Eventsについて

DNS Protectionが発生した際のEventsには下記の情報が含まれます。
Action：Block
Sub-Type：DNS Protection
DNS Query：検知されたドメイン名
Signature ID：Catoの脅威識別ID

許可設定

特定のドメイン名に基づきDNS Protectionの許可ルールを作成することができます。
作成手順は以下のとおりです。

1. DNS Protectionで検知されたEventsのSignature IDを押下します。
   許可ルールの設定画面に遷移します。
   
2. Source欄に設定済みのIPを削除したうえで、Anyを選択します。
   特定のUserのみ許可したい場合はUserを選択のうえユーザー名を設定します。
   
3. Destination欄に設定済みのIPを削除したうえで、Domainを選択しドメイン名を設定します。
   Eventsで確認したDNS Queryがドメイン名に相当します。
   
4. Track欄のEventを選択しApply及びSaveを押下します。
   

以上の手順でDNS Protectionの許可ルールを作成することができます。
作成したルールは Security > IPS > Allow List で確認することができます。

また許可ルールに合致したEventsは Action：Whitelist で出力されます。
 

補足

本稿は下記メーカーKBを参考に作成されています。
Customizing the DNS Protections for IPS
本稿の内容は公開日時時点の情報に基づきます。