Microsoft Sentinel용 NXLog DNS 로그 커넥터
NXLog DNS 로그 데이터 커넥터는 감사 및 분석 DNS 서버 이벤트를 모두 수집하기 위해 Windows용 이벤트 추적(ETW)을 사용합니다. NXLog im_etw 모듈은 이벤트 추적을 .etl 파일에 캡처할 필요 없이 효율성을 극대화하기 위해 이벤트 추적 데이터를 직접 읽습니다. 이 REST API 커넥터는 DNS 서버 이벤트를 Microsoft Sentinel에 실시간으로 전달할 수 있습니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | NXLog_DNS_Server_CL |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | NXLog |
쿼리 샘플
DNS 서버 상위 5개 호스트 조회
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
DNS 서버 상위 5개 EventOriginalTypes(이벤트 ID)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
DNS 서버 초당 분석 이벤트(EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
공급업체 설치 지침
참고 항목
이 데이터 커넥터는 Microsoft Sentinel 솔루션으로 배포되는 Kusto 함수를 기반으로 하는 파서에 따라 예상대로 작동합니다. **ASimDnsMicrosoftNXLog **는 Microsoft Sentinel에 기본 제공된 DNS 관련 분석 기능을 활용하도록 설계되었습니다.
이 커넥터를 구성하려면 NXLog 사용자 가이드 통합 항목 Microsoft Sentinel의 단계별 지침을 따릅니다.