Gegevens streamen en filteren van Windows DNS-servers met de AMA-connector
In dit artikel wordt beschreven hoe u de AMA-connector (Azure Monitor Agent) gebruikt voor het streamen en filteren van gebeurtenissen uit uw DNS-serverlogboeken (Windows Domain Name System). Vervolgens kunt u uw gegevens diep analyseren om uw DNS-servers te beschermen tegen bedreigingen en aanvallen.
De AMA en de DNS-extensie zijn geïnstalleerd op uw Windows Server om gegevens uit uw ANALYTISCHE DNS-logboeken te uploaden naar uw Microsoft Sentinel-werkruimte. Meer informatie over de connector.
Overzicht
Waarom het belangrijk is om DNS-activiteit te bewaken
DNS is een veelgebruikt protocol, dat wordt toegewezen tussen hostnamen en leesbare IP-adressen van computers. Omdat DNS niet is ontworpen met de beveiliging in het achterhoofd, is de service zeer gericht op schadelijke activiteiten, waardoor de logboekregistratie een essentieel onderdeel van beveiligingsbewaking is.
Enkele bekende bedreigingen die gericht zijn op DNS-servers zijn onder andere:
- DDoS-aanvallen gericht op DNS-servers
- DNS DDoS-versterking
- DNS-hijacking
- DNS-tunneling
- DNS-vergiftiging
- DNS-adresvervalsing
- NXDOMAIN-aanval
- Phantom-domeinaanvallen
Windows DNS-gebeurtenissen via AMA-connector
Hoewel sommige mechanismen zijn geïntroduceerd om de algehele beveiliging van dit protocol te verbeteren, zijn DNS-servers nog steeds een zeer gerichte service. Organisaties kunnen DNS-logboeken bewaken om meer inzicht te krijgen in de netwerkactiviteit en om verdacht gedrag of aanvallen te identificeren die gericht zijn op resources binnen het netwerk. De Windows DNS-gebeurtenissen via AMA-connector biedt dit type zichtbaarheid.
Met de connector kunt u het volgende doen:
- Identificeer clients die schadelijke domeinnamen proberen op te lossen.
- Aanvraagbelastingen op DNS-servers weergeven en bewaken.
- Dynamische DNS-registratiefouten weergeven.
- Identificeer vaak opgevraagde domeinnamen en talkatieve clients.
- Verouderde resourcerecords identificeren.
- Bekijk alle DNS-gerelateerde logboeken op één plaats.
Hoe verzameling werkt met de Windows DNS-gebeurtenissen via AMA-connector
De AMA-connector maakt gebruik van de geïnstalleerde DNS-extensie om de logboeken te verzamelen en te parseren.
Notitie
De Windows DNS-gebeurtenissen via AMA-connector ondersteunt momenteel alleen activiteiten voor analytische gebeurtenissen.
De connector streamt de gebeurtenissen naar de Microsoft Sentinel-werkruimte om verder te worden geanalyseerd.
U kunt nu geavanceerde filters gebruiken om specifieke gebeurtenissen of informatie uit te filteren. Met geavanceerde filters uploadt u alleen de waardevolle gegevens die u wilt bewaken, waardoor de kosten en het bandbreedtegebruik worden verlaagd.
Normalisatie met behulp van ASIM
Deze connector is volledig genormaliseerd met ASIM-parsers (Advanced Security Information Model). De connector streamt gebeurtenissen die afkomstig zijn uit de analytische logboeken in de genormaliseerde tabel met de naam ASimDnsActivityLogs
. Deze tabel fungeert als vertaler, met behulp van één geïntegreerde taal, die wordt gedeeld door alle DNS-connectors.
Voor een bronagnostische parser waarmee alle DNS-gegevens worden samengevoegd en ervoor zorgt dat uw analyse wordt uitgevoerd op alle geconfigureerde bronnen, gebruikt u de ASIM DNS-parser_Im_Dns
.
De ASIM-parser vormt een aanvulling op de systeemeigen ASimDnsActivityLogs
tabel. Hoewel de systeemeigen tabel compatibel is met ASIM, is de parser nodig om mogelijkheden toe te voegen, zoals aliassen, alleen beschikbaar tijdens query's en om te combineren ASimDnsActivityLogs
met andere DNS-gegevensbronnen.
Het ASIM DNS-schema vertegenwoordigt de activiteit van het DNS-protocol, zoals vastgelegd in de Windows DNS-server in de analytische logboeken. Het schema wordt beheerd door officiële parameterlijsten en RFC's die velden en waarden definiëren.
Zie de lijst met Windows DNS-servervelden die zijn vertaald in de genormaliseerde veldnamen.
Windows DNS instellen via AMA-connector
U kunt de connector op twee manieren instellen:
- Microsoft Sentinel-portal. Met deze installatie kunt u één DCR (Data Collection Rule) per werkruimte maken, beheren en verwijderen. Zelfs als u meerdere DCR's via de API definieert, wordt in de portal slechts één DCR weergegeven.
- API. Met deze installatie kunt u meerdere DCR's maken, beheren en verwijderen.
Vereisten
Controleer voordat u begint of u het volgende hebt:
- De Microsoft Sentinel-oplossing is ingeschakeld.
- Een gedefinieerde Microsoft Sentinel-werkruimte.
- Windows Server 2012 R2 met controle-hotfix en hoger.
- Een Windows DNS-server.
- Als u gebeurtenissen wilt verzamelen van een systeem dat geen virtuele Machine van Azure is, moet u ervoor zorgen dat Azure Arc is geïnstalleerd. Installeer en schakel Azure Arc in voordat u de azure Monitor Agent-connector inschakelt. Deze vereiste omvat:
- Windows-servers geïnstalleerd op fysieke machines
- Windows-servers geïnstalleerd op on-premises virtuele machines
- Windows-servers geïnstalleerd op virtuele machines in niet-Azure-clouds
De connector instellen in de Microsoft Sentinel-portal (UI)
Open de connectorpagina en maak de DCR
- Open Azure Portal en navigeer naar de Microsoft Sentinel-service .
- Typ DNS op de blade Gegevensconnectors in de zoekbalk.
- Selecteer de Windows DNS-gebeurtenissen via de AMA-connector .
- Selecteer onder de beschrijving van de connector de optie Connector openen.
- Selecteer in het gebied Configuratie de optie Regel voor het verzamelen van gegevens maken. U kunt één DCR per werkruimte maken. Als u meerdere DCR's moet maken, gebruikt u de API.
De DCR-naam, het abonnement en de resourcegroep worden automatisch ingesteld op basis van de naam van de werkruimte, het huidige abonnement en de resourcegroep waaruit de connector is geselecteerd.
Resources definiëren (VM's)
Selecteer het tabblad Resources en selecteer Resource(s) toevoegen.
Selecteer de VM's waarop u de connector wilt installeren om logboeken te verzamelen.
Controleer uw wijzigingen en selecteer Toepassen opslaan>.
Ongewenste gebeurtenissen uitfilteren
Wanneer u filters gebruikt, sluit u de gebeurtenis uit die door het filter wordt opgegeven. Met andere woorden, Microsoft Sentinel verzamelt geen gegevens voor de opgegeven gebeurtenis. Hoewel deze stap niet is vereist, kan deze helpen de kosten te verlagen en het triage van gebeurtenissen te vereenvoudigen.
Filters maken:
Selecteer op de connectorpagina in het gebied Configuratie de optie Filters voor gegevensverzameling toevoegen.
Typ een naam voor het filter en selecteer het filtertype. Het filtertype is een parameter die het aantal verzamelde gebeurtenissen vermindert. De parameters worden genormaliseerd volgens het genormaliseerde DNS-schema. Bekijk de lijst met beschikbare velden voor filteren.
Kies de waarden waarvoor u het veld wilt filteren uit de waarden in de vervolgkeuzelijst.
Als u complexe filters wilt toevoegen, selecteert u Het veld Uitsluiten toevoegen om te filteren en het relevante veld toe te voegen. Zie voorbeelden in de sectie Geavanceerde filters gebruiken hieronder.
Als u meer nieuwe filters wilt toevoegen, selecteert u het filter Nieuwe uitsluiting toevoegen.
Wanneer u klaar bent met het toevoegen van filters, selecteert u Toevoegen.
Selecteer Wijzigingen toepassen om de filters op uw connectors op te slaan en te implementeren op de hoofdpagina van de connector. Als u bestaande filters of velden wilt bewerken of verwijderen, selecteert u de pictogrammen voor bewerken of verwijderen in de tabel onder het gebied Configuratie .
Als u velden of filters wilt toevoegen na de eerste implementatie, selecteert u gegevensverzamelingsfilters opnieuw toevoegen.
De connector instellen met de API
U kunt DCR's maken met behulp van de API. Gebruik deze optie als u meerdere DCR's moet maken.
Gebruik dit voorbeeld als sjabloon om een DCR te maken of bij te werken:
Aanvraag-URL en header
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview
Aanvraagtekst
{
"properties": {
"dataSources": {
"windowsEventLogs": [],
"extensions": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"extensionName": "MicrosoftDnsAgent",
"extensionSettings": {
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"260"
]
}
]
}
]
},
"name": "SampleDns"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
"workspaceId": {WorkspaceGuid}",
"name": "WorkspaceDestination"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"destinations": [
" WorkspaceDestination "
]
}
],
},
"location": "eastus2",
"tags": {},
"kind": "Windows",
"id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"type": "Microsoft.Insights/dataCollectionRules",
}
Geavanceerde filters gebruiken
Gebeurtenislogboeken van DNS-servers kunnen een groot aantal gebeurtenissen bevatten. U kunt geavanceerde filters gebruiken om overbodige gebeurtenissen te filteren voordat de gegevens worden geüpload, waardoor waardevolle tijd en kosten worden bespaard. Met de filters worden de overbodige gegevens verwijderd uit de stroom gebeurtenissen die naar uw werkruimte zijn geüpload.
Filters zijn gebaseerd op een combinatie van talloze velden.
- U kunt meerdere waarden voor elk veld gebruiken met behulp van een door komma's gescheiden lijst.
- Als u samengestelde filters wilt maken, gebruikt u verschillende velden met een AND-relatie.
- Als u verschillende filters wilt combineren, gebruikt u een OR-relatie tussen deze filters.
Bekijk de beschikbare velden voor filteren.
Jokertekens gebruiken
U kunt jokertekens gebruiken in geavanceerde filters. Bekijk deze overwegingen bij het gebruik van jokertekens:
- Voeg een punt toe na elk sterretje (
*.
). - Gebruik geen spaties tussen de lijst met domeinen.
- Jokertekens zijn alleen van toepassing op de subdomeinen van het domein, inclusief
www.domain.com
, ongeacht het protocol. Als u bijvoorbeeld in een geavanceerd filter gebruikt*.domain.com
:- Het filter is van toepassing op
www.domain.com
ensubdomain.domain.com
, ongeacht of het protocol HTTPS, FTP, enzovoort is. - Het filter is niet van toepassing op
domain.com
. Als u een filter wiltdomain.com
toepassen, geeft u het domein rechtstreeks op zonder een jokerteken te gebruiken.
- Het filter is van toepassing op
Geavanceerde filtervoorbeelden
Verzamel geen specifieke gebeurtenis-id's
Met dit filter wordt de connector geïnstrueerd om EventID 256 of EventID 257 of EventID 260 niet te verzamelen met IPv6-adressen.
De Microsoft Sentinel-portal gebruiken:
Maak een filter met het veld EventOriginalType , met behulp van de operator Equals , met de waarden 256, 257 en 260.
Maak een filter met het veld EventOriginalType dat hierboven is gedefinieerd en gebruik de operator And , inclusief het veld DnsQueryTypeName ingesteld op AAAA.
De API gebruiken:
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"256", "257", "260"
]
},
{
"Field": "DnsQueryTypeName",
"FieldValues": [
"AAAA"
]
}
]
},
{
"FilterName": "EventResultDetails",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"230"
]
},
{
"Field": "EventResultDetails",
"FieldValues": [
"BADKEY","NOTZONE"
]
}
]
}
]
Gebeurtenissen met specifieke domeinen niet verzamelen
Met dit filter wordt de connector geïnstrueerd om geen gebeurtenissen te verzamelen van subdomeinen van microsoft.com, google.com, amazon.com of gebeurtenissen van facebook.com of center.local.
De Microsoft Sentinel-portal gebruiken:
Stel het veld DnsQuery in met behulp van de operator Gelijk aan, met de lijst *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local.
Bekijk deze overwegingen voor het gebruik van jokertekens.
Als u verschillende waarden in één veld wilt definiëren, gebruikt u de OPERATOR OR .
De API gebruiken:
Bekijk deze overwegingen voor het gebruik van jokertekens.
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "DnsQuery",
"FieldValues": [
"*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"
]
},
}
}
]
Volgende stappen
In dit artikel hebt u geleerd hoe u de Windows DNS-gebeurtenissen instelt via de AMA-connector om gegevens te uploaden en uw Windows DNS-logboeken te filteren. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
- Werkmappen gebruiken om uw gegevens te bewaken.