Freigeben über

Sammeln Von Einblicken über Ihre DNS-Infrastruktur mit der DNS Analytics-Vorschaulösung

Das DNS-Analysesymbol.

In diesem Artikel wird beschrieben, wie Sie die Azure DNS Analytics-Lösung in Azure Monitor einrichten und verwenden, um Einblicke in die DNS-Infrastruktur zu Sicherheit, Leistung und Vorgängen zu sammeln.

DNS Analytics hilft Ihnen bei:

  • Identifizieren von Clients, die versuchen, schädliche Domänennamen aufzulösen.
  • Identifizieren von veralteten Ressourceneinträgen.
  • Identifizieren von häufig abgefragten Domänennamen und gesprächigen DNS-Clients.
  • Anzeigen der Anforderungslast auf DNS-Servern.
  • Anzeigen von Fehlern der dynamischen DNS-Registrierung.

Die Lösung sammelt, analysiert und korreliert Windows DNS-Analyse- und Überwachungsprotokolle und andere zugehörige Daten von Ihren DNS-Servern.

Wichtig

Der Log Analytics-Agent wird am 31. August 2024 eingestellt. Wenn Sie den Log Analytics-Agent in Ihrer Microsoft Sentinel-Bereitstellung verwenden, empfiehlt es sich, die Migration zum Azure Monitor-Agent zu planen. Weitere Informationen finden Sie unter Azure Monitor Agent-Migration für Microsoft Sentinel.

Verbundene Quellen

In der folgenden Tabelle werden die verbundenen Quellen beschrieben, die von dieser Lösung unterstützt werden:

Verbundene Quelle Unterstützung BESCHREIBUNG
Windows-Agents Ja Die Lösung sammelt DNS-Informationen von Windows-Agents.
Linux-Agenten Nein Die Lösung sammelt keine DNS-Informationen von direkten Linux-Agents.
System Center Operations Manager-Verwaltungsgruppe Ja Die Lösung sammelt DNS-Informationen von Agents in einer verbundenen Operations Manager-Verwaltungsgruppe. Eine direkte Verbindung vom Operations Manager-Agent zu Azure Monitor ist nicht erforderlich. Daten werden von der Verwaltungsgruppe an den Log Analytics-Arbeitsbereich weitergeleitet.
Azure Storage-Konto Nein Azure Storage wird von der Lösung nicht verwendet.

Datensammlungsdetails

Die Lösung sammelt DNS-Inventar- und DNS-Ereignisdaten von den DNS-Servern, auf denen ein Log Analytics-Agent installiert ist. Diese Daten werden dann in Azure Monitor hochgeladen und im Lösungsdashboard angezeigt. Bestandsbezogene Daten, z. B. die Anzahl der DNS-Server, Zonen und Ressourceneinträge, werden gesammelt, indem die DNS-PowerShell-Cmdlets ausgeführt werden. Die Daten werden einmal alle zwei Tage aktualisiert. Die ereignisbezogenen Daten werden nahezu in Echtzeit aus den Analyse- und Überwachungsprotokollen gesammelt, die von erweiterter DNS-Protokollierung und -Diagnose in Windows Server 2012 R2 bereitgestellt werden.

Konfiguration

Verwenden Sie die folgenden Informationen, um die Lösung zu konfigurieren:

Die Lösung beginnt ohne weitere Konfiguration mit dem Sammeln von Daten. Sie können jedoch die folgende Konfiguration verwenden, um die Datensammlung anzupassen.

Konfigurieren der Lösung

Wählen Sie im Azure-Portal im Log Analytics-Arbeitsbereich die Option Arbeitsbereichszusammenfassung (veraltet) aus. Wählen Sie dann die DNS-Analysekachel aus. Wählen Sie im Lösungsdashboard die Option "Konfiguration" aus, um die Seite "DNS Analytics-Konfiguration " zu öffnen. Es gibt zwei Arten von Konfigurationsänderungen, die Sie vornehmen können:

  • Zugelassene Domänennamen: Die Lösung verarbeitet nicht alle Nachschlageabfragen. Es verwaltet eine Zulassungsliste mit Domain-Namensuffixen. Anfragen, die auf Domänennamen zurückgreifen, die mit den Domänennamensuffixen in dieser Erlaubnisliste übereinstimmen, werden von der Lösung nicht verarbeitet. Die Nichtverarbeitung von auf der Whitelist stehenden Domänennamen hilft, die an Azure Monitor gesendeten Daten zu optimieren. Die Standard-Zulassungsliste enthält beliebte öffentliche Domänennamen, z. B. www.google.com und www.facebook.com. Sie können die vollständige Standardliste anzeigen, indem Sie scrollen.

    Sie können die Liste ändern, um ein beliebiges Domänennamensuffix hinzuzufügen, für das Sie Nachschlageeinblicke anzeigen möchten. Sie können auch alle Domänennamensuffixe entfernen, für die Sie keine Nachschlageeinblicke anzeigen möchten.

  • Talkativer Clientschwellenwert: DNS-Clients, die den Schwellenwert für die Anzahl der Nachschlageanforderungen überschreiten, werden im Bereich DNS-Clients hervorgehoben. Der Standardschwellenwert ist 1.000. Sie können den Schwellenwert bearbeiten.

    Screenshot der zugelassenen Domänennamen.

Verwaltungspakete

Wenn Sie den Microsoft Monitoring Agent zum Herstellen einer Verbindung mit Ihrem Log Analytics-Arbeitsbereich verwenden, wird das folgende Management Pack installiert:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)

Wenn Ihre Operations Manager-Verwaltungsgruppe mit Ihrem Log Analytics-Arbeitsbereich verbunden ist, werden die folgenden Management Packs beim Hinzufügen dieser Lösung in Operations Manager installiert. Es gibt keine erforderliche Konfiguration oder Wartung dieser Management Packs:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
  • Microsoft System Center Advisor DNS Analytics Configuration (Microsoft.IntelligencePack.Dns.Configuration)

Weitere Informationen zur Aktualisierung von Lösungsverwaltungspaketen finden Sie unter Verbinden von Operations Manager und Log Analytics.

Verwenden der DNS-Analyselösung

Daten, die von dieser Überwachungslösung gesammelt werden, sind auf der Seite Arbeitsbereichszusammenfassung (veraltet) im Azure-Portal verfügbar. Öffnen Sie diese Seite aus den Log Analytics-Arbeitsbereichen für den Arbeitsbereich mit Ihrer Lösung, und wählen Sie dann Arbeitsbereichszusammenfassung (veraltet) aus dem Abschnitt Classic des Menüs aus. Jede Lösung wird durch eine Kachel dargestellt. Wählen Sie eine Kachel für detailliertere Daten aus, die von dieser Lösung gesammelt werden.

Die DNS-Kachel enthält die Anzahl der DNS-Server, auf denen die Daten gesammelt werden. Es enthält auch die Anzahl der Anforderungen von Clients, schädliche Domänen in den letzten 24 Stunden aufzulösen. Wenn Sie eine Kachel auswählen, wird das Lösungsdashboard geöffnet.

Screenshot der Kachel

Lösungsdashboard

Das Lösungsdashboard zeigt zusammengefasste Informationen für die verschiedenen Features der Lösung an. Es enthält auch Links zur detaillierten Ansicht für forensische Analyse und Diagnose. Standardmäßig werden die Daten für die letzten sieben Tage angezeigt. Sie können den Datums- und Uhrzeitbereich ändern, indem Sie das Datums- und Uhrzeitauswahlsteuerelement verwenden, wie in der folgenden Abbildung dargestellt:

Screenshot des Zeitauswahlsteuerelements.

Das Lösungsdashboard zeigt die folgenden Abschnitte:

DNS-Sicherheit: Meldet die DNS-Clients, die versuchen, mit bösartigen Domänen zu kommunizieren. Mithilfe von Microsoft Threat Intelligence-Feeds kann DNS Analytics Client-IPs erkennen, die auf böswillige Domänen zugreifen möchten. In vielen Fällen stellen von Schadsoftware infizierte Geräte eine Verbindung zum "Befehls- und Kontrollzentrum" der schädlichen Domäne her, indem sie den Namen der Malware-Domäne auflösen.

Screenshot des Abschnitts

Wenn Sie eine Client-IP in der Liste auswählen, wird die Protokollsuche geöffnet und zeigt die Nachschlagedetails der jeweiligen Abfrage an. Im folgenden Beispiel hat DNS Analytics festgestellt, dass die Kommunikation mit einem IRCbot durchgeführt wurde:

Screenshot, das die Protokollsuchergebnisse mit ircbot zeigt.

Die Informationen helfen Ihnen, Folgendes zu identifizieren:

  • Client-IP, die die Kommunikation initiiert hat.
  • Domain-Name, der sich zu der schädlichen IP auflöst.
  • IP-Adressen, in die der Domänenname aufgelöst wird.
  • Bösartige IP-Adresse.
  • Schweregrad des Problems.
  • Grund für die Blockierung der bösartigen IP.
  • Erkennungszeit.

Abgefragte Domänen: Stellt die am häufigsten von den DNS-Clients in Ihrer Umgebung abgefragten Domänennamen bereit. Sie können die Liste aller abgefragten Domänennamen anzeigen. Sie können auch die Details der Nachschlageanforderung eines bestimmten Domänennamens in der Protokollsuche genauer untersuchen.

Screenshot des Abschnitts

DNS-Clients: Meldet, dass die Clients den Schwellenwert für die Anzahl der Abfragen im ausgewählten Zeitraum verletzen. Sie können die Liste aller DNS-Clients und die Details der Abfragen anzeigen, die sie in der Protokollsuche erstellt haben.

Screenshot des Abschnitts

Dynamische DNS-Registrierungen: Meldet Namenregistrierungsfehler. Alle Registrierungsfehler für Adressressourceneinträge (Typ A und AAAA) werden zusammen mit den Client-IPs hervorgehoben, die die Registrierungsanforderungen vorgenommen haben. Sie können diese Informationen dann verwenden, um die Ursache des Registrierungsfehlers zu finden, indem Sie die folgenden Schritte ausführen:

  1. Suchen Sie die Zone, die autoritativ für den Namen ist, den der Client aktualisieren möchte.

  2. Verwenden Sie die Lösung, um die Bestandsinformationen dieser Zone zu überprüfen.

  3. Stellen Sie sicher, dass die dynamische Aktualisierung für die Zone aktiviert ist.

  4. Überprüfen Sie, ob die Zone für sichere dynamische Updates konfiguriert ist oder nicht.

    Screenshot des Abschnitts

Namensregistrierungsanforderungen: Die obere Kachel zeigt eine Trendlinie von erfolgreichen und fehlgeschlagenen dynamischen DNS-Updateanforderungen an. Die untere Kachel listet die obersten 10 Clients auf, die fehlgeschlagene DNS-Updateanforderungen an die DNS-Server senden, sortiert nach der Anzahl der Fehler.

Screenshot des Abschnitts

Beispiel-DDI-Analyseabfragen: Enthält eine Liste der am häufigsten verwendeten Suchabfragen, die rohe Analysedaten direkt abrufen.

Screenshot der Beispielabfragen.

Sie können diese Abfragen als Ausgangspunkt zum Erstellen eigener Abfragen für benutzerdefinierte Berichte verwenden. Die Abfragen verknüpfen mit der DNS-Analyseprotokollsuchseite , auf der Ergebnisse angezeigt werden:

  • Liste der DNS-Server: Zeigt eine Liste aller DNS-Server mit dem zugehörigen FQDN, Domänennamen, Gesamtstrukturnamen und Server-IPs an.

  • Liste der DNS-Zonen: Zeigt eine Liste aller DNS-Zonen mit dem zugehörigen Zonennamen, dem dynamischen Updatestatus, den Namenservern und dem DNSSEC-Signaturstatus an.

  • Nicht verwendete Ressourcendatensätze: Zeigt eine Liste aller nicht verwendeten/veralteten Ressourceneinträge an. Diese Liste enthält den Namen des Ressourceneintrags, den Ressourceneintragstyp, den zugeordneten DNS-Server, die Zeit der Datensatzgenerierung und den Zonennamen. Sie können diese Liste verwenden, um die DNS-Ressourceneinträge zu identifizieren, die nicht mehr verwendet werden. Basierend auf diesen Informationen können Sie diese Einträge dann von den DNS-Servern entfernen.

  • DNS Server Query Load: Zeigt Informationen an, damit Sie eine Perspektive der DNS-Last auf Ihren DNS-Servern erhalten können. Diese Informationen können Ihnen helfen, die Kapazität für die Server zu planen. Sie können zur Registerkarte "Metriken " wechseln, um die Ansicht in eine grafische Visualisierung zu ändern. Diese Ansicht hilft Ihnen zu verstehen, wie die DNS-Last auf Ihren DNS-Servern verteilt wird. Es zeigt DNS-Abfrageratentrends für jeden Server an.

    Screenshot, der die Suchergebnisse des Abfrageprotokolls der DNS-Server zeigt.

  • DNS Zones Query Load: Zeigt die DNS-Zone-Abfrage-pro-Sekunde-Statistik aller Zonen auf den DNS-Servern an, die von der Lösung verwaltet werden. Wählen Sie die Registerkarte "Metriken " aus, um die Ansicht von detaillierten Datensätzen in eine grafische Visualisierung der Ergebnisse zu ändern.

  • Konfigurationsereignisse: Zeigt alle DNS-Konfigurationsänderungsereignisse und zugehörige Nachrichten an. Anschließend können Sie diese Ereignisse basierend auf dem Zeitpunkt des Ereignisses, der Ereignis-ID, des DNS-Servers oder der Aufgabenkategorie filtern. Mit den Daten können Sie Änderungen überwachen, die zu bestimmten Zeiten an bestimmten DNS-Servern vorgenommen wurden.

  • DNS Analytical Log: Zeigt alle Analyseereignisse auf allen von der Lösung verwalteten DNS-Servern an. Anschließend können Sie diese Ereignisse basierend auf dem Zeitpunkt des Ereignisses, der Ereignis-ID, des DNS-Servers, der Client-IP filtern, die die Nachschlageabfrage erstellt hat, und der Aufgabenkategorie des Abfragetyps. DNS-Serveranalyseereignisse ermöglichen die Aktivitätsnachverfolgung auf dem DNS-Server. Jedes Mal, wenn der Server DNS-Informationen sendet oder empfängt, wird ein Analyseereignis protokolliert.

Auf der Seite " Protokollsuche " können Sie eine Abfrage erstellen. Sie können Ihre Suchergebnisse mithilfe von Facettensteuerungen filtern. Sie können auch erweiterte Abfragen erstellen, um Ihre Ergebnisse zu transformieren, zu filtern und zu berichten. Beginnen Sie mit der Verwendung der folgenden Abfragen:

  1. Geben Sie DnsEvents im Suchabfragefeld ein, um alle DNS-Ereignisse anzuzeigen, die von den von der Lösung verwalteten DNS-Servern generiert wurden. Die Ergebnisse enthalten die Protokolldaten für alle Ereignisse im Zusammenhang mit Nachschlageabfragen, dynamischen Registrierungen und Konfigurationsänderungen.

    Screenshot der DnsEvents-Protokollsuche.

    1. Um die Protokolldaten für Nachschlageabfragen anzuzeigen, wählen Sie LookUpQuery als Untertypfilter aus dem Facet-Steuerelement auf der linken Seite aus. Eine Tabelle, in der alle Nachschlageabfrageereignisse für den ausgewählten Zeitraum angezeigt werden.

    2. Um die Protokolldaten für dynamische Registrierungen anzuzeigen, wählen Sie DynamicRegistration als Untertypfilter aus dem Facet-Steuerelement auf der linken Seite aus. Eine Tabelle mit allen dynamischen Registrierungsereignissen für den ausgewählten Zeitraum wird angezeigt.

    3. Um die Protokolldaten für Konfigurationsänderungen anzuzeigen, wählen Sie ConfigurationChange als Untertypfilter aus dem Facet-Steuerelement auf der linken Seite aus. Eine Tabelle mit allen Konfigurationsänderungsereignissen für den ausgewählten Zeitraum wird angezeigt.

  2. Geben Sie DnsInventory im Suchabfragefeld ein, um alle DNS-Bestandsdaten für die von der Lösung verwalteten DNS-Server anzuzeigen. In den Ergebnissen werden die Protokolldaten für DNS-Server, DNS-Zonen und Ressourceneinträge aufgeführt.

    Screenshot der DnsInventory-Protokollsuche.

Problembehandlung

Häufige Schritte zur Problembehandlung:

  • Fehlende DNS-Nachschlagedaten: Um dieses Problem zu beheben, versuchen Sie, die Konfiguration zurückzusetzen oder die Konfigurationsseite einmal im Portal zu laden. Ändern Sie zum Zurücksetzen eine Einstellung auf einen anderen Wert, ändern Sie sie wieder in den ursprünglichen Wert, und speichern Sie die Konfiguration.

Anregungen

Um Feedback zu geben, besuchen Sie die Log Analytics UserVoice-Seite, um Ideen für DNS-Analysefunktionen vorzuschlagen, an denen gearbeitet werden kann.

Nächste Schritte

Überprüfen Sie Abfrageprotokolle , um detaillierte DNS-Protokolleinträge anzuzeigen.