Inzichten verzamelen over uw DNS-infrastructuur met de DNS Analytics Preview-oplossing

  • Artikel
  • 9 minuten om te lezen

DNS Analytics-symbool

In dit artikel wordt beschreven hoe u de Azure DNS Analytics-oplossing in Azure Monitor instelt en gebruikt om inzicht te krijgen in de DNS-infrastructuur op het gebied van beveiliging, prestaties en bewerkingen.

DNS Analytics helpt u bij het volgende:

  • Identificeer clients die schadelijke domeinnamen proberen om te lossen.
  • Verouderde resourcerecords identificeren.
  • Identificeer regelmatig opgevraagde domeinnamen en spraakzaam DNS-clients.
  • Bekijk de aanvraagbelasting op DNS-servers.
  • Dynamische DNS-registratiefouten weergeven.

De oplossing verzamelt, analyseert en correleert windows DNS-analyse- en auditlogboeken en andere gerelateerde gegevens van uw DNS-servers.

Belangrijk

De Log Analytics-agent wordt op 31 augustus 2024 buiten gebruik gesteld. Als u de Log Analytics-agent gebruikt in uw Microsoft Sentinel-implementatie, raden we u aan om te beginnen met het plannen van uw migratie naar de AMA. Zie AMA-migratie voor Microsoft Sentinel voor meer informatie.

Verbonden bronnen

In de volgende tabel worden de verbonden bronnen beschreven die door deze oplossing worden ondersteund:

Verbonden bron Ondersteuning Beschrijving
Windows-agents Ja De oplossing verzamelt DNS-gegevens van Windows-agents.
Linux-agents No De oplossing verzamelt geen DNS-gegevens van directe Linux-agents.
Beheergroep System Center Operations Manager Ja De oplossing verzamelt DNS-gegevens van agents in een verbonden Operations Manager-beheergroep. Er is geen directe verbinding tussen de Operations Manager-agent en Azure Monitor vereist. Gegevens worden vanuit de beheergroep doorgestuurd naar de Log Analytics-werkruimte.
Azure Storage-account No Azure Storage wordt niet gebruikt door de oplossing.

Details van gegevensverzameling

De oplossing verzamelt DNS-inventaris en DNS-gebeurtenisgegevens van de DNS-servers waarop een Log Analytics-agent is geïnstalleerd. Deze gegevens worden vervolgens geüpload naar Azure Monitor en weergegeven in het oplossingsdashboard. Inventarisgerelateerde gegevens, zoals het aantal DNS-servers, -zones en -resourcerecords, worden verzameld door de DNS PowerShell-cmdlets uit te voeren. De gegevens worden elke twee dagen bijgewerkt. De gebeurtenisgerelateerde gegevens worden bijna in realtime verzameld uit de analytische en auditlogboeken die worden geleverd door verbeterde DNS-logboekregistratie en diagnostische gegevens in Windows Server 2012 R2.

Configuratie

Gebruik de volgende informatie om de oplossing te configureren:

De oplossing begint met het verzamelen van gegevens zonder verdere configuratie. U kunt echter de volgende configuratie gebruiken om de gegevensverzameling aan te passen.

De oplossing configureren

Selecteer in de Log Analytics-werkruimte in de Azure Portal Werkruimteoverzicht en klik vervolgens op de tegel DNS Analytics. Klik op het oplossingsdashboard op Configuratie om de pagina DNS Analytics-configuratie te openen. Er zijn twee typen configuratiewijzigingen die u kunt aanbrengen:

  • Toegestane domeinnamen. De oplossing verwerkt niet alle opzoekquery's. Er wordt een acceptatielijst met domeinnaamachtervoegsels bijgehouden. De opzoekquery's die worden omgezet in de domeinnamen die overeenkomen met domeinnaamachtervoegsels in deze acceptatielijst, worden niet verwerkt door de oplossing. Het niet verwerken van toegestane domeinnamen helpt bij het optimaliseren van de gegevens die naar Azure Monitor worden verzonden. De standaard acceptatielijst bevat populaire openbare domeinnamen, zoals www.google.com en www.facebook.com. U kunt de volledige standaardlijst weergeven door te schuiven.

    U kunt de lijst wijzigen om elk domeinnaamachtervoegsel toe te voegen waarvoor u opzoek insights wilt weergeven. U kunt ook elk domeinnaamachtervoegsel verwijderen waarvoor u geen opzoek-inzichten wilt weergeven.

  • Drempelwaarde voor talkative client. DNS-clients die de drempelwaarde voor het aantal opzoekaanvragen overschrijden, worden gemarkeerd in het deelvenster DNS-clients . De standaarddrempelwaarde is 1000. U kunt de drempelwaarde bewerken.

    Toegestane domeinnamen

Management packs

Als u de Microsoft Monitoring Agent gebruikt om verbinding te maken met uw Log Analytics-werkruimte, is het volgende management pack geïnstalleerd:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft. IntelligencePacks.Dns)

Als uw Operations Manager-beheergroep is verbonden met uw Log Analytics-werkruimte, worden de volgende management packs in Operations Manager geïnstalleerd wanneer u deze oplossing toevoegt. Er is geen vereiste configuratie of onderhoud van deze management packs:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft. IntelligencePacks.Dns)
  • Microsoft System Center Advisor DNS Analytics Configuration (Microsoft. IntelligencePack.Dns.Configuration)

Zie Operations Manager koppelen aan Log Analytics voor meer informatie over de manier waarop uw management packs voor oplossingen worden bijgewerkt.

De DNS Analytics-oplossing gebruiken

Gegevens die door deze bewakingsoplossing worden verzameld, zijn beschikbaar op de pagina Werkruimteoverzicht in de Azure Portal. Open deze pagina vanuit de Log Analytics-werkruimten voor de werkruimte met uw oplossing en selecteer vervolgens Werkruimteoverzicht in de sectie Algemeen van het menu. Elke oplossing wordt vertegenwoordigd door een tegel. Klik op een tegel voor meer gedetailleerde gegevens die door die oplossing worden verzameld.

De DNS-tegel bevat het aantal DNS-servers waar de gegevens worden verzameld. Het bevat ook het aantal aanvragen dat door clients is gedaan om schadelijke domeinen om te lossen in de afgelopen 24 uur. Wanneer u op de tegel klikt, wordt het oplossingsdashboard geopend.

DNS Analytics-tegel

Dashboard van de oplossing

Het oplossingsdashboard bevat samengevatte informatie voor de verschillende functies van de oplossing. Het bevat ook koppelingen naar de gedetailleerde weergave voor forensische analyse en diagnose. De gegevens worden standaard weergegeven voor de afgelopen zeven dagen. U kunt het datum- en tijdbereik wijzigen met behulp van het datum-/tijdselectiebesturingselement, zoals wordt weergegeven in de volgende afbeelding:

Besturingselement voor tijdselectie

In het oplossingsdashboard worden de volgende secties weergegeven:

DNS-beveiliging. Rapporteert de DNS-clients die proberen te communiceren met schadelijke domeinen. Met behulp van Microsoft feeds voor bedreigingsinformatie kan DNS Analytics client-IP-adressen detecteren die toegang proberen te krijgen tot schadelijke domeinen. In veel gevallen bellen met malware geïnfecteerde apparaten uit naar het commando- en controlecentrum van het schadelijke domein door de domeinnaam van de malware op te lossen.

Sectie DNS-beveiliging

Wanneer u in de lijst op een client-IP-adres klikt, wordt Zoeken in logboeken geopend en worden de opzoekgegevens van de betreffende query weergegeven. In het volgende voorbeeld heeft DNS Analytics gedetecteerd dat de communicatie is uitgevoerd met een IRCbot:

Zoekresultaten voor logboeken met ircbot

De informatie helpt u bij het identificeren van de volgende:

  • Client-IP die de communicatie heeft geïnitieerd.
  • Domeinnaam die wordt omgezet in het schadelijke IP-adres.
  • IP-adressen waarnaar de domeinnaam wordt omgezet.
  • Schadelijk IP-adres.
  • Ernst van het probleem.
  • Reden voor het blokkeren van het schadelijke IP-adres.
  • Detectietijd.

Domeinen opgevraagd. Biedt de meest voorkomende domeinnamen die worden opgevraagd door de DNS-clients in uw omgeving. U kunt de lijst met alle door u opgevraagde domeinnamen weergeven. U kunt ook inzoomen op de details van de opzoekaanvraag van een specifieke domeinnaam in Zoeken in logboeken.

Sectie Domeinen opgevraagd

DNS-clients. Rapporteert dat de clients de drempelwaarde voor het aantal query's in de gekozen periode overschrijden. U kunt de lijst met alle DNS-clients en de details van de query's die door hen zijn gemaakt in Zoeken in logboeken weergeven.

Sectie DNS-clients

Dynamische DNS-registraties. Rapporteert naamregistratiefouten. Alle registratiefouten voor adresresourcerecords (type A en AAAA) worden gemarkeerd, samen met de client-IP-adressen die de registratieaanvragen hebben gedaan. U kunt deze informatie vervolgens gebruiken om de hoofdoorzaak van de registratiefout te achterhalen door de volgende stappen uit te voeren:

  1. Zoek de zone die gezaghebbend is voor de naam die de client probeert bij te werken.

  2. Gebruik de oplossing om de inventarisgegevens van die zone te controleren.

  3. Controleer of de dynamische update voor de zone is ingeschakeld.

  4. Controleer of de zone is geconfigureerd voor beveiligde dynamische updates of niet.

    Sectie Dynamische DNS-registraties

Naamregistratieaanvragen. De bovenste tegel toont een trendlijn van geslaagde en mislukte dynamische DNS-updateaanvragen. De onderste tegel bevat de top 10 clients die mislukte DNS-updateaanvragen verzenden naar de DNS-servers, gesorteerd op het aantal fouten.

Sectie Aanvragen voor naamregistratie

Voorbeeld van DDI Analytics-query's. Bevat een lijst met de meest voorkomende zoekquery's waarmee onbewerkte analysegegevens rechtstreeks worden opgehaald.

Voorbeeldquery's

U kunt deze query's gebruiken als uitgangspunt voor het maken van uw eigen query's voor aangepaste rapportage. De query's zijn gekoppeld aan de pagina Zoeken in DNS Analytics-logboeken waar de resultaten worden weergegeven:

  • Lijst met DNS-servers. Toont een lijst met alle DNS-servers met de bijbehorende FQDN, domeinnaam, forestnaam en server-IP-adressen.

  • Lijst met DNS-zones. Toont een lijst met alle DNS-zones met de bijbehorende zonenaam, status van dynamische updates, naamservers en DNSSEC-ondertekeningsstatus.

  • Ongebruikte resourcerecords. Toont een lijst met alle ongebruikte/verouderde resourcerecords. Deze lijst bevat de naam van de resourcerecord, het type resourcerecord, de bijbehorende DNS-server, de recordgeneratietijd en de zonenaam. U kunt deze lijst gebruiken om de DNS-resourcerecords te identificeren die niet meer in gebruik zijn. Op basis van deze informatie kunt u deze vermeldingen vervolgens verwijderen van de DNS-servers.

  • Dns-servers query laden. Toont informatie zodat u een perspectief kunt krijgen van de DNS-belasting op uw DNS-servers. Deze informatie kan u helpen bij het plannen van de capaciteit voor de servers. U kunt naar het tabblad Metrische gegevens gaan om de weergave te wijzigen in een grafische visualisatie. Deze weergave helpt u te begrijpen hoe de DNS-belasting wordt verdeeld over uw DNS-servers. Het toont trends in de DNS-queryfrequentie voor elke server.

    Zoekresultaten voor querylogboeken voor DNS-servers

  • Query's laden in DNS-zones. Toont de dns-zone-query-per-seconde statistieken van alle zones op de DNS-servers die worden beheerd door de oplossing. Klik op het tabblad Metrische gegevens om de weergave van gedetailleerde records te wijzigen in een grafische visualisatie van de resultaten.

  • Configuratie-gebeurtenissen. Toont alle dns-configuratiewijzigingsevenementen en bijbehorende berichten. U kunt deze gebeurtenissen vervolgens filteren op basis van de tijd van de gebeurtenis, gebeurtenis-id, DNS-server of taakcategorie. De gegevens kunnen u helpen bij het controleren van wijzigingen die zijn aangebracht in specifieke DNS-servers op specifieke tijdstippen.

  • DNS-analyselogboek. Toont alle analytische gebeurtenissen op alle DNS-servers die door de oplossing worden beheerd. U kunt deze gebeurtenissen vervolgens filteren op basis van de tijd van de gebeurtenis, gebeurtenis-id, DNS-server, client-IP die de opzoekquery heeft gemaakt en de taakcategorie van het querytype. Analysegebeurtenissen van DNS-servers maken het bijhouden van activiteiten op de DNS-server mogelijk. Telkens wanneer de server DNS-gegevens verzendt of ontvangt, wordt een analytische gebeurtenis geregistreerd.

Op de pagina Zoeken in logboeken kunt u een query maken. U kunt uw zoekresultaten filteren met behulp van facetbesturingselementen. U kunt ook geavanceerde query's maken om uw resultaten te transformeren, te filteren en te rapporteren. Begin met de volgende query's:

  1. Typ DnsEvents in het zoekqueryvak om alle DNS-gebeurtenissen weer te geven die zijn gegenereerd door de DNS-servers die door de oplossing worden beheerd. De resultaten bevatten de logboekgegevens voor alle gebeurtenissen met betrekking tot opzoekquery's, dynamische registraties en configuratiewijzigingen.

    DnsEvents-logboek zoeken

    a. Als u de logboekgegevens voor opzoekquery's wilt weergeven, selecteert u LookUpQuery als het filter Subtype in het facet-besturingselement aan de linkerkant. Er wordt een tabel weergegeven met alle opzoekquerygebeurtenissen voor de geselecteerde periode.

    b. Als u de logboekgegevens voor dynamische registraties wilt weergeven, selecteert u DynamicRegistration als subtypefilter in het facet-besturingselement aan de linkerkant. Er wordt een tabel weergegeven met alle dynamische registratiegebeurtenissen voor de geselecteerde periode.

    c. Als u de logboekgegevens voor configuratiewijzigingen wilt weergeven, selecteert u ConfiguratieWijzigen als subtypefilter in het facetbesturingselement aan de linkerkant. Er wordt een tabel weergegeven met alle gebeurtenissen voor configuratiewijziging voor de geselecteerde periode.

  2. Typ DnsInventory in het zoekqueryvak om alle dns-inventarisgegevens weer te geven voor de DNS-servers die door de oplossing worden beheerd. De resultaten bevatten de logboekgegevens voor DNS-servers, DNS-zones en bronrecords.

    DnsInventory-logboek zoeken

Problemen oplossen

Veelvoorkomende stappen voor probleemoplossing:

  1. Ontbrekende DNS-zoekgegevens: om dit probleem op te lossen, stelt u de configuratie opnieuw in of laadt u de configuratiepagina eenmaal in de portal. Voor het opnieuw instellen wijzigt u een instelling in een andere waarde, wijzigt u deze vervolgens in de oorspronkelijke waarde en slaat u de configuratie op.

Suggesties

Als u feedback wilt geven, gaat u naar de pagina Log Analytics UserVoice om ideeën te posten voor DNS Analytics-functies om aan te werken.

Volgende stappen

Querylogboeken om gedetailleerde DNS-logboekrecords weer te geven.