AMA コネクタ参照経由の DNS - 使用可能なフィールドと正規化スキーマ
Microsoft Sentinel を使用すると、Windows ドメイン ネーム システム (DNS) サーバー ログから正規化されたスキーマ テーブル ASimDnsActivityLog
にイベントをストリーミングおよびフィルター処理できます。 この記事では、データのフィルター処理に使用されるフィールドと、Windows DNS サーバー フィールドの正規化スキーマについて説明します。
Azure Monitor エージェント (AMA) とその DNS 拡張機能が Windows Server にインストールされ、DNS 分析ログから Microsoft Sentinel ワークスペースにデータがアップロードされます。 AMA コネクタ経由の Windows DNS イベントを使用して、データをストリーミングおよびフィルター処理します。
次の表に、使用可能なフィールドを示します。 フィールド名は DNS スキーマを使用して正規化されます。
フィールド名 | 値 | 説明 |
---|---|---|
EventOriginalType | 256 から 280 の数値 | DNS プロトコル イベントの種類を示す Windows DNS eventID。 |
EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP • REFUSED • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
Internet Assigned Numbers Authority (IANA) によって定義された操作の DNS 結果文字列。 |
DvcIpAdrr | IP アドレス | イベントを報告するサーバーの IP アドレス。 このフィールドには、地理的な場所と悪意のある IP 情報も含まれます。 |
ドメイン名 (FQDN) | 解決するドメイン名を表す文字列。 • コンマ区切りリストとワイルドカードで複数の値を受け取ることができます。 次に例を示します。 *.microsoft.com,google.com,facebook.com • ワイルドカードを使用する場合は、次の考慮事項を確認してください。 |
|
DnsQueryTypeName | • A • NS • MD • MF • CNAME • SOA • MB • MG • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • NSAP • NSAP-PTR • SIG • KEY • PX • GPOS • AAAA • LOC • NXT • EID • NIMLOC • SRV |
要求された DNS 属性。 IANA で定義されている DNS リソース レコードの種類名。 |
次の表では、Windows DNS サーバーのフィールドを、DNS 正規化スキーマで示される正規化されたフィールド名に変換する方法について説明します。
Windows DNS フィールド名 | 正規化されたフィールド名 | 型 | 説明 |
---|---|---|---|
EventID | EventOriginalType | String | 元のイベントの種類または ID。 |
RCODE | EventResult | String | イベントの結果 (成功、部分的、失敗、NA)。 |
RCODE parsed | EventResultDetails | String | IANA で定義されている DNS 応答コード。 |
InterfaceIP | DvcIpAdrr | String | イベント 報告デバイスまたはインターフェイスの IP アドレス。 |
AA | DnsFlagsAuthoritative | 整数型 | サーバーからの応答に権限があったかどうかを示します。 |
AD | DnsFlagsAuthenticated | 整数型 | サーバー ポリシーに従って、サーバーが応答内のすべてのデータと応答の権限を検証したことを示します。 |
RQNAME | String | ドメインを解決する必要があります。 | |
QTYPE | DnsQueryType | 整数型 | IANA で定義されている DNS リソース レコードの種類。 |
Port | SrcPortNumber | Integer | クエリを送信するソース ポート。 |
source | SrcIpAddr | IP アドレス | DNS 要求を送信しているクライアントの IP アドレス。 再帰的な DNS 要求の場合、この値は通常はレポート デバイスの IP であり、ほとんどの場合 127.0.0.1 です。 |
ElapsedTime | DnsNetworkDuration | 整数型 | DNS 要求の完了にかかった時間。 |
GUID | String | レポート デバイスによって報告された DNS セッション識別子。 |
この記事では、AMA コネクタ経由で Windows DNS イベントを使用して DNS ログ データをフィルター処理するために使用するフィールドについて説明しました。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法についての説明。
- Microsoft Sentinel を使用した脅威の検出の概要。
- ブックを使用してデータを監視する。