دفق البيانات وتصفيتها من خوادم Windows DNS باستخدام موصل AMA

توضح هذه المقالة كيفية استخدام موصل عامل Azure Monitor (AMA) لدفق الأحداث وتصفيتها من سجلات خادم نظام أسماء مجالات Windows (DNS). يمكنك بعد ذلك تحليل بياناتك بعمق لحماية خوادم DNS من التهديدات والهجمات.

يتم تثبيت AMA وملحق DNS الخاص به على Windows Server لتحميل البيانات من سجلات DNS التحليلية إلى مساحة عمل Microsoft Sentinel. تعرف على الموصل.

نظرة عامة

لماذا من المهم مراقبة نشاط DNS

DNS هو بروتوكول يستخدم على نطاق واسع، والذي يعين بين أسماء المضيفين وعناوين IP القابلة للقراءة للكمبيوتر. نظرًا لأن DNS لم يتم تصميمه مع وضع الأمان في الاعتبار، فإن الخدمة مستهدفة بشدة من قبل النشاط الضار، ما يجعل تسجيلها جزءا أساسيا من مراقبة الأمان.

تتضمن بعض التهديدات المعروفة التي تستهدف خوادم DNS ما يلي:

• هجمات DDoS التي تستهدف خوادم DNS
• تضخيم DNS DDoS
• اختطاف DNS
• نفق DNS
• تسمم DNS
• تزييف هوية DNS
• هجوم NXDOMAIN
• هجمات المجال الوهمية

أحداث Windows DNS عبر موصل AMA

في حين تم إدخال بعض الآليات لتحسين الأمان العام لهذا البروتوكول، لا تزال خوادم DNS خدمة مستهدفة للغاية. يمكن للمؤسسات مراقبة سجلات DNS لفهم نشاط الشبكة بشكل أفضل، وتحديد السلوك المشبوه أو الهجمات التي تستهدف الموارد داخل الشبكة. توفر أحداث Windows DNS عبر موصل AMA هذا النوع من الرؤية.

باستخدام الموصل، يمكنك:

• التعرف على العملاء الذين يحاولون حل أسماء المجالات الضارة.
• عرض ومراقبة تحميلات الطلبات على خوادم DNS.
• عرض فشل تسجيل DNS الديناميكي.
• تحديد أسماء المجالات التي يتم الاستعلام عنها بشكل متكرر والعملاء الذاخرين بالكلام.
• تعريف سجلات الموارد التي لا معنى لها.
• عرض جميع السجلات ذات الصلة بـ DNS في مكان واحد.

كيفية عمل المجموعة مع أحداث Windows DNS عبر موصل AMA

1. يستخدم موصل AMA ملحق DNS المثبت لجمع السجلات وتحليلها.

   إشعار

   تدعم أحداث Windows DNS عبر موصل AMA حاليًا أنشطة الأحداث التحليلية فقط.

2. يقوم الموصل ببث الأحداث إلى مساحة عمل Microsoft Sentinel ليتم تحليلها بشكل أكبر.

3. يمكنك الآن استخدام عوامل تصفية متقدمة لتصفية أحداث أو معلومات معينة. باستخدام عوامل التصفية المتقدمة، يمكنك تحميل البيانات القيمة التي تريد مراقبتها فقط، مما يقلل من التكاليف واستخدام النطاق الترددي.

التسوية باستخدام ASIM

يتم تطبيع هذا الموصل بالكامل باستخدام محللات نموذج معلومات الأمان المتقدم (ASIM). نشأت أحداث دفق الموصل من السجلات التحليلية إلى الجدول الذي تمت تسويته المسمى ASimDnsActivityLogs. يعمل هذا الجدول كمترجم، باستخدام لغة واحدة موحدة، تتم مشاركتها عبر جميع موصلات DNS القادمة.

بالنسبة إلى محلل غير محدد المصدر الذي يوحد جميع بيانات DNS ويضمن تشغيل التحليل عبر جميع المصادر المكونة، استخدم محلل _Im_DnsASIM DNS الموحد .

يكمل محلل توحيد ASIM الجدول الأصلي ASimDnsActivityLogs. بينما يكون الجدول الأصلي متوافقا مع ASIM، فإن المحلل مطلوب لإضافة قدرات، مثل الأسماء المستعارة، المتوفرة فقط في وقت الاستعلام، والدمج ASimDnsActivityLogs مع مصادر بيانات DNS الأخرى.

يمثل مخطط DNS ASIM نشاط بروتوكول DNS، كما تم تسجيله في خادم Windows DNS في السجلات التحليلية. يخضع المخطط لقوائم المعلمات الرسمية وRFCs التي تحدد الحقول والقيم.

راجع قائمة حقول خادم Windows DNS المترجمة إلى أسماء الحقول التي تمت تسويتها.

إعداد Windows DNS عبر موصل AMA

يمكنك إعداد الموصل بطريقتين:

• مدخل Microsoft Sentinel. باستخدام هذا الإعداد، يمكنك إنشاء قاعدة تجميع بيانات واحدة (DCR) وإدارتها وحذفها لكل مساحة عمل. حتى إذا قمت بتعريف DCRs متعددة عبر واجهة برمجة التطبيقات، يعرض المدخل DCR واحد فقط.
• واجهة برمجة التطبيقات. باستخدام هذا الإعداد، يمكنك إنشاء عدة DCRs وإدارتها وحذفها.

المتطلبات الأساسية

قبل أن تبدأ، تحقق من أن لديك ما يلي:

• تم تمكين حل Microsoft Sentinel.
• مساحة عمل Microsoft Sentinel محددة.
• Windows Server 2012 R2 مع إصلاح عاجل للتدقيق والأحدث.
• خادم Windows DNS.
• لتجميع الأحداث من أي نظام ليس جهازًا ظاهريًا لـ Azure، تأكد من تثبيت Azure Arc. قم بتثبيت Azure Arc وتمكينه قبل تمكين الموصل المستند إلى عامل Azure Monitor. يتضمن هذا المطلب ما يلي:
  • خوادم Windows مثبتة على أجهزة فعلية
  • خوادم Windows مثبتة على الأجهزة الظاهرية المحلية
  • خوادم Windows مثبتة على الأجهزة الظاهرية في السحب غير المتعلقة بـ Azure

إعداد الموصل في مدخل Microsoft Sentinel (UI)

افتح صفحة الموصل وأنشئ DCR

1. افتح مدخل Microsoft Azure وانتقل إلى خدمة Microsoft Sentinel.
2. في جزء موصلات البيانات، في شريط البحث، اكتب DNS.
3. حدد أحداث Windows DNS عبر موصل AMA.
4. أسفل وصف الموصل، حدد فتح صفحة الموصل.
5. في منطقة التكوين، حدد إنشاء قاعدة تجميع بيانات. يمكنك إنشاء DCR واحد لكل مساحة عمل. إذا كنت بحاجة إلى إنشاء DCRs متعددة، فاستخدم واجهة برمجة التطبيقات.

يتم تعيين اسم DCR والاشتراك ومجموعة الموارد تلقائيًا استنادًا إلى اسم مساحة العمل والاشتراك الحالي ومجموعة الموارد التي تم تحديد الموصل منها.

تعريف الموارد (VMs)

1. حدد علامة التبويب الموارد وحدد إضافة مورد (موارد).

2. حدد الأجهزة الظاهرية التي تريد تثبيت الموصل عليها لجمع السجلات.

   

3. راجع التغييرات وحدد حفظ>تطبيق.

تصفية الأحداث غير المرغوب فيها

عند استخدام عوامل التصفية، يمكنك استبعاد الحدث الذي يحدده عامل التصفية. بمعنى آخر، لا يجمع Microsoft Sentinel البيانات للحدث المحدد. على الرغم من أن هذه الخطوة غير مطلوبة، فإنها يمكن أن تساعد في تقليل التكاليف وتبسيط فرز الأحداث.

لإنشاء عوامل التصفية:

1. في صفحة الموصل، في منطقة التكوين، حدد إضافة عوامل تصفية تجميع البيانات.

2. اكتب اسمًا لعامل التصفية وحدد نوع عامل التصفية. نوع عامل التصفية هو معلمة تقلل من عدد الأحداث التي تم جمعها. تتم تسوية المعلمات وفقا للمخطط الذي تمت تسويته في DNS. راجع قائمة الحقول المتوفرة للتصفية.

   

3. اختر القيم التي تريد تصفية الحقل من بين القيم المدرجة في القائمة المنسدلة.

   

4. لإضافة عوامل تصفية معقدة، حدد إضافة حقل استبعاد لتصفية الحقل ذي الصلة وإضافته. راجع الأمثلة في قسم استخدام عوامل التصفية المتقدمة أدناه.

5. لإضافة المزيد من عوامل التصفية الجديدة، حدد إضافة عامل تصفية استبعاد جديد.

6. عند الانتهاء من إضافة عوامل التصفية، حدد إضافة.

7. مرة أخرى في صفحة الموصل الرئيسي، حدد تطبيق التغييرات لحفظ عوامل التصفية ونشرها على الموصلات. لتحرير عوامل التصفية أو الحقول الموجودة أو حذفها، حدد أيقونات التحرير أو الحذف في الجدول ضمن منطقة التكوين .

8. لإضافة حقول أو عوامل تصفية بعد التوزيع الأولي، حدد إضافة عوامل تصفية تجميع البيانات مرة أخرى.

إعداد الموصل باستخدام واجهة برمجة التطبيقات

يمكنك إنشاء DCRs باستخدام واجهة برمجة التطبيقات. استخدم هذا الخيار إذا كنت بحاجة إلى إنشاء DCRs متعددة.

استخدم هذا المثال كقالب لإنشاء DCR أو تحديثه:

طلب عنوان URL ورأسه

PUT 

    https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview 

نص الطلب

{
    "properties": {
        "dataSources": {
            "windowsEventLogs": [],
            "extensions": [
                {
                    "streams": [
                        "Microsoft-ASimDnsActivityLogs"
                    ],
                    "extensionName": "MicrosoftDnsAgent",
                    "extensionSettings": {
                        "Filters": [
                            {
                                "FilterName": "SampleFilter",
                                "Rules": [
                                    {
                                        "Field": "EventOriginalType",
                                        "FieldValues": [
                                            "260"
                                        ]
                                    }
                                ]
                            }
                        ]
                    },
                    "name": "SampleDns"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
                    "workspaceId": {WorkspaceGuid}",
                    "name": "WorkspaceDestination"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-ASimDnsActivityLogs"
                ],
                "destinations": [
                    " WorkspaceDestination "
                ]
            }
        ],
    },
    "location": "eastus2",
    "tags": {},
    "kind": "Windows",
    "id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
    "name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
    "type": "Microsoft.Insights/dataCollectionRules",
}

استخدام عوامل التصفية المتقدمة

يمكن أن تحتوي سجلات أحداث خادم DNS على عدد كبير من الأحداث. يمكنك استخدام التصفية المتقدمة لتصفية الأحداث غير الضرورية قبل تحميل البيانات، ما يوفر وقت الفرز والتكاليف القيمة. تقوم عوامل التصفية بإزالة البيانات غير الضرورية من دفق الأحداث التي تم تحميلها إلى مساحة العمل الخاصة بك.

تستند عوامل التصفية إلى مجموعة من الحقول المتعددة.

• يمكنك استخدام قيم متعددة لكل حقل باستخدام قائمة مفصولة بفواصل.
• لإنشاء عوامل تصفية مركبة، استخدم حقولا مختلفة مع علاقة AND.
• لدمج عوامل تصفية مختلفة، استخدم علاقة OR بينها.

راجع الحقول المتوفرة للتصفية.

استخدام حروف البدل

يمكنك استخدام أحرف البدل في عوامل التصفية المتقدمة. راجع هذه الاعتبارات عند استخدام أحرف البدل:

• أضف نقطة بعد كل علامة نجمية (*.).
• لا تستخدم المسافات بين قائمة المجالات.
• تنطبق أحرف البدل على المجالات الفرعية للمجال فقط، بما في ذلك www.domain.com، بغض النظر عن البروتوكول. على سبيل المثال، إذا كنت تستخدم *.domain.com في عامل تصفية متقدم:
  • ينطبق عامل التصفية على www.domain.com وsubdomain.domain.com، بغض النظر عما إذا كان البروتوكول HTTPS وFTP وما إلى ذلك.
  • لا ينطبق عامل التصفية على domain.com. لتطبيق عامل تصفية على domain.com، حدد المجال مباشرة، دون استخدام حرف بدل.

أمثلة تصفية متقدمة

عدم تجميع معرفات أحداث محددة

يرشد عامل التصفية هذا الموصل إلى عدم تجميع EventID 256 أو EventID 257 أو EventID 260 مع عناوين IPv6.

باستخدام مدخل Microsoft Sentinel:

1. قم بإنشاء عامل تصفية باستخدام حقل EventOriginalType، باستخدام عامل تشغيل Equals، بالقيم 256 و257 و260.

   

2. قم بإنشاء عامل تصفية مع حقل EventOriginalType المعرف أعلاه، واستخدام عامل التشغيل And، بما في ذلك أيضًا تعيين حقل DnsQueryTypeName إلى AAAA.

   

استخدام واجهة برمجة التطبيقات:

"Filters": [
    {
        "FilterName": "SampleFilter",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "256", "257", "260"                                                                              
                ]
            },
            {
                "Field": "DnsQueryTypeName",
                "FieldValues": [
                    "AAAA"                                        
                ]
            }
        ]
    },
    {
        "FilterName": "EventResultDetails",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "230"                                        
                ]
            },
            {
                "Field": "EventResultDetails",
                "FieldValues": [
                    "BADKEY","NOTZONE"                                        
                ]
            }
        ]
    }
]

عدم تجميع الأحداث بمجالات محددة

يرشد عامل التصفية هذا الموصل إلى عدم تجميع الأحداث من أي مجالات فرعية من microsoft.com أو google.com أو amazon.com أو الأحداث من facebook.com أو center.local.

باستخدام مدخل Microsoft Sentinel:

قم بتعيين حقل DnsQuery باستخدام عامل تشغيل Equals، مع القائمة *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local.

راجع هذه الاعتبارات لاستخدام أحرف البدل.

لتعريف قيم مختلفة في حقل واحد، استخدم عامل التشغيل OR.

استخدام واجهة برمجة التطبيقات:

راجع هذه الاعتبارات لاستخدام أحرف البدل.

"Filters": [ 

    { 

        "FilterName": "SampleFilter", 

        "Rules": [ 

            { 

                "Field": "DnsQuery", 

                "FieldValues": [ 

                    "*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"                                                                               

                ] 

            }, 

         } 

    } 

] 

الخطوات التالية

في هذه المقالة، تعلمت كيفية إعداد أحداث Windows DNS عبر موصل AMA لتحميل البيانات وتصفية سجلات DNS في Windows. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• تعرف على طريقةالحصول على رؤية لبياناتك والتهديدات المحتملة.
• ابدأ في اكتشاف التهديدات باستخدام Microsoft Azure Sentinel.
• استخدم المصنفات لمراقبة بياناتك.