Advanced DNS Security - Technical FAQ

Combien de temps prend l’activation du service ?
Comment fonctionne Advanced DNS Security ?
Où puis-je télécharger le Cisco Secure Client ?
Comment configurer une configuration minimale de DNS Defense avec des redirecteurs ?
Comment configurer une configuration minimale pour l’agent client Cisco Secure Access avec le module Umbrella / DNS Defense ?
D'où vient l'ensemble des données de Cisco ?
Que voit les utilisateurs finaux lorsque leur requête DNS est bloquée ?
Advanced DNS Security fonctionne-t-il aussi pour les DNS over HTTPS ?
Comment Cisco traite-t-il les false positives ?
Où puis-je trouver plus d'informations sur les intégrations possibles avec Infoblox, EfficientIP et autres ?
Que puis-je faire lorsque des noms DNS internes ne se résolvent pas lors de l’utilisation d’un VPN tiers avec split tunneling ?

 

Combien de temps prend l’activation du service ?

Activez le service en moins d’une heure. Il est facile à implémenter sur votre réseau quel que soit le nombre d’appareils connectés. 

Vous pouvez regarder cette vidéo pour commencer.

La documentation suivante peut vous aider avec l'intégration :

 

Comment fonctionne Advanced DNS Security ?

Cisco Secure Access DNS Defense agit comme une première ligne de défense délivrée depuis le cloud qui sécurise l'accès Internet des utilisateurs en interceptant et en inspectant les requêtes DNS. Il bloque les connexions vers des domaines, des adresses IP et des sites de phishing malveillants avant qu'elles ne soient établies, protégeant les utilisateurs à la fois sur le réseau et en dehors. Il fonctionne grâce à la sécurité au niveau DNS, à une passerelle Web sécurisée (SWG) et à un firewall-as-a-service.

 

Où puis-je télécharger le Cisco Secure Client ?

  • Allez au Dashboard - Connect - End user connectivity 
  • En haut à droite, vous voyez le bouton Cisco Secure Client. Cliquez dessus pour télécharger le Client.

 

Comment configurer une configuration minimale de DNS Defense avec des redirecteurs ?

  1. Accédez au portail principal : https://security.cisco.com/ 
  2. Après avoir créé un compte, donnez un nom à votre organisation. 

Si vous utilisez uniquement Cisco DNS Defense, vous n’avez pas besoin de suivre l’ensemble du parcours « Get started with Cisco Secure Access ». Vous pouvez le réduire à l’aide de l’icône ^ située à droite. 

  1. Configurer l’accès administrateur 

Platform Management / Administrator Access 

Onglets : Administrators, Admin groups, Admin role 

  1. Activer un abonnement d’essai ou un abonnement complet pour Cisco Secure Access DNS Advantage 

Platform management / Subscriptions, Claim subscriptions 

  1. Enregistrer les adresses IP réseau qui enverront les requêtes DNS 

Secure Access, Resources / registered networks 

Ajouter un réseau, ajouter une adresse IP ou une plage d’adresses IP 

Cette page « add network » affiche les adresses IP à utiliser comme redirecteurs DNS sur vos serveurs. 

  1. Après avoir ajouté toutes les adresses IP, ajoutez ces adresses IP Cisco à la liste des redirecteurs de votre ou vos serveurs DNS. 

DNS Defense fonctionnera alors avec les règles par défaut. 

Pour vérifier si les requêtes DNS sont bien traitées : 

  • Monitor / Activity Volume 
  • Monitor / Activity Search (il se peut que les résultats ne s’affichent pas immédiatement) 
  • Secure / Access policy, view, add or modify rules. L’activation de la journalisation est facultative (par défaut, seules les requêtes bloquées sont journalisées) 

Quelques pages pour configurer les règles et les notifications : 

  • Secure / Security profiles 
  • Secure / Threat categories 
  • Secure / Notification pages 
  • Resources / Internet and SaaS Resources 
  • Secure / Access policy

 

Comment configurer une configuration minimale pour l’agent client Cisco Secure Access avec le module Umbrella / DNS Defense ?

Vous avez besoin de deux fichiers : 

  1. Installation de l’agent endpoint : Secure Access / Connect / End user connectivity, Cisco Secure Client (en haut à droite) (fichier : cisco-secure-client-win-[version]-predeploy-k9.zip) 
  2. Profil d’installation : Internet Security, Download profile (fichier : OrgInfo.json) 

Étapes : 

  • Extrayez le fichier zip. 
  • Copiez le fichier OrgInfo.json dans le répertoire Profiles\umbrella\. 

Pour une installation manuelle, exécutez setup.exe. 

  • Composants minimum requis : Core & AnyConnect VPN + Umbrella 
  • Le Cisco AnyConnect Virtual Miniport Adapter sera désactivé sous Windows. 

Installation silencieuse sans intervention utilisateur : 

  • Remplacez /qn par /passive pour afficher une fenêtre de progression. 
  • msiexec /package cisco-secure-client-win-[version]-core-vpn-predeploy-k9.msi /norestart /qn PRE_DEPLOY_DISABLE_VPN=1 
  • msiexec /package cisco-secure-client-win-[version]-umbrella-predeploy-k9.msi /norestart /qn 

Le client s’enregistrera automatiquement sur la plateforme Cisco. 

Pour vérifier les clients actifs : Secure Access / Resources / Roaming Devices 

Remarque : La synchronisation entre le client et la plateforme ne se fait pas en temps réel. Elle prend généralement moins d’une heure. 

Sur l’ordinateur client, l’interface Cisco Secure Client met également à jour son état lorsqu’une requête DNS est effectuée.

 

D'où vient l'ensemble des données de Cisco ?

Cisco Secure Access DNS Defense agit comme une passerelle Internet sécurisée, utilisant l'intelligence sur les menaces de Cisco Talos pour analyser et bloquer en temps réel les requêtes DNS, les adresses IP et les URL malveillantes. En intégrant les énormes données sur les menaces pilotées par l'IA de Talos, Umbrella empêche de manière proactive les connexions aux sites de logiciels malveillants, de phishing et de ransomware avant qu'elles n'atteignent le réseau. Cisco Talos est l'une des plus grandes équipes mondiales d'intelligence sur les menaces commerciales, collectant des données provenant de millions d'appareils, d'e-mails et de requêtes Web pour identifier de nouvelles menaces.

 

Que voit les utilisateurs finaux lorsque leur requête DNS est bloquée ?

Cela dépend entièrement de vous. Vous pouvez configurer vos propres pages.

 

Advanced DNS Security fonctionne-t-il aussi pour les DNS over HTTPS ?

Cisco prend en charge le DNS sur HTTPS (DoH), permettant l'envoi de requêtes DNS chiffrées aux résolveurs d'Umbrella, ce qui améliore la confidentialité et la sécurité. Cisco a ajouté la prise en charge native de DoH directement à leurs résolveurs principaux, offrant les mêmes capacités de sécurité et de filtrage que le DNS traditionnel non chiffré.

 

Comment Cisco traite-t-il les false positives ?

Cisco Umbrella gère les "false positives" grâce à une combinaison d'analyse automatisée et intelligente du trafic, de configurations de policies personnalisables et, lorsque cela est nécessaire, d'une révision manuelle par les équipes de sécurité. Il vise à trouver un équilibre entre une sécurité élevée et l'efficacité opérationnelle en limitant le besoin de relayer tout le trafic, en se concentrant uniquement sur les destinations à risque.

 

Où puis-je trouver plus d'informations sur les intégrations possibles avec Infoblox, EfficientIP et autres ?

Pour plus d'informations sur les intégrations possibles, consultez Network Devices with Cisco Umbrella (DNS).

 

Que puis-je faire lorsque des noms DNS internes ne se résolvent pas lors de l’utilisation d’un VPN tiers avec split tunneling ?

Ce problème peut se produire lorsque Cisco Secure Access (avec le module Umbrella / DNS Defense) est combiné avec un VPN utilisant le split tunneling. Les noms DNS internes peuvent ne pas être résolus ou renvoyer des résultats incorrects, en particulier si les noms de domaine du réseau local diffèrent des enregistrements DNS publics. 

  • Option 1 : activer la compatibilité avec les VPN tiers. 

Secure Access, Connect / End User Connectivity / Internet security (onglet), Settings, General settings, Third party VPN compatibility 

Si l’option 1 ne résout pas le problème, essayez l’option 2. 

  • Option 2 : exclure un domaine afin qu’il soit traité par l’agent client. 

Secure Access, Connect / End User Connectivity / Internet security (onglet), Traffic Steering, Add destination: domain-name.be (valide *.domain-name.be) 

Les requêtes en revanche utilisent les résolveurs DNS locaux ou accèdent directement à Internet sans passer par le proxy web.

La modification devient active après la prochaine synchronisation du client.

Did you find this FAQ useful?
Copyright © 2026 Belnet.