Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Connector ermöglicht die Aufnahme von AWS Route 53-DNS-Protokollen in Microsoft Sentinel zur verbesserten Sichtbarkeit und Bedrohungserkennung. Es unterstützt DNS Resolver-Abfrageprotokolle, die direkt aus AWS S3-Buckets aufgenommen werden, während öffentliche DNS-Abfrageprotokolle und Route 53-Überwachungsprotokolle mithilfe der AWS CloudWatch- und CloudTrail-Connectors von Microsoft Sentinel aufgenommen werden können. Umfassende Anweisungen werden bereitgestellt, um Sie durch die Einrichtung jedes Protokolltyps zu führen. Nutzen Sie diesen Connector, um DNS-Aktivitäten zu überwachen, potenzielle Bedrohungen zu erkennen und Ihren Sicherheitsstatus in Cloudumgebungen zu verbessern.
Tabellenattribute
| Merkmal | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | Ja |
| Transformation bei Ingestion | Ja |
| Beispielabfragen | - |
Spalten
| Kolumne | Typ | BESCHREIBUNG |
|---|---|---|
| Konto-ID | Schnur | Die AWS-Konto-ID, die die VPC besitzt, die die Abfrage gesendet hat. |
| Erwiderungen | dynamisch | Array von DNS-Antworteinträgen, einschließlich aufgelöster IP-Adressen und anderer abfragebezogener Informationen. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| FirewallDomainListId | Schnur | ID der Domänenliste, die der Abfragedomäne entspricht. |
| FirewallRuleAction | Schnur | Regelaktion aus der zugehörigen Firewallregel. |
| FirewallRuleGroupId | Schnur | ID der Firewallregelgruppe, die auf die Abfrage angewendet wurde. |
| _IstAbrechnungsfähig | Schnur | Gibt an, ob das Einlesen der Daten gebührenpflichtig ist. Wenn _IsBillable den Wert false hat, wird die Erfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| Protokolltyp | Schnur | Gibt den Typ des DNS-Protokolls an (z. B. ResolverQueryLogs). |
| AbfrageKlasse | Schnur | Die DNS-Abfrageklasse. Normalerweise IN (Internet). |
| QueryName | Schnur | Der Domänenname, der abgefragt wurde. |
| Abfragetyp | Schnur | Der angeforderte DNS-Eintragstyp (z. B. A, AAAA, MX). |
| Rcode | Schnur | Textbezogener DNS-Antwortcode (z. B. NOERROR, NXDOMAIN). |
| Region | Schnur | AWS-Region, in der das Protokoll generiert wurde. |
| SourceSystem | Schnur | Typ des Agenten, von dem das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| SrcAddr | Schnur | Die Quell-IP-Adresse der Instanz, die die Abfrage erstellt hat. |
| SrcIds | dynamisch | Bezeichner im Zusammenhang mit der Quellinstanz, von der die DNS-Abfrage stammt oder durchlief. |
| SrcPort | Schnur | Der Quellport für die Instanz, die die Abfrage erstellt hat. |
| Mieter-ID | Schnur | Die ID des Log Analytics-Arbeitsbereichs. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Die Uhrzeit, zu der die DNS-Abfrage von Route 53 Resolver empfangen wurde. |
| Transport | Schnur | Das Zum Senden der Abfrage verwendete Protokoll (z. B. UDP, TCP, TLS). |
| Typ | Schnur | Der Name der Tabelle. |
| Version | Schnur | Version des Protokollformats. |
| VpcId | Schnur | Die ID des VPC, von dem die DNS-Abfrage stammt. |