DNS über AMA-Connector-Referenz – verfügbare Felder und Normalisierungsschema
Microsoft Sentinel ermöglicht Es Ihnen, Ereignisse aus Ihrem Windows Domain Name System (DNS)-Serverprotokollen in der ASimDnsActivityLog normalisierten Schematabelle zu streamen und zu filtern. In diesem Artikel werden die Felder beschrieben, die zum Filtern der Daten und zum Normalisierungsschema für die Windows-DNS-Serverfelder verwendet werden.
Der Azure Monitor Agent (AMA) und seine DNS-Erweiterung werden auf Ihrem Windows Server installiert, um Daten aus Ihren DNS-Analyseprotokollen in Ihren Microsoft Sentinel-Arbeitsbereich hochzuladen. Sie streamen und filtern die Daten mithilfe des Windows DNS-Ereignisses über AMA-Connector.
Verfügbare Felder zum Filtern
Diese Tabelle zeigt die verfügbaren Felder an. Die Feldnamen werden mithilfe des DNS-Schemas normalisiert.
| Feldname | Werte | BESCHREIBUNG |
|---|---|---|
| EventOriginalType | Zahlen zwischen 256 und 280 | Die Windows-DNS-Ereignis-ID, die den Typ des DNS-Protokollereignisses angibt. |
| EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP • REFUSED • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
Die DNS-Ergebniszeichenfolge des Vorgangs, wie von der Internet Assigned Numbers Authority (IANA) definiert. |
| DvcIpAdrr | IP-Adressen | Die IP-Adresse des Servers, der das Ereignis meldet. Dieses Feld enthält auch Geo-Standort- und böswillige IP-Informationen. |
| DnsQuery | Domänennamen (FQDN) | Die Zeichenfolge, die den Domänennamen darstellt, der aufgelöst werden soll. • Kann mehrere Werte in einer durch Komma getrennten Liste und Wildcards akzeptieren. Zum Beispiel: *.microsoft.com,google.com,facebook.com• Überprüfen Sie diese Überlegungen für die Verwendung von Wildcards. |
| DnsQueryTypeName | • A • NS • MD • MF • CNAME • SOA • MB • MG • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • NSAP • NSAP-PTR • SIG • KEY • PX • GPOS • AAAA • LOC • NXT • EID • NIMLOC • SRV |
Das angeforderte DNS-Attribut. Der Typname des DNS-Ressourceneintrags, wie von IANA definiert. |
ASIM normalisiertes DNS-Schema
Diese Tabelle beschreibt und übersetzt Windows DNS-Serverfelder in die normalisierten Feldnamen, da sie im DNS-Normalisierungsschema angezeigt werden.
| Windows DNS-Feldname | Normalisiertes Feld | type | BESCHREIBUNG |
|---|---|---|---|
| EventId | EventOriginalType | String | Der ursprüngliche Ereignistyp oder die ID. |
| RCODE | EventResult | String | Das Ergebnis des Ereignisses (Erfolg, Teil, Fehler, NA). |
| RCODE analysiert | EventResultDetails | String | Der DNS-Antwortcode gemäß der Definition von IANA. |
| InterfaceIP | DvcIpAdrr | String | Die IP-Adresse des Ereignisberichtsgeräts oder der Schnittstelle. |
| AA | DnsFlagsAuthoritative | Integer | Gibt an, ob die Antwort vom Server autorisierend war. |
| AD | DnsFlagsAuthenticated | Integer | Gibt an, dass der Server alle Daten in der Antwort und die Autorität der Antwort gemäß den Serverrichtlinien überprüft hat. |
| RQNAME | DnsQuery | String | Die Domäne muss aufgelöst werden. |
| QTYPE | DnsQueryType | Integer | Der Typ des DNS-Ressourceneintrags, wie von IANA definiert. |
| Port | SrcPortNumber | Integer | Quellport, der die Abfrage sendet. |
| `Source` | SrcIpAddr | IP-Adresse | Die IP-Adresse des Clients, der die DNS-Anforderung sendet. Bei einer rekursiven DNS-Anforderung ist dieser Wert in den meisten Fällen normalerweise die IP des meldenden Geräts 127.0.0.1 |
| ElapsedTime | DnsNetworkDuration | Integer | Die Zeit, die zum Abschließen der DNS-Anfrage benötigt wurde. |
| GUID | DnsSessionId | String | Der DNS-Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. |
Nächste Schritte
In diesem Artikel haben Sie die Felder kennengelernt, die zum Filtern von DNS-Protokolldaten mithilfe der Windows-DNS-Ereignisse über den AMA-Connector verwendet werden. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.
- Verwenden Sie Arbeitsmappen, um Ihre Daten zu überwachen.