 項目のDNS Traffic をAll DNS Traffic に設定、SAVEします。

デフォルトの「ローカルIPアドレス範囲」のルーティングバイパスを「DNSトラフィックを除くバイパス」に設定

デフォルトの「ローカルIPアドレス範囲」のルーティングバイパスを「DNSトラフィックを除くバイパス」に設定します。※本設定により本来内部DNSサーバー宛てのDNSリクエストをルーティングできるようになります。

Settings > Security Cloud Platform > Steering Configuration > 利用するConfiguration EXCEPTIONS タブ > Local IP address range をクリックし、Edit Exception にて Bypass, except for DNS traffic にチェックし、Saveします。

DNS例外のついて

Settings > Security Cloud Platform > Steering Configuration > 利用するConfiguration を選択EXCEPTIONSのタブ を表示します。

NEW EXCEPTION より DNSを選択します。

以下社内利用のローカルドメインをDNSセキュリティのチェックより除外する設定例となります。改めて社内で利用するローカルドメインをご確認のうえ設定ください。

• 参考 > ステアリング構成 > DNS

DNSプロファイルを作成

Policies > DNS よりNEW DNS PROFILE をクリックしプロファイルを作成します。

DNS PROFILE NAME を設定し、予めDNSトラフィックを照合・Blockする脅威カテゴリが15個選択されているため、今回はこのままSaveし、15個すべてのカテゴリをブロックするといったプロファイルを作成したいと思います。

• 参考 > DNSプロファイル

リアルタイム保護ポリシーを作成（作成したDNSプロファイル用）

Policies > Real-time Protection > NEW POLICY > DNS を選択しポリシーを作成します。

以下のように設定、SAVEします。

• Source：適宜指定
• Destination：DNS
• Profile＆Action：作成したDNSプロファイルを指定
  • Action：Default（※アクションはDNSプロファイルで設定されているため）
• Policy Name：任意の名前を設定

APPLY CHANGES をクリックし設定を反映させます。

• 参考 > クラウドファイアウォール向けのリアルタイム保護ポリシー > リアルタイム保護ポリシーを作成する：DNS

動作確認

以下はNetskopeがNetskopeの事前定義しているURLカテゴリに適用される検証用のサンプルURLを利用した確認となります。

• Security Risk - DGA：ns-catid-594-sn.netskopetools.com → DNS request timed out を確認：OK
  

• Security Risk - Malware Distribution Point：ns-catid-586-sn.netskopetools.com → DNS request timed out を確認：OK
  

• 参考 > Netskope URL Categories: A Practical Toolkit for Policy Validation

Skope IT > Alerts にもBlock されているログが確認できます。（実際のブロックからログが出力されるまでラグが出る場合があります。）

本番環境への適用前にモニター用のDNS Profile作成＆動作確認について

本番環境への適用については、一度モニター用のDNS Profile を作成し適用、様子を見て本番に適用といった流れが無難な場合もございます。その場合はモニター用のDNSプロファイルを作成し、下図のようにGENERATE EVENTS FOR を ALL DNS traffic に設定し、すべてのDNSトラフィックを Skope IT > Network Events に出力する設定し、すべての脅威カテゴリを削除し設定・リアルタイム保護ポリシーに紐づけ・動作確認を行います。

上記のように設定することで、Skope IT > Network Events にすべてのDNSクエリのログが出力され、ブロック時のクエリがどのDNS脅威カテゴリにマッチしたが確認できます。

Skope IT > Network Events で以下でフィルタ時、ログ詳細メニュー（右側に出力メニュー）> DESTINATION >  Category にてマッチしたDNS脅威カテゴリが確認可能。（上記例ではSecurity Risk - DGA）

• Detsination Port ：53

• DNS Query Domain ~ ns-catid-594-sn.netskopetools.com

※GENERATE EVENTS FOR を ALL DNS traffic に設定するとSkope IT > Network Events の量が増えますので、出力状況や可視性も含めて有効化の検討は必要となります。

参考

• DNSセキュリティ

さいごに

今回は、NetskopeのDNSセキュリティの設定方法についてご紹介いたしました。

この記事が、皆さまのNetskope運用の一助となれば幸いです。

Netskope についてのお問い合わせ

ネクストモードでは、Netskopeをはじめ、CrowdStrikeやOktaを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください！