インターネットとSaaSへのセキュアなアクセス(ZIA)
定義済みDNSコントロール ルールの変更
DNSコントロール ポリシーには、特定のタイプのトラフィックを管理するためのベスト プラクティスの推奨事項に基づいた定義済みルールがあります。これらのルールは、組織がトラフィックを特定の脅威から保護するために容易に使用できます。ルールの機能性と保護を提供する脅威の重大度に応じて、一部のルールは制限が厳しく、ルールの条件とアクションのカスタマイズをサポートしていませんが、その他のルールではルールの削除を含め柔軟性が高くなります。同様に、特定のルールにはシステム定義のルール順序(つまり、デフォルトのルールの順序)が含まれており、管理者はこれを変更できません。デフォルトのルールの順序を持つこれらのルールは、常に最も低い優先順位を維持します。
以下は、定義済みDNSコントロール ルールです。各定義済みルールとその属性についての詳細は、次のセクションを参照してください。
- 定義済みDNSルールは、組織の要件に基づいて有効または無効にできます。ただし、これらのルールは、他に指定がない限り削除できません。
- 事前定義された DNS ルールによって引き起こされる誤検知のイベントでは、より高いランクを使用してカスタム ルールを作成するか、誤検知の原因となっているルールを無効にすることができます。
以下は、デフォルトのDNSコントロールのポリシールールです。
- 不明なDNSトラフィック
不明なDNSトラフィック ルールは、不正な形式のトラフィック、非標準のDNSトラフィック、またはDNSトラフィックとして自身を隠そうとする非DNSトラフィック(別のアプリケーションとして識別されない)の疑いがある場合にアクションを実行するように事前構成されています。Zscalerでは、このルールに一致するトラフィックをブロックすることをお勧めします。
不明なDNSトラフィック ルールを変更するには、以下の手順を実行します。
- [ポリシー]>[DNS制御]に移動します。
- デフォルトのルールに対応する[編集]アイコンをクリックします。[DNSフィルタリング ルールを編集]ウィンドウが表示されます。
- [DNSフィルタリング ルールを編集]ウィンドウで、次の操作を実行できます。
- ルールの[ルール ラベル]を選択します。
[ネットワーク トラフィック]フィールドのアクションを選択します。
- 許可:DNS のリクエストとレスポンスを許可します。
- [ブロック]:すべてのDNSリクエストとレスポンスを静かにブロックします。
- 保存 と 変更をアクティブ化する をクリックします。
- ファイアウォールのデフォルトのDNSルール
[デフォルトのファイアウォール]ルールは、上位のユーザー定義ルールで特に定義されず、処理されないすべてのDNSトラフィックを管理するように構成されています。Zscalerでは、許可されたDNSトラフィックが上位のルールで定義されている場合にのみ、ルールに一致するトラフィックをブロックすることをお勧めします。
上位の許可ルールが定義されていない場合、DNSは操作に不可欠であるため、多くのアプリケーションは失敗します。
デフォルトのファイアウォールDNSルールを変更するには、以下の手順を実行します。
- [ポリシー]>[DNS制御]に移動します。
- デフォルトのルールに対応する[編集]アイコンをクリックします。[DNSフィルタリング ルールを編集]ウィンドウが表示されます。
[DNSフィルタリング ルールを編集]ウィンドウで、次の操作を実行できます。
- ルールの[ルール ラベル]を選択します。
- [ネットワーク トラフィック]フィールドのアクションを選択します。
- 許可:DNS のリクエストとレスポンスを許可します。
- [ブロック]:すべてのDNSリクエストとレスポンスを静かにブロックします。
- 保存 と 変更をアクティブ化する をクリックします。
- ロケーションのフォールバックZPAリゾルバー
[ロケーションのフォールバックZPAリゾルバー]ルールは、コントロール プレーンのメンテナンス中にロケーション ユーザーからの送信元IPアンカー トラフィックを事前設定されたIPプールにリダイレクトするように事前定義されています。IPプールに設定されたIPアドレス範囲は、[管理]>[IPおよびFQDNグループ]>[IPプール]ページで編集できます。このルールはデフォルトでは無効になっており、削除できません。これは、送信元IPアンカー機能の復元力を確保するために、コントロール プレーンのメンテナンス中にのみ有効になります。このルールのルール ラベルのみを変更できます。
[ロケーションのフォールバックZPAリゾルバー]ルールを変更するには、以下の手順を実行します。
- [ポリシー]>[DNS制御]に移動します。
- デフォルトのルールに対応する[編集]アイコンをクリックします。[DNSフィルタリング ルールを編集]ウィンドウが表示されます。
[DNSフィルタリング ルールを編集]ウィンドウで、ルールのルール ラベルを選択します。
- [保存]をクリックし、変更を有効にします。
- Road WarriorのフォールバックZPAリゾルバー
Road WarriorのフォールバックZPAリゾルバーのルールは、コントロール プレーンのメンテナンス中にリモート ユーザーの送信元IPアンカー トラフィックを事前構成されたIPプールにリダイレクトするように定義済みです。IPプール用に構成されたIPアドレス範囲は、[管理]>[IPおよびFQDNグループ]>[IPプール]のページで編集できます。このルールはデフォルトでは無効になっており、削除できません。これは、送信元IPアンカリング機能のレジリエンシーを確保するために、コントロール プレーンのメンテナンス中にのみ有効になります。このルールについてはルール ラベルのみを変更できます。
[Road WarriorのフォールバックZPAリゾルバー]ルールを変更するには、以下の手順を実行します。
- [ポリシー]>[DNS制御]に移動します。
- デフォルトのルールに対応する[編集]アイコンをクリックします。[DNSフィルタリング ルールを編集]ウィンドウが表示されます。
[DNSフィルタリング ルールを編集]ウィンドウで、ルールのルール ラベルを選択します。
- [保存]をクリックし、変更を有効にします。
- 重大リスクDNSカテゴリー
定義済みルールである重大リスクDNSカテゴリーは、あらゆる組織が遭遇するDNSリクエストおよびレスポンス カテゴリーの中で最もセキュリティ リスクが高いDNSトラフィックをブロックします。このブロック ルールは、例外的で非常に寛容な状況でない限り、すべての組織によって実装されます。悪意あるIPアドレスやFQDN、ドメイン生成アルゴリズム(DGA)ドメイン、その他の高度なセキュリティ脅威など、DNSリクエストおよびレスポンス内の既知または重大と疑われるセキュリティ脅威に一致するトラフィックをブロックします。このルールはデフォルトで有効になっており、より高いルールの順序で作成されます。
重大リスクDNSカテゴリー ルールには、特定のルール属性、条件およびアクションの定義済みの値が含まれています。ルールの順序やルール ラベルなどのルール属性は、管理者が組織の要件に合うように変更できますが、ルールの条件とアクションは読み取り専用フィールドであり、デフォルト値のみを使用できます。
重大リスクDNSカテゴリー ルールを変更するには、次の手順を実行します。
- [ポリシー]>[DNS制御]に移動します。
- 定義済みルールに一致する[編集]アイコンをクリックします。[DNSフィルタリング ルールを編集]のウィンドウが表示されます。
[DNSフィルタリング ルールを編集]ウィンドウで、次の操作を実行できます。
- ルール属性を次のように構成します。
- 要件に応じて[ルールの順序]を変更します。管理者ランクが有効になっている場合は、割り当てられた管理者ランクによって、選択可能なルールの順序の値が決まります。
- [ルールのステータス]を変更して、ルールを有効または無効にします。
- [ルール ラベル]を構成します。
次の箇条書きリストでルール条件(読み取り専用)情報を表示します。
このルールは、[DNSアプリケーション]カテゴリーの特定の条件でのみ構成されます。
- [リクエスト カテゴリー]:ボットネット コールバック、ドメイン生成アルゴリズム(DGA)ドメイン、悪意のあるコンテンツ、フィッシング、およびスパイウェア/アドウェアが選択されています。
- [レスポンス カテゴリー]:ボットネット コールバック、ドメイン生成アルゴリズム(DGA)ドメイン、悪意のあるコンテンツ、フィッシング、スパイウェア/アドウェアが選択されています。
- ルール アクションの詳細を表示し、次のようにトラフィック キャプチャー オプションを構成します。
- [アクション]:(変更不可)アクションは[ブロック]に設定されています。
- [ログ記録]:(変更不可)[フル ログ記録]が構成されています。
- [キャプチャー]:(変更可能)トラフィック キャプチャーが有効な場合、キャプチャー オプションが表示されます。このオプションを有効にすると、ブロックされたトラフィックをキャプチャーし、後で分析できるようにPCAPファイルに保存できます。詳細は、トラフィック キャプチャーについてを参照してください。
- ルール属性を次のように構成します。
- 保存 と 変更を有効にする をクリックします。
- 重大リスクDNSトンネル
定義済みルールである重大リスクDNSトンネルは、あらゆる組織が遭遇する最も高いセキュリティ リスクを持つDNSトンネル(一般的にブロックされるDNSトンネルなど)をブロックします。このブロック ルールは、例外的で非常に寛容な状況でない限り、すべての組織によって実装されます。このルールはデフォルトで有効になっており、より高いルールの順序で作成されます。
重大リスクDNSトンネルのルールには、特定のルール属性、条件、およびアクションの定義済みの値が含まれています。ルールの順序やルール ラベルなどのルール属性は、管理者が組織の要件に合うように変更できますが、ルールの条件とアクションは読み取り専用フィールドであり、デフォルト値のみを使用できます。
重大リスクDNSトンネルのルールを変更するには、次の手順を実行します。
- [ポリシー]>[DNS制御]に移動します。
- 定義済みルールに一致する[編集]アイコンをクリックします。[DNSフィルタリング ルールを編集]のウィンドウが表示されます。
[DNSフィルタリング ルールを編集]ウィンドウで、次の操作を実行できます。
- ルール属性を次のように構成します。
- 要件に応じて[ルールの順序]を変更します。管理者ランクが有効になっている場合は、割り当てられた管理者ランクによって、選択可能なルールの順序の値が決まります。
- [ルールのステータス]を変更して、ルールを有効または無効にします。
- [ルール ラベル]を構成します。
次の箇条書きリストでルール条件情報(読み取り専用)を表示します。
このルールは、[DNSアプリケーション]カテゴリーの特定の条件でのみ構成されます。
- [DNSトンネルとネットワーク アプリ]:Zscalerにより[一般的にブロックされるDNSトンネル]のカテゴリーの下に分類されるすべてのDNSトンネルが選択されます。
- ルール アクションの詳細を表示し、次のようにトラフィック キャプチャー オプションを構成します。
- [アクション]:(変更不可)アクションは[ブロック]に設定されています。
- [ログ記録]:(変更不可)[フル ログ記録]が構成されています。
- [キャプチャー]:(変更可能)トラフィック キャプチャーが有効な場合、キャプチャー オプションが表示されます。このオプションを有効にすると、ブロックされたトラフィックをキャプチャーし、後で分析できるようにPCAPファイルに保存できます。詳細は、トラフィック キャプチャーについてを参照してください。
- ルール属性を次のように構成します。
- 保存 と 変更を有効にする をクリックします。
- 高リスクDNSカテゴリー
定義済みルールである高リスクDNSカテゴリーは、組織のネットワークに対するセキュリティ リスクの高いDNSトラフィックをブロックします。それは、新規登録および観測されたドメイン、新しく復活したドメイン、およびDNSリクエストとレスポンス内の他の類似のセキュリティ脅威に一致するDNSトラフィックをブロックします。このルールは、組織による慎重な検討が必要であり、Zscalerはこのブロック ルールを実装することを強く推奨しています。このルールはデフォルトで有効になっており、より高いルールの順序で作成されます。
高リスクのDNSカテゴリー ルールには、特定のルール属性、条件、およびアクションについての定義済みの値が含まれています。ルールの順序やルール ラベルなどのルール属性は、管理者が組織の要件に合うように変更できますが、ルールの条件とアクションは読み取り専用フィールドであり、デフォルト値のみを使用できます。
高リスクDNSカテゴリー ルールを変更する手順は次の通りです。
- [ポリシー]>[DNS制御]に移動します。
- 定義済みルールに一致する[編集]アイコンをクリックします。[DNSフィルタリング ルールを編集]のウィンドウが表示されます。
[DNSフィルタリング ルールを編集]ウィンドウで、次の操作を実行できます。
- ルール属性を次のように構成します。
- 要件に応じて[ルールの順序]を変更します。管理者ランクが有効になっている場合は、割り当てられた管理者ランクによって、選択可能なルールの順序の値が決まります。
- [ルールのステータス]を変更して、ルールを有効または無効にします。
- [ルール ラベル]を構成します。
次の箇条書きリストのルール条件情報(読み取り専用)を表示します。
このルールは、DNSアプリケーション カテゴリーの特定の条件でのみ構成されます。
- [リクエスト カテゴリー]:新規登録および観測されたドメイン、新しく復活したドメイン、およびその他のセキュリティが選択されます。
- 応答カテゴリ: 新しく登録および監視されたドメイン、新しく復活したドメイン、およびその他のセキュリティが選択されます。
- ルール アクションの詳細を表示し、次のようにトラフィック キャプチャー オプションを構成します。
- [アクション]:(変更不可)アクションは[ブロック]に設定されています。
- [ログ記録]:(変更不可)[フル ログ記録]が構成されています。
- [キャプチャー]:(変更可能)トラフィック キャプチャーが有効な場合、キャプチャー オプションが表示されます。このオプションを有効にすると、ブロックされたトラフィックをキャプチャーし、後で分析できるようにPCAPファイルに保存できます。詳細は、トラフィック キャプチャーについてを参照してください。
- ルール属性を次のように構成します。
- 保存 と 変更を有効にする をクリックします。
- 高リスクDNSトンネル
定義済みルールである高リスクDNSトンネルは、組織のネットワークへのセキュリティ リスクの高いDNSトンネル(不明なDNSトンネルなど)をブロックします。このルールは、組織による慎重な検討が必要であり、Zscalerはこのブロック ルールを実装することを強く推奨しています。このルールはデフォルトで有効になっており、より高いルールの順序で作成されます。
高リスクDNSトンネル ルールには、特定のルール属性、条件、およびアクションの定義済みの値が含まれています。ルールの順序やルール ラベルなどのルール属性は、管理者が組織の要件に合うように変更できますが、ルールの条件とアクションは読み取り専用フィールドであり、デフォルト値のみを使用できます。
高リスクDNSトンネル ルールを変更する手順は次の通りです。
- [ポリシー]>[DNS制御]に移動します。
- 定義済みルールに一致する[編集]アイコンをクリックします。[DNSフィルタリング ルールを編集]のウィンドウが表示されます。
[DNSフィルタリング ルールを編集]ウィンドウで、次の操作を実行できます。
- ルール属性を次のように構成します。
- 要件に応じて[ルールの順序]を変更します。管理者ランクが有効になっている場合は、割り当てられた管理者ランクによって、選択可能なルールの順序の値が決まります。
- [ルールのステータス]を変更して、ルールを有効または無効にします。
- [ルール ラベル]を構成します。
次の箇条書きリストのルール条件情報(読み取り専用)を表示します。
このルールは、DNSアプリケーション カテゴリーの特定の条件でのみ構成されます。
- [DNSトンネルとネットワーク アプリ]:Zscalerによって[不明なDNSトンネル]カテゴリーの下に分類されるすべてのDNSトンネルが選択されます。
- ルール アクションの詳細を表示し、次のようにトラフィック キャプチャー オプションを構成します。
- [アクション]:(変更不可)アクションは[ブロック]に設定されています。
- [ログ記録]:(変更不可)[フル ログ記録]が構成されています。
- [キャプチャー]:(変更可能)トラフィック キャプチャーが有効な場合、キャプチャー オプションが表示されます。このオプションを有効にすると、ブロックされたトラフィックをキャプチャーし、後で分析できるようにPCAPファイルに保存できます。詳細は、トラフィック キャプチャーについてを参照してください。
- ルール属性を次のように構成します。
- 保存 と 変更を有効にする をクリックします。
- 危険なDNSカテゴリー
定義済みルールである危険なDNSカテゴリーは、組織のネットワークに対する一般的なDNSセキュリティの脅威をブロックするための推奨ルールです。DNSリクエストとレスポンス内の危険なカテゴリーに一致するトラフィックをブロックします。これには、虐待や搾取的な行為、アダルト コンテンツ、過激派ヘイトと過激主義、暴力、悪意のあるコンテンツなどを表すコンテンツが含まれます。これらのカテゴリーをブロックすることが推奨されますが、ルールの実装は組織の要件と企業ポリシーに応じて異なる場合があります。
危険なDNSカテゴリー ルールは、デフォルトでは有効になっていません。十分なランクの管理者は、このルールを有効にしたり、完全にカスタマイズしたり、削除したりできます。
危険なDNSカテゴリー ルールを変更する手順は次の通りです。
- [ポリシー]>[DNS制御]に移動します。
- 定義済みルールに一致する[編集]アイコンをクリックします。[DNSフィルタリング ルールを編集]のウィンドウが表示されます。
[DNSフィルタリング ルールを編集]のウィンドウでは、ルールのすべての属性、ルール条件、およびアクションをカスタマイズできます。DNSコントロール ルールを構成する方法については、DNSコントロール ポリシーの構成を参照してください。
このルールでは、[リクエスト カテゴリー]と[レスポンス カテゴリー]の下でいろいろなURLカテゴリーのセットを選択することはできません。ただし、2つの条件のうち1つだけをルールに構成するには、他の条件の選択を解除します。
- 保存 と 変更を有効にする をクリックします。
ルールを削除する場合は、[DNSフィルタリング ルールを編集]のウィンドウの[削除]ボタンを使用します。
閉じる - 危険なDNSトンネル
定義済みルールである危険なDNSトンネルは、組織のネットワークに対する一般的なセキュリティ脅威であるDNSトンネルをブロックするための推奨ルールです。これらのトンネルをブロックすることを推奨しますが、ルールの実装は組織の要件や企業ポリシーによって異なる場合があります。
危険なDNSトンネル ルールは、デフォルトでは有効になっていません。十分なランクの管理者は、このルールを有効にしたり、完全にカスタマイズしたり、削除したりできます。
危険なDNSトンネル ルールを変更する手順は次の通りです。
- [ポリシー]>[DNS制御]に移動します。
- 定義済みルールに一致する[編集]アイコンをクリックします。[DNSフィルタリング ルールを編集]のウィンドウが表示されます。
[DNSフィルタリング ルールを編集]のウィンドウでは、ルールのすべての属性、ルール条件、およびアクションをカスタマイズできます。DNSコントロール ルールを構成する方法については、DNSコントロール ポリシーの構成を参照してください。
- 保存 と 変更を有効にする をクリックします。
ルールを削除する場合は、[DNSフィルタリング ルールを編集]のウィンドウの[削除]ボタンを使用します。
閉じる
![[不明なトラフィック]デフォルトのルールのフィールドを含むDNSフィルタリング ルールの編集セクションのスクリーンショット](/downloads/zia/documentation-knowledgebase/creating-and-managing-policies/firewall/firewall-policies/how-do-i-modify-default-dns-control-rule/ZIA-Edit-DNS-Filtering-Rule-Window.png "[不明なトラフィック]デフォルトのルールの[DNSフィルタリング ルールを編集]セクション")
![デフォルトのフィルタリングDNSルールのフィールドを含む[DNSフィルタリング ルールを編集]セクションのスクリーンショット](/downloads/zia/policies/firewall/dns-control/zia-modifying-default-dns-rules-edit-default-firewall-dns-rule.png "デフォルトのフィルタリングDNSルールの[DNSフィルタリング ルールを編集]セクション")
![[ロケーションのフォールバックZPAリゾルバー]ルールのフィールドを含む[DNSフィルタリング ルールを編集]セクションのスクリーンショット](/downloads/zia/policies/firewall/dns-control/zia-modifying-default-dns-rules-edit-fallback-location-user.png "[ロケーションのフォールバックZPAリゾルバー]ルールの[DNSフィルタリング ルールを編集]セクション")
![[Road WarriorのフォールバックZPAリゾルバー]ルールのフィールドを含む[DNSフィルタリング ルールを編集]セクションのスクリーンショット](/downloads/zia/policies/firewall/dns-control/zia-modifying-default-dns-rules-edit-fallback-road-warrior.png "[Road WarriorのフォールバックZPAリゾルバー]ルールの[DNSフィルタリング ルールを編集]セクション")
