Delen via

Inzichten verzamelen over uw DNS-infrastructuur met de PREVIEW-oplossing van DNS Analytics

Het SYMBOOL VOOR DNS Analytics.

In dit artikel wordt beschreven hoe u de Azure DNS Analytics-oplossing in Azure Monitor instelt en gebruikt om inzicht te krijgen in de DNS-infrastructuur voor beveiliging, prestaties en bewerkingen.

DNS Analytics helpt u bij het volgende:

  • Identificeer clients die schadelijke domeinnamen proberen op te lossen.
  • Verouderde resourcerecords identificeren.
  • Identificeer regelmatig opgevraagde domeinnamen en talkatieve DNS-clients.
  • De aanvraagbelasting op DNS-servers weergeven.
  • Dynamische DNS-registratiefouten weergeven.

De oplossing verzamelt, analyseert en correleert Windows DNS-analyse- en auditlogboeken en andere gerelateerde gegevens van uw DNS-servers.

Belangrijk

De Log Analytics-agent wordt op 31 augustus 2024 buiten gebruik gesteld. Als u de Log Analytics-agent in uw Microsoft Sentinel-implementatie gebruikt, raden we u aan om te beginnen met het plannen van uw migratie naar de Azure Monitor-agent. Zie Azure Monitor Agent-migratie voor Microsoft Sentinel voor meer informatie.

Verbonden bronnen

In de volgende tabel worden de verbonden bronnen beschreven die door deze oplossing worden ondersteund:

Verbonden bron Ondersteuning Beschrijving
Windows-agenten Ja De oplossing verzamelt DNS-gegevens van Windows-agents.
Linux-agents Nee. De oplossing verzamelt geen DNS-gegevens van directe Linux-agents.
System Center Operations Manager-beheergroep Ja De oplossing verzamelt DNS-gegevens van agents in een verbonden Operations Manager-beheergroep. Er is geen directe verbinding van de Operations Manager-agent met Azure Monitor vereist. Gegevens worden doorgestuurd van de beheergroep naar de Log Analytics-werkruimte.
Azure Storage-account Nee. Azure Storage wordt niet gebruikt door de oplossing.

Details van gegevensverzameling

De oplossing verzamelt DNS-inventaris- en DNS-gebeurtenisgegevens van de DNS-servers waarop een Log Analytics-agent is geïnstalleerd. Deze gegevens worden vervolgens geüpload naar Azure Monitor en weergegeven in het oplossingsdashboard. Inventarisgerelateerde gegevens, zoals het aantal DNS-servers, zones en resourcerecords, worden verzameld door de DNS PowerShell-cmdlets uit te voeren. De gegevens worden elke twee dagen bijgewerkt. De gebeurtenisgerelateerde gegevens worden bijna realtime verzameld uit de analytische en auditlogboeken die worden geleverd door verbeterde DNS-logboekregistratie en diagnostische gegevens in Windows Server 2012 R2.

Configuratie

Gebruik de volgende informatie om de oplossing te configureren:

De oplossing begint met het verzamelen van gegevens zonder verdere configuratie. U kunt echter de volgende configuratie gebruiken om gegevensverzameling aan te passen.

De oplossing configureren

Selecteer in de Log Analytics-werkruimte in Azure Portal werkruimtesamenvatting (afgeschaft). Selecteer vervolgens de tegel DNS Analytics . Selecteer Configuratie op het oplossingsdashboard om de pagina DNS Analytics-configuratie te openen. Er zijn twee typen configuratiewijzigingen die u kunt aanbrengen:

  • Toegestane domeinnamen: de oplossing verwerkt niet alle opzoekquery's. Het onderhoudt een acceptatielijst met domeinnaamachtervoegsels. De opzoekquery's die worden omgezet in de domeinnamen die overeenkomen met domeinnaamachtervoegsels in deze acceptatielijst, worden niet verwerkt door de oplossing. Het niet verwerken van toegestane domeinnamen helpt bij het optimaliseren van de gegevens die naar Azure Monitor worden verzonden. De standaard acceptatielijst bevat populaire openbare domeinnamen, zoals www.google.com en www.facebook.com. U kunt de volledige standaardlijst weergeven door te schuiven.

    U kunt de lijst wijzigen om een domeinnaamachtervoegsel toe te voegen waarvoor u opzoekinzichten wilt weergeven. U kunt ook elk domeinnaamachtervoegsel verwijderen waarvoor u geen opzoekinzichten wilt weergeven.

  • Drempelwaarde voor spraakzame client: DNS-cliënten die de drempelwaarde voor het aantal opzoekverzoeken overschrijden, worden gemarkeerd in het paneel DNS-cliënten. De standaarddrempelwaarde is 1000. U kunt de drempelwaarde bewerken.

    Schermopname van de toegestane domeinnamen.

Beheerpakketten

Als u de Microsoft Monitoring Agent gebruikt om verbinding te maken met uw Log Analytics-werkruimte, wordt het volgende management pack geïnstalleerd:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)

Als uw Operations Manager-beheergroep is verbonden met uw Log Analytics-werkruimte, worden de volgende management packs geïnstalleerd in Operations Manager wanneer u deze oplossing toevoegt. Er is geen vereiste configuratie of onderhoud van deze management packs vereist:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
  • Microsoft System Center Advisor DNS Analytics-configuratie (Microsoft.IntelligencePack.Dns.Configuration)

Zie Operations Manager verbinden met Log Analyticsvoor meer informatie over hoe oplossingsbeheerpakketten worden bijgewerkt.

De DNS Analytics-oplossing gebruiken

Gegevens die door deze bewakingsoplossing worden verzameld, zijn beschikbaar in de werkruimteoverzicht (afgeschaft) pagina in Azure Portal. Open deze pagina vanuit de Log Analytics-werkruimten voor de werkruimte met uw oplossing en selecteer vervolgens Werkruimteoverzicht (afgeschaft) in het gedeelte Klassiek van het menu. Elke oplossing wordt vertegenwoordigd door een tegel. Selecteer een tegel voor meer gedetailleerde gegevens die door die oplossing worden verzameld.

De DNS-tegel bevat het aantal DNS-servers waar de gegevens worden verzameld. Het omvat ook het aantal aanvragen van clients om schadelijke domeinen in de afgelopen 24 uur op te lossen. Wanneer u een tegel selecteert, wordt het oplossingsdashboard geopend.

Schermopname van de DNS Analytics tegel.

Dashboard voor oplossingen

Het oplossingsdashboard bevat samengevatte informatie voor de verschillende functies van de oplossing. Het bevat ook koppelingen naar de gedetailleerde weergave voor forensische analyse en diagnose. De gegevens worden standaard weergegeven voor de afgelopen zeven dagen. U kunt het datum- en tijdsbereik wijzigen met behulp van het selectiebesturingselement voor datum/tijd, zoals wordt weergegeven in de volgende afbeelding:

Schermopname die de bediening voor tijdselectie toont.

Het oplossingsdashboard bevat de volgende secties:

DNS-beveiliging: rapporteert de DNS-clients die proberen te communiceren met schadelijke domeinen. Met behulp van Feeds voor bedreigingsinformatie van Microsoft kan DNS Analytics client-IP's detecteren die toegang proberen te krijgen tot schadelijke domeinen. In veel gevallen bellen malware geïnfecteerde apparaten naar het 'command and control'-centrum van het schadelijke domein door de naam van het malwaredomein op te lossen.

Schermopname van de sectie DNS-beveiliging.

Wanneer u een client-IP in de lijst selecteert, wordt Zoeken in logboeken geopend en worden de opzoekgegevens van de desbetreffende query weergegeven. In het volgende voorbeeld heeft DNS Analytics gedetecteerd dat de communicatie is uitgevoerd met een IRCbot:

Schermopname van de logzoekresultaten die ircbot tonen.

De informatie helpt u bij het identificeren van:

  • Client-IP waarmee de communicatie is gestart.
  • Domeinnaam die wordt verwezen naar het kwaadaardige IP-adres.
  • IP-adressen waarnaar de domeinnaam wordt omgezet.
  • Schadelijk IP-adres.
  • Ernst van het probleem.
  • Reden voor het blokkeren van het schadelijke IP-adres.
  • Detectietijd.

Domeinen die worden opgevraagd: biedt de meest voorkomende domeinnamen die door de DNS-clients in uw omgeving worden opgevraagd. U kunt de lijst met alle door u opgevraagde domeinnamen weergeven. U kunt ook inzoomen op de details van de opzoekaanvraag van een specifieke domeinnaam in Zoeken in logboeken.

Schermopname van de sectie Domeinen opgevraagd.

DNS-clients: rapporteert de clients die de drempelwaarde overschrijden voor het aantal query's in de gekozen periode. U kunt de lijst met alle DNS-clients en de details van de query's bekijken die door hen zijn gemaakt in Zoeken in logboeken.

Schermopname van de sectie DNS Clients.

Dynamische DNS-registraties: registreert mislukte naamregistraties. Alle registratiefouten voor adresresourcerecords (Type A en AAAA) worden gemarkeerd, samen met de client-IP's die de registratieaanvragen hebben ingediend. U kunt deze informatie vervolgens gebruiken om de hoofdoorzaak van de registratiefout te vinden door de volgende stappen uit te voeren:

  1. Zoek de zone die gezaghebbend is voor de naam die de client probeert bij te werken.

  2. Gebruik de oplossing om de inventarisgegevens van die zone te controleren.

  3. Controleer of de dynamische update voor de zone is ingeschakeld.

  4. Controleer of de zone is geconfigureerd voor beveiligde dynamische updates of niet.

    Schermopname van de sectie Dynamische DNS-registraties.

Aanvragen voor naamregistratie: op de bovenste tegel ziet u een trendlijn van geslaagde en mislukte dynamische DNS-updateaanvragen. Op de onderste tegel staan de tien belangrijkste clients die mislukte DNS-updateaanvragen verzenden naar de DNS-servers, gesorteerd op het aantal fouten.

Schermopname van de sectie Naamregistratieaanvragen.

Voorbeeldquery's voor DDI Analytics: bevat een lijst met de meest voorkomende zoekquery's waarmee onbewerkte analysegegevens rechtstreeks worden opgehaald.

Schermopname van de voorbeeldquery's.

U kunt deze query's gebruiken als uitgangspunt voor het maken van uw eigen query's voor aangepaste rapportage. De query's worden gekoppeld aan de pagina zoeken in DNS Analytics-logboeken waar de resultaten worden weergegeven:

  • Lijst met DNS-servers: toont een lijst met alle DNS-servers met hun bijbehorende FQDN, domeinnaam, forestnaam en server-IP's.

  • Lijst met DNS-zones: toont een lijst met alle DNS-zones met de bijbehorende zonenaam, dynamische updatestatus, naamservers en DNSSEC-ondertekeningsstatus.

  • Ongebruikte resourcerecords: toont een lijst met alle ongebruikte/verouderde resourcerecords. Deze lijst bevat de naam van de resourcerecord, het resourcerecordtype, de bijbehorende DNS-server, de tijd voor het genereren van records en de zonenaam. U kunt deze lijst gebruiken om de DNS-resourcerecords te identificeren die niet meer worden gebruikt. Op basis van deze informatie kunt u deze vermeldingen vervolgens verwijderen van de DNS-servers.

  • Querybelasting van DNS-servers: geeft informatie weer, zodat u een perspectief krijgt van de DNS-belasting op uw DNS-servers. Deze informatie kan u helpen bij het plannen van de capaciteit voor de servers. U kunt naar het tabblad Metrische gegevens gaan om de weergave te wijzigen in een grafische visualisatie. Deze weergave helpt u te begrijpen hoe de DNS-belasting wordt verdeeld over uw DNS-servers. Hier worden trends in dns-queryfrequentie voor elke server weergegeven.

    Schermopname van de zoekresultaten voor querylogboeken voor DNS-servers.

  • Querybelasting voor DNS-zones: toont de statistieken over het aantal zonequeries per seconde van alle zones op de DNS-servers die door de oplossing worden beheerd. Selecteer het tabblad Metrische gegevens om de weergave van gedetailleerde records te wijzigen in een grafische visualisatie van de resultaten.

  • Configuratie-gebeurtenissen: toont alle dns-configuratiewijzigingsevenementen en bijbehorende berichten. U kunt deze gebeurtenissen vervolgens filteren op basis van de tijd van de gebeurtenis, gebeurtenis-id, DNS-server of taakcategorie. De gegevens kunnen u helpen bij het controleren van wijzigingen die zijn aangebracht op specifieke DNS-servers op specifieke tijdstippen.

  • Analytische DNS-logboek: toont alle analysegebeurtenissen op alle DNS-servers die door de oplossing worden beheerd. U kunt deze gebeurtenissen vervolgens filteren op basis van de tijd van de gebeurtenis, gebeurtenis-id, DNS-server, client-IP die de opzoekquery heeft gemaakt en de taakcategorie van het querytype. Analysegebeurtenissen van DE DNS-server maken het bijhouden van activiteiten op de DNS-server mogelijk. Een analysegebeurtenis wordt geregistreerd telkens wanneer de server DNS-gegevens verzendt of ontvangt.

Op de pagina Zoeken in logboeken kunt u een query maken. U kunt uw zoekresultaten filteren met behulp van facetbesturingselementen. U kunt ook geavanceerde query's maken om uw resultaten te transformeren, filteren en rapporteren. Begin met het gebruik van de volgende query's:

  1. Voer in het zoekqueryvak in DnsEvents om alle DNS-gebeurtenissen weer te geven die worden gegenereerd door de DNS-servers die door de oplossing worden beheerd. De resultaten bevatten de logboekgegevens voor alle gebeurtenissen met betrekking tot opzoekquery's, dynamische registraties en configuratiewijzigingen.

    Schermopname van het zoeken in dnsEvents-logboeken.

    1. Als u de logboekgegevens voor opzoekquery's wilt weergeven, selecteert u LookUpQuery als het subtypefilter in het facet-besturingselement aan de linkerkant. Er wordt een tabel weergegeven met alle opzoekquery-gebeurtenissen voor de geselecteerde periode.

    2. Als u de logboekgegevens voor dynamische registraties wilt weergeven, selecteert u DynamicRegistration als het subtypefilter in het facet-besturingselement aan de linkerkant. Er wordt een tabel weergegeven met alle dynamische registratie-gebeurtenissen voor de geselecteerde periode.

    3. Als u de logboekgegevens voor configuratiewijzigingen wilt weergeven, selecteert u ConfigurationChange als het subtypefilter in het facetbesturingselement aan de linkerkant. Er wordt een tabel weergegeven met alle configuratiewijzigingsevenementen voor de geselecteerde periode.

  2. Voer in het zoekqueryvak in DnsInventory om alle DNS-inventarisgegevens weer te geven voor de DNS-servers die worden beheerd door de oplossing. De resultaten bevatten de logboekgegevens voor DNS-servers, DNS-zones en resourcerecords.

    Schermopname van het zoeken in DnsInventory-logboeken.

Probleemoplossingsproces

Algemene stappen voor probleemoplossing:

  • Ontbrekende DNS-zoekgegevens: U kunt dit probleem oplossen door de configuratie opnieuw in te stellen of de configuratiepagina eenmaal in de portal te laden. Voor het opnieuw instellen wijzigt u een instelling in een andere waarde, wijzigt u deze weer in de oorspronkelijke waarde en slaat u de configuratie op.

Suggesties

Als u feedback wilt geven, raadpleegt u de log Analytics UserVoice-pagina om ideeën te posten voor DNS Analytics-functies waaraan u kunt werken.

Volgende stappen

Bekijk query-logboeken om gedetailleerde logboekrecords van DNS weer te geven.