Elemzések gyűjtése a DNS-infrastruktúráról a DNS Analytics előzetes verziójának megoldásával

  • Cikk

A DNS Analytics szimbólum.

Ez a cikk bemutatja, hogyan állíthatja be és használhatja az Azure MONITOR Azure DNS Analytics-megoldását a DNS-infrastruktúrára vonatkozó biztonsági, teljesítménybeli és üzemeltetési megállapítások gyűjtéséhez.

A DNS Analytics a következőkben nyújt segítséget:

  • Azonosítsa azokat az ügyfeleket, amelyek megpróbálják feloldani a rosszindulatú tartományneveket.
  • Elavult erőforrásrekordok azonosítása.
  • Azonosítsa a gyakran lekérdezett tartományneveket és a beszédes DNS-ügyfeleket.
  • A kérések terhelésének megtekintése a DNS-kiszolgálókon.
  • Dinamikus DNS-regisztrációs hibák megtekintése.

A megoldás összegyűjti, elemzi és korrelálja a Windows DNS elemzési és auditnaplóit és más kapcsolódó adatokat a DNS-kiszolgálókról.

Fontos

A Log Analytics-ügynök 2024. augusztus 31-én megszűnik. Ha a Log Analytics-ügynököt használja a Microsoft Sentinel üzemelő példányában, javasoljuk, hogy kezdje el megtervezni az Azure Monitor-ügynökre való migrálást. További információ: Azure Monitor-ügynök migrálása a Microsoft Sentinelhez.

Összekapcsolt források

Az alábbi táblázat a megoldás által támogatott csatlakoztatott forrásokat ismerteti:

Csatlakoztatott forrás Támogatás Description
Windows-ügynökök Yes A megoldás DNS-adatokat gyűjt a Windows-ügynököktől.
Linux-ügynökök No A megoldás nem gyűjt DNS-adatokat a közvetlen Linux-ügynököktől.
System Center Operations Manage felügyeleti csoport Yes A megoldás DNS-adatokat gyűjt egy csatlakoztatott Operations Manager felügyeleti csoport ügynökeitől. Nincs szükség közvetlen kapcsolatra az Operations Manager-ügynök és az Azure Monitor között. Az adatok a felügyeleti csoportból a Log Analytics-munkaterületre lesznek továbbítva.
Azure Storage-fiók No A megoldás nem használja az Azure Storage-t.

Adatgyűjtés részletei

A megoldás a DNS-leltárt és a DNS-eseményekkel kapcsolatos adatokat gyűjti azon DNS-kiszolgálókról, amelyeken a Log Analytics-ügynök telepítve van. Ezek az adatok ezután feltöltődnek az Azure Monitorba, és megjelennek a megoldás irányítópultján. A leltárral kapcsolatos adatokat, például a DNS-kiszolgálók, zónák és erőforrásrekordok számát a RENDSZER a DNS PowerShell-parancsmagok futtatásával gyűjti össze. Az adatok két naponta egyszer frissülnek. Az eseményekkel kapcsolatos adatokat közel valós időben gyűjtjük a továbbfejlesztett DNS-naplózás és -diagnosztika által biztosított elemzési és auditnaplókból Windows Server 2012 R2-ben.

Konfiguráció

A megoldás konfigurálásához használja az alábbi információkat:

A megoldás további konfigurálás nélkül megkezdi az adatgyűjtést. Az adatgyűjtés testreszabásához azonban az alábbi konfigurációt használhatja.

A megoldás konfigurálása

A Azure Portal Log Analytics-munkaterületen válassza a Munkaterület összegzése (elavult) lehetőséget. Ezután válassza a DNS Analytics csempét. A megoldás irányítópultján válassza a Konfiguráció lehetőséget a DNS Analytics Konfiguráció lapjának megnyitásához. Kétféle konfigurációs módosítást hajthat végre:

  • Engedélyezett tartománynevek: A megoldás nem dolgozza fel az összes keresési lekérdezést. Fenntartja a tartománynév-utótagok engedélyezési listáját. A megoldás nem dolgozza fel azokat a keresési lekérdezéseket, amelyek az engedélyezési listában szereplő tartománynév-utótagokkal egyező tartományneveket oldják fel. Az engedélyezett tartománynevek feldolgozásának kihagyása segít optimalizálni az Azure Monitornak küldött adatokat. Az alapértelmezett engedélyezési lista népszerű nyilvános tartományneveket tartalmaz, például www.google.com és www.facebook.com. A teljes alapértelmezett listát görgetéssel tekintheti meg.

    Módosíthatja a listát úgy, hogy minden olyan tartománynév-utótagot hozzáadjon, amelyhez meg szeretné tekinteni a keresési megállapításokat. Eltávolíthat minden olyan tartománynév-utótagot is, amelyhez nem szeretné megtekinteni a keresési megállapításokat.

  • Beszédes ügyfél küszöbértéke: Azok a DNS-ügyfelek, amelyek túllépik a keresési kérelmek számának küszöbértékét, ki vannak emelve a DNS-ügyfelek panelen. Az alapértelmezett küszöbérték 1000. Szerkesztheti a küszöbértéket.

    Képernyőkép az Engedélyezett tartománynevekről.

Felügyeleti csomagok

Ha a Microsoft Monitoring Agentet használja a Log Analytics-munkaterülethez való csatlakozáshoz, a következő felügyeleti csomag lesz telepítve:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)

Ha az Operations Manager felügyeleti csoportja csatlakozik a Log Analytics-munkaterülethez, a megoldás hozzáadásakor a következő felügyeleti csomagok lesznek telepítve az Operations Managerben. Nincs szükség a felügyeleti csomagok konfigurálásához vagy karbantartásához:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
  • Microsoft System Center Advisor DNS Analytics-konfiguráció (Microsoft.IntelligencePack.Dns.Configuration)

A megoldási felügyeleti csomagok frissítéseivel kapcsolatban lásd: Az Operations Manager csatlakoztatása a Log Analyticshez.

A DNS Analytics-megoldás használata

A monitorozási megoldás által gyűjtött adatok a munkaterület összegzése (elavult) oldalán érhetők el a Azure Portal. Nyissa meg ezt a lapot a megoldással rendelkező munkaterület Log Analytics-munkaterületeiből , majd válassza a Munkaterület összegzése (elavult) lehetőséget a menü Klasszikus szakaszában. Minden megoldást egy csempe jelöl. Válasszon egy csempét a megoldás által gyűjtött részletesebb adatokhoz.

A DNS-csempe tartalmazza azokat a DNS-kiszolgálókat, ahol az adatokat gyűjtik. Emellett az ügyfelek által az elmúlt 24 órában a rosszindulatú tartományok megoldására irányuló kérések számát is tartalmazza. Amikor kiválaszt egy csempét, megnyílik a megoldás irányítópultja.

Képernyőkép a DNS Analytics csempéről.

A megoldás irányítópultja

A megoldás irányítópultja a megoldás különböző funkcióinak összesített adatait jeleníti meg. Emellett a törvényszéki elemzés és a diagnosztika részletes nézetére mutató hivatkozásokat is tartalmaz. Alapértelmezés szerint az adatok az elmúlt hét napban jelennek meg. A dátum- és időtartományt a dátum-idő kijelölés vezérlővel módosíthatja az alábbi képen látható módon:

Képernyőkép az időkijelölési vezérlőről.

A megoldás irányítópultján a következő szakaszok láthatók:

DNS-biztonság: A kártékony tartományokkal kommunikálni próbáló DNS-ügyfeleket jelenti. A Microsoft fenyegetésfelderítési hírcsatornáinak használatával a DNS Analytics képes észlelni azokat az ügyfél IP-címeket, amelyek rosszindulatú tartományokhoz próbálnak hozzáférni. A kártevő-fertőzött eszközök sok esetben a kártevő tartomány "parancs- és vezérlési" központjába "tárcsáznak" a kártevő tartománynév feloldásával.

Képernyőkép a DNS-biztonság szakaszról.

Amikor kiválaszt egy ügyfél IP-címét a listában, megnyílik a Naplókeresés, és megjeleníti az adott lekérdezés keresési adatait. A következő példában a DNS Analytics azt észlelte, hogy a kommunikáció egy IRCbottal történt:

Képernyőkép az ircbotot ábrázoló naplókeresési eredményekről.

Az információk segítségével azonosíthatja az alábbiakat:

  • A kommunikációt kezdeményező ügyfél IP-címe.
  • A kártékony IP-címre feloldott tartománynév.
  • A tartománynév által feloldott IP-címek.
  • Rosszindulatú IP-cím.
  • A probléma súlyossága.
  • A rosszindulatú IP-cím letiltásának oka.
  • Észlelési idő.

Lekérdezett tartományok: A környezetben lévő DNS-ügyfelek által lekérdezett leggyakoribb tartományneveket adja meg. Megtekintheti a lekérdezett tartománynevek listáját. A naplókeresésben egy adott tartománynév keresési kérésének részleteit is részletezheti.

Képernyőkép a Lekérdezett tartományok szakaszról.

DNS-ügyfelek: A kiválasztott időszakban a lekérdezések számának küszöbértékét túllépő ügyfeleket jelenti. A Naplókeresésben megtekintheti az összes DNS-ügyfél listáját és az általuk végrehajtott lekérdezések részleteit.

Képernyőkép a DNS-ügyfelek szakaszról.

Dinamikus DNS-regisztrációk: Névregisztrációs hibákat jelent. A címerőforrás-rekordok (A típus és AAAA) összes regisztrációs hibája ki van emelve a regisztrációs kéréseket küldő ügyfél IP-címeivel együtt. Ezután az alábbi lépésekkel megkeresheti a regisztrációs hiba kiváltó okát:

  1. Keresse meg azt a zónát, amely mérvadó az ügyfél által frissíteni kívánt névhez.

  2. A megoldással ellenőrizheti a zóna leltáradatait.

  3. Ellenőrizze, hogy a zóna dinamikus frissítése engedélyezve van-e.

  4. Ellenőrizze, hogy a zóna biztonságos dinamikus frissítésre van-e konfigurálva.

    Képernyőkép a Dinamikus DNS-regisztrációk szakaszról.

Névregisztrációs kérelmek: A felső csempe a sikeres és sikertelen DNS dinamikus frissítési kérések trendvonalát jeleníti meg. Az alsó csempe felsorolja az első 10 ügyfelet, amelyek sikertelen DNS-frissítési kéréseket küldenek a DNS-kiszolgálóknak, a hibák száma szerint rendezve.

Képernyőkép a Névregisztrációs kérelmek szakaszról.

Minta DDI Analytics-lekérdezések: A nyers elemzési adatokat közvetlenül beolvasó leggyakoribb keresési lekérdezések listáját tartalmazza.

Képernyőkép a mintalekérdezésekről.

Ezeket a lekérdezéseket kiindulási pontként használhatja saját lekérdezések létrehozásához a testreszabott jelentéskészítéshez. A lekérdezések a DNS Analytics Naplókeresés oldalára mutatnak, ahol az eredmények megjelennek:

  • DNS-kiszolgálók listája: Megjeleníti az összes DNS-kiszolgáló listáját a hozzájuk tartozó teljes tartománynévvel, tartománynévvel, erdőnévvel és kiszolgáló IP-címekkel.

  • DNS-zónák listája: Megjeleníti az összes DNS-zóna listáját a társított zónanévvel, a dinamikus frissítési állapottal, a névkiszolgálókkal és a DNSSEC-aláírási állapottal.

  • Nem használt erőforrásrekordok: Megjeleníti az összes fel nem használt/elavult erőforrásrekord listáját. Ez a lista tartalmazza az erőforrásrekord nevét, az erőforrásrekord típusát, a társított DNS-kiszolgálót, a rekordlétrehozás idejét és a zóna nevét. Ezzel a listával azonosíthatja a már nem használt DNS-erőforrásrekordokat. Ezen információk alapján eltávolíthatja ezeket a bejegyzéseket a DNS-kiszolgálókról.

  • DNS-kiszolgálók lekérdezési terhelése: Információkat jelenít meg, hogy rálátást kapjon a DNS-terhelésre a DNS-kiszolgálókon. Ezek az információk segíthetnek megtervezni a kiszolgálók kapacitását. A Metrikák lapra lépve grafikus vizualizációra módosíthatja a nézetet. Ez a nézet segít megérteni, hogyan oszlik el a DNS-terhelés a DNS-kiszolgálók között. Az egyes kiszolgálók DNS-lekérdezési gyakoriságának trendjeit jeleníti meg.

    Képernyőkép a DNS-kiszolgálók naplókeresési eredményeiről.

  • DNS-zónák lekérdezési terhelése: Megjeleníti a dns-zóna-lekérdezés másodpercenkénti statisztikáját a megoldás által felügyelt DNS-kiszolgálókon lévő összes zóna esetében. A Metrikák lapon módosíthatja a nézetet a részletes rekordokról az eredmények grafikus vizualizációjára.

  • Konfigurációs események: Megjeleníti az összes DNS-konfigurációmódosítási eseményt és a kapcsolódó üzeneteket. Ezután szűrheti ezeket az eseményeket az esemény időpontja, az eseményazonosító, a DNS-kiszolgáló vagy a feladatkategória alapján. Az adatok segíthetnek az adott DNS-kiszolgálók adott időpontokban végzett módosításainak naplózásában.

  • DNS-elemzési napló: Megjeleníti az összes elemzési eseményt a megoldás által felügyelt ÖSSZES DNS-kiszolgálón. Ezután szűrheti ezeket az eseményeket az esemény időpontja, az eseményazonosító, a DNS-kiszolgáló, a keresési lekérdezést futtató ügyfél IP-címe és a lekérdezéstípus feladatkategóriája alapján. A DNS-kiszolgáló elemzési eseményei lehetővé teszik a tevékenységkövetést a DNS-kiszolgálón. A rendszer minden alkalommal naplóz egy elemzési eseményt, amikor a kiszolgáló DNS-adatokat küld vagy fogad.

A Naplókeresés lapon létrehozhat egy lekérdezést. A keresési eredményeket aspektusvezérlőkkel szűrheti. Speciális lekérdezéseket is létrehozhat az eredmények átalakításához, szűréséhez és jelentéséhez. Első lépésként használja a következő lekérdezéseket:

  1. A keresőmezőbe írja be a kifejezést DnsEvents a megoldás által felügyelt DNS-kiszolgálók által létrehozott összes DNS-esemény megtekintéséhez. Az eredmények a keresési lekérdezésekkel, dinamikus regisztrációkkal és konfigurációmódosításokkal kapcsolatos összes esemény naplóadatait sorolják fel.

    Képernyőkép a DnsEvents naplókereséséről.

    1. A keresési lekérdezések naplóadatainak megtekintéséhez válassza a Keresési Lekérdezés lehetőséget a bal oldali aspektusvezérlő Altípus szűrőjeként. Megjelenik egy tábla, amely a kiválasztott időszak összes keresési lekérdezési eseményét felsorolja.

    2. A dinamikus regisztrációk naplóadatainak megtekintéséhez válassza a DynamicRegistration lehetőséget a bal oldali aspektusvezérlő Altípus szűrőjeként. Megjelenik egy tábla, amely a kiválasztott időszak összes dinamikus regisztrációs eseményét felsorolja.

    3. A konfigurációmódosítások naplóadatainak megtekintéséhez válassza a KonfigurációMódosításaltípus szűrőként lehetőséget a bal oldali aspektusvezérlőben. Megjelenik egy táblázat, amely a kiválasztott időszak összes konfigurációmódosítási eseményét felsorolja.

  2. A keresőmezőbe írja be a kifejezést DnsInventory a megoldás által felügyelt DNS-kiszolgálók DNS-leltározási adatainak megtekintéséhez. Az eredmények a DNS-kiszolgálók, DNS-zónák és erőforrásrekordok naplóadatait sorolják fel.

    Képernyőkép a DnsInventory naplókereséséről.

Hibaelhárítás

Gyakori hibaelhárítási lépések:

  • Hiányzó DNS-keresési adatok: A probléma elhárításához próbálja meg egyszer alaphelyzetbe állítani a konfigurációt, vagy betölteni a konfigurációs oldalt a portálon. Az alaphelyzetbe állításhoz módosítsa a beállítást egy másik értékre, módosítsa vissza az eredeti értékre, és mentse a konfigurációt.

Javaslatok

Ha visszajelzést szeretne küldeni, tekintse meg a Log Analytics UserVoice oldalát , és tegyen közzé ötleteket a DNS Analytics funkcióinak működéséhez.

Következő lépések

A részletes DNS-naplórekordok megtekintéséhez tekintse át a lekérdezési naplókat .