Il servizio analizza un log di richieste DNS e identifica se all’interno sono stati risolti dei nomi a dominio che fanno riferimento ad un Domain Generating Algorithm (DGA). Questi sono utilizzati da malware per registrare nuovi domini con lo scopo di evitare che il malware dipenda da un dominio fisso o da un indirizzo IP che possa venire rapidamente bloccato.