英語で読む

次の方法で共有


AMA コネクタ参照経由の DNS - 使用可能なフィールドと正規化スキーマ

Microsoft Sentinel を使用すると、Windows ドメイン ネーム システム (DNS) サーバー ログから正規化されたスキーマ テーブル ASimDnsActivityLog にイベントをストリーミングおよびフィルター処理できます。 この記事では、データのフィルター処理に使用されるフィールドと、Windows DNS サーバー フィールドの正規化スキーマについて説明します。

Azure Monitor エージェント (AMA) とその DNS 拡張機能が Windows Server にインストールされ、DNS 分析ログから Microsoft Sentinel ワークスペースにデータがアップロードされます。 AMA コネクタ経由の Windows DNS イベントを使用して、データをストリーミングおよびフィルター処理します。

フィルター処理に使用できるフィールド

次の表に、使用可能なフィールドを示します。 フィールド名は DNS スキーマを使用して正規化されます。

フィールド名 説明
EventOriginalType 256 から 280 の数値 DNS プロトコル イベントの種類を示す Windows DNS eventID。
EventResultDetails • NOERROR
• FORMERR
• SERVFAIL
• NXDOMAIN
• NOTIMP
• REFUSED
• YXDOMAIN
• YXRRSET
• NXRRSET
• NOTAUTH
• NOTZONE
• DSOTYPENI
• BADVERS
• BADSIG
• BADKEY
• BADTIME
• BADALG
• BADTRUNC
• BADCOOKIE
Internet Assigned Numbers Authority (IANA) によって定義された操作の DNS 結果文字列。
DvcIpAdrr IP アドレス イベントを報告するサーバーの IP アドレス。 このフィールドには、地理的な場所と悪意のある IP 情報も含まれます。
ドメイン名 (FQDN) 解決するドメイン名を表す文字列。
• コンマ区切りリストとワイルドカードで複数の値を受け取ることができます。 次に例を示します。
*.microsoft.com,google.com,facebook.com
ワイルドカードを使用する場合は、次の考慮事項を確認してください。
DnsQueryTypeName • A
• NS
• MD
• MF
• CNAME
• SOA
• MB
• MG
• MR
• NULL
• WKS
• PTR
• HINFO
• MINFO
• MX
• TXT
• RP
• AFSDB
• X25
• ISDN
• RT
• NSAP
• NSAP-PTR
• SIG
• KEY
• PX
• GPOS
• AAAA
• LOC
• NXT
• EID
• NIMLOC
• SRV
要求された DNS 属性。 IANA で定義されている DNS リソース レコードの種類名。

ASIM の正規化された DNS スキーマ

次の表では、Windows DNS サーバーのフィールドを、DNS 正規化スキーマで示される正規化されたフィールド名に変換する方法について説明します。

Windows DNS フィールド名 正規化されたフィールド名 説明
EventID EventOriginalType String 元のイベントの種類または ID。
RCODE EventResult String イベントの結果 (成功、部分的、失敗、NA)。
RCODE parsed EventResultDetails String IANA で定義されている DNS 応答コード。
InterfaceIP DvcIpAdrr String イベント 報告デバイスまたはインターフェイスの IP アドレス。
AA DnsFlagsAuthoritative 整数型 サーバーからの応答に権限があったかどうかを示します。
AD DnsFlagsAuthenticated 整数型 サーバー ポリシーに従って、サーバーが応答内のすべてのデータと応答の権限を検証したことを示します。
RQNAME String ドメインを解決する必要があります。
QTYPE DnsQueryType 整数型 IANA で定義されている DNS リソース レコードの種類。
Port SrcPortNumber Integer クエリを送信するソース ポート。
source SrcIpAddr IP アドレス DNS 要求を送信しているクライアントの IP アドレス。 再帰的な DNS 要求の場合、この値は通常はレポート デバイスの IP であり、ほとんどの場合 127.0.0.1 です。
ElapsedTime DnsNetworkDuration 整数型 DNS 要求の完了にかかった時間。
GUID String レポート デバイスによって報告された DNS セッション識別子。

次の手順

この記事では、AMA コネクタ経由で Windows DNS イベントを使用して DNS ログ データをフィルター処理するために使用するフィールドについて説明しました。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。