Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 5641 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Detailed DNS logging?

Jack Daniel
Greetings all, long time no see...

I'm sure I've forgotten something, or I'm overlooking something obvious, but I can't find detailed DNS logging on my ASG (yeah, I know it is a UTM, but it will always be ASG to me).

I keep getting the Snort hit for network trojan due to failed DNS lookup of funky hostnames, but can't find the hostnames in question in the ASG logs.  

Thankfully I have other tools on the network monitoring traffic and know the problem domains and know the hits are FPs, but it seems I should be able to find this somewhere in the logs.

Cheers
-jd


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG
    delayed reply, distracted by life and stuff...

    I should hang out here more with my old friends.

    Running 9.305-4.

    I'm sending all of the logs over to our SIEM-like thing (Tenable Log Correlation Engine and SecurityCenter), that normalizes the Sophos/Snort logs, looks up the Snort sig reference, and shows the DNS/virus warning- but the log entries don't include the offending lookups so there is no easy way to validate the Snort hits.  With all of the mayhem that happens in my home lab "interesting" things do happen so I need to be able to sort out the "looks bad on purpose, ignore that" from the "time to reimage things again".

    The UTM log shows:
    2015:01:13-01:13:37 jdlab snort[4246]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="PROTOCOL-DNS TMG Firewall Client long host entry exploit attempt" group="241" srcip="192.168.123.1" dstip="192.168.123.160" proto="17" srcport="53" dstport="52731" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"

    The normalized entry in the SIEM reads:
    2015:01:12-18:47:57 jdlab snort[4246]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="PROTOCOL-DNS domain not found containing random-looking hostname - possible DGA detected" group="241" srcip="192.168.123.1" dstip="192.168.123.101" proto="17" srcport="53" dstport="59928" sid="31738" class="A Network Trojan was Detected" priority="1" generator="3" msgid="0"

    (not the same hit there, just samples)

    The UTM IPS log doesn't include the URI in question, I can't find it anywhere in the UTM logs.

    I can correlate the problem lookups via another tool, our passive scanner (PVS), but that's a manual lookup and correlation process.  It would just be great if there was a way to get logs of the DNS queries.

    As critical as DNS logging is I'm surprised others haven't hit this, I never really noticed because I have other network tools catching the dropped ball on DNS logging.

    Any thoughts? 
    Thanks 
    -jd
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?