Adatok streamelése és szűrése Windows DNS-kiszolgálókról az AMA-összekötővel
Ez a cikk azt ismerteti, hogyan használhatja az Azure Monitor Agent (AMA) összekötőt a Windows-tartománynévrendszer (DNS) kiszolgálónaplóiból származó események streamelésére és szűrésére. Ezután mélyrehatóan elemezheti az adatokat, hogy megvédje a DNS-kiszolgálókat a fenyegetésektől és támadásoktól.
Az AMA és DNS-bővítménye telepítve van a Windows Serveren, hogy adatokat töltsön fel a DNS elemzési naplóiból a Microsoft Sentinel-munkaterületre. Tudnivalók az összekötőről.
Áttekintés
Miért fontos a DNS-tevékenység monitorozása?
A DNS egy széles körben használt protokoll, amely leképezi a gazdagépneveket és a számítógép által olvasható IP-címeket. Mivel a DNS-t nem a biztonság szem előtt tartásával tervezték, a szolgáltatást kifejezetten rosszindulatú tevékenységek célozták meg, így a naplózás a biztonsági monitorozás nélkülözhetetlen része.
A DNS-kiszolgálókat célzó ismert fenyegetések közé tartoznak a következők:
- DNS-kiszolgálókat célzó DDoS-támadások
- DNS DDoS-erősítő
- DNS-eltérítés
- DNS-bújtatás
- DNS-mérgezés
- DNS-hamisítás
- NXDOMAIN-támadás
- Fantomtartomány-támadások
Windows DNS-események az AMA-összekötőn keresztül
Bár néhány mechanizmust bevezettünk a protokoll általános biztonságának javítására, a DNS-kiszolgálók továbbra is magas célokat szolgáló szolgáltatásnak számítanak. A szervezetek figyelhetik a DNS-naplókat, hogy jobban megértsék a hálózati tevékenységeket, és azonosíthassák a hálózaton belüli erőforrásokat célzó gyanús viselkedést vagy támadásokat. A Windows DNS-események az AMA-összekötőn keresztül biztosítják az ilyen típusú láthatóságot.
Az összekötővel a következőt teheti:
- Azonosítsa azokat az ügyfeleket, amelyek megpróbálják feloldani a rosszindulatú tartományneveket.
- A kérelembetöltések megtekintése és monitorozása a DNS-kiszolgálókon.
- Dinamikus DNS-regisztrációs hibák megtekintése.
- A gyakran lekérdezett tartománynevek és beszédes ügyfelek azonosítása.
- Elavult erőforrásrekordok azonosítása.
- Az összes DNS-hez kapcsolódó napló megtekintése egy helyen.
A gyűjtemény működése a Windows DNS-eseményekkel az AMA-összekötőn keresztül
Az AMA-összekötő a telepített DNS-bővítmény használatával gyűjti és elemzi a naplókat.
Feljegyzés
A Windows DNS-események az AMA-összekötőn keresztül jelenleg csak az elemzési eseménytevékenységeket támogatják.
Az összekötő tovább elemzi az eseményeket a Microsoft Sentinel-munkaterületre.
Mostantól speciális szűrőkkel szűrheti ki az adott eseményeket vagy információkat. Speciális szűrőkkel csak azokat az értékes adatokat töltheti fel, amelyeket figyelni szeretne, ezzel csökkentve a költségeket és a sávszélesség-használatot.
Normalizálás az ASIM használatával
Ez az összekötő teljesen normalizálva van az Advanced Security Information Model (ASIM) elemzőkkel. Az összekötő az elemzési naplókból származó eseményeket a normalizált táblába ASimDnsActivityLogs
streameli. Ez a táblázat fordítóként működik, egyetlen egységes nyelvet használva, amely az összes DNS-összekötőben meg van osztva.
Az összes DNS-adatot egyesítő forráselemzéshez, amely biztosítja, hogy az elemzés az összes konfigurált forrásban fusson, használja az ASIM DNS-egyesítési elemzőt_Im_Dns
.
Az ASIM-egyesítési elemző kiegészíti a natív ASimDnsActivityLogs
táblát. Bár a natív tábla ASIM-kompatibilis, az elemzőre olyan képességek hozzáadásához van szükség, mint például az aliasok, amelyek csak lekérdezési időpontban érhetők el, és más DNS-adatforrásokkal kombinálhatók ASimDnsActivityLogs
.
Az ASIM DNS-séma az elemzési naplókban a Windows DNS-kiszolgálón naplózott DNS-protokolltevékenységet jelöli. A sémát a mezőket és értékeket meghatározó hivatalos paraméterlisták és RFC-k szabályozzák.
Tekintse meg a Normalizált mezőnevekre lefordított Windows DNS-kiszolgáló mezők listáját.
A Windows DNS beállítása AMA-összekötőn keresztül
Az összekötő kétféleképpen állítható be:
- Microsoft Sentinel portál. Ezzel a beállítással munkaterületenként egyetlen adatgyűjtési szabályt (DCR) hozhat létre, kezelhet és törölhet. Még ha több DCR-t is definiál az API-n keresztül, a portál csak egyetlen DCR-t jelenít meg.
- API. Ezzel a beállítással több DCR-t is létrehozhat, kezelhet és törölhet.
Előfeltételek
Mielőtt hozzákezdene, ellenőrizze, hogy rendelkezik-e az alábbiakval:
- A Microsoft Sentinel-megoldás engedélyezve van.
- Egy definiált Microsoft Sentinel-munkaterület.
- Windows Server 2012 R2 naplózási gyorsjavítással és újabb verzióval.
- Windows DNS-kiszolgáló.
- Ha nem Azure-beli virtuális gépről szeretne eseményeket gyűjteni, győződjön meg arról, hogy az Azure Arc telepítve van. Az Azure Monitor Agent-alapú összekötő engedélyezése előtt telepítse és engedélyezze az Azure Arcot. Ez a követelmény a következőket tartalmazza:
- Fizikai gépekre telepített Windows-kiszolgálók
- Helyszíni virtuális gépekre telepített Windows-kiszolgálók
- Nem Azure-felhők virtuális gépeire telepített Windows-kiszolgálók
Az összekötő beállítása a Microsoft Sentinel portálon (UI)
Nyissa meg az összekötő lapot, és hozza létre a DCR-t
- Nyissa meg az Azure Portalt , és lépjen a Microsoft Sentinel szolgáltatáshoz.
- Az Adatösszekötők panel keresősávjában írja be a DNS nevet.
- Válassza ki a Windows DNS-eseményeket az AMA-összekötőn keresztül.
- Az összekötő leírása alatt válassza az Összekötő megnyitása lapot.
- A Konfiguráció területen válassza az Adatgyűjtési szabály létrehozása lehetőséget. Munkaterületenként egyetlen DCR-t hozhat létre. Ha több DCR-t kell létrehoznia, használja az API-t.
A DCR neve, előfizetése és erőforráscsoportja automatikusan a munkaterület neve, az aktuális előfizetés és az összekötő által kiválasztott erőforráscsoport alapján van beállítva.
Erőforrások definiálása (virtuális gépek)
Válassza az Erőforrások lapot, és válassza az Erőforrás(ok) hozzáadása lehetőséget.
Válassza ki azokat a virtuális gépeket, amelyekre telepíteni szeretné az összekötőt a naplók gyűjtéséhez.
Tekintse át a módosításokat, és válassza az Alkalmaz mentése lehetőséget>.
Nem kívánt események kiszűrése
Szűrők használata esetén kizárja a szűrő által megadott eseményt. Más szóval a Microsoft Sentinel nem gyűjt adatokat a megadott eseményhez. Bár ez a lépés nem szükséges, segíthet csökkenteni a költségeket, és egyszerűsíteni az események osztályozását.
Szűrők létrehozása:
Az összekötő oldalán, a Konfiguráció területen válassza az Adatgyűjtési szűrők hozzáadása lehetőséget.
Írja be a szűrő nevét, és válassza ki a szűrő típusát. A szűrőtípus egy olyan paraméter, amely csökkenti az összegyűjtött események számát. A paraméterek normalizálása a DNS normalizált sémája szerint van. Tekintse meg a szűréshez elérhető mezők listáját.
Válassza ki azokat az értékeket, amelyekre szűrni szeretné a mezőt a legördülő menüben felsorolt értékek közül.
Összetett szűrők hozzáadásához válassza a Kizárás mező hozzáadása lehetőséget a szűréshez és a megfelelő mező hozzáadásához. Példákat az alábbi Speciális szűrők használata szakaszban talál.
További új szűrők hozzáadásához válassza az Új kizárási szűrő hozzáadása lehetőséget.
Ha befejezte a szűrők hozzáadását, válassza a Hozzáadás lehetőséget.
A fő összekötő oldalán válassza a Módosítások alkalmazása lehetőséget a szűrők mentéséhez és az összekötőkben való üzembe helyezéséhez. Meglévő szűrők vagy mezők szerkesztéséhez vagy törléséhez jelölje ki a szerkesztési vagy törlési ikonokat a táblázatban a Konfiguráció terület alatt.
Ha a kezdeti üzembe helyezés után szeretne mezőket vagy szűrőket hozzáadni, válassza ismét az Adatgyűjtési szűrők hozzáadása lehetőséget .
Az összekötő beállítása az API-val
A DCR-eket az API használatával hozhatja létre. Ezt a lehetőséget akkor használja, ha több DCR-t kell létrehoznia.
Használja ezt a példát sablonként egy DCR létrehozásához vagy frissítéséhez:
Kérelem URL-címe és fejléce
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview
Kérés törzse
{
"properties": {
"dataSources": {
"windowsEventLogs": [],
"extensions": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"extensionName": "MicrosoftDnsAgent",
"extensionSettings": {
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"260"
]
}
]
}
]
},
"name": "SampleDns"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
"workspaceId": {WorkspaceGuid}",
"name": "WorkspaceDestination"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"destinations": [
" WorkspaceDestination "
]
}
],
},
"location": "eastus2",
"tags": {},
"kind": "Windows",
"id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"type": "Microsoft.Insights/dataCollectionRules",
}
Speciális szűrők használata
A DNS-kiszolgáló eseménynaplói rengeteg eseményt tartalmazhatnak. Speciális szűrés használatával kiszűrheti a szükségtelen eseményeket az adatok feltöltése előtt, így értékes osztályozási időt és költségeket takaríthat meg. A szűrők eltávolítják a szükségtelen adatokat a munkaterületre feltöltött események adatfolyamából.
A szűrők számos mező kombinációján alapulnak.
- Az egyes mezőkhöz több értéket is használhat vesszővel tagolt lista használatával.
- Összetett szűrők létrehozásához használjon különböző mezőket ÉS relációval.
- A különböző szűrők kombinálásához használjon egy VAGY relációt közöttük.
Tekintse át a szűréshez elérhető mezőket.
Helyettesítő karakterek használata
Speciális szűrőkben helyettesítő karaktereket is használhat. A helyettesítő karakterek használatakor tekintse át ezeket a szempontokat:
- Adjon hozzá egy vesszőt minden csillag (
*.
) után. - Ne használjon szóközöket a tartományok listája között.
- A helyettesítő karakterek csak a tartomány altartományaira vonatkoznak, beleértve
www.domain.com
a protokolltól függetlenül is. Ha például speciális szűrőt használ*.domain.com
:- A szűrő a https, FTP és
subdomain.domain.com
így tovább protokolltól függetlenül érvényeswww.domain.com
és érvényes. - A szűrő nem vonatkozik a következőre
domain.com
: . Szűrődomain.com
alkalmazásához közvetlenül, helyettesítő karakter használata nélkül adja meg a tartományt.
- A szűrő a https, FTP és
Speciális szűrési példák
Ne gyűjtsön konkrét eseményazonosítókat
Ez a szűrő arra utasítja az összekötőt, hogy ne gyűjtse össze az EventID 256 vagy EventID 257 vagy EventID 260 azonosítót IPv6-címekkel.
A Microsoft Sentinel portál használata:
Hozzon létre egy szűrőt az EventOriginalType mezővel, az Egyenlőség operátor használatával a 256, 257 és 260 értékekkel.
Hozzon létre egy szűrőt a fent definiált EventOriginalType mezővel, és használja az And operátort, beleértve az AAAA-ra beállított DnsQueryTypeName mezőt is.
Az API használata:
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"256", "257", "260"
]
},
{
"Field": "DnsQueryTypeName",
"FieldValues": [
"AAAA"
]
}
]
},
{
"FilterName": "EventResultDetails",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"230"
]
},
{
"Field": "EventResultDetails",
"FieldValues": [
"BADKEY","NOTZONE"
]
}
]
}
]
Ne gyűjtsön eseményeket adott tartományokkal
Ez a szűrő arra utasítja az összekötőt, hogy ne gyűjtsön eseményeket microsoft.com, google.com, amazon.com vagy események altartományaiból facebook.com vagy center.local webhelyről.
A Microsoft Sentinel portál használata:
Állítsa be a DnsQuery mezőt az Egyenlőség operátorral a *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local listával.
Tekintse át ezeket a szempontokat a helyettesítő karakterek használatakor.
Ha egy mező különböző értékeit szeretné definiálni, használja az OR operátort.
Az API használata:
Tekintse át ezeket a szempontokat a helyettesítő karakterek használatakor.
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "DnsQuery",
"FieldValues": [
"*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"
]
},
}
}
]
Következő lépések
Ebből a cikkből megtudhatja, hogyan állíthatja be a Windows DNS-eseményeket az AMA-összekötőn keresztül az adatok feltöltéséhez és a Windows DNS-naplók szűréséhez. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.
- Munkafüzetek használatával monitorozza az adatokat.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: