翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# DNS Firewall Advanced 保護
<a name="gr-dns-firewall-advanced-protections"></a>

DNS Firewall Advanced は、DNS クエリの既知の脅威シグネチャに基づいて、疑わしい DNS クエリを検出します。DNS ビューに関連付けられた DNS ファイアウォールルールで使用するルールで脅威タイプを指定できます。

DNS Firewall Advanced は、リクエストのタイムスタンプ、リクエストとレスポンスの頻度、DNS クエリ文字列、アウトバウンドとインバウンドの両方の DNS クエリの長さ、タイプ、サイズなど、DNS ペイロード内のキー識別子の範囲を調べることで、疑わしい DNS 脅威シグネチャを識別します。脅威署名のタイプに基づいて、ブロックするか、単にクエリをログに記録して警告するようにポリシーを設定できます。拡張された脅威識別子のセットを使用することで、より広範なセキュリティコミュニティによって維持されている脅威インテリジェンスフィードによってまだ分類されていないドメインソースからの DNS 脅威から保護できます。

現在、DNS Firewall Advanced は以下からの保護を提供しています。
+ ドメイン生成アルゴリズム (DGAs)

  DGAs は、攻撃者が多数のドメインを生成してマルウェア攻撃を開始するために使用されます。
+ ディクショナリ DGA

  多数のディクショナリ単語に関連付けられたドメイン名を使用して悪意のあるコマンドを実行し、DNS 通信を制御する DGA 攻撃を検出します。
+ DNS トンネリング

  DNS トンネリングは、攻撃者がクライアントへのネットワーク接続を行わずに DNS トンネルを使用してクライアントからデータを抽出するために使用されます。

ルールの作成方法については、「」を参照してください[DNS Firewall ルールの設定と管理](gr-configure-manage-firewall-rules.md)。

## 誤検出シナリオの軽減
<a name="gr-mitigating-false-positives"></a>

DNS Firewall Advanced 保護を使用してクエリをブロックするルールで誤検出のシナリオが発生した場合は、次の手順を実行します。

1. グローバルリゾルバーログで、誤検出の原因となっているルールと DNS Firewall Advanced 保護を特定します。これを行うには、DNS Firewall がブロックしているが、通過を許可するクエリのログを見つけます。ログレコードには、DNS ビュー、ルール、ルールアクション、DNS Firewall Advanced 保護が一覧表示されます。

1. ブロックされたクエリを明示的に許可する新しいルールを DNS ビューに作成します。ルールを作成するときに、許可するドメイン仕様のみを使用して、独自のドメインリストを定義できます。のルール管理のガイダンスに従ってください[DNS Firewall ルールの設定と管理](gr-configure-manage-firewall-rules.md)。

1. マネージドリストを使用しているルールの前に実行されるように、ルール内で新しいルールを優先します。これを行うには、新しいルールの優先順位の数値を小さく設定します。

ルールを更新すると、新しいルールはブロッキングルールを実行する前に許可するドメイン名を明示的に許可します。