Raccogliere informazioni dettagliate sull'infrastruttura DNS con la soluzione di anteprima di Analisi DNS

  • Articolo

Simbolo di Analisi DNS.

Questo articolo descrive come configurare e usare la soluzione Analisi DNS di Azure in Monitoraggio di Azure per raccogliere informazioni dettagliate in DNS relative a sicurezza, prestazioni e operazioni.

DNS Analytics consente di:

  • Identificare i client che tentano di risolvere nomi di dominio dannosi.
  • Identificare i record di risorse non aggiornati.
  • Identificare i nomi di dominio sottoposti frequentemente a query e i client DNS loquaci.
  • Visualizzare il carico di richieste nei server DNS.
  • Visualizzare gli errori di registrazione di DNS dinamici.

La soluzione raccoglie, analizza e mette in relazione i log di controllo e analisi DNS di Windows e altri dati correlati dei server DNS.

Importante

L'agente di Log Analytics verrà ritirato il 31 agosto 2024. Se si usa l'agente Log Analytics nella distribuzione di Microsoft Sentinel, è consigliabile iniziare a pianificare la migrazione all'agente di Monitoraggio di Azure. Per altre informazioni, vedere Migrazione dell'agente di Monitoraggio di Azure per Microsoft Sentinel.

Origini connesse

La tabella seguente descrive le origini connesse che sono supportate da questa soluzione:

Origine connessa Supporto Description
Agenti di Windows La soluzione raccoglie le informazioni DNS dagli agenti Windows.
Agenti Linux No La soluzione non raccoglie informazioni DNS dagli agenti Linux diretti.
Gruppo di gestione di System Center Operations Manager La soluzione raccoglie le informazioni DNS dagli agenti di un gruppo di gestione di Operations Manager connesso. Non è necessaria una connessione diretta dall'agente di Operations Manager a Monitoraggio di Azure. I dati vengono inoltrati dal gruppo di gestione all'area di lavoro Log Analytics.
account di archiviazione di Azure No Archiviazione di Azure non viene usata dalla soluzione.

Informazioni dettagliate sulla raccolta di dati

La soluzione raccoglie i dati relativi all'inventario e agli eventi DNS dai server DNS in cui è installato un agente Log Analytics. Questi dati vengono quindi caricati in Monitoraggio di Azure e visualizzati nel dashboard della soluzione. I dati relativi all'inventario, come il numero di server, zone e record di risorse DNS, vengono raccolti eseguendo i cmdlet di PowerShell per DNS. I dati vengono aggiornati ogni due giorni. I dati relativi agli eventi vengono raccolti quasi in tempo reale dai log di analisi e di controllo offerti dalle funzionalità avanzate di registrazione e diagnostica DNS di Windows Server 2012 R2.

Configurazione

Per configurare la soluzione, usare le informazioni seguenti:

La soluzione avvia la raccolta dati senza che siano necessarie operazioni di configurazione aggiuntive. È tuttavia possibile usare la configurazione seguente per personalizzare la raccolta.

Configurare la soluzione

Nell'area di lavoro Log Analytics nella portale di Azure selezionare Riepilogo dell'area di lavoro (deprecato). Selezionare quindi il riquadro di Analisi DNS . Nel dashboard della soluzione selezionare Configurazione per aprire la pagina Configurazione analisi DNS . È possibile apportare due tipi di modifiche di configurazione.

  • Consenti nomi di dominio elencati: la soluzione non elabora tutte le query di ricerca. Gestisce un elenco di suffisso dei nomi di dominio. Le query di ricerca che risolvono i nomi di dominio che corrispondono ai suffissi del nome di dominio in questo elenco allowlist non vengono elaborati dalla soluzione. L'elaborazione dei nomi di dominio elencati consente di ottimizzare i dati inviati a Monitoraggio di Azure. L'elenco allowlist predefinito include nomi di dominio pubblici popolari, ad esempio www.google.com e www.facebook.com. L'intero elenco predefinito può essere visualizzato tramite lo scorrimento.

    È possibile modificare l'elenco per aggiungere qualsiasi suffisso di nome di dominio per cui non si vogliono visualizzare informazioni dettagliate relative alla ricerca. È anche possibile rimuovere qualsiasi suffisso di nome di dominio per cui non si vogliono visualizzare informazioni dettagliate relative alla ricerca.

  • Soglia client talkative: i client DNS che superano la soglia per il numero di richieste di ricerca vengono evidenziati nel riquadro Client DNS . La soglia predefinita è 1000. È possibile modificare la soglia.

    Screenshot che mostra i nomi di dominio Consentiti elencati.

Management Pack

Se si usa Microsoft Monitoring Agent per connettersi all'area di lavoro Log Analytics, viene installato il Management Pack seguente:

  • Microsoft DNS Data Collector Intelligence Pack (Microsft.IntelligencePacks.Dns)

Se il gruppo di gestione di Operations Manager è connesso all'area di lavoro Log Analytics, quando si aggiunge questa soluzione in Operations Manager vengono installati i Management Pack seguenti. Non è necessaria alcuna configurazione o manutenzione di questi Management Pack:

  • Microsoft DNS Data Collector Intelligence Pack (Microsft.IntelligencePacks.Dns)
  • Microsoft System Center Advisor DNS Analytics Configuration (Microsoft.IntelligencePack.Dns.Configuration)

Per maggiori informazioni sulla modalità di aggiornamento dei Management Pack, vedere Connettere Operations Manager a Log Analytics.

Usare la soluzione DNS Analytics

I dati raccolti da questa soluzione di monitoraggio sono disponibili nella pagina Riepilogo area di lavoro (deprecata) nella portale di Azure. Aprire questa pagina dalle aree di lavoro Log Analytics per l'area di lavoro con la soluzione e quindi selezionare Riepilogo area di lavoro (deprecato) nella sezione Classica del menu. Ogni soluzione è rappresentata da un riquadro. Selezionare un riquadro per i dati più dettagliati raccolti da tale soluzione.

Il riquadro DNS include il numero di server DNS in cui vengono raccolti i dati. e il numero di richieste effettuato dai client per risolvere domini dannosi nelle ultime 24 ore. Quando si seleziona un riquadro, viene aperto il dashboard della soluzione.

Screenshot che mostra il riquadro di Analisi DNS.

Dashboard della soluzione

Il dashboard della soluzione visualizza informazioni di riepilogo relative alle varie funzionalità e include anche collegamenti alla visualizzazione dettagliata per l'analisi e la diagnosi per scopi legali. Per impostazione predefinita, vengono visualizzati i dati per gli ultimi sette giorni. È possibile modificare l'intervallo di tempo con il controllo di selezione di data e ora, come nell'immagine seguente:

Screenshot che mostra il controllo selezione dell'ora.

Il dashboard della soluzione mostra le sezioni seguenti:

Sicurezza DNS: segnala i client DNS che tentano di comunicare con domini dannosi. Usando i feed di intelligence per le minacce di Microsoft, DNS Analytics può rilevare gli indirizzi IP client che tentano di accedere ai domini dannosi. In molti casi, i dispositivi infetti da malware "stabiliscono la connessione" con il "centro di comando e controllo" del dominio dannoso risolvendo il nome di dominio del malware.

Screenshot che mostra la sezione Sicurezza DNS.

Quando si seleziona un INDIRIZZO IP client nell'elenco, Ricerca log apre e visualizza i dettagli di ricerca della rispettiva query. Nell'esempio seguente, DNS Analytics ha rilevato che la comunicazione è stata eseguita con un IRCbot:

Screenshot che mostra i risultati della ricerca log che mostra ircbot.

Le informazioni consentono di identificare quanto segue:

  • IP client che ha avviato la comunicazione.
  • Nome di dominio che viene risolto nell'indirizzo IP dannoso.
  • Indirizzi IP in cui viene risolto il nome di dominio.
  • Indirizzo IP dannoso.
  • Gravità del problema.
  • Motivo dell'inserimento nell'elenco di indirizzi IP dannosi.
  • Data e ora di rilevamento.

Domini sottoposti a query: fornisce i nomi di dominio più frequenti sottoposti a query dai client DNS nell'ambiente in uso. È possibile visualizzare l'elenco di tutti i nomi di dominio sottoposti a query È anche possibile eseguire il drill-down nei dettagli della richiesta di ricerca di un nome di dominio specifico in Ricerca log.

Screenshot che mostra la sezione Domini sottoposti a query.

Client DNS: segnala ai client che violano la soglia per il numero di query nel periodo di tempo scelto. È possibile visualizzare l'elenco di tutti i client DNS e i dettagli delle query effettuate in Ricerca log.

Screenshot che mostra la sezione Client DNS.

Registrazioni DNS dinamiche: segnala errori di registrazione dei nomi. Vengono evidenziati tutti gli errori di registrazione relativi a record di risorse indirizzo (tipo A e AAAA), con gli indirizzi IP client che hanno effettuato le richieste di registrazione. È quindi possibile usare queste informazioni per trovare la causa radice dell'errore di registrazione seguendo questa procedura:

  1. Trovare la zona autorevole per il nome che il client sta tentando di aggiornare.

  2. Usare la soluzione per controllare le informazioni di inventario di tale zona.

  3. Verificare che per la zona sia abilitato l'aggiornamento dinamico.

  4. Controllare se la zona è configurata o meno per l'aggiornamento dinamico sicuro.

    Screenshot che mostra la sezione Registrazioni DNS dinamiche.

Richieste di registrazione dei nomi: il riquadro superiore mostra una linea di tendenza di richieste di aggiornamento dinamico DNS riuscite e non riuscite. Il riquadro inferiore contiene l'elenco dei primi 10 client che hanno inviato richieste di aggiornamento di DNS non riuscite ai server DNS, ordinato in base al numero di errori.

Screenshot che mostra la sezione Name registration requests (Richieste di registrazione dei nomi).

Query di analisi DDI di esempio: contiene un elenco delle query di ricerca più comuni che recuperano direttamente i dati di analisi non elaborati.

Screenshot che mostra le query di esempio.

È possibile usare queste query come punto di partenza per creare le proprie query per l'elaborazione di report personalizzati. Le query si collegano alla pagina Ricerca log di DNS Analytics in cui vengono visualizzati i risultati:

  • Elenco di server DNS: mostra un elenco di tutti i server DNS con il nome di dominio completo associato, il nome di dominio, il nome della foresta e gli indirizzi IP del server.

  • Elenco di zone DNS: mostra un elenco di tutte le zone DNS con il nome della zona associato, lo stato di aggiornamento dinamico, i server dei nomi e lo stato di firma DNSSEC.

  • Record di risorse inutilizzati: mostra un elenco di tutti i record di risorse inutilizzati/non aggiornati. L'elenco contiene il nome e il tipo dei record di risorse, il server DNS associato, la data e l'ora di generazione dei record e il nome della zona. È possibile usare questo elenco per identificare i record di risorse DNS non più in uso e quindi intervenire sulla base di tali informazioni per rimuovere tali voci dai server DNS.

  • Carico query server DNS: mostra informazioni che consentono di ottenere una prospettiva del carico DNS nei server DNS. Queste informazioni consentono di pianificare la capacità per i server. È possibile passare alla scheda Metrica per ottenere una visualizzazione grafica, che consente di comprendere la distribuzione del carico DNS nei server DNS e mostra le tendenze nella frequenza di query DNS per ogni server.

    Screenshot che mostra i risultati della ricerca log di query dei server DNS.

  • Carico query zone DNS: mostra le statistiche dns zone-query-al secondo di tutte le zone nei server DNS gestiti dalla soluzione. Selezionare la scheda Metriche per modificare la visualizzazione da record dettagliati a una visualizzazione grafica dei risultati.

  • Eventi di configurazione: mostra tutti gli eventi di modifica della configurazione DNS e i messaggi associati. È quindi possibile filtrare questi eventi in base a data e ora dell'evento, ID evento, server DNS o categoria di attività. I dati consentono di controllare le modifiche apportate a specifici server DNS in date e ore specifiche.

  • Log analitico DNS: mostra tutti gli eventi analitici in tutti i server DNS gestiti dalla soluzione. È quindi possibile filtrare questi eventi in base a data e ora dell'evento, ID evento, server DNS, IP client che ha eseguito la query di ricerca e categoria di attività del tipo di query. Gli eventi di analisi dei server DNS consentono il rilevamento delle attività nel server DNS. Viene registrato un evento di analisi ogni volta che il server invia o riceve informazioni DNS.

Nella pagina Ricerca log è possibile creare una query. È possibile filtrare i risultati usando i controlli facet. È anche possibile creare query avanzate per trasformare, filtrare e creare report sui risultati. Per iniziare, usare le query seguenti:

  1. Nella casella di query di ricerca immettere DnsEvents per visualizzare tutti gli eventi DNS generati dai server DNS gestiti dalla soluzione. Nei risultati sono elencati i dati di log per tutti gli eventi relativi a query di ricerca, registrazioni dinamiche e modifiche di configurazione.

    Screenshot che mostra la ricerca log DnsEvents.

    1. Per visualizzare i dati di log per query di ricerca, selezionare LookUpQuery come filtro sottotipo nel controllo facet sul lato sinistro. Viene visualizzata una tabella che elenca tutti gli eventi di query di ricerca per il periodo di tempo selezionato.

    2. Per visualizzare i dati di log per registrazioni dinamiche, selezionare DynamicRegistration come filtro sottotipo nel controllo facet sul lato sinistro. Viene visualizzata una tabella che elenca tutti gli eventi di registrazione dinamica per il periodo di tempo selezionato.

    3. Per visualizzare i dati di log per modifiche di configurazione, selezionare ConfigurationChange come filtro sottotipo nel controllo facet sul lato sinistro. Viene visualizzata una tabella che elenca tutti gli eventi di modifica della configurazione per il periodo di tempo selezionato.

  2. Nella casella di query di ricerca immettere DnsInventory per visualizzare tutti i dati relativi all'inventario DNS per i server DNS gestiti dalla soluzione. Nei risultati vengono elencati i dati di log relativi ai server DNS, alle zone DNS e ai record di risorse.

    Screenshot che mostra la ricerca log DnsInventory.

Risoluzione dei problemi

Passaggi comuni per la risoluzione dei problemi:

  • Dati di ricerca DNS mancanti: per risolvere questo problema, provare a reimpostare la configurazione o caricare la pagina di configurazione una sola volta nel portale. Per la reimpostazione, modificare un'impostazione su un altro valore, ripristinarne il valore originale e salvare la configurazione.

Suggerimenti

Per fornire commenti e suggerimenti, vedere la pagina UserVoice di Log Analytics per pubblicare idee sulle funzionalità di Analisi DNS su cui lavorare.

Passaggi successivi

Vedere Log di query per visualizzare record di log DNS dettagliati.