Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Informační model DNS se používá k popisu událostí hlášených serverem DNS nebo systémem zabezpečení DNS a používá ho Microsoft Sentinel k povolení analýzy nezávislé na zdroji.
Další informace najdete v tématu Normalizace a Rozšířený model informací o zabezpečení (ASIM).
Přehled schématu
Schéma DNS ASIM představuje aktivitu protokolu DNS. Servery DNS i zařízení, která odesílají požadavky DNS na server DNS, protokoluje aktivitu DNS. Aktivita protokolu DNS zahrnuje dotazy DNS, aktualizace serveru DNS a hromadné přenosy dat DNS. Vzhledem k tomu, že schéma představuje aktivitu protokolu, řídí se dokumenty RFC a oficiálně přiřazenými seznamy parametrů, na které se v případě potřeby odkazuje v tomto článku. Schéma DNS nepředstavuje události auditu serveru DNS.
Nejdůležitější aktivitou hlášenou servery DNS je dotaz DNS, pro který EventType je pole nastavené na Queryhodnotu .
Nejdůležitější pole v události DNS jsou:
DnsQuery, který hlásí název domény, pro kterou byl dotaz vystaven.
SrcIpAddr (aliasovaný na IpAddr), který představuje IP adresu, ze které byl požadavek vygenerován. Servery DNS obvykle poskytují pole SrcIpAddr, ale klienti DNS někdy toto pole neposkytují a poskytují pouze pole SrcHostname .
EventResultDetails, která hlásí, jestli byl požadavek úspěšný a pokud ne, proč.
Pokud je k dispozici , dnsResponseName, který obsahuje odpověď poskytnutou serverem na dotaz. ASIM nevyžaduje analýzu odpovědi a její formát se v jednotlivých zdrojích liší.
Pokud chcete toto pole použít v obsahu nezávislém na zdroji, vyhledejte obsah pomocí
hasoperátorů nebocontains.
Události DNS shromažďované na klientském zařízení můžou také zahrnovat informace o uživatelích a procesech .
Pokyny ke shromažďování událostí DNS
DNS je jedinečný protokol v tom, že může protínit velký počet počítačů. Vzhledem k tomu, že DNS používá UDP, jsou požadavky a odpovědi odpojené od spojení a nejsou mezi sebou přímo spojené.
Následující obrázek znázorňuje zjednodušený tok požadavků DNS, včetně čtyř segmentů. Skutečný požadavek může být složitější a může obsahovat více segmentů.
Vzhledem k tomu, že segmenty požadavků a odpovědí nejsou v toku požadavků DNS vzájemně přímo propojené, může úplné protokolování způsobit významné duplicity.
Nejcennějším segmentem, který se má protokolovat, je odpověď klientovi. Odpověď poskytuje dotazy na název domény, výsledek vyhledávání a IP adresu klienta. I když mnoho systémů DNS protokoluje jenom tento segment, existuje hodnota v protokolování ostatních částí. Například útok na otravu mezipamětí DNS často využívá falešné odpovědi z nadřazeného serveru.
Pokud váš zdroj dat podporuje úplné protokolování DNS a rozhodli jste se protokolovat více segmentů, upravte dotazy tak, aby se zabránilo duplikování dat v Microsoft Sentinel.
Dotaz můžete například upravit pomocí následující normalizace:
_Im_Dns | where SrcIpAddr != "127.0.0.1" and EventSubType == "response"
Analyzátory
Další informace o analyzátorech ASIM najdete v přehledu analyzátorů ASIM.
Předefinované analyzátory
Pokud chcete použít analyzátory, které sjednotí všechny předpřipravené analyzátory ASIM a zajistí, aby vaše analýza běžela ve všech nakonfigurovaných zdrojích, použijte v dotazu jako název tabulky sjednocující analyzátor _Im_Dns .
Seznam analyzátorů DNS, které Microsoft Sentinel poskytují, najdete v seznamu analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při implementaci vlastních analyzátorů pro informační model DNS pojmenujte funkce KQL pomocí formátu vimDns<vendor><Product>. Informace o přidání vlastních analyzátorů do sjednocovacího analyzátoru DNS najdete v článku Správa analyzátorů ASIM .
Filtrování parametrů analyzátoru
Analyzátory DNS podporují parametry filtrování. I když jsou tyto parametry volitelné, můžou zvýšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Name (Název) | Typ | Popis |
|---|---|---|
| Starttime | Datetime | Filtrujte pouze dotazy DNS, které se spustily v tuto dobu nebo později. Tento parametr filtruje TimeGenerated pole, které je standardním designem pro čas události, bez ohledu na mapování polí EventStartTime a EventEndTime specifické pro analyzátor. |
| Endtime | Datetime | Filtrujte pouze dotazy DNS, které byly spuštěny v nebo před tímto časem. Tento parametr filtruje TimeGenerated pole, které je standardním designem pro čas události, bez ohledu na mapování polí EventStartTime a EventEndTime specifické pro analyzátor. |
| Srcipaddr | řetězec | Filtrujte pouze dotazy DNS z této zdrojové IP adresy. |
| domain_has_any | dynamic/string | Filtrujte jenom dotazy DNS, u domain kterých má (nebo query) některý z uvedených názvů domén, včetně domény událostí. Délka seznamu je omezená na 10 000 položek. |
| responsecodename | řetězec | Filtrovat pouze dotazy DNS, pro které název kódu odpovědi odpovídá zadané hodnotě. Například: NXDOMAIN |
| response_has_ipv4 | řetězec | Filtrujte pouze dotazy DNS, ve kterých pole odpovědi obsahuje zadanou IP adresu nebo předponu IP adresy. Tento parametr použijte, pokud chcete filtrovat jednu IP adresu nebo předponu. U zdrojů, které neposkytují odpověď, se výsledky nevrácejí. |
| response_has_any_prefix | Dynamické | Filtrujte pouze dotazy DNS, ve kterých pole odpovědi obsahuje některou z uvedených IP adres nebo předpon IP adres. Předpony by měly končit .na , například: 10.0.. Tento parametr použijte, pokud chcete filtrovat seznam IP adres nebo předpon. U zdrojů, které neposkytují odpověď, se výsledky nevrácejí. Délka seznamu je omezená na 10 000 položek. |
| Eventtype | řetězec | Filtrujte pouze dotazy DNS zadaného typu. Pokud není zadána žádná hodnota, vrátí se pouze vyhledávací dotazy. |
Pokud například chcete filtrovat jenom dotazy DNS z posledního dne, u kterého se nepodařilo přeložit název domény, použijte:
_Im_Dns (responsecodename = 'NXDOMAIN', starttime = ago(1d), endtime=now())
Pokud chcete filtrovat jenom dotazy DNS pro zadaný seznam názvů domén, použijte:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_Dns (domain_has_any = torProxies)
Některé parametry můžou přijímat jak seznam hodnot typu, dynamic tak jednu řetězcovou hodnotu. Chcete-li předat seznam literálů parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Například: dynamic(['192.168.','10.'])
Normalizovaný obsah
Úplný seznam analytických pravidel, která používají normalizované události DNS, najdete v tématu Obsah zabezpečení dotazů DNS.
Podrobnosti schématu
Informační model DNS je v souladu se schématem entity DNS OSSEM.
Další informace najdete v referenčních informacích k parametrům DNS IANA (Internet Assigned Numbers Authority).
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsána v článku o společných polích ASIM .
Společná pole se specifickými pokyny
V následujícím seznamu jsou uvedena pole, která obsahují konkrétní pokyny pro události DNS:
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Eventtype | Povinné | Výčtové | Označuje operaci hlášenou záznamem. U záznamů DNS by tato hodnota byla operační kód DNS. Například: Query |
| EventSubType | Nepovinný | Výčtové | Buď request nebo response. U většiny zdrojů se protokolují pouze odpovědi, a proto je hodnotou často odpověď. |
| EventResultDetails | Povinné | Výčtové | U událostí DNS toto pole obsahuje kód odpovědi DNS. Poznámky: - IANA nedefinuje případ pro hodnoty, takže analýza musí případ normalizovat. – Pokud zdroj poskytuje pouze číselný kód odpovědi, nikoli název kódu odpovědi, musí analyzátor obsahovat vyhledávací tabulku, aby se tato hodnota obohatila. – Pokud tento záznam představuje požadavek, a ne odpověď, nastavte na hodnotu NA. Například: NXDOMAIN |
| EventSchemaVersion | Povinné | SchemaVersion (řetězec) | Verze zde popsaného schématu je 0.1.7. |
| EventSchema | Povinné | Výčtové | Název zde popsaného schématu je Dns. |
| Pole Dvc | - | - | U událostí DNS pole zařízení odkazují na systém, který hlásí událost DNS. |
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepisují obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku o společných polích ASIM .
| Třída | Pole |
|---|---|
| Povinné |
-
Počet událostí - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené |
-
EventResultDetails - EventSeverity - Id události - DvcIpAddr - Název hostitele Dvc - Doména dvc - DvcDomainType - DvcFQDN - DvcId - DvcIdType - Akce DvcAction |
| Nepovinný |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník událostí - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole zdrojového systému
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Src | Alias | String | Jedinečný identifikátor zdrojového zařízení. Toto pole může aliasovat pole SrcDvcId, SrcHostname nebo SrcIpAddr . Například: 192.168.12.1 |
| SrcIpAddr | Doporučené | IP adresa | IP adresa klienta, který odeslal požadavek DNS. V případě rekurzivního požadavku DNS je tato hodnota obvykle zařízení pro vytváření sestav a ve většině případů nastavená na 127.0.0.1hodnotu . Například: 192.168.12.1 |
| SrcPortNumber | Nepovinný | Celé číslo | Zdrojový port dotazu DNS. Například: 54312 |
| IpAddr | Alias | Alias pro SrcIpAddr | |
| SrcGeoCountry | Nepovinný | Země | Země nebo oblast přidružená ke zdrojové IP adrese. Například: USA |
| Oblast SrcGeo | Nepovinný | Oblasti | Oblast přidružená ke zdrojové IP adrese. Například: Vermont |
| SrcGeoCity | Nepovinný | Město | Město přidružené ke zdrojové IP adrese. Například: Burlington |
| SrcGeoLatitude | Nepovinný | Šířky | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Například: 44.475833 |
| SrcGeoLongitude | Nepovinný | Délky | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Například: 73.211944 |
| SrcRiskLevel | Nepovinný | Celé číslo | Úroveň rizika přidružená ke zdroji. Hodnota by měla být upravena do rozsahu 0 do 100, s 0 neškodným a 100 vysokým rizikem.Například: 90 |
| SrcOriginalRiskLevel | Nepovinný | String | Úroveň rizika přidružená ke zdroji hlášená zařízením pro generování sestav. Například: Suspicious |
| SrcHostname | Doporučené | Název hostitele (řetězec) | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Například: DESKTOP-1282V4D |
| Hostname (Název hostitele) | Alias | Alias pro SrcHostname | |
| SrcDomain | Doporučené | Doména (řetězec) | Doména zdrojového zařízení. Například: Contoso |
| SrcDomainType | Podmíněné | Výčtové | Typ SrcDomain, pokud je znám. Mezi možné hodnoty patří: - Windows (například: contoso)- FQDN (například: microsoft.com)Vyžaduje se, pokud se používá doména SrcDomain . |
| SrcFQDN | Nepovinný | Plně kvalifikovaný název domény (řetězec) | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud jsou k dispozici. Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát windows doména\název hostitele. Pole SrcDomainType odráží použitý formát. Například: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Nepovinný | String | ID zdrojového zařízení uvedené v záznamu. Například: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Nepovinný | String | ID oboru cloudové platformy, do které zařízení patří. SrcDvcScopeId se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| SrcDvcScope | Nepovinný | String | Rozsah cloudové platformy, do které zařízení patří. SrcDvcScope se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| SrcDvcIdType | Podmíněné | Výčtové | Typ SrcDvcId, pokud je známý. Mezi možné hodnoty patří: - AzureResourceId- MDEidPokud je k dispozici více ID, použijte první id ze seznamu a ostatní uložte do SrcDvcAzureResourceId a SrcDvcMDEid. Poznámka: Toto pole je povinné, pokud se používá SrcDvcId . |
| SrcDeviceType | Nepovinný | Výčtové | Typ zdrojového zařízení. Mezi možné hodnoty patří: - Computer- Mobile Device- IOT Device- Other |
| Popis SrcDescription | Nepovinný | String | Popisný text přidružený k zařízení Příklad: Primary Domain Controller. |
Pole zdrojového uživatele
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| SrcUserId | Nepovinný | String | Strojově čitelná alfanumerická jedinečná reprezentace zdrojového uživatele. Další informace a alternativní pole pro další ID najdete v tématu Entita Uživatel. Například: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserScope | Nepovinný | String | Obor, například Microsoft Entra tenant, ve kterém jsou definovány SrcUserId a SrcUsername. další informace a seznam povolených hodnot najdete v tématu UserScope v článku Přehled schématu. |
| SrcUserScopeId | Nepovinný | String | ID oboru, například Microsoft Entra ID adresáře, ve kterém jsou definovány SrcUserId a SrcUsername. Další informace a seznam povolených hodnot najdete v tématu UserScopeId v článku Přehled schématu. |
| SrcUserIdType | Podmíněné | UserIdType | Typ ID uloženého v poli SrcUserId . Další informace a seznam povolených hodnot najdete v tématu UserIdType v článku Přehled schématu. |
| SrcUsername | Nepovinný | Uživatelské jméno (řetězec) | Uživatelské jméno zdroje, včetně informací o doméně, pokud jsou k dispozici. Další informace najdete v tématu Entita Uživatel. Například: AlbertE |
| SrcUsernameType | Podmíněné | Typ uživatelského jména | Určuje typ uživatelského jména uloženého v poli SrcUsername . Další informace a seznam povolených hodnot najdete v tématu UsernameType v článku Přehled schématu. Například: Windows |
| Uživatele | Alias | Alias pro SrcUsername | |
| SrcUserType | Nepovinný | Typ uživatele | Typ zdrojového uživatele. Další informace a seznam povolených hodnot najdete v tématu UserType v článku Přehled schématu. Například: Guest |
| SrcUserSessionId | Nepovinný | String | Jedinečné ID přihlašovací relace objektu Actor. Například: 102pTUgC3p8RIqHvzxLCHnFlg |
| SrcOriginalUserType | Nepovinný | String | Původní typ zdrojového uživatele, pokud ho zdroj poskytuje. |
Pole zdrojového procesu
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| SrcProcessName | Nepovinný | String | Název souboru procesu, který inicioval požadavek DNS. Tento název se obvykle považuje za název procesu. Například: C:\Windows\explorer.exe |
| Proces | Alias | Alias pro SrcProcessName Například: C:\Windows\System32\rundll32.exe |
|
| SrcProcessId | Nepovinný | String | ID procesu (PID) procesu, který inicioval požadavek DNS. Například: 48610176 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale ve Windows a Linux musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linux a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| SrcProcessGuid | Nepovinný | GUID (řetězec) | Vygenerovaný jedinečný identifikátor (GUID) procesu, který inicioval požadavek DNS. Například: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Pole cílového systému
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Dst | Alias | String | Jedinečný identifikátor serveru, který přijal požadavek DNS. Toto pole může aliasovat pole DstDvcId, DstHostname nebo DstIpAddr . Například: 192.168.12.1 |
| DstIpAddr | Nepovinný | IP adresa | IP adresa serveru, který přijal požadavek DNS. U běžného požadavku DNS je tato hodnota obvykle zařízení pro vytváření sestav a ve většině případů nastavená na 127.0.0.1hodnotu .Například: 127.0.0.1 |
| DstGeoCountry | Nepovinný | Země | Země nebo oblast přidružená k cílové IP adrese. Další informace najdete v tématu Logické typy. Například: USA |
| Oblast DstGeo | Nepovinný | Oblasti | Oblast nebo stav přidružený k cílové IP adrese. Další informace najdete v tématu Logické typy. Například: Vermont |
| DstGeoCity | Nepovinný | Město | Město přidružené k cílové IP adrese. Další informace najdete v tématu Logické typy. Například: Burlington |
| DstGeoLatitude | Nepovinný | Šířky | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. Další informace najdete v tématu Logické typy. Například: 44.475833 |
| DstGeoLongitude | Nepovinný | Délky | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. Další informace najdete v tématu Logické typy. Například: 73.211944 |
| DstRiskLevel | Nepovinný | Celé číslo | Úroveň rizika přidružená k cíli. Hodnota by měla být upravena na rozsah od 0 do 100, což je 0 neškodné a 100 představuje vysoké riziko. Například: 90 |
| DstOriginalRiskLevel | Nepovinný | String | Úroveň rizika přidružená k cíli, která je hlášena zařízením pro generování sestav. Například: Malicious |
| DstPortNumber | Nepovinný | Celé číslo | Číslo cílového portu. Například: 53 |
| DstHostname | Nepovinný | Název hostitele (řetězec) | Název hostitele cílového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte příslušnou IP adresu do tohoto pole. Například: DESKTOP-1282V4DPoznámka: Tato hodnota je povinná, pokud je zadán DstIpAddr . |
| DstDomain | Nepovinný | Doména (řetězec) | Doména cílového zařízení. Například: Contoso |
| DstDomainType | Podmíněné | Výčtové | Typ DstDomain, pokud je znám. Mezi možné hodnoty patří: - Windows (contoso\mypc)- FQDN (learn.microsoft.com)Vyžaduje se, pokud se používá doména DstDomain . |
| DstFQDN | Nepovinný | Plně kvalifikovaný název domény (řetězec) | Název hostitele cílového zařízení, včetně informací o doméně, pokud jsou k dispozici. Například: Contoso\DESKTOP-1282V4D Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát windows doména\název hostitele. Typ DstDomainType odráží použitý formát. |
| DstDvcId | Nepovinný | String | ID cílového zařízení uvedené v záznamu. Například: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Nepovinný | String | ID oboru cloudové platformy, do které zařízení patří. DstDvcScopeId se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| DstDvcScope | Nepovinný | String | Rozsah cloudové platformy, do které zařízení patří. DstDvcScope se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| DstDvcIdType | Podmíněné | Výčtové | Typ DstDvcId, pokud je znám. Mezi možné hodnoty patří: - AzureResourceId- MDEidIfPokud je k dispozici více ID, použijte první z výše uvedeného seznamu a ostatní uložte do polí DstDvcAzureResourceId nebo DstDvcMDEid . Vyžaduje se, pokud se používá DstDeviceId . |
| DstDeviceType | Nepovinný | Výčtové | Typ cílového zařízení. Mezi možné hodnoty patří: - Computer- Mobile Device- IOT Device- Other |
| Popis dstDescription | Nepovinný | String | Popisný text přidružený k zařízení Příklad: Primary Domain Controller. |
Pole specifická pro DNS
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| DnsQuery | Povinné | String | Doména, kterou se požadavek pokouší přeložit. Poznámky: – Některé zdroje odesílají platné dotazy plně kvalifikovaného názvu domény v jiném formátu. Například v samotném protokolu DNS obsahuje dotaz na konci tečku (.), která se musí odebrat. – I když protokol DNS omezuje typ hodnoty v tomto poli na plně kvalifikovaný název domény, většina serverů DNS povoluje libovolnou hodnotu, a proto toto pole není omezeno pouze na hodnoty plně kvalifikovaného názvu domény. Zejména útoky na tunelové propojení DNS můžou v poli dotazu používat neplatné hodnoty plně kvalifikovaného názvu domény. – I když protokol DNS umožňuje v jednom požadavku více dotazů, je tento scénář vzácný, pokud se vůbec najde. Pokud má požadavek více dotazů, uložte první z nich do tohoto pole a potom a volitelně ponechte zbytek v poli Další pole . Například: www.malicious.com |
| Domény | Alias | Alias dnsQuery. | |
| DnsQueryType | Nepovinný | Celé číslo |
Kódy typu záznamu prostředku DNS Například: 28 |
| DnsQueryTypeName | Doporučené | Výčtové | Názvy typů záznamů o prostředku DNS . Poznámky: - IANA nedefinuje případ pro hodnoty, takže analýza musí případ podle potřeby normalizovat. – Hodnota ANY je podporovaná pro kód odpovědi 255.– Hodnota TYPExxxx se podporuje pro nemapované kódy odpovědí, kde xxxx je číselná hodnota kódu odpovědi hlášená serverem BIND DNS.-Pokud zdroj poskytuje pouze kód číselného typu dotazu, a ne název typu dotazu, analyzátor musí obsahovat vyhledávací tabulku, aby se tato hodnota obohatila. Například: AAAA |
| DnsResponseName | Nepovinný | String | Obsah odpovědi, který je součástí záznamu. Data odpovědí DNS jsou nekonzistentní napříč zařízeními pro generování sestav, jsou složitá na parsování a mají menší hodnotu pro analýzu nezávislou na zdroji. Informační model proto nevyžaduje parsování a normalizaci a Microsoft Sentinel k poskytování informací o odpovědi používá pomocnou funkci. Další informace najdete v tématu Zpracování odpovědi DNS. |
| DnsResponseCodeName | Alias | Alias pro EventResultDetails | |
| DnsResponseCode | Nepovinný | Celé číslo |
Číselný kód odpovědi DNS Například: 3 |
| TransactionIdHex | Doporučené | Hexadecimální (řetězec) | Jedinečné ID dotazu DNS přiřazené klientem DNS v šestnáctkovém formátu. Všimněte si, že tato hodnota je součástí protokolu DNS a liší se od DnsSessionId, ID relace síťové vrstvy, které obvykle přiřazuje zařízení pro generování sestav. |
| NetworkProtocol | Nepovinný | Výčtové | Přenosový protokol používaný událostí překladu sítě. Hodnota může být UDP nebo TCP a nejčastěji je nastavená na UDP pro DNS. Například: UDP |
| NetworkProtocolVersion | Nepovinný | Výčtové | Verze NetworkProtocol. Pokud ji používáte k rozlišení mezi verzí PROTOKOLU IP, použijte hodnoty IPv4 a IPv6. |
| DnsQueryClass | Nepovinný | Celé číslo |
ID třídy DNS. V praxi se používá pouze třída IN (ID 1), a proto je toto pole méně cenné. |
| DnsQueryClassName | Doporučené | DnsQueryClassName (řetězec) |
Název třídy DNS. V praxi se používá pouze třída IN (ID 1), a proto je toto pole méně cenné. Například: IN |
| DnsFlags | Nepovinný | String | Pole příznaky, které poskytuje zařízení pro vytváření sestav. Pokud jsou informace o příznaku uvedeny ve více polích, zřetěďte je čárkou jako oddělovačem. Vzhledem k tomu, že se příznaky DNS obtížně parsují a analýzy je používají méně často, analýza a normalizace se nevyžadují. Microsoft Sentinel můžete k poskytování informací o příznakech použít pomocnou funkci. Další informace najdete v tématu Zpracování odpovědi DNS. Například: ["DR"] |
| DnsNetworkDuration | Nepovinný | Celé číslo | Doba v milisekundách pro dokončení požadavku DNS. Například: 1500 |
| Doba trvání | Alias | Alias na DnsNetworkDuration | |
| DnsFlagsAuthenticated | Nepovinný | Boolean | Příznak DNS AD , který souvisí s DNSSEC, v odpovědi označuje, že všechna data zahrnutá v části odpovědi a autority v odpovědi byla serverem ověřena podle zásad tohoto serveru. Další informace najdete v dokumentu RFC 3655 Oddíl 6.1 . |
| DnsFlagsAuthoritative | Nepovinný | Boolean | Příznak DNS AA označuje, jestli byla odpověď ze serveru autoritativní. |
| DnsFlagsCheckingDisabled | Nepovinný | Boolean | Příznak DNS CD , který souvisí s DNSSEC, v dotazu indikuje, že neověřená data jsou pro systém odesílající dotaz přijatelná. Další informace najdete v dokumentu RFC 3655 Oddíl 6.1 . |
| DnsFlagsRecursionAvailable | Nepovinný | Boolean | Příznak DNS RA v odpovědi označuje, že tento server podporuje rekurzivní dotazy. |
| DnsFlagsRecursionDesired | Nepovinný | Boolean | Příznak DNS RD označuje v požadavku, že klient chce, aby server používal rekurzivní dotazy. |
| DnsFlagsTruncated | Nepovinný | Boolean | Příznak DNS TC označuje, že odpověď byla zkrácena, protože překročila maximální velikost odpovědi. |
| DnsFlagsZ | Nepovinný | Boolean | Příznak DNS Z je zastaralý příznak DNS, který můžou hlásit starší systémy DNS. |
| Id dnssession | Nepovinný | řetězec | Identifikátor relace DNS nahlášený zařízením pro generování sestav. Tato hodnota se liší od TransactionIdHex, což je jedinečné ID dotazu DNS přiřazené klientem DNS. Například: EB4BFA28-2EAD-4EF7-BC8A-51DF4FDF5B55 |
| Sessionid | Alias | Alias pro DnsSessionId | |
| DnsResponseIpCountry | Nepovinný | Země | Země nebo oblast přidružená k jedné z IP adres v odpovědi DNS. Další informace najdete v tématu Logické typy. Například: USA |
| DnsResponseIpRegion | Nepovinný | Oblasti | Oblast nebo stav přidružený k jedné z IP adres v odpovědi DNS. Další informace najdete v tématu Logické typy. Například: Vermont |
| DnsResponseIpCity | Nepovinný | Město | Město přidružené k jedné z IP adres v odpovědi DNS. Další informace najdete v tématu Logické typy. Například: Burlington |
| DnsResponseIpLatitude | Nepovinný | Šířky | Zeměpisná šířka zeměpisné souřadnice přidružené k jedné z IP adres v odpovědi DNS. Další informace najdete v tématu Logické typy. Například: 44.475833 |
| DnsResponseIpLongitude | Nepovinný | Délky | Zeměpisná délka zeměpisné souřadnice přidružené k jedné z IP adres v odpovědi DNS. Další informace najdete v tématu Logické typy. Například: 73.211944 |
Pole kontroly
Následující pole se používají k reprezentaci kontroly, kterou provedlo bezpečnostní zařízení DNS. Pole související s hrozbami představují jednu hrozbu, která je přidružená ke zdrojové adrese, cílové adrese, jedné z IP adres v odpovědi nebo doméně dotazu DNS. Pokud byla jako hrozba identifikována více než jedna hrozba, mohou být informace o dalších IP adresách uloženy v poli AdditionalFields.
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| UrlCategory | Nepovinný | String | Zdroj událostí DNS může také vyhledat kategorii požadovaných domén. Pole se nazývá UrlCategory, aby bylo zarovnané se schématem Microsoft Sentinel sítě. DomainCategory se přidá jako alias, který odpovídá DNS. Například: Educational \\ Phishing |
| DomainCategory | Alias | Alias adresy UrlCategory. | |
| Název pravidla | Nepovinný | String | Název nebo ID pravidla, které hrozbu identifikovalo. Například: AnyAnyDrop |
| Číslo pravidla | Nepovinný | Celé číslo | Číslo pravidla, které hrozbu identifikovalo. Například: 23 |
| Pravidlo | Alias | String | Buď hodnotu RuleName , nebo hodnotu RuleNumber. Pokud je použita hodnota RuleNumber , typ by měl být převeden na řetězec. |
| Číslo pravidla | Nepovinný | Int | Číslo pravidla přidruženého k upozornění. Např. 123456 |
| Název pravidla | Nepovinný | řetězec | Název nebo ID pravidla přidruženého k upozornění Např. Server PSEXEC Execution via Remote Access |
| ThreatId | Nepovinný | String | ID hrozby nebo malwaru zjištěného v síťové relaci. Například: Tr.124 |
| ThreatCategory | Nepovinný | String | Pokud zdroj událostí DNS také poskytuje zabezpečení DNS, může také vyhodnotit událost DNS. Může například vyhledat IP adresu nebo doménu v databázi analýzy hrozeb a přiřadit doménu nebo IP adresu s kategorií hrozeb. |
| ThreatIpAddr | Nepovinný | IP adresa | IP adresa, pro kterou byla zjištěna hrozba. Pole ThreatField obsahuje název pole ThreatIpAddr představuje. Pokud je v poli Doména identifikována hrozba, mělo by být toto pole prázdné. |
| ThreatField | Podmíněné | Výčtové | Pole, pro které byla zjištěna hrozba. Hodnota je , SrcIpAddrDstIpAddr, Domainnebo DnsResponseName. |
| ThreatName | Nepovinný | String | Název identifikované hrozby nahlášený zařízením pro hlášení. |
| ThreatConfidence | Nepovinný | ConfidenceLevel (integer) | Úroveň spolehlivosti identifikované hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Nepovinný | String | Původní úroveň spolehlivosti zjištěné hrozby hlášená zařízením pro hlášení. |
| ThreatRiskLevel | Nepovinný | RiskLevel (integer) | Úroveň rizika spojená s identifikovanou hrozbou se normalizuje na hodnotu mezi 0 a 100. |
| ThreatOriginalRiskLevel | Nepovinný | String | Původní úroveň rizika spojená s identifikovanou hrozbou hlášená zařízením pro hlášení. |
| ThreatIsActive | Nepovinný | Boolean | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| ThreatFirstReportedTime | Nepovinný | Datetime | První identifikace IP adresy nebo domény jako hrozby. |
| ThreatLastReportedTime | Nepovinný | Datetime | Čas, kdy byla IP adresa nebo doména naposledy identifikovány jako hrozba. |
Zastaralé aliasy a pole
Následující pole jsou aliasy, které se uchovávají kvůli zpětné kompatibilitě. 31. prosince 2021 byly ze schématu odebrány.
-
Query(alias proDnsQuery) -
QueryType(alias proDnsQueryType) -
QueryTypeName(alias proDnsQueryTypeName) -
ResponseName(alias proDnsResponseName) -
ResponseCodeName(alias proDnsResponseCodeName) -
ResponseCode(alias proDnsResponseCode) -
QueryClass(alias proDnsQueryClass) -
QueryClassName(alias proDnsQueryClassName) -
Flags(alias proDnsFlags) SrcUserDomain
Aktualizace schématu
Změny ve verzi 0.1.2 schématu jsou:
- Bylo přidáno pole
EventSchema. - Přidání vyhrazeného pole příznaku, které rozšiřuje kombinované pole Příznaky :
DnsFlagsAuthoritative,DnsFlagsCheckingDisabled,DnsFlagsRecursionAvailable,DnsFlagsRecursionDesired,DnsFlagsTruncatedaDnsFlagsZ.
Změny schématu ve verzi 0.1.3 jsou:
- Schéma teď explicitně dokumentuje
Src*pole ,Dst*Process*aUser*. - Přidali jsme další
Dvc*pole, která odpovídají definici nejnovějších společných polí. - Přidání
SrcaDstjako aliasů k počátečnímu identifikátoru zdrojového a cílového systému - Přidání volitelného
DnsNetworkDurationaliasu aDuration. - Přidání volitelných polí Geografické umístění a Úroveň rizika
Změny ve verzi 0.1.4 schématu jsou:
- Přidání volitelných polí
ThreatIpAddr,ThreatField, ,ThreatConfidenceThreatName,ThreatOriginalConfidence,ThreatOriginalRiskLevel,ThreatIsActive, ,ThreatFirstReportedTimeaThreatLastReportedTime.
Změny schématu ve verzi 0.1.5 jsou následující:
- Přidání polí
SrcUserScope,SrcUserSessionId, ,SrcDvcScopeId,SrcDvcScopeDstDvcScopeId,DstDvcScope, ,DvcScopeIdaDvcScope.
Změny ve verzi 0.1.6 schématu jsou:
- Přidání polí
DnsResponseIpCountry,DnsResponseIpRegion,DnsResponseIpCity,DnsResponseIpLatitudeaDnsResponseIpLongitude.
Změny ve verzi 0.1.7 schématu jsou:
- Přidání polí
SrcDescription, , ,DstDescription,DstOriginalRiskLevel,SrcUserScopeId,NetworkProtocolVersionRule, ,RuleName,RuleNumberaThreatIdSrcOriginalRiskLevel.
Nesrovnalosti specifické pro zdroj
Cílem normalizace je zajistit, aby všechny zdroje poskytovaly konzistentní telemetrii. Zdroj, který neposkytuje požadovanou telemetrii, jako jsou povinná pole schématu, nelze normalizovat. Zdroje, které obvykle poskytují veškerou požadovanou telemetrii, i když existují určité nesrovnalosti, je však možné normalizovat. Nesrovnalosti můžou mít vliv na úplnost výsledků dotazu.
V následující tabulce jsou uvedené známé nesrovnalosti:
| Source (Zdroj) | Nesrovnalosti |
|---|---|
| Microsoft DNS Server shromažďovaný pomocí konektoru DNS a agenta Log Analytics | Konektor neposkytuje povinné pole DnsQuery pro původní ID události 264 (odpověď na dynamickou aktualizaci). Data jsou dostupná ve zdroji, ale konektor je nepřeposílají. |
| Corelight Zeek | Corelight Zeek nemusí poskytnout povinné pole DnsQuery. Takové chování jsme zaznamenali v určitých případech, kdy je NXDOMAINnázev kódu odpovědi DNS . |
Zpracování odpovědi DNS
Ve většině případů protokolované události DNS neobsahují informace o odpovědích, které můžou být velké a podrobné. Pokud záznam obsahuje další informace o odpovědi, uložte ho do pole ResponseName tak, jak se zobrazí v záznamu.
Můžete také poskytnout dodatečnou funkci KQL s názvem _imDNS<vendor>Response_, která vezme neoznačené odpovědi jako vstup a vrátí dynamickou hodnotu s následující strukturou:
[
{
"part": "answer"
"query": "yahoo.com."
"TTL": 1782
"Class": "IN"
"Type": "A"
"Response": "74.6.231.21"
}
{
"part": "authority"
"query": "yahoo.com."
"TTL": 113066
"Class": "IN"
"Type": "NS"
"Response": "ns5.yahoo.com"
}
...
]
Pole v každém slovníku v dynamické hodnotě odpovídají polím v každé odpovědi DNS. Položka part by měla obsahovat , authorityanswernebo , aby additional odrážela část v odpovědi, do které slovník patří.
Tip
Pro zajištění optimálního výkonu imDNS<vendor>Response volejte funkci pouze v případě potřeby a až po počátečním filtrování, abyste zajistili lepší výkon.
Zpracování příznaků DNS
Analýza a normalizace se pro data příznaku nevyžadují. Místo toho uložte data příznaku poskytnutá zařízením pro vytváření sestav do pole Příznaky . Pokud je určení hodnoty jednotlivých příznaků přímočaré, můžete použít také pole vyhrazených příznaků.
Můžete také zadat dodatečnou funkci KQL s názvem _imDNS<vendor>Flags_, která jako vstup převezme neoznačené pole odpovědi nebo vyhrazená pole příznaku a vrátí dynamický seznam s logickými hodnotami, které představují jednotlivé příznaky v následujícím pořadí:
- Ověřeno (AD)
- Autoritativní (AA)
- Kontrola zakázáno (CD)
- Rekurze k dispozici (RA)
- Rekurze Desired (RD)
- Zkrácené (TC)
- Z
Další kroky
Další informace najdete tady: