إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يتم استخدام نموذج معلومات DNS لوصف الأحداث التي أبلغ عنها خادم DNS أو نظام أمان DNS، ويستخدمه Microsoft Sentinel لتمكين التحليلات غير المتصلة بالمصادر.
لمزيد من المعلومات، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
نظرة عامة على المخطط
يمثل مخطط ASIM DNS نشاط بروتوكول DNS. ترسل كل من خوادم DNS والأجهزة طلبات DNS إلى نشاط DNS لسجل خادم DNS. يتضمن نشاط بروتوكول DNS استعلامات DNS وتحديثات خادم DNS وعمليات نقل البيانات المجمعة ل DNS. نظرا لأن المخطط يمثل نشاط البروتوكول، فإنه يحكمه RFCs وقوائم المعلمات المعينة رسميا، والتي تتم الإشارة إليها في هذه المقالة عند الاقتضاء. لا يمثل مخطط DNS أحداث تدقيق خادم DNS.
أهم نشاط تم الإبلاغ عنه بواسطة خوادم DNS هو استعلام DNS، الذي EventType تم تعيين الحقل له إلى Query.
أهم الحقول في حدث DNS هي:
DnsQuery، الذي يبلغ عن اسم المجال الذي تم إصدار الاستعلام له.
SrcIpAddr (الاسم المستعار ل IpAddr)، والذي يمثل عنوان IP الذي تم إنشاء الطلب منه. توفر خوادم DNS عادة حقل SrcIpAddr، ولكن عملاء DNS في بعض الأحيان لا يوفرون هذا الحقل ويوفرون فقط حقل SrcHostname .
EventResultDetails، الذي يبلغ عما إذا كان الطلب ناجحا وإذا لم يكن، لماذا.
عند توفره، DnsResponseName، الذي يحتوي على الإجابة التي يوفرها الخادم للاستعلام. لا يتطلب ASIM تحليل الاستجابة، ويختلف تنسيقها بين المصادر.
لاستخدام هذا الحقل في محتوى غير محدد المصدر، ابحث في المحتوى باستخدام
hasعوامل التشغيل أوcontains.
قد تتضمن أحداث DNS التي تم جمعها على جهاز العميل أيضا معلومات المستخدموالعملية .
إرشادات تجميع أحداث DNS
DNS هو بروتوكول فريد من حيث أنه قد يعبر عددا كبيرا من أجهزة الكمبيوتر. أيضا، نظرا لأن DNS يستخدم UDP، فإن الطلبات والاستجابات غير مقترنة ولا ترتبط ارتباطا مباشرا ببعضها البعض.
تظهر الصورة التالية تدفق طلب DNS مبسطا، بما في ذلك أربعة مقاطع. يمكن أن يكون الطلب في العالم الحقيقي أكثر تعقيدا، مع مشاركة المزيد من الشرائح.
نظرا لأن مقاطع الطلب والاستجابة غير متصلة مباشرة ببعضها البعض في تدفق طلب DNS، يمكن أن يؤدي التسجيل الكامل إلى تكرار كبير.
الجزء الأكثر قيمة لتسجيله هو الاستجابة للعميل. توفر الاستجابة استعلامات اسم المجال، ونتيجة البحث، وعنوان IP للعميل. بينما تقوم العديد من أنظمة DNS بتسجيل هذا الجزء فقط، هناك قيمة في تسجيل الأجزاء الأخرى. على سبيل المثال، غالبا ما يستفيد هجوم التسمم بذاكرة التخزين المؤقت DNS من الاستجابات الزائفة من خادم المصدر.
إذا كان مصدر البيانات يدعم تسجيل DNS الكامل واخترت تسجيل مقاطع متعددة، فعدل استعلاماتك لمنع تكرار البيانات في Microsoft Sentinel.
على سبيل المثال، يمكنك تعديل الاستعلام الخاص بك بالتسوية التالية:
_Im_Dns | where SrcIpAddr != "127.0.0.1" and EventSubType == "response"
موزعي
لمزيد من المعلومات حول محللات ASIM، راجع نظرة عامة على محللات ASIM.
محللات خارج الصندوق
لاستخدام المحللات التي تعمل على توحيد جميع محللات ASIM الجاهزة، والتأكد من تشغيل التحليل عبر جميع المصادر المكونة، استخدم المحلل _Im_Dns الموحد كاسم جدول في الاستعلام الخاص بك.
للحصول على قائمة محللات DNS Microsoft Sentinel يوفر خارج الصندوق راجع قائمة محللات ASIM.
إضافة المحللات التي تمت تسويتها
عند تنفيذ المحللات المخصصة لنموذج معلومات Dns، قم بتسمية وظائف KQL باستخدام التنسيق vimDns<vendor><Product>. راجع المقالة إدارة محللات ASIM لمعرفة كيفية إضافة المحللات المخصصة إلى محلل توحيد DNS.
تصفية معلمات المحلل
تدعم محللات DNS معلمات التصفية. في حين أن هذه المعلمات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.
تتوفر معلمات التصفية التالية:
| الاسم | النوع | الوصف |
|---|---|---|
| وقت البدء | Datetime | تصفية استعلامات DNS التي تم تشغيلها في هذا الوقت أو بعده فقط. تقوم هذه المعلمة بتصفية TimeGenerated الحقل، وهو المعين القياسي لوقت الحدث، بغض النظر عن التعيين الخاص بالموزع لحقول EventStartTime و EventEndTime. |
| وقت الانتهاء | Datetime | تصفية استعلامات DNS التي انتهت تشغيلها في هذا الوقت أو قبله فقط. تقوم هذه المعلمة بتصفية TimeGenerated الحقل، وهو المعين القياسي لوقت الحدث، بغض النظر عن التعيين الخاص بالموزع لحقول EventStartTime و EventEndTime. |
| srcipaddr | سلسله | تصفية استعلامات DNS فقط من عنوان IP المصدر هذا. |
| domain_has_any | ديناميكي/سلسلة | تصفية استعلامات DNS فقط حيث domain يحتوي (أو query) على أي من أسماء المجالات المدرجة، بما في ذلك كجزء من مجال الحدث. يقتصر طول القائمة على 10000 عنصر. |
| اسم رمز الاستجابة | سلسله | تصفية استعلامات DNS التي يتطابق اسم رمز الاستجابة لها مع القيمة المقدمة. على سبيل المثال: NXDOMAIN |
| response_has_ipv4 | سلسله | تصفية استعلامات DNS فقط التي يتضمن فيها حقل الاستجابة عنوان IP المقدم أو بادئة عنوان IP. استخدم هذه المعلمة عندما تريد التصفية على عنوان IP واحد أو بادئة واحدة. لا يتم إرجاع النتائج للمصادر التي لا توفر استجابة. |
| response_has_any_prefix | ديناميه | تصفية استعلامات DNS فقط التي يتضمن فيها حقل الاستجابة أيا من عناوين IP المدرجة أو بادئات عناوين IP. يجب أن تنتهي البادئات ب .، على سبيل المثال: 10.0.. استخدم هذه المعلمة عندما تريد التصفية على قائمة عناوين IP أو البادئات. لا يتم إرجاع النتائج للمصادر التي لا توفر استجابة. يقتصر طول القائمة على 10000 عنصر. |
| نوع الحدث | سلسله | تصفية استعلامات DNS فقط من النوع المحدد. إذا لم يتم تحديد قيمة، يتم إرجاع استعلامات البحث فقط. |
على سبيل المثال، لتصفية استعلامات DNS فقط من اليوم الأخير التي فشلت في حل اسم المجال، استخدم:
_Im_Dns (responsecodename = 'NXDOMAIN', starttime = ago(1d), endtime=now())
لتصفية استعلامات DNS فقط لقائمة محددة من أسماء المجالات، استخدم:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_Dns (domain_has_any = torProxies)
يمكن لبعض المعلمات قبول كل من قائمة القيم من النوع dynamic أو قيمة سلسلة واحدة. لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم حرفيا ديناميكيا بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.'])
المحتوى الذي تمت تسويته
للحصول على قائمة كاملة بقواعد التحليلات التي تستخدم أحداث DNS التي تمت تسويتها، راجع محتوى أمان استعلام DNS.
تفاصيل المخطط
يتم محاذاة نموذج معلومات DNS مع مخطط كيان OSSEM DNS.
لمزيد من المعلومات، راجع مرجع معلمة DNS لمرجع الأرقام المعينة عبر الإنترنت (IANA).
حقول ASIM الشائعة
هام
يتم وصف الحقول الشائعة لكافة المخططات بالتفصيل في مقالة الحقول الشائعة ASIM .
الحقول المشتركة مع إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث DNS:
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| نوع الحدث | الزاميه | تعداد | يشير إلى العملية التي أبلغ عنها السجل. بالنسبة لسجلات DNS، ستكون هذه القيمة هي رمز عملية DNS. على سبيل المثال: Query |
| EventSubType | اختياري | تعداد | إما request أو response. بالنسبة لمعظم المصادر، يتم تسجيل الاستجابات فقط، وبالتالي غالبا ما تكون القيمة استجابة. |
| EventResultDetails | الزاميه | تعداد | بالنسبة لأحداث DNS، يوفر هذا الحقل رمز استجابة DNS. ملاحظات: - لا تحدد IANA حالة القيم، لذلك يجب أن تقوم التحليلات بتطبيع الحالة. - إذا كان المصدر يوفر رمز استجابة رقميا فقط وليس اسم رمز استجابة، يجب أن يتضمن المحلل جدول بحث للإثراء بهذه القيمة. - إذا كان هذا السجل يمثل طلبا وليس استجابة، فقم بتعيين إلى NA. على سبيل المثال: NXDOMAIN |
| EventSchemaVersion | الزاميه | SchemaVersion (سلسلة) | إصدار المخطط الموثق هنا هو 0.1.7. |
| EventSchema | الزاميه | تعداد | اسم المخطط الموثق هنا هو Dns. |
| حقول Dvc | - | - | بالنسبة لأحداث DNS، تشير حقول الجهاز إلى النظام الذي يبلغ عن حدث DNS. |
كافة الحقول الشائعة
الحقول التي تظهر في الجدول أدناه شائعة لجميع مخططات ASIM. أي إرشادات محددة أعلاه تتجاوز الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريا بشكل عام، ولكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع مقالة الحقول المشتركة ASIM .
| فئه | الحقول |
|---|---|
| الزاميه |
-
عدد الأحداث - EventStartTime - EventEndTime - نوع الحدث - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| اوصت |
-
EventResultDetails - حدث كلي - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - DvcIdType - DvcAction |
| اختياري |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - مالك الحدث - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - حقول إضافية - DvcDescription - DvcScopeId - DvcScope |
حقول النظام المصدر
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| Src | الاسم المستعار | سلسلة | معرف فريد للجهاز المصدر. يمكن لهذا الحقل الاسم المستعار لحقول SrcDvcId أو SrcHostname أو SrcIpAddr . على سبيل المثال: 192.168.12.1 |
| SrcIpAddr | اوصت | عنوان IP | عنوان IP للعميل الذي أرسل طلب DNS. لطلب DNS متكرر، ستكون هذه القيمة عادة جهاز إعداد التقارير، وفي معظم الحالات يتم تعيينها إلى 127.0.0.1. على سبيل المثال: 192.168.12.1 |
| رقم SrcPortNumber | اختياري | صحيح | منفذ المصدر لاستعلام DNS. على سبيل المثال: 54312 |
| IpAddr | الاسم المستعار | الاسم المستعار ل SrcIpAddr | |
| SrcGeoCountry | اختياري | البلد | البلد/المنطقة المقترنة بعنوان IP المصدر. على سبيل المثال: USA |
| SrcGeoRegion | اختياري | المنطقه | المنطقة المقترنة بعنوان IP المصدر. على سبيل المثال: Vermont |
| SrcGeoCity | اختياري | المدينه | المدينة المقترنة بعنوان IP المصدر. على سبيل المثال: Burlington |
| SrcGeoLatitude | اختياري | العرض | خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. على سبيل المثال: 44.475833 |
| SrcGeoLongitude | اختياري | خط طول | خط طول الإحداثيات الجغرافية المرتبطة بعنوان IP المصدر. على سبيل المثال: 73.211944 |
| SrcRiskLevel | اختياري | صحيح | مستوى المخاطر المرتبط بالمصدر. يجب تعديل القيمة إلى نطاق من 0 إلى ، مع 0 ل حميدة و 100 لمخاطر 100عالية.على سبيل المثال: 90 |
| SrcOriginalRiskLevel | اختياري | سلسلة | مستوى المخاطر المرتبط بالمصدر، كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. على سبيل المثال: Suspicious |
| اسم SrcHostname | اوصت | اسم المضيف (سلسلة) | اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. على سبيل المثال: DESKTOP-1282V4D |
| المضيف | الاسم المستعار | الاسم المستعار ل SrcHostname | |
| SrcDomain | اوصت | المجال (سلسلة) | مجال الجهاز المصدر. على سبيل المثال: Contoso |
| SrcDomainType | الشرطي | تعداد | نوع SrcDomain، إذا كان معروفا. تتضمن القيم المحتملة ما يلي: - Windows (مثل: contoso)- FQDN (مثل: microsoft.com)مطلوب إذا تم استخدام SrcDomain . |
| SrcFQDN | اختياري | FQDN (سلسلة) | اسم مضيف الجهاز المصدر، بما في ذلك معلومات المجال عند توفرها. ملاحظة: يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق مجال Windows\اسم المضيف. يعكس حقل SrcDomainType التنسيق المستخدم. على سبيل المثال: Contoso\DESKTOP-1282V4D |
| SrcDvcId | اختياري | سلسلة | معرف الجهاز المصدر كما تم الإبلاغ عنه في السجل. على سبيل المثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | اختياري | سلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. يتم تعيين SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcScope | اختياري | سلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. يتم تعيين SrcDvcScope إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcIdType | الشرطي | تعداد | نوع SrcDvcId، إذا كان معروفا. تتضمن القيم المحتملة ما يلي: - AzureResourceId- MDEidإذا كانت معرفات متعددة متوفرة، فاستخدم المعرف الأول من القائمة، وقم بتخزين المعرفين الآخرين في SrcDvcAzureResourceIdوSrcDvcMDEid، على التوالي. ملاحظة: هذا الحقل مطلوب إذا تم استخدام SrcDvcId . |
| SrcDeviceType | اختياري | تعداد | نوع الجهاز المصدر. تتضمن القيم المحتملة ما يلي: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | اختياري | سلسلة | نص وصفي مقترن بالجهاز. على سبيل المثال: Primary Domain Controller. |
حقول المستخدم المصدر
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| معرف SrcUserId | اختياري | سلسلة | تمثيل فريد أبجدي رقمي قابل للقراءة آليا للمستخدم المصدر. لمزيد من المعلومات، وللاضافة إلى الحقول البديلة للمعرفات الإضافية، راجع كيان المستخدم. على سبيل المثال: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserScope | اختياري | سلسلة | النطاق، مثل Microsoft Entra المستأجر، حيث يتم تعريف SrcUserIdوSrcUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| SrcUserScopeId | اختياري | سلسلة | معرف النطاق، مثل معرف الدليل Microsoft Entra، حيث يتم تعريف SrcUserIdوSrcUsername. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| SrcUserIdType | الشرطي | نوع المستخدم | نوع المعرف المخزن في حقل SrcUserId . لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserIdType في مقالة نظرة عامة على المخطط. |
| SrcUsername | اختياري | اسم المستخدم (سلسلة) | اسم المستخدم المصدر، بما في ذلك معلومات المجال عند توفرها. لمزيد من المعلومات، راجع كيان المستخدم. على سبيل المثال: AlbertE |
| SrcUsernameType | الشرطي | نوع اسم المستخدم | يحدد نوع اسم المستخدم المخزن في حقل SrcUsername . لمزيد من المعلومات وقائمة القيم المسموح بها، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط. على سبيل المثال: Windows |
| المستخدم | الاسم المستعار | الاسم المستعار ل SrcUsername | |
| SrcUserType | اختياري | نوع المستخدم | نوع المستخدم المصدر. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserType في مقالة نظرة عامة على المخطط. على سبيل المثال: Guest |
| SrcUserSessionId | اختياري | سلسلة | المعرف الفريد لجلسة تسجيل الدخول الخاصة بالمستخدم. على سبيل المثال: 102pTUgC3p8RIqHvzxLCHnFlg |
| SrcOriginalUserType | اختياري | سلسلة | نوع المستخدم المصدر الأصلي، إذا تم توفيره من قبل المصدر. |
حقول معالجة المصدر
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| SrcProcessName | اختياري | سلسلة | اسم ملف العملية التي بدأت طلب DNS. عادة ما يعتبر هذا الاسم هو اسم العملية. على سبيل المثال: C:\Windows\explorer.exe |
| عمليه | الاسم المستعار | الاسم المستعار ل SrcProcessName على سبيل المثال: C:\Windows\System32\rundll32.exe |
|
| SrcProcessId | اختياري | سلسلة | معرف العملية (PID) للعملية التي بدأت طلب DNS. على سبيل المثال: 48610176 ملاحظة: يتم تعريف النوع كسلسلة لدعم الأنظمة المختلفة، ولكن على Windows Linux يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهاز Windows أو Linux وتستخدم نوعا مختلفا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فقم بتحويلها إلى قيمة عشرية. |
| SrcProcessGuid | اختياري | GUID (سلسلة) | معرف فريد تم إنشاؤه (GUID) للعملية التي بدأت طلب DNS. على سبيل المثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
حقول نظام الوجهة
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| Dst | الاسم المستعار | سلسلة | معرف فريد للخادم الذي تلقى طلب DNS. قد يستخدم هذا الحقل اسما مستعارا لحقول DstDvcId أو DstHostname أو DstIpAddr . على سبيل المثال: 192.168.12.1 |
| DstIpAddr | اختياري | عنوان IP | عنوان IP للخادم الذي تلقى طلب DNS. بالنسبة لطلب DNS عادي، ستكون هذه القيمة عادة جهاز إعداد التقارير، وفي معظم الحالات يتم تعيينها إلى 127.0.0.1.على سبيل المثال: 127.0.0.1 |
| DstGeoCountry | اختياري | البلد | البلد/المنطقة المقترنة بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية. على سبيل المثال: USA |
| DstGeoRegion | اختياري | المنطقه | المنطقة أو الحالة المقترنة بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية. على سبيل المثال: Vermont |
| DstGeoCity | اختياري | المدينه | المدينة المقترنة بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية. على سبيل المثال: Burlington |
| DstGeoLatitude | اختياري | العرض | خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية. على سبيل المثال: 44.475833 |
| DstGeoLongitude | اختياري | خط طول | خط طول الإحداثيات الجغرافية المقترنة بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية. على سبيل المثال: 73.211944 |
| DstRiskLevel | اختياري | صحيح | مستوى المخاطر المقترن بالوجهة. يجب تعديل القيمة إلى نطاق يتراوح من 0 إلى 100، والتي تكون 0 حميدة و100 تشكل خطرا كبيرا. على سبيل المثال: 90 |
| DstOriginalRiskLevel | اختياري | سلسلة | مستوى المخاطر المرتبط بالوجهة، كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. على سبيل المثال: Malicious |
| DstPortNumber | اختياري | صحيح | رقم منفذ الوجهة. على سبيل المثال: 53 |
| DstHostname | اختياري | اسم المضيف (سلسلة) | اسم مضيف الجهاز الوجهة، باستثناء معلومات المجال. إذا لم يتوفر اسم جهاز، فخزن عنوان IP ذي الصلة في هذا الحقل. على سبيل المثال: DESKTOP-1282V4Dملاحظة: هذه القيمة إلزامية إذا تم تحديد DstIpAddr . |
| DstDomain | اختياري | المجال (سلسلة) | مجال الجهاز الوجهة. على سبيل المثال: Contoso |
| DstDomainType | الشرطي | تعداد | نوع DstDomain، إذا كان معروفا. تتضمن القيم المحتملة ما يلي: - Windows (contoso\mypc)- FQDN (learn.microsoft.com)مطلوب إذا تم استخدام DstDomain . |
| DstFQDN | اختياري | FQDN (سلسلة) | اسم مضيف الجهاز الوجهة، بما في ذلك معلومات المجال عند توفرها. على سبيل المثال: Contoso\DESKTOP-1282V4D ملاحظة: يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق مجال Windows\اسم المضيف. يعكس DstDomainType التنسيق المستخدم. |
| DstDvcId | اختياري | سلسلة | معرف الجهاز الوجهة كما تم الإبلاغ عنه في السجل. على سبيل المثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | اختياري | سلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. يتم تعيين DstDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| DstDvcScope | اختياري | سلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين DstDvcScope إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| DstDvcIdType | الشرطي | تعداد | نوع DstDvcId، إذا كان معروفا. تتضمن القيم المحتملة ما يلي: - AzureResourceId- MDEidIfإذا كانت معرفات متعددة متوفرة، فاستخدم المعرف الأول من القائمة أعلاه، وقم بتخزين المعرفين الآخرين في الحقلين DstDvcAzureResourceId أو DstDvcMDEid ، على التوالي. مطلوب إذا تم استخدام DstDeviceId . |
| DstDeviceType | اختياري | تعداد | نوع الجهاز الوجهة. تتضمن القيم المحتملة ما يلي: - Computer- Mobile Device- IOT Device- Other |
| DstDescription | اختياري | سلسلة | نص وصفي مقترن بالجهاز. على سبيل المثال: Primary Domain Controller. |
حقول محددة ل DNS
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| DnsQuery | الزاميه | سلسلة | المجال الذي يحاول الطلب حله. ملاحظات: - ترسل بعض المصادر استعلامات FQDN صالحة بتنسيق مختلف. على سبيل المثال، في بروتوكول DNS نفسه، يتضمن الاستعلام نقطة (.) في النهاية، والتي يجب إزالتها. - بينما يحد بروتوكول DNS من نوع القيمة في هذا الحقل إلى FQDN، فإن معظم خوادم DNS تسمح بأي قيمة، وبالتالي لا يقتصر هذا الحقل على قيم FQDN فقط. وبشكل خاص، قد تستخدم هجمات نفق DNS قيم FQDN غير صالحة في حقل الاستعلام. - بينما يسمح بروتوكول DNS بالاستعلامات المتعددة في طلب واحد، فإن هذا السيناريو نادر، إذا تم العثور عليه على الإطلاق. إذا كان الطلب يحتوي على استعلامات متعددة، فخزن الاستعلام الأول في هذا الحقل، ثم احتفظ بالباقي اختياريا في الحقل AdditionalFields . على سبيل المثال: www.malicious.com |
| المجال | الاسم المستعار | الاسم المستعار ل DnsQuery. | |
| DnsQueryType | اختياري | صحيح |
رموز نوع سجل مورد DNS. على سبيل المثال: 28 |
| DnsQueryTypeName | اوصت | تعداد | أسماء نوع سجل مورد DNS . ملاحظات: - لا تحدد IANA حالة القيم، لذلك يجب أن تقوم التحليلات بتسوية الحالة حسب الحاجة. - القيمة ANY مدعومة لرمز الاستجابة 255.- يتم دعم القيمة TYPExxxx لرمز الاستجابة غير المعين، حيث xxxx تكون القيمة الرقمية لرمز الاستجابة، كما تم الإبلاغ عنه بواسطة خادم BIND DNS.-إذا كان المصدر يوفر رمز نوع استعلام رقمي فقط وليس اسم نوع استعلام، يجب أن يتضمن المحلل جدول بحث للإثراء بهذه القيمة. على سبيل المثال: AAAA |
| DnsResponseName | اختياري | سلسلة | محتوى الاستجابة، كما هو مضمن في السجل. بيانات استجابة DNS غير متناسقة عبر أجهزة التقارير، ومعقدة لتحليلها، ولها قيمة أقل للتحليليات غير المتصلة بالمصادر. لذلك لا يتطلب نموذج المعلومات التحليل والتسوية، ويستخدم Microsoft Sentinel دالة مساعدة لتوفير معلومات الاستجابة. لمزيد من المعلومات، راجع معالجة استجابة DNS. |
| DnsResponseCodeName | الاسم المستعار | الاسم المستعار ل EventResultDetails | |
| DnsResponseCode | اختياري | صحيح |
التعليمة البرمجية للاستجابة الرقمية DNS. على سبيل المثال: 3 |
| TransactionIdHex | اوصت | سداسي عشري (سلسلة) | المعرف الفريد لاستعلام DNS كما تم تعيينه بواسطة عميل DNS، بتنسيق سداسي عشري. لاحظ أن هذه القيمة هي جزء من بروتوكول DNS وتختلف عن DnsSessionId، معرف جلسة طبقة الشبكة، الذي يعينه جهاز إعداد التقارير عادة. |
| NetworkProtocol | اختياري | تعداد | بروتوكول النقل المستخدم من قبل حدث تحليل الشبكة. يمكن أن تكون القيمة UDP أو TCP، ويتم تعيينها بشكل شائع إلى UDP ل DNS. على سبيل المثال: UDP |
| NetworkProtocolVersion | اختياري | تعداد | إصدار NetworkProtocol. عند استخدامه للتمييز بين إصدار IP، استخدم القيم IPv4 و IPv6. |
| DnsQueryClass | اختياري | صحيح |
معرف فئة DNS. في الممارسة العملية، يتم استخدام فئة IN (المعرف 1) فقط، وبالتالي فإن هذا الحقل أقل قيمة. |
| DnsQueryClassName | اوصت | DnsQueryClassName (سلسلة) |
اسم فئة DNS. في الممارسة العملية، يتم استخدام فئة IN (المعرف 1) فقط، وبالتالي فإن هذا الحقل أقل قيمة. على سبيل المثال: IN |
| DnsFlags | اختياري | سلسلة | حقل العلامات، كما يوفره جهاز إعداد التقارير. إذا تم توفير معلومات العلامة في حقول متعددة، فقم بتسلسلها بفاصلة كفاصل. نظرا لأن علامات DNS معقدة لتحليلها وغالبا ما تستخدمها التحليلات، فإن التحليل والتسوية غير مطلوبين. يمكن Microsoft Sentinel استخدام دالة مساعدة لتوفير معلومات العلامات. لمزيد من المعلومات، راجع معالجة استجابة DNS. على سبيل المثال: ["DR"] |
| DnsNetworkDuration | اختياري | صحيح | مقدار الوقت، بالمللي ثانية، لإكمال طلب DNS. على سبيل المثال: 1500 |
| مده | الاسم المستعار | الاسم المستعار ل DnsNetworkDuration | |
| DnsFlagsAuthenticated | اختياري | منطقي | تشير علامة DNS AD ، المرتبطة ب DNSSEC، في استجابة إلى أنه تم التحقق من جميع البيانات المضمنة في قسمي الإجابة والسلطة في الاستجابة من قبل الخادم وفقا لسياسات هذا الخادم. لمزيد من المعلومات، راجع RFC 3655 القسم 6.1 لمزيد من المعلومات. |
| DnsFlagsAuthoritative | اختياري | منطقي | تشير علامة DNS AA إلى ما إذا كانت الاستجابة من الخادم موثوقة |
| DnsFlagsCheckingDisabled | اختياري | منطقي | تشير علامة DNS CD ، المرتبطة ب DNSSEC، في استعلام إلى أن البيانات التي لم يتم التحقق منها مقبولة للنظام الذي يرسل الاستعلام. لمزيد من المعلومات، راجع RFC 3655 القسم 6.1 لمزيد من المعلومات. |
| DnsFlagsRecursionAvailable | اختياري | منطقي | تشير علامة DNS RA في استجابة إلى أن هذا الخادم يدعم الاستعلامات المتكررة. |
| DnsFlagsRecursionDesired | اختياري | منطقي | تشير علامة DNS RD في طلب إلى أن هذا العميل يرغب في أن يستخدم الخادم استعلامات متكررة. |
| DnsFlagsTruncated | اختياري | منطقي | تشير علامة DNS TC إلى أنه تم اقتطاع استجابة لأنها تجاوزت الحد الأقصى لحجم الاستجابة. |
| DnsFlagsZ | اختياري | منطقي | علامة DNS Z هي علامة DNS مهملة، والتي قد يتم الإبلاغ عنها بواسطة أنظمة DNS القديمة. |
| معرف DnsSession | اختياري | سلسله | معرف جلسة DNS كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. تختلف هذه القيمة عن TransactionIdHex، المعرف الفريد لاستعلام DNS كما تم تعيينه بواسطة عميل DNS. على سبيل المثال: EB4BFA28-2EAD-4EF7-BC8A-51DF4FDF5B55 |
| معرف الجلسة | الاسم المستعار | الاسم المستعار ل DnsSessionId | |
| DnsResponseIpCountry | اختياري | البلد | البلد/المنطقة المقترنة بأحد عناوين IP في استجابة DNS. لمزيد من المعلومات، راجع الأنواع المنطقية. على سبيل المثال: USA |
| DnsResponseIpRegion | اختياري | المنطقه | المنطقة أو الحالة المقترنة بأحد عناوين IP في استجابة DNS. لمزيد من المعلومات، راجع الأنواع المنطقية. على سبيل المثال: Vermont |
| DnsResponseIpCity | اختياري | المدينه | المدينة المقترنة بأحد عناوين IP في استجابة DNS. لمزيد من المعلومات، راجع الأنواع المنطقية. على سبيل المثال: Burlington |
| DnsResponseIpLatitude | اختياري | العرض | خط عرض الإحداثيات الجغرافية المقترنة بأحد عناوين IP في استجابة DNS. لمزيد من المعلومات، راجع الأنواع المنطقية. على سبيل المثال: 44.475833 |
| DnsResponseIpLongitude | اختياري | خط طول | خط طول الإحداثيات الجغرافية المرتبطة بأحد عناوين IP في استجابة DNS. لمزيد من المعلومات، راجع الأنواع المنطقية. على سبيل المثال: 73.211944 |
حقول الفحص
يتم استخدام الحقول التالية لتمثيل فحص، والذي قام به جهاز أمان DNS. تمثل الحقول ذات الصلة بالتهديد تهديدا واحدا مقترنا إما بعنوان المصدر أو عنوان الوجهة أو أحد عناوين IP في الاستجابة أو مجال استعلام DNS. إذا تم تحديد أكثر من تهديد واحد كتهديد، يمكن تخزين معلومات حول عناوين IP الأخرى في الحقل AdditionalFields.
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| UrlCategory | اختياري | سلسلة | قد يبحث مصدر حدث DNS أيضا عن فئة المجالات المطلوبة. يسمى الحقل UrlCategory للمحاذاة مع مخطط شبكة Microsoft Sentinel. تتم إضافة DomainCategory باسم مستعار مناسب ل DNS. على سبيل المثال: Educational \\ Phishing |
| فئة المجال | الاسم المستعار | الاسم المستعار ل UrlCategory. | |
| اسم القاعدة | اختياري | سلسلة | اسم أو معرف القاعدة التي حددت التهديد. على سبيل المثال: AnyAnyDrop |
| رقم القاعدة | اختياري | صحيح | عدد القاعدة التي حددت التهديد. على سبيل المثال: 23 |
| القاعده | الاسم المستعار | سلسلة | إما قيمة RuleName أو قيمة RuleNumber. إذا تم استخدام قيمة RuleNumber ، يجب تحويل النوع إلى سلسلة. |
| رقم القاعدة | اختياري | الباحث | عدد القاعدة المقترنة بالتنبيه. مثل. 123456 |
| اسم القاعدة | اختياري | سلسله | اسم القاعدة المقترنة بالتنبيه أو معرفها. مثل. Server PSEXEC Execution via Remote Access |
| معرف التهديد | اختياري | سلسلة | معرف التهديد أو البرامج الضارة المحددة في جلسة عمل الشبكة. على سبيل المثال: Tr.124 |
| فئة التهديد | اختياري | سلسلة | إذا كان مصدر حدث DNS يوفر أيضا أمان DNS، فقد يقوم أيضا بتقييم حدث DNS. على سبيل المثال، يمكنه البحث عن عنوان IP أو المجال في قاعدة بيانات التحليل الذكي للمخاطر، وتعيين المجال أو عنوان IP مع فئة التهديد. |
| ThreatIpAddr | اختياري | عنوان IP | عنوان IP الذي تم تحديد تهديد له. يحتوي الحقل ThreatField على اسم الحقل ThreatIpAddr الذي يمثله. إذا تم تحديد تهديد في حقل المجال ، يجب أن يكون هذا الحقل فارغا. |
| ThreatField | الشرطي | تعداد | الحقل الذي تم تحديد تهديد له. القيمة هي إما SrcIpAddrأو DstIpAddrDomainأو أو DnsResponseName. |
| اسم التهديد | اختياري | سلسلة | اسم التهديد المحدد، كما تم الإبلاغ عنه بواسطة جهاز الإبلاغ. |
| تكوين التهديد | اختياري | مستوى الثقة (عدد صحيح) | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| تكوين التهديدات | اختياري | سلسلة | مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه بواسطة جهاز الإبلاغ. |
| ThreatRiskLevel | اختياري | RiskLevel (عدد صحيح) | مستوى المخاطر المرتبط بالتهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| ThreatOriginalRiskLevel | اختياري | سلسلة | مستوى المخاطر الأصلي المرتبط بالتهديد المحدد، كما تم الإبلاغ عنه بواسطة جهاز الإبلاغ. |
| ThreatIsActive | اختياري | منطقي | صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا. |
| ThreatFirstReportedTime | اختياري | Datetime | في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatLastReportedTime | اختياري | Datetime | في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال على أنه تهديد. |
الأسماء المستعارة والحقول المهملة
الحقول التالية هي أسماء مستعارة يتم الاحتفاظ بها للتوافق مع الإصدارات السابقة. تمت إزالتهم من المخطط في 31 ديسمبر 2021.
-
Query(الاسم المستعار إلىDnsQuery) -
QueryType(الاسم المستعار إلىDnsQueryType) -
QueryTypeName(الاسم المستعار إلىDnsQueryTypeName) -
ResponseName(الاسم المستعار إلىDnsResponseName) -
ResponseCodeName(الاسم المستعار إلىDnsResponseCodeName) -
ResponseCode(الاسم المستعار إلىDnsResponseCode) -
QueryClass(الاسم المستعار إلىDnsQueryClass) -
QueryClassName(الاسم المستعار إلىDnsQueryClassName) -
Flags(الاسم المستعار إلىDnsFlags) SrcUserDomain
تحديثات المخطط
التغييرات في الإصدار 0.1.2 من المخطط هي:
- تمت إضافة الحقل
EventSchema. - تمت إضافة حقل علامة مخصص، والذي يزيد من حقل العلامات المجمعة:
DnsFlagsAuthoritativeوDnsFlagsCheckingDisabledDnsFlagsRecursionAvailableDnsFlagsRecursionDesiredDnsFlagsTruncatedDnsFlagsZ.
التغييرات في الإصدار 0.1.3 من المخطط هي:
- يوثق
Src*Dst*المخطط الآن بشكل صريح الحقول وProcess*و.User* - تمت إضافة المزيد من
Dvc*الحقول لمطابقة أحدث تعريف لحقول شائعة. - تمت إضافتها
SrcوDstكتسميات مستعارة إلى معرف رائد لأنظمة المصدر والوجهة. - تمت إضافة اختياري
DnsNetworkDurationوDuration، اسم مستعار إليه. - تمت إضافة حقول الموقع الجغرافي ومستوى المخاطر الاختيارية.
التغييرات في الإصدار 0.1.4 من المخطط هي:
- تمت إضافة الحقول
ThreatIpAddrالاختيارية وThreatFieldThreatNameوThreatConfidenceوThreatOriginalConfidenceوThreatOriginalRiskLevelوThreatIsActiveThreatFirstReportedTime.ThreatLastReportedTime
التغييرات في الإصدار 0.1.5 من المخطط هي:
- تمت إضافة الحقول
SrcUserScopeوSrcUserSessionIdSrcDvcScopeIdوSrcDvcScopeوDstDvcScopeIdوDstDvcScope.DvcScopeDvcScopeId
التغييرات في الإصدار 0.1.6 من المخطط هي:
- تمت إضافة الحقول
DnsResponseIpCountryوDnsResponseIpRegionDnsResponseIpCityوDnsResponseIpLatitude.DnsResponseIpLongitude
التغييرات في الإصدار 0.1.7 من المخطط هي:
- تمت إضافة الحقول
SrcDescriptionوDstDescriptionSrcOriginalRiskLevelوDstOriginalRiskLevelوSrcUserScopeIdوNetworkProtocolVersionوRule.ThreatIdRuleNameRuleNumber
التناقضات الخاصة بالمصدر
الهدف من التطبيع هو التأكد من أن جميع المصادر توفر بيانات تتبع الاستخدام متسقة. لا يمكن تسوية مصدر لا يوفر بيانات تتبع الاستخدام المطلوبة، مثل حقول المخطط الإلزامية. ومع ذلك، يمكن تسوية المصادر التي توفر عادة جميع بيانات تتبع الاستخدام المطلوبة، حتى إذا كانت هناك بعض الاختلافات. قد تؤثر التناقضات على اكتمال نتائج الاستعلام.
يسرد الجدول التالي التناقضات المعروفة:
| مصدر | التناقضات |
|---|---|
| Microsoft DNS Server الذي تم جمعه باستخدام موصل DNS وعامل Log Analytics | لا يوفر الموصل حقل DnsQuery الإلزامي لمعرف الحدث الأصلي 264 (الاستجابة لتحديث ديناميكي). تتوفر البيانات في المصدر، ولكن لم تتم إعادة توجيهها بواسطة الموصل. |
| Corelight Zeek | قد لا يوفر Corelight Zeek حقل DnsQuery الإلزامي. لقد لاحظنا مثل هذا السلوك في حالات معينة يكون فيها اسم رمز استجابة DNS هو NXDOMAIN. |
معالجة استجابة DNS
في معظم الحالات، لا تتضمن أحداث DNS المسجلة معلومات الاستجابة، والتي قد تكون كبيرة ومفصلة. إذا كان السجل يتضمن المزيد من معلومات الاستجابة، فقم بتخزينه في الحقل ResponseName كما يظهر في السجل.
يمكنك أيضا توفير دالة KQL إضافية تسمى _imDNS<vendor>Response_، والتي تأخذ الاستجابة غير المقتصدة كإدخال وترجع قيمة ديناميكية بالبنية التالية:
[
{
"part": "answer"
"query": "yahoo.com."
"TTL": 1782
"Class": "IN"
"Type": "A"
"Response": "74.6.231.21"
}
{
"part": "authority"
"query": "yahoo.com."
"TTL": 113066
"Class": "IN"
"Type": "NS"
"Response": "ns5.yahoo.com"
}
...
]
تتوافق الحقول في كل قاموس في القيمة الديناميكية مع الحقول في كل استجابة DNS.
part يجب أن يتضمن الإدخال إما answerأو authorityأو additional لعكس الجزء في الاستجابة التي ينتمي إليها القاموس.
تلميح
لضمان الأداء الأمثل، اتصل بالدالة imDNS<vendor>Response فقط عند الحاجة، وبعد التصفية الأولية فقط لضمان أداء أفضل.
معالجة علامات DNS
التحليل والتسوية غير مطلوبين لبيانات العلامة. بدلا من ذلك، قم بتخزين بيانات العلامة التي يوفرها جهاز إعداد التقارير في حقل العلامات . إذا كان تحديد قيمة العلامات الفردية إلى الأمام مباشرة، يمكنك أيضا استخدام حقول العلامات المخصصة.
يمكنك أيضا توفير دالة KQL إضافية تسمى _imDNS<vendor>Flags_، والتي تأخذ الاستجابة غير المقتصدة، أو حقول العلامة المخصصة، كإدخال وإرجاع قائمة ديناميكية، مع قيم منطقية تمثل كل علامة بالترتيب التالي:
- مصادق عليه (AD)
- موثوق به (AA)
- التحقق من تعطيل (قرص مضغوط)
- Recursion Available (RA)
- Recursion Desired (RD)
- مقتطع (TC)
- Z
الخطوات التالية
لمزيد من المعلومات، اطلع على: