Adatok streamelése és szűrése Windows DNS-kiszolgálókról az AMA-összekötővel

  • Cikk

Ez a cikk azt ismerteti, hogyan használhatja az Azure Monitor Agent (AMA) összekötőt a Windows-tartománynévrendszer (DNS) kiszolgálónaplóiból származó események streamelésére és szűrésére. Ezután mélyrehatóan elemezheti az adatokat, hogy megvédje a DNS-kiszolgálókat a fenyegetésektől és támadásoktól.

Az AMA és DNS-bővítménye telepítve van a Windows Serveren, hogy adatokat töltsön fel a DNS elemzési naplóiból a Microsoft Sentinel-munkaterületre. Tudnivalók az összekötőről.

Áttekintés

Miért fontos a DNS-tevékenység monitorozása?

A DNS egy széles körben használt protokoll, amely leképezi a gazdagépneveket és a számítógép által olvasható IP-címeket. Mivel a DNS-t nem a biztonság szem előtt tartásával tervezték, a szolgáltatást kifejezetten rosszindulatú tevékenységek célozták meg, így a naplózás a biztonsági monitorozás nélkülözhetetlen része.

A DNS-kiszolgálókat célzó ismert fenyegetések közé tartoznak a következők:

  • DNS-kiszolgálókat célzó DDoS-támadások
  • DNS DDoS-erősítő
  • DNS-eltérítés
  • DNS-bújtatás
  • DNS-mérgezés
  • DNS-hamisítás
  • NXDOMAIN-támadás
  • Fantomtartomány-támadások

Windows DNS-események az AMA-összekötőn keresztül

Bár néhány mechanizmust bevezettünk a protokoll általános biztonságának javítására, a DNS-kiszolgálók továbbra is magas célokat szolgáló szolgáltatásnak számítanak. A szervezetek figyelhetik a DNS-naplókat, hogy jobban megértsék a hálózati tevékenységeket, és azonosíthassák a hálózaton belüli erőforrásokat célzó gyanús viselkedést vagy támadásokat. A Windows DNS-események az AMA-összekötőn keresztül biztosítják az ilyen típusú láthatóságot.

Az összekötővel a következőt teheti:

  • Azonosítsa azokat az ügyfeleket, amelyek megpróbálják feloldani a rosszindulatú tartományneveket.
  • A kérelembetöltések megtekintése és monitorozása a DNS-kiszolgálókon.
  • Dinamikus DNS-regisztrációs hibák megtekintése.
  • A gyakran lekérdezett tartománynevek és beszédes ügyfelek azonosítása.
  • Elavult erőforrásrekordok azonosítása.
  • Az összes DNS-hez kapcsolódó napló megtekintése egy helyen.

A gyűjtemény működése a Windows DNS-eseményekkel az AMA-összekötőn keresztül

  1. Az AMA-összekötő a telepített DNS-bővítmény használatával gyűjti és elemzi a naplókat.

    Feljegyzés

    A Windows DNS-események az AMA-összekötőn keresztül jelenleg csak az elemzési eseménytevékenységeket támogatják.

  2. Az összekötő tovább elemzi az eseményeket a Microsoft Sentinel-munkaterületre.

  3. Mostantól speciális szűrőkkel szűrheti ki az adott eseményeket vagy információkat. Speciális szűrőkkel csak azokat az értékes adatokat töltheti fel, amelyeket figyelni szeretne, ezzel csökkentve a költségeket és a sávszélesség-használatot.

Normalizálás az ASIM használatával

Ez az összekötő teljesen normalizálva van az Advanced Security Information Model (ASIM) elemzőkkel. Az összekötő az elemzési naplókból származó eseményeket a normalizált táblába ASimDnsActivityLogsstreameli. Ez a táblázat fordítóként működik, egyetlen egységes nyelvet használva, amely az összes DNS-összekötőben meg van osztva.

Az összes DNS-adatot egyesítő forráselemzéshez, amely biztosítja, hogy az elemzés az összes konfigurált forrásban fusson, használja az ASIM DNS-egyesítési elemzőt_Im_Dns.

Az ASIM-egyesítési elemző kiegészíti a natív ASimDnsActivityLogs táblát. Bár a natív tábla ASIM-kompatibilis, az elemzőre olyan képességek hozzáadásához van szükség, mint például az aliasok, amelyek csak lekérdezési időpontban érhetők el, és más DNS-adatforrásokkal kombinálhatók ASimDnsActivityLogs .

Az ASIM DNS-séma az elemzési naplókban a Windows DNS-kiszolgálón naplózott DNS-protokolltevékenységet jelöli. A sémát a mezőket és értékeket meghatározó hivatalos paraméterlisták és RFC-k szabályozzák.

Tekintse meg a Normalizált mezőnevekre lefordított Windows DNS-kiszolgáló mezők listáját.

A Windows DNS beállítása AMA-összekötőn keresztül

Az összekötő kétféleképpen állítható be:

  • Microsoft Sentinel portál. Ezzel a beállítással munkaterületenként egyetlen adatgyűjtési szabályt (DCR) hozhat létre, kezelhet és törölhet. Még ha több DCR-t is definiál az API-n keresztül, a portál csak egyetlen DCR-t jelenít meg.
  • API. Ezzel a beállítással több DCR-t is létrehozhat, kezelhet és törölhet.

Előfeltételek

Mielőtt hozzákezdene, ellenőrizze, hogy rendelkezik-e az alábbiakval:

  • A Microsoft Sentinel-megoldás engedélyezve van.
  • Egy definiált Microsoft Sentinel-munkaterület.
  • Windows Server 2012 R2 naplózási gyorsjavítással és újabb verzióval.
  • Windows DNS-kiszolgáló.
  • Ha nem Azure-beli virtuális gépről szeretne eseményeket gyűjteni, győződjön meg arról, hogy az Azure Arc telepítve van. Az Azure Monitor Agent-alapú összekötő engedélyezése előtt telepítse és engedélyezze az Azure Arcot. Ez a követelmény a következőket tartalmazza:
    • Fizikai gépekre telepített Windows-kiszolgálók
    • Helyszíni virtuális gépekre telepített Windows-kiszolgálók
    • Nem Azure-felhők virtuális gépeire telepített Windows-kiszolgálók

Az összekötő beállítása a Microsoft Sentinel portálon (UI)

Nyissa meg az összekötő lapot, és hozza létre a DCR-t

  1. Nyissa meg az Azure Portalt , és lépjen a Microsoft Sentinel szolgáltatáshoz.
  2. Az Adatösszekötők panel keresősávjában írja be a DNS nevet.
  3. Válassza ki a Windows DNS-eseményeket az AMA-összekötőn keresztül.
  4. Az összekötő leírása alatt válassza az Összekötő megnyitása lapot.
  5. A Konfiguráció területen válassza az Adatgyűjtési szabály létrehozása lehetőséget. Munkaterületenként egyetlen DCR-t hozhat létre. Ha több DCR-t kell létrehoznia, használja az API-t.

A DCR neve, előfizetése és erőforráscsoportja automatikusan a munkaterület neve, az aktuális előfizetés és az összekötő által kiválasztott erőforráscsoport alapján van beállítva.

Screenshot of creating a new D C R for the Windows D N S over A M A connector.

Erőforrások definiálása (virtuális gépek)

  1. Válassza az Erőforrások lapot, és válassza az Erőforrás(ok) hozzáadása lehetőséget.

  2. Válassza ki azokat a virtuális gépeket, amelyekre telepíteni szeretné az összekötőt a naplók gyűjtéséhez.

    Screenshot of selecting resources for the Windows D N S over A M A connector.

  3. Tekintse át a módosításokat, és válassza az Alkalmaz mentése lehetőséget>.

Nem kívánt események kiszűrése

Szűrők használata esetén kizárja a szűrő által megadott eseményt. Más szóval a Microsoft Sentinel nem gyűjt adatokat a megadott eseményhez. Bár ez a lépés nem szükséges, segíthet csökkenteni a költségeket, és egyszerűsíteni az események osztályozását.

Szűrők létrehozása:

  1. Az összekötő oldalán, a Konfiguráció területen válassza az Adatgyűjtési szűrők hozzáadása lehetőséget.

  2. Írja be a szűrő nevét, és válassza ki a szűrő típusát. A szűrőtípus egy olyan paraméter, amely csökkenti az összegyűjtött események számát. A paraméterek normalizálása a DNS normalizált sémája szerint van. Tekintse meg a szűréshez elérhető mezők listáját.

    Screenshot of creating a filter for the Windows D N S over A M A connector.

  3. Válassza ki azokat az értékeket, amelyekre szűrni szeretné a mezőt a legördülő menüben felsorolt értékek közül.

    Screenshot of adding fields to a filter for the Windows D N S over A M A connector.

  4. Összetett szűrők hozzáadásához válassza a Kizárás mező hozzáadása lehetőséget a szűréshez és a megfelelő mező hozzáadásához. Példákat az alábbi Speciális szűrők használata szakaszban talál.

  5. További új szűrők hozzáadásához válassza az Új kizárási szűrő hozzáadása lehetőséget.

  6. Ha befejezte a szűrők hozzáadását, válassza a Hozzáadás lehetőséget.

  7. A fő összekötő oldalán válassza a Módosítások alkalmazása lehetőséget a szűrők mentéséhez és az összekötőkben való üzembe helyezéséhez. Meglévő szűrők vagy mezők szerkesztéséhez vagy törléséhez jelölje ki a szerkesztési vagy törlési ikonokat a táblázatban a Konfiguráció terület alatt.

  8. Ha a kezdeti üzembe helyezés után szeretne mezőket vagy szűrőket hozzáadni, válassza ismét az Adatgyűjtési szűrők hozzáadása lehetőséget .

Az összekötő beállítása az API-val

A DCR-eket az API használatával hozhatja létre. Ezt a lehetőséget akkor használja, ha több DCR-t kell létrehoznia.

Használja ezt a példát sablonként egy DCR létrehozásához vagy frissítéséhez:

Kérelem URL-címe és fejléce 


PUT 

    https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview

Kérés törzse


{
    "properties": {
        "dataSources": {
            "windowsEventLogs": [],
            "extensions": [
                {
                    "streams": [
                        "Microsoft-ASimDnsActivityLogs"
                    ],
                    "extensionName": "MicrosoftDnsAgent",
                    "extensionSettings": {
                        "Filters": [
                            {
                                "FilterName": "SampleFilter",
                                "Rules": [
                                    {
                                        "Field": "EventOriginalType",
                                        "FieldValues": [
                                            "260"
                                        ]
                                    }
                                ]
                            }
                        ]
                    },
                    "name": "SampleDns"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
                    "workspaceId": {WorkspaceGuid}",
                    "name": "WorkspaceDestination"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-ASimDnsActivityLogs"
                ],
                "destinations": [
                    " WorkspaceDestination "
                ]
            }
        ],
    },
    "location": "eastus2",
    "tags": {},
    "kind": "Windows",
    "id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
    "name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
    "type": "Microsoft.Insights/dataCollectionRules",
}

Speciális szűrők használata

A DNS-kiszolgáló eseménynaplói rengeteg eseményt tartalmazhatnak. Speciális szűrés használatával kiszűrheti a szükségtelen eseményeket az adatok feltöltése előtt, így értékes osztályozási időt és költségeket takaríthat meg. A szűrők eltávolítják a szükségtelen adatokat a munkaterületre feltöltött események adatfolyamából.

A szűrők számos mező kombinációján alapulnak.

  • Az egyes mezőkhöz több értéket is használhat vesszővel tagolt lista használatával.
  • Összetett szűrők létrehozásához használjon különböző mezőket ÉS relációval.
  • A különböző szűrők kombinálásához használjon egy VAGY relációt közöttük.

Tekintse át a szűréshez elérhető mezőket.

Helyettesítő karakterek használata

Speciális szűrőkben helyettesítő karaktereket is használhat. A helyettesítő karakterek használatakor tekintse át ezeket a szempontokat:

  • Adjon hozzá egy vesszőt minden csillag (*.) után.
  • Ne használjon szóközöket a tartományok listája között.
  • A helyettesítő karakterek csak a tartomány altartományaira vonatkoznak, beleértve www.domain.coma protokolltól függetlenül is. Ha például speciális szűrőt használ *.domain.com :
    • A szűrő a https, FTP és subdomain.domain.comígy tovább protokolltól függetlenül érvényes www.domain.com és érvényes.
    • A szűrő nem vonatkozik a következőre domain.com: . Szűrő domain.comalkalmazásához közvetlenül, helyettesítő karakter használata nélkül adja meg a tartományt.

Speciális szűrési példák

Ne gyűjtsön konkrét eseményazonosítókat

Ez a szűrő arra utasítja az összekötőt, hogy ne gyűjtse össze az EventID 256 vagy EventID 257 vagy EventID 260 azonosítót IPv6-címekkel.

A Microsoft Sentinel portál használata:

  1. Hozzon létre egy szűrőt az EventOriginalType mezővel, az Egyenlőség operátor használatával a 256, 257 és 260 értékekkel.

    Screenshot of filtering out event IDs for the Windows D N S over A M A connector.

  2. Hozzon létre egy szűrőt a fent definiált EventOriginalType mezővel, és használja az And operátort, beleértve az AAAA-ra beállított DnsQueryTypeName mezőt is.

    Screenshot of filtering out event IDs and IPv6 addresses for the Windows D N S over A M A connector.

Az API használata:

"Filters": [
    {
        "FilterName": "SampleFilter",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "256", "257", "260"                                                                              
                ]
            },
            {
                "Field": "DnsQueryTypeName",
                "FieldValues": [
                    "AAAA"                                        
                ]
            }
        ]
    },
    {
        "FilterName": "EventResultDetails",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "230"                                        
                ]
            },
            {
                "Field": "EventResultDetails",
                "FieldValues": [
                    "BADKEY","NOTZONE"                                        
                ]
            }
        ]
    }
]

Ne gyűjtsön eseményeket adott tartományokkal

Ez a szűrő arra utasítja az összekötőt, hogy ne gyűjtsön eseményeket microsoft.com, google.com, amazon.com vagy események altartományaiból facebook.com vagy center.local webhelyről.

A Microsoft Sentinel portál használata:

Állítsa be a DnsQuery mezőt az Egyenlőség operátorral a *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local listával.

Tekintse át ezeket a szempontokat a helyettesítő karakterek használatakor.

Screenshot of filtering out domains for the Windows D N S over A M A connector.

Ha egy mező különböző értékeit szeretné definiálni, használja az OR operátort.

Az API használata:

Tekintse át ezeket a szempontokat a helyettesítő karakterek használatakor.

"Filters": [ 

    { 

        "FilterName": "SampleFilter", 

        "Rules": [ 

            { 

                "Field": "DnsQuery", 

                "FieldValues": [ 

                    "*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"                                                                               

                ] 

            }, 

         } 

    } 

]

Következő lépések

Ebből a cikkből megtudhatja, hogyan állíthatja be a Windows DNS-eseményeket az AMA-összekötőn keresztül az adatok feltöltéséhez és a Windows DNS-naplók szűréséhez. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben: