Získání přehledů o infrastruktuře DNS pomocí řešení DNS Analytics Preview

Symbol analýzy DNS

Tento článek popisuje, jak nastavit a používat řešení Azure DNS Analytics ve službě Azure Monitor ke shromažďování přehledů o infrastruktuře DNS o zabezpečení, výkonu a operacích.

Analýza DNS vám pomůže:

  • Identifikujte klienty, kteří se pokoušejí vyřešit škodlivé názvy domén.
  • Identifikace zastaralých záznamů prostředků
  • Identifikujte často dotazované názvy domén a mluvené klienty DNS.
  • Zobrazení zatížení požadavků na servery DNS
  • Umožňuje zobrazit chyby dynamické registrace DNS.

Řešení shromažďuje, analyzuje a koreluje analytické a auditní protokoly DNS systému Windows a další související data ze serverů DNS.

Připojené zdroje

Následující tabulka popisuje připojené zdroje podporované tímto řešením:

Připojený zdroj Podpora Popis
Agenti systému Windows Yes Řešení shromažďuje informace DNS z agentů Windows.
Agenti systému Linux No Řešení neshromažďuje informace DNS od přímých agentů Linuxu.
Skupina pro správu nástroje System Center Operations Manager Yes Řešení shromažďuje informace DNS z agentů v připojené skupině pro správu Operations Manageru. Přímé připojení z agenta Operations Manageru k Azure Monitoru se nevyžaduje. Data se předávají ze skupiny pro správu do pracovního prostoru Služby Log Analytics.
Účet úložiště Azure No Úložiště Azure se v řešení nepoužívá.

Podrobnosti o shromažďování dat

Řešení shromažďuje data týkající se inventáře DNS a událostí DNS ze serverů DNS, kde je nainstalovaný agent Log Analytics. Tato data se pak nahrají do služby Azure Monitor a zobrazí se na řídicím panelu řešení. Data související s inventářem, například počet serverů DNS, zón a záznamů prostředků, se shromažďují spuštěním rutin PROSTŘEDÍ DNS PowerShell. Data se aktualizují jednou za dva dny. Data související s událostmi se shromažďují téměř v reálném čase z analytických protokolů a protokolů auditu poskytovaných rozšířeným protokolováním a diagnostikou DNS v Windows Server 2012 R2.

Konfigurace

Ke konfiguraci řešení použijte následující informace:

Řešení začne shromažďovat data bez nutnosti další konfigurace. K přizpůsobení shromažďování dat ale můžete použít následující konfiguraci.

Konfigurace řešení

V pracovním prostoru Log Analytics v Azure Portal vyberte souhrn pracovního prostoru a potom klikněte na dlaždici DNS Analytics. Na řídicím panelu řešení kliknutím na Možnost Konfigurace otevřete stránku Konfigurace analýzy DNS. Existují dva typy změn konfigurace, které můžete provést:

  • Seznam povolených názvů domén Řešení nezpracuje všechny vyhledávací dotazy. Udržuje seznam povolených přípon názvů domén. Vyhledávací dotazy, které se překládají na názvy domén, které odpovídají příponám názvu domény v tomto seznamu povolených, se v řešení nezpracují. Nezpracování názvy domén seznamu povolených seznamů pomáhají optimalizovat data odeslaná do služby Azure Monitor. Výchozí seznam povolených obsahuje oblíbené názvy veřejných domén, jako jsou www.google.com a www.facebook.com. Úplný výchozí seznam můžete zobrazit posouváním.

    Seznam můžete upravit tak, aby přidal příponu názvu domény, pro kterou chcete zobrazit přehledy vyhledávání. Můžete také odebrat libovolnou příponu názvu domény, pro kterou nechcete zobrazit vyhledávací přehledy.

  • Prahová hodnota talkativního klienta Klienti DNS, kteří překračují prahovou hodnotu počtu žádostí o vyhledávání, jsou zvýraznění v okně Klienti DNS . Výchozí prahová hodnota je 1 000. Prahovou hodnotu můžete upravit.

    Seznam povolených názvů domén

Sady Management Pack

Pokud k připojení k pracovnímu prostoru Služby Log Analytics používáte Microsoft Monitoring Agent, nainstaluje se následující sada Management Pack:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)

Pokud je vaše skupina pro správu Operations Manageru připojená k vašemu pracovnímu prostoru Služby Log Analytics, při přidání tohoto řešení se v Operations Manageru nainstalují následující sady Management Pack. Není nutná konfigurace ani údržba těchto sad Management Pack:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
  • Konfigurace služby DNS Analytics microsoft System Center Advisor (Microsoft.IntelligencePack.Dns.Configuration)

Další informace o způsobu, jakým se aktualizují sady pro správu řešení, najdete v tématu Připojení Operations Manageru ke službě Log Analytics.

Použití řešení DNS Analytics

Data shromážděná tímto řešením monitorování jsou k dispozici na stránce Souhrn pracovního prostoru v Azure Portal. Otevřete tuto stránku z pracovních prostorů Log Analytics pro pracovní prostor s vaším řešením a pak v části Obecné v nabídce vyberte Souhrn pracovního prostoru. Každé řešení je reprezentováno dlaždicí. Kliknutím na dlaždici zobrazíte podrobnější data shromážděná tímto řešením.

Dlaždice DNS obsahuje počet serverů DNS, ve kterých se data shromažďují. Zahrnuje také počet žádostí, které klienti provedli k řešení škodlivých domén za posledních 24 hodin. Po kliknutí na dlaždici se otevře řídicí panel řešení.

Dlaždice Analýza DNS

Řídicí panel řešení

Řídicí panel řešení zobrazuje souhrnné informace pro různé funkce řešení. Obsahuje také odkazy na podrobné zobrazení forenzní analýzy a diagnostiky. Ve výchozím nastavení se data zobrazují za posledních 7 dnů. Rozsah dat a času můžete změnit pomocí ovládacího prvku pro výběr data a času, jak je znázorněno na následujícím obrázku:

Ovládací prvek časového výběru

Řídicí panel řešení zobrazuje následující okna:

Zabezpečení DNS Hlásí klienty DNS, kteří se snaží komunikovat se škodlivými doménami. Pomocí informačních kanálů microsoftu pro analýzu hrozeb může analýza DNS detekovat IP adresy klientů, které se snaží získat přístup ke škodlivým doménám. V mnoha případech se zařízení napadená malwarem "vytočí" do centra "příkazů a řízení" škodlivé domény tím, že přeloží název domény malwaru.

Okno Zabezpečení DNS

Když v seznamu kliknete na IP adresu klienta, otevře se prohledávání protokolů a zobrazí podrobnosti vyhledávání příslušného dotazu. V následujícím příkladu služba DNS Analytics zjistila, že komunikace byla provedena pomocí irCbotu:

Výsledky hledání protokolu zobrazující ircbot

Informace vám pomůžou identifikovat:

  • IP adresa klienta, která iniciovala komunikaci.
  • Název domény, který se přeloží na škodlivou IP adresu.
  • IP adresy, na které se název domény překládá.
  • Škodlivá IP adresa
  • Závažnost problému
  • Důvod blokování škodlivé IP adresy
  • Čas detekce.

Domény byly dotazovány. Poskytuje nejčastější názvy domén dotazovaných klienty DNS ve vašem prostředí. Můžete zobrazit seznam všech názvů domén, na které jste se dotazovali. Můžete také přejít k podrobnostem vyhledávací žádosti o konkrétní název domény ve vyhledávání protokolů.

Okno Dotazované domény

Klienti DNS. Hlásí klienty , kteří překročí prahovou hodnotu počtu dotazů ve zvoleném časovém období. V prohledávání protokolů můžete zobrazit seznam všech klientů DNS a podrobnosti o dotazech provedených nimi.

Okno Klienti DNS

Dynamické registrace DNS Zaznamenává selhání registrace názvů. Všechny chyby registrace záznamů o prostředcích adres (typ A a AAAA) jsou zvýrazněné spolu s IP adresami klienta, které provedly žádosti o registraci. Tyto informace pak můžete použít k vyhledání původní příčiny selhání registrace pomocí následujícího postupu:

  1. Vyhledejte zónu, která je autoritativní pro název, který se klient pokouší aktualizovat.

  2. Pomocí řešení zkontrolujte informace o inventáři dané zóny.

  3. Ověřte, že je povolená dynamická aktualizace zóny.

  4. Zkontrolujte, jestli je zóna nakonfigurovaná pro zabezpečenou dynamickou aktualizaci, nebo ne.

    Okno Dynamické registrace DNS

Žádosti o registraci názvů. Horní dlaždice zobrazuje spojnici trendu úspěšných a neúspěšných žádostí o dynamické aktualizace DNS. Na dolní dlaždici je uvedeno prvních 10 klientů, kteří odesílají neúspěšné žádosti o aktualizaci DNS na servery DNS seřazené podle počtu selhání.

Okno Žádosti o registraci názvů

Ukázkové analytické dotazy DDI Obsahuje seznam nejběžnějších vyhledávacích dotazů, které přímo načítají nezpracovaná analytická data.

Ukázkové dotazy

Tyto dotazy můžete použít jako výchozí bod pro vytváření vlastních dotazů pro přizpůsobené vytváření sestav. Dotazy odkazují na stránku prohledávání protokolu DNS Analytics, kde se zobrazují výsledky:

  • Seznam serverů DNS Zobrazuje seznam všech serverů DNS s přidruženým plně kvalifikovaným názvem domény, názvem domény, názvem doménové struktury a IP adresami serveru.

  • Seznam zón DNS Zobrazuje seznam všech zón DNS s přidruženým názvem zóny, stavem dynamické aktualizace, názvovými servery a stavem podepisování DNSSEC.

  • Nepoužité záznamy prostředků. Zobrazuje seznam všech nepoužívaných nebo zastaralých záznamů prostředků. Tento seznam obsahuje název záznamu prostředku, typ záznamu prostředku, přidružený server DNS, čas generování záznamů a název zóny. Pomocí tohoto seznamu můžete identifikovat záznamy prostředků DNS, které se už nepoužívají. Na základě těchto informací pak můžete tyto položky odebrat ze serverů DNS.

  • Zatížení dotazů serverů DNS Zobrazuje informace, abyste mohli získat perspektivu zatížení DNS na serverech DNS. Tyto informace vám můžou pomoct s plánováním kapacity pro servery. Můžete přejít na kartu Metriky a změnit zobrazení na grafickou vizualizaci. Toto zobrazení vám pomůže pochopit, jak se zatížení DNS distribuuje mezi servery DNS. Zobrazuje trendy četnosti dotazů DNS pro každý server.

    Výsledky hledání v protokolu dotazů serverů DNS

  • Načtení dotazů na zóny DNS Zobrazuje statistiku zóny DNS za sekundu všech zón na serverech DNS spravovaných řešením. Kliknutím na kartu Metriky změníte zobrazení z podrobných záznamů na grafickou vizualizaci výsledků.

  • Události konfigurace. Zobrazuje všechny události změny konfigurace DNS a přidružené zprávy. Tyto události pak můžete filtrovat podle času události, ID události, serveru DNS nebo kategorie úkolu. Data vám můžou pomoct auditovat změny provedené u konkrétních serverů DNS v určitých časech.

  • Analytický protokol DNS. Zobrazuje všechny analytické události na všech serverech DNS spravovaných řešením. Tyto události pak můžete filtrovat na základě času události, ID události, serveru DNS, IP adresy klienta, které provedly vyhledávací dotaz, a kategorie úkolů typu dotazu. Analytické události serveru DNS umožňují sledování aktivit na serveru DNS. Analytická událost se protokoluje pokaždé, když server odesílá nebo přijímá informace DNS.

Na stránce Prohledávání protokolů můžete vytvořit dotaz. Výsledky hledání můžete filtrovat pomocí ovládacích prvků omezující vlastnosti. Můžete také vytvořit pokročilé dotazy, které transformují, filtrují a hlásí výsledky. Začněte pomocí následujících dotazů:

  1. Do vyhledávacího pole zadejte DnsEvents , aby se zobrazily všechny události DNS vygenerované servery DNS spravované řešením. Výsledky zobrazí seznam dat protokolu pro všechny události související s vyhledávacími dotazy, dynamickými registracemi a změnami konfigurace.

    Prohledávání protokolu DnsEvents

    a. Pokud chcete zobrazit data protokolu pro vyhledávací dotazy, vyberte LookUpQuery jako filtr podtypu z ovládacího prvku omezující vlastnosti na levé straně. Zobrazí se tabulka se seznamem všech událostí vyhledávacího dotazu pro vybrané časové období.

    b. Pokud chcete zobrazit data protokolu pro dynamické registrace, vyberte DynamicRegistration jako filtr podtypu z ovládacího prvku omezující vlastnosti na levé straně. Zobrazí se tabulka se seznamem všech událostí dynamické registrace pro vybrané časové období.

    c. Pokud chcete zobrazit data protokolu pro změny konfigurace, vyberte ConfigurationChange jako filtr podtypu z ovládacího prvku omezující vlastnosti na levé straně. Zobrazí se tabulka se seznamem všech událostí změn konfigurace pro vybrané časové období.

  2. Do vyhledávacího pole zadejte DnsInventory , aby se zobrazila všechna data související s inventářem DNS pro servery DNS spravované řešením. Výsledky uvádějí data protokolu pro servery DNS, zóny DNS a záznamy prostředků.

    Prohledávání protokolu DnsInventory

Řešení potíží

Běžné kroky pro řešení potíží:

  1. Chybějící data vyhledávání DNS – Pokud chcete tento problém vyřešit, zkuste konfiguraci resetovat nebo jen jednou na portálu načíst konfigurační stránku. Pro resetování stačí změnit nastavení na jinou hodnotu, pak ho změnit zpět na původní hodnotu a uložit konfiguraci.

Návrhy

Pokud chcete poskytnout zpětnou vazbu, navštivte stránku UserVoice služby Log Analytics a publikujte nápady na funkce DNS Analytics, na které můžete pracovat.

Další kroky

Dotazování protokolů pro zobrazení podrobných záznamů protokolu DNS