Diffuser en continu et filtrer des données à partir de serveurs DNS Windows avec le connecteur AMA
Cet article explique comment utiliser le connecteur Azure Monitor Agent (AMA) pour diffuser en continu et filtrer des événements à partir de vos journaux de serveur DNS (Domain Name System) Windows. Vous pouvez ensuite analyser de manière plus approfondie vos données pour protéger vos serveurs DNS contre les menaces et les attaques.
L’AMA et son extension DNS sont installés sur votre serveur Windows Server pour charger des données à partir de vos journaux analytiques DNS vers l’espace de travail Microsoft Sentinel. En savoir plus sur le connecteur.
Vue d’ensemble
Pourquoi il est important de surveiller l’activité DNS
DNS est un protocole largement utilisé, qui met en correspondance les noms d’hôte et les adresses IP lisibles par ordinateur. Étant donné que DNS n’a pas été conçu en se focalisant sur la sécurité, le service est fortement ciblé par les activités malveillantes, ce qui rend sa journalisation essentielle dans la surveillance de la sécurité.
Voici quelques menaces connues qui ciblent les serveurs DNS :
- Attaques DDoS ciblant des serveurs DNS
- Amplification de DDoS DNS
- Détournement de DNS
- Tunneling DNS
- Empoisonnement de DNS
- Usurpation de DNS
- Attaque NXDOMAIN
- Attaques de domaine fantôme
Événements DNS Windows via le connecteur AMA
Bien que certains mécanismes aient été introduits pour améliorer la sécurité globale de ce protocole, les serveurs DNS sont toujours un service fortement ciblé. Les organisations peuvent surveiller les journaux DNS pour mieux comprendre l’activité réseau et pour identifier les comportements suspects ou les attaques ciblant des ressources au sein du réseau. Les Événements DNS Windows via le connecteur AMA fournissent ce type de visibilité.
Avec ce connecteur, vous pouvez :
- Identifier les clients qui tentent de résoudre des noms de domaines malveillants
- Afficher et surveiller les charges de requêtes sur les serveurs DNS.
- Afficher les échecs d’inscription DNS dynamique
- Identifier les noms de domaine fréquemment interrogés et les clients communiquant.
- Identifier les enregistrements de ressources obsolètes
- Afficher tous les journaux liés à DNS à un seul emplacement.
Fonctionnement de la collection avec les Événements DNS Windows via le connecteur AMA
Le connecteur AMA utilise l’extension DNS installée pour collecter et analyser les journaux.
Notes
Les Événements DNS Windows via le connecteur AMA prennent actuellement en charge les activités d’événements analytiques uniquement.
Le connecteur diffuse en continu les événements vers l’espace de travail Microsoft Sentinel pour analyse plus approfondie.
Vous pouvez désormais utiliser des filtres avancés pour filtrer des événements ou des informations spécifiques. Avec les filtres avancés, vous ne chargez que les données utiles que vous souhaitez surveiller, ce qui réduit les coûts et l’utilisation de la bande passante.
Normalisation à l’aide d’ASIM
Ce connecteur est entièrement normalisé à l’aide des analyseurs ASIM (Advanced Security Information Model). Le connecteur diffuse en continu les événements qui proviennent des journaux analytiques dans la table normalisée nommée ASimDnsActivityLogs
. Cette table agit comme un traducteur, en utilisant un langage unifié, partagé par tous les connecteurs DNS à venir.
Pour un analyseur indépendant de la source qui unifie toutes les données DNS et garantit que votre analyse s’exécute sur toutes les sources configurées, utilisez l’analyseur d’unification DNS ASIM _Im_Dns
.
L’analyseur d’unification ASIM complète la table ASimDnsActivityLogs
native. Bien que la table native soit conforme à ASIM, l’analyseur est nécessaire pour ajouter des fonctionnalités, telles que des alias, disponibles uniquement au moment de la requête, et pour combiner ASimDnsActivityLogs
avec d’autres sources de données DNS.
Le schéma DNS ASIM représente l’activité du protocole DNS, telle que journalisée dans le serveur DNS Windows dans les journaux analytiques. Le schéma est régi par des listes de paramètres officielles et des RFC qui définissent des champs et des valeurs.
Consultez la liste des champs de serveur DNS Windows traduits en noms de champs normalisés.
Configurer le DNS Windows via le connecteur AMA
Vous pouvez configurer le connecteur de deux façons :
- Portail Microsoft Sentinel. Avec cette configuration, vous pouvez créer, gérer et supprimer une seule règle de collecte de données (DCR) par espace de travail. Même si vous définissez plusieurs DCR via l’API, le portail n’affiche qu’une seule DCR.
- API. Avec cette configuration, vous pouvez créer, gérer et supprimer plusieurs DCR.
Prérequis
Avant de commencer, vérifiez que vous disposez des éléments suivants :
- La solution Microsoft Sentinel activée.
- Un espace de travail Microsoft Sentinel défini.
- Windows Server 2012 R2 avec le correctif logiciel d’audit et version ultérieure.
- Un serveur DNS Windows.
- Pour collecter des événements à partir de n’importe quel système qui n’est pas une machine virtuelle Azure, vérifiez qu’Azure Arc est installé. Installez et activez Azure Arc avant de pouvoir activer le connecteur basé sur l’agent Azure Monitor. Cette exigence inclut les éléments suivants :
- Les serveurs Windows installés sur des machines physiques
- Les serveurs Windows installés sur des machines virtuelles locales
- Les serveurs Windows installés sur des machines virtuelles dans des clouds non-Azure
Configurer le connecteur dans le portail Microsoft Sentinel (IU)
Ouvrir la page du connecteur et créer la DCR
- Ouvrez le portail Azure et accédez au service Microsoft Sentinel.
- Dans le panneau Connecteurs de données, dans la barre de recherche, tapez DNS.
- Sélectionnez le connecteur Événements DNS Windows via AMA.
- Sous la description du connecteur, sélectionnez Ouvrir la page du connecteur.
- Dans la zone Configuration, sélectionnez Créer une règle de collecte de données. Vous pouvez créer un seule DCR par espace de travail. Si vous devez créer plusieurs DCR, utilisez l’API.
Le nom, l’abonnement et le groupe de ressources de la DCR sont automatiquement définis en fonction du nom de l’espace de travail, de l’abonnement actuel et du groupe de ressources dans lequel le connecteur a été sélectionné.
Définir les ressources (machines virtuelles)
Sélectionnez l’onglet Ressources, puis Ajouter des ressources.
Sélectionnez les machines virtuelles sur lesquelles vous souhaitez installer le connecteur pour collecter les journaux.
Passez en revue vos modifications et sélectionnez Enregistrer>Appliquer.
Filtrer les événements non souhaités
Lorsque vous utilisez des filtres, vous excluez l’événement spécifié par le filtre. En d’autres termes, Microsoft Sentinel ne collecte pas de données pour l’événement spécifié. Bien que cette étape ne soit pas obligatoire, elle peut aider à réduire les coûts et à simplifier le tri des événements.
Pour créer des filtres :
Dans la page du connecteur, dans la zone Configuration, sélectionnez Ajouter des filtres de collecte de données.
Tapez un nom pour le filtre et sélectionnez le type de filtre. Le type de filtre est un paramètre qui réduit le nombre d’événements collectés. Les paramètres sont normalisés en fonction du schéma normalisé DNS. Consultez la liste des champs disponibles pour le filtrage.
Choisissez les valeurs pour lesquelles vous souhaitez filtrer le champ parmi les valeurs répertoriées dans la liste déroulante.
Pour ajouter des filtres complexes, sélectionnez Ajouter un champ d’exclusion au filtre et ajouter le champ approprié. Consultez les exemples de la section Utiliser les filtres avancés ci-dessous.
Pour ajouter d’autres filtres, sélectionnez Ajouter un nouveau filtre d’exclusion.
Lorsque vous avez fini d’ajouter des filtres, sélectionnez Ajouter.
De retour sur la page principale des connecteurs, sélectionnez Appliquer les modifications pour enregistrer et déployer les filtres sur vos connecteurs. Pour modifier ou supprimer des filtres ou des champs existants, sélectionnez les icônes de modification ou de suppression dans la table sous la zone Configuration.
Pour ajouter des champs ou des filtres après votre déploiement initial, sélectionnez à nouveau Ajouter des filtres de collecte de données.
Configurer le connecteur avec l’API
Vous pouvez créer des DCR à l’aide de l’API. Utilisez cette option si vous devez créer plusieurs DCR.
Utilisez cet exemple comme modèle pour créer ou mettre à jour une DCR :
URL et en-tête de la requête
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview
Corps de la demande
{
"properties": {
"dataSources": {
"windowsEventLogs": [],
"extensions": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"extensionName": "MicrosoftDnsAgent",
"extensionSettings": {
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"260"
]
}
]
}
]
},
"name": "SampleDns"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
"workspaceId": {WorkspaceGuid}",
"name": "WorkspaceDestination"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"destinations": [
" WorkspaceDestination "
]
}
],
},
"location": "eastus2",
"tags": {},
"kind": "Windows",
"id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"type": "Microsoft.Insights/dataCollectionRules",
}
Utiliser des filtres avancés
Les journaux des événements de serveur DNS peuvent contenir un grand nombre d’événements. Vous pouvez utiliser le filtrage avancé pour filtrer les événements inutiles avant le chargement des données, ce qui permet d’économiser du temps de tri et des coûts précieux. Les filtres suppriment les données inutiles du flux d’événements chargés dans votre espace de travail.
Les filtres sont basés sur une combinaison de nombreux champs.
- Vous pouvez utiliser plusieurs valeurs pour chaque champ à l’aide d’une liste séparée par des virgules.
- Pour créer des filtres composés, utilisez différents champs avec une relation AND.
- Pour combiner différents filtres, utilisez une relation OR entre eux.
Passez en revue les champs disponibles pour le filtrage.
Utiliser des caractères génériques
Vous pouvez utiliser des caractères génériques dans les filtres avancés. Passez en revue ces considérations lorsque vous utilisez des caractères génériques :
- Ajoutez un point après chaque astérisque (
*.
). - N’utilisez pas d’espaces dans la liste des domaines.
- Les caractères génériques s’appliquent uniquement aux sous-domaines du domaine, y compris
www.domain.com
, quel que soit le protocole. Par exemple, si vous utilisez*.domain.com
dans un filtre avancé :- Le filtre s’applique à
www.domain.com
etsubdomain.domain.com
, que le protocole soit HTTPS, FTP ou autre. - Le filtre ne s’applique pas à
domain.com
. Pour appliquer un filtre àdomain.com
, spécifiez le domaine directement, sans utiliser de caractère générique.
- Le filtre s’applique à
Exemples de filtres avancés
Ne pas collecter d’ID d’événements spécifiques
Ce filtre indique au connecteur de ne pas collecter EventID 256, EventID 257 ou EventID 260 avec des adresses IPv6.
Utilisation du portail Microsoft Sentinel :
Créez un filtre avec le champ EventOriginalType, en utilisant l’opérateur Equals, avec les valeurs 256, 257 et 260.
Créez un filtre avec le champ EventOriginalType défini ci-dessus et en utilisant l’opérateur And, et avec le champ DnsQueryTypeName défini sur AAAA.
Utilisation de l’API :
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"256", "257", "260"
]
},
{
"Field": "DnsQueryTypeName",
"FieldValues": [
"AAAA"
]
}
]
},
{
"FilterName": "EventResultDetails",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"230"
]
},
{
"Field": "EventResultDetails",
"FieldValues": [
"BADKEY","NOTZONE"
]
}
]
}
]
Ne pas collecter d’événements avec des domaines spécifiques
Ce filtre indique au connecteur de ne pas collecter d’événements à partir de sous-domaines de microsoft.com, google.com, amazon.com, ou d’événements de facebook.com ou center.local.
Utilisation du portail Microsoft Sentinel :
Définissez le champ DnsQuery en utilisant l’opérateur Equals, avec la liste *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local.
Passez en revue ces considérations concernant l’utilisation de caractères génériques.
Pour définir différentes valeurs dans un seul champ, utilisez l’opérateur OR.
Utilisation de l’API :
Passez en revue ces considérations concernant l’utilisation de caractères génériques.
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "DnsQuery",
"FieldValues": [
"*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"
]
},
}
}
]
Étapes suivantes
Dans cet article, vous avez appris à configurer les événements DNS Windows via le connecteur AMA pour charger des données et filtrer vos journaux DNS Windows. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
- Prise en main de la détection des menaces avec Microsoft Sentinel.
- Utilisez des classeurs pour superviser vos données.