Referensi konektor DNS melalui AMA - bidang dan skema normalisasi yang tersedia
Microsoft Sentinel memungkinkan Anda untuk mengalirkan dan memfilter peristiwa dari log server Sistem Nama Domain (DNS) Windows Anda ke ASimDnsActivityLog tabel skema yang dinormalisasi. Artikel ini menjelaskan bidang yang digunakan untuk memfilter data, dan skema normalisasi untuk bidang server DNS Windows.
Azure Monitor Agent (AMA) dan ekstensi DNS-nya diinstal di Server Windows Anda untuk mengunggah data dari log analitik DNS Anda ke ruang kerja Microsoft Sentinel Anda. Anda mengalirkan dan memfilter data menggunakan Peristiwa DNS Windows melalui konektor AMA.
Bidang yang tersedia untuk pemfilteran
Tabel ini menunjukkan bidang yang tersedia. Nama bidang dinormalisasi menggunakan skema DNS.
| Nama bidang | Nilai | Deskripsi |
|---|---|---|
| EventOriginalType | Angka antara 256 dan 280 | ID peristiwa DNS Windows, yang menunjukkan jenis peristiwa protokol DNS. |
| EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP • REFUSED • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
String hasil DNS operasi seperti yang didefinisikan oleh Internet Assigned Numbers Authority (IANA). |
| DvcIpAdrr | Alamat IP | Alamat IP server yang melaporkan peristiwa tersebut. Bidang ini juga mencakup lokasi geografis dan informasi IP berbahaya. |
| DnsQuery | Nama domain (FQDN) | String yang mewakili nama domain yang akan diselesaikan. • Dapat menerima beberapa nilai dalam daftar yang dipisahkan koma, dan wildcard. Contohnya: *.microsoft.com,google.com,facebook.com• Meninjau pertimbangan ini untuk menggunakan wildcard. |
| DnsQueryTypeName | • A • NS • MD • MF • CNAME • SOA • MB • MG • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • NSAP • NSAP-PTR • SIG • KUNCI • PX • GPOS • AAAA • LOC • NXT • EID • NIMLOC • SRV |
Atribut DNS yang diminta. Nama jenis rekaman sumber daya DNS seperti yang didefinisikan oleh IANA. |
Skema DNS yang dinormalisasi ASIM
Tabel ini menjelaskan dan menerjemahkan bidang server DNS Windows ke dalam nama bidang yang dinormalisasi seperti yang muncul di skema normalisasi DNS.
| Nama bidang DNS Windows | Nama bidang normalisasi | Jenis | Deskripsi |
|---|---|---|---|
| EventID | EventOriginalType | String | Jenis atau ID peristiwa asli. |
| RCODE | EventResult | Untai | Hasil peristiwa (berhasil, parsial, kegagalan, NA). |
| RCODE diurai | EventResultDetails | Untai (karakter) | Kode respons DNS seperti yang didefinisikan oleh IANA. |
| InterfaceIP | DvcIpAdrr | Untai (karakter) | Alamat IP perangkat atau antarmuka pelaporan peristiwa. |
| AA | DnsFlagsAuthoritative | Bilangan bulat | Menunjukkan apakah respons dari server otoritatif. |
| AD | DnsFlagsAuthenticated | Bilangan bulat | Menunjukkan bahwa server memverifikasi semua data dalam jawaban dan otoritas respons, sesuai dengan kebijakan server. |
| RQNAME | DnsQuery | Untai (karakter) | Domain harus diselesaikan. |
| QTYPE | DnsQueryType | Bilangan bulat | Jenis rekaman sumber daya DNS seperti yang ditentukan oleh IANA. |
| Port | SrcPortNumber | Bilangan bulat | Port sumber daya mengirim kueri. |
| Sumber | SrcIpAddr | Alamat IP | Alamat IP klien yang mengirim permintaan DNS. Untuk permintaan DNS rekursif, nilai ini biasanya merupakan IP perangkat pelaporan, dalam banyak kasus, 127.0.0.1. |
| ElapsedTime | DnsNetworkDuration | Bilangan bulat | Waktu yang diperlukan untuk menyelesaikan permintaan DNS. |
| GUID | DnsSessionId | String | Pengidentifikasi sesi DNS seperti yang dilaporkan oleh perangkat pelaporan. |
Langkah berikutnya
Dalam artikel ini, Anda mempelajari tentang bidang yang digunakan untuk memfilter data log DNS menggunakan peristiwa DNS Windows melalui konektor AMA. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:
- Pelajari cara mendapatkan visibilitas ke data Anda dan potensi ancaman.
- Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.
- Gunakan buku kerja untuk memantau data Anda.