Informazioni di riferimento sul connettore DNS su AMA - Campi disponibili e schema di normalizzazione
Microsoft Sentinel consente di trasmettere e filtrare gli eventi dai log del server DNS (Domain Name System) di Windows alla ASimDnsActivityLog tabella dello schema normalizzata. Questo articolo descrive i campi usati per filtrare i dati e lo schema di normalizzazione per i campi del server DNS di Windows.
L'agente di Monitoraggio di Azure (AMA) e la relativa estensione DNS vengono installati in Windows Server per caricare i dati dai log analitici DNS all'area di lavoro di Microsoft Sentinel. È possibile trasmettere e filtrare i dati usando gli eventi DNS di Windows tramite il connettore AMA.
Campi disponibili per il filtro
Questa tabella mostra i campi disponibili. I nomi dei campi vengono normalizzati usando lo schema DNS.
| Nome del campo | Valori | Descrizione |
|---|---|---|
| EventOriginalType | Numeri compresi tra 256 e 280 | EventID DNS di Windows, che indica il tipo dell'evento del protocollo DNS. |
| EventResultDetails | • NOERROR • EXR • SERVFAIL • NXDOMAIN • NOTIMP •RIFIUTATO • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
Stringa di risultati DNS dell'operazione definita dall'autorità IANA (Internet Assigned Numbers Authority). |
| DvcIpAdrr | Indirizzi IP | Indirizzo IP del server che segnala l'evento. Questo campo include anche informazioni geografiche e IP dannosi. |
| DnsQuery | Nomi di dominio (FQDN) | Stringa che rappresenta il nome di dominio da risolvere. • Può accettare più valori in un elenco delimitato da virgole e caratteri jolly. Ad esempio: *.microsoft.com,google.com,facebook.com• Esaminare queste considerazioni per l'uso di caratteri jolly. |
| DnsQueryTypeName | •Un •NS •MD •MF •CNAME •SOA •MB •MG •SIGNOR •NULL •WKS •PTR • HINFO • MINFO •MX • TXT •RP • AFSDB • X25 •ISDN •RT • NSAP • NSAP-PTR • SIG •CHIAVE •PX •GPO • AAAA •LOC •NXT •EID • NIMLOC •SRV |
Attributo DNS richiesto. Nome del tipo di record di risorse DNS definito da IANA. |
Schema DNS normalizzato ASIM
Questa tabella descrive e converte i campi del server DNS Di Windows nei nomi dei campi normalizzati come vengono visualizzati nello schema di normalizzazione DNS.
| Nome del campo DNS di Windows | Nome campo normalizzato | Tipo | Descrizione |
|---|---|---|---|
| EventID | EventOriginalType | string | Tipo di evento originale o ID. |
| RCODE | EventResult | string | Risultato dell'evento (esito positivo, parziale, negativo, NA). |
| RCODE analizzato | EventResultDetails | string | Codice di risposta DNS definito da IANA. |
| InterfaceIP | DvcIpAdrr | string | Indirizzo IP del dispositivo o dell'interfaccia di segnalazione eventi. |
| AA | DnsFlagsAuthoritative | Integer | Indica se la risposta dal server è autorevole. |
| AD | DnsFlagsAuthenticated | Integer | Indica che il server ha verificato tutti i dati nella risposta e l'autorità della risposta, in base ai criteri del server. |
| RQNAME | DnsQuery | string | Il dominio deve essere risolto. |
| QTYPE | DnsQueryType | Integer | Tipo di record di risorse DNS definito da IANA. |
| Porta | SrcPortNumber | Integer | Porta di origine che invia la query. |
| Source (Sorgente) | SrcIpAddr | Indirizzo IP | Indirizzo IP del client che invia la richiesta DNS. Per una richiesta DNS ricorsiva, questo valore è in genere l'INDIRIZZO IP del dispositivo di report, nella maggior parte dei casi 127.0.0.1. |
| ElapsedTime | DnsNetworkDuration | Integer | Tempo necessario per completare la richiesta DNS. |
| GUID | DnsSessionId | string | Identificatore di sessione DNS segnalato dal dispositivo di report. |
Passaggi successivi
In questo articolo sono stati illustrati i campi usati per filtrare i dati di log DNS usando gli eventi DNS di Windows tramite il connettore AMA. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Introduzione al rilevamento delle minacce con Microsoft Sentinel.
- Usare le cartelle di lavoro per monitorare i dati.