Referencia del conector DNS a través de AMA: campos disponibles y esquema de normalización

  • Artículo

Microsoft Sentinel permite transmitir y filtrar eventos desde los registros del servidor del Sistema de nombres de dominio (DNS) de Windows a la tabla de esquema normalizada ASimDnsActivityLog. En este artículo se describen los campos usados para filtrar los datos y el esquema de normalización de los campos del servidor DNS de Windows.

El agente de Azure Monitor (AMA) y su extensión DNS se instalan en Windows Server para cargar datos de los registros analíticos de DNS en el área de trabajo de Microsoft Sentinel. Los datos se transmiten y filtran mediante los eventos DNS de Windows a través del conector AMA.

Campos disponibles para el filtrado

En esta tabla se muestran los campos disponibles. Los nombres de campo se normalizan mediante el esquema DNS.

Nombre del campo Valores Descripción
EventOriginalType Números entre 256 y 280 EventID de DNS de Windows, que indica el tipo del evento de protocolo DNS.
EventResultDetails • NOERROR
• FORMERR
• SERVFAIL
• NXDOMAIN
• NOTIMP
• REFUSED
• YXDOMAIN
• YXRRSET
• NXRRSET
• NOTAUTH
• NOTZONE
• DSOTYPENI
• BADVERS
• BADSIG
• BADKEY
• BADTIME
• BADALG
• BADTRUNC
• BADCOOKIE		 Cadena de resultado DNS de la operación definida por la entidad de números asignados a Internet (IANA).
DvcIpAdrr Direcciones IP La dirección IP del servidor que notifica el evento. Este campo también incluye la ubicación geográfica y la información de IP malintencionada.
DnsQuery Nombres de dominio (FQDN) Cadena que representa el nombre de dominio que se va a resolver.
• Puede aceptar varios valores en una lista separada por comas y caracteres comodín. Por ejemplo:
*.microsoft.com,google.com,facebook.com
• Revise estas consideraciones para usar caracteres comodín.
DnsQueryTypeName • A
• NS
• MD
• MF
• CNAME
• SOA
• MB
• MG
• MR
• NULL
• WKS
• PTR
• HINFO
• MINFO
• MX
• TXT
• RP
• AFSDB
• X25
• ISDN
• RT
• NSAP
• NSAP-PTR
• SIG
• KEY
• PX
• GPOS
• AAAA
• LOC
• NXT
• EID
• NIMLOC
• SRV		 Atributo DNS solicitado. El nombre del tipo de registro de recursos DNS tal y como se define en IANA.

Esquema DNS normalizado de ASIM

En esta tabla se describen y traducen los campos del servidor DNS de Windows en los nombres de campo normalizados tal y como aparecen en el esquema de normalización de DNS.

Nombre del campo DNS de Windows Nombre del campo normalizado Tipo Descripción
EventId EventOriginalType String Tipo de evento o identificador original.
RCODE EventResult String Resultado del evento (correcto, parcial, error, NA).
RCODE analizado EventResultDetails String El código de respuesta DNS tal y como se define en IANA.
InterfaceIP DvcIpAdrr String Dirección IP del dispositivo o la interfaz de informes de eventos.
AA DnsFlagsAuthoritative Entero Indica si la respuesta del servidor fue autoritativa.
AD DnsFlagsAuthenticated Entero Indica que el servidor comprobó todos los datos de la respuesta y la autoridad de la respuesta, según las directivas de servidor.
RQNAME DnsQuery String El dominio debe resolverse.
QTYPE DnsQueryType Entero El tipo de registro de recursos DNS tal y como se define en IANA.
Port SrcPortNumber Entero Puerto de origen que envía la consulta.
Source SrcIpAddr IP address (Dirección IP) Dirección IP del cliente que envía la solicitud de DNS. En una solicitud de DNS recursiva, este valor suele ser la IP del dispositivo de informes, en la mayoría de los casos, 127.0.0.1.
ElapsedTime DnsNetworkDuration Entero Tiempo que tardó en completarse la solicitud DNS.
GUID DnsSessionId String Identificador de sesión DNS notificado por el dispositivo de informes.

Pasos siguientes

En este artículo, ha obtenido información sobre los campos que se usan para filtrar los datos de registro DNS mediante los eventos DNS de Windows a través del conector AMA. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: