DNS az AMA-összekötőn keresztül – elérhető mezők és normalizálási séma
A Microsoft Sentinel lehetővé teszi események streamelését és szűrését a Windows-tartománynévrendszer (DNS) kiszolgálónaplóiból a ASimDnsActivityLog normalizált sématáblába. Ez a cikk az adatok szűréséhez használt mezőket és a Windows DNS-kiszolgáló mezőinek normalizálási sémáját ismerteti.
Az Azure Monitor-ügynök (AMA) és DNS-bővítménye telepítve van a Windows Serveren, hogy adatokat töltsön fel a DNS-elemzési naplókból a Microsoft Sentinel-munkaterületre. Az adatokat az AMA-összekötőn keresztül streamelheti és szűrheti a Windows DNS-események használatával.
Szűréshez elérhető mezők
Ez a táblázat az elérhető mezőket jeleníti meg. A mezőnevek normalizálása a DNS-séma használatával történik.
| Mező neve | Értékek | Leírás |
|---|---|---|
| EventOriginalType | 256 és 280 közötti számok | A Windows DNS-eseményazonosító, amely a DNS protokollesemény típusát jelzi. |
| EventResultDetails | • NOERROR • KORÁBBI • SERVFAIL • NXDOMAIN • NOTIMP •MEGTAGADTA • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
A művelet DNS-eredménysztringje az Internet Assigned Numbers Authority (IANA) által meghatározott módon. |
| DvcIpAdrr | IP-címek | Az eseményt jelentő kiszolgáló IP-címe. Ez a mező földrajzi helyet és rosszindulatú IP-információkat is tartalmaz. |
| DnsQuery | Tartománynevek (FQDN) | A feloldandó tartománynevet jelölő sztring. • Több értéket is elfogad egy vesszővel tagolt listában és helyettesítő karaktereket. Például: *.microsoft.com,google.com,facebook.com• Tekintse át ezeket a szempontokat a helyettesítő karakterek használatához. |
| DnsQueryTypeName | •A •NS •MD •MF •CNAME •SOA •MB •MG •MR •NULL •WKS •PTR • HINFO • MINFO •MX •TXT •RP • AFSDB • X25 •ISDN •RT • NSAP • NSAP-PTR •SIG •KULCS •PX • GPOS •AAAA •LOC •NXT •EID • NIMLOC •SRV |
A kért DNS-attribútum. Az IANA által meghatározott DNS-erőforrásrekord-típus neve. |
ASIM normalizált DNS-séma
Ez a táblázat ismerteti és lefordítja a Windows DNS-kiszolgáló mezőit a normalizált mezőnevekre a DNS-normalizálási sémában megjelenő módon.
| Windows DNS-mező neve | Normalizált mezőnév | Típus | Description |
|---|---|---|---|
| Eseményazonosító | EventOriginalType | Sztring | Az eredeti eseménytípus vagy -azonosító. |
| RCODE | EventResult | Sztring | Az esemény eredménye (sikeres, részleges, sikertelen, NA). |
| RCODE-elemzett | EventResultDetails | Sztring | Az IANA által meghatározott DNS-válaszkód. |
| InterfaceIP | DvcIpAdrr | Sztring | Az eseményjelentési eszköz vagy -felület IP-címe. |
| AA | DnsFlagsAuthoritative | Egész szám | Azt jelzi, hogy a kiszolgáló válasza mérvadó volt-e. |
| AD | DnsFlagsAuthenticated | Egész szám | Azt jelzi, hogy a kiszolgáló a válaszban szereplő összes adatot és a válasz szolgáltatóját ellenőrizte a kiszolgálószabályzatoknak megfelelően. |
| RQNAME | DnsQuery | Sztring | A tartományt fel kell oldani. |
| QTYPE | DnsQueryType | Egész szám | Az IANA által meghatározott DNS-erőforrásrekord típusa. |
| Port | SrcPortNumber | Egész szám | A lekérdezést küldő forrásport. |
| Forrás | SrcIpAddr | IP-cím | A DNS-kérést küldő ügyfél IP-címe. Rekurzív DNS-kérések esetén ez az érték általában a jelentéskészítő eszköz IP-címe, a legtöbb esetben. 127.0.0.1 |
| Eltelt idő | DnsNetworkDuration | Egész szám | A DNS-kérés befejezéséhez eltelt idő. |
| GUID | DnsSessionId | Sztring | A DNS-munkamenet azonosítója a jelentéskészítő eszköz által jelentett módon. |
Következő lépések
Ebben a cikkben megismerhette a DNS-naplóadatok AMA-összekötőn keresztüli szűréséhez használt mezőket. A Microsoft Sentinelről az alábbi cikkekben talál további információt:
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések Microsoft Sentinellel való észlelésével.
- Munkafüzetek használatával monitorozza az adatokat.