Przesyłanie strumieniowe i filtrowanie danych z serwerów DNS systemu Windows za pomocą łącznika usługi AMA
W tym artykule opisano sposób używania łącznika agenta usługi Azure Monitor (AMA) do przesyłania strumieniowego i filtrowania zdarzeń z dzienników serwera systemu Windows Domain Name System (DNS). Następnie możesz głęboko analizować dane, aby chronić serwery DNS przed zagrożeniami i atakami.
Serwer AMA i jego rozszerzenie DNS są instalowane w systemie Windows Server w celu przekazywania danych z dzienników analitycznych DNS do obszaru roboczego usługi Microsoft Sentinel. Dowiedz się więcej o łączniku.
Omówienie
Dlaczego ważne jest monitorowanie aktywności DNS
DNS to powszechnie używany protokół, który mapuje nazwy hostów i czytelne adresy IP komputera. Ponieważ system DNS nie został zaprojektowany z myślą o zabezpieczeniach, usługa jest wysoce objęta złośliwym działaniem, dzięki czemu rejestrowanie jest istotną częścią monitorowania zabezpieczeń.
Niektóre dobrze znane zagrożenia przeznaczone dla serwerów DNS to:
- Ataki DDoS ukierunkowane na serwery DNS
- Wzmacnianie ataków DDoS DNS
- Przejęcie DNS
- Tunelowanie DNS
- Zatrucie dns
- Fałszowanie DNS
- Atak NXDOMAIN
- Ataki na domenę phantom
Zdarzenia DNS systemu Windows za pośrednictwem łącznika usługi AMA
Chociaż wprowadzono pewne mechanizmy w celu poprawy ogólnego bezpieczeństwa tego protokołu, serwery DNS są nadal usługą wysoce docelową. Organizacje mogą monitorować dzienniki DNS, aby lepiej zrozumieć aktywność sieci oraz zidentyfikować podejrzane zachowanie lub ataki ukierunkowane na zasoby w sieci. Zdarzenia DNS systemu Windows za pośrednictwem łącznika AMA zapewniają ten typ widoczności.
Za pomocą łącznika można wykonywać następujące czynności:
- Zidentyfikuj klientów, którzy próbują rozpoznać złośliwe nazwy domen.
- Wyświetlanie i monitorowanie obciążeń żądań na serwerach DNS.
- Wyświetlanie dynamicznych niepowodzeń rejestracji DNS.
- Zidentyfikuj często używane nazwy domen i klientów rozmówczych.
- Identyfikowanie nieaktualnych rekordów zasobów.
- Wyświetl wszystkie dzienniki związane z systemem DNS w jednym miejscu.
Jak kolekcja działa ze zdarzeniami DNS systemu Windows za pośrednictwem łącznika usługi AMA
Łącznik usługi AMA używa zainstalowanego rozszerzenia DNS do zbierania i analizowania dzienników.
Uwaga
Zdarzenia DNS systemu Windows za pośrednictwem łącznika AMA obecnie obsługują tylko działania zdarzeń analitycznych.
Łącznik przesyła strumieniowo zdarzenia do obszaru roboczego usługi Microsoft Sentinel w celu dalszej analizy.
Teraz możesz używać filtrów zaawansowanych do filtrowania określonych zdarzeń lub informacji. Dzięki zaawansowanym filtrom przekazujesz tylko cenne dane, które chcesz monitorować, zmniejszając koszty i użycie przepustowości.
Normalizacja przy użyciu karty ASIM
Ten łącznik jest w pełni znormalizowany przy użyciu analizatorów advanced Security Information Model (ASIM). Łącznik przesyła strumieniowo zdarzenia pochodzące z dzienników analitycznych do znormalizowanej tabeli o nazwie ASimDnsActivityLogs. Ta tabela działa jako tłumacz, używając jednego ujednoliconego języka, współużytkowanego we wszystkich łącznikach DNS.
W przypadku analizatora niezależnego od źródła, który łączy wszystkie dane DNS i zapewnia, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj analizatora _Im_Dnsujednolicania dns ASIM.
Analizator ujednolicania ASIM uzupełnia tabelę natywną ASimDnsActivityLogs . Chociaż tabela natywna jest zgodna z kartą ASIM, analizator jest potrzebny do dodawania możliwości, takich jak aliasy, dostępne tylko w czasie wykonywania zapytań i łączenia ASimDnsActivityLogs z innymi źródłami danych DNS.
Schemat DNS ASIM reprezentuje działanie protokołu DNS, jak zalogowano się na serwerze DNS systemu Windows w dziennikach analitycznych. Schemat jest zarządzany przez oficjalne listy parametrów i RFC definiujące pola i wartości.
Zobacz listę pól serwera DNS systemu Windows przetłumaczonych na znormalizowane nazwy pól.
Konfigurowanie systemu Windows DNS za pośrednictwem łącznika usługi AMA
Łącznik można skonfigurować na dwa sposoby:
- Portal usługi Microsoft Sentinel. Dzięki tej konfiguracji można tworzyć i usuwać pojedynczą regułę zbierania danych (DCR, Data Collection Rule) oraz zarządzać nimi dla każdego obszaru roboczego. Nawet jeśli definiujesz wiele kontrolerów DCR za pośrednictwem interfejsu API, w portalu jest wyświetlana tylko jedna usługa DCR.
- Interfejs API. Dzięki tej konfiguracji można tworzyć, zarządzać i usuwać wiele kontrolerów domeny.
Wymagania wstępne
Przed rozpoczęciem sprawdź, czy masz:
- Rozwiązanie Microsoft Sentinel jest włączone.
- Zdefiniowany obszar roboczy usługi Microsoft Sentinel.
- Windows Server 2012 R2 z poprawką inspekcji i nowszymi wersjami.
- Serwer DNS systemu Windows.
- Aby zebrać zdarzenia z dowolnego systemu, który nie jest maszyną wirtualną platformy Azure, upewnij się, że usługa Azure Arc jest zainstalowana. Zainstaluj i włącz usługę Azure Arc przed włączeniem łącznika opartego na agencie usługi Azure Monitor. To wymaganie obejmuje:
- Serwery z systemem Windows zainstalowane na maszynach fizycznych
- Serwery z systemem Windows zainstalowane na lokalnych maszynach wirtualnych
- Serwery z systemem Windows zainstalowane na maszynach wirtualnych w chmurach spoza platformy Azure
Konfigurowanie łącznika w portalu usługi Microsoft Sentinel (UI)
Otwórz stronę łącznika i utwórz kontroler domeny
- Otwórz witrynę Azure Portal i przejdź do usługi Microsoft Sentinel .
- W bloku Łączniki danych na pasku wyszukiwania wpisz DNS.
- Wybierz zdarzenia DNS systemu Windows za pośrednictwem łącznika usługi AMA .
- Poniżej opisu łącznika wybierz pozycję Otwórz stronę łącznika.
- W obszarze Konfiguracja wybierz pozycję Utwórz regułę zbierania danych. Możesz utworzyć pojedynczy kontroler domeny dla każdego obszaru roboczego. Jeśli musisz utworzyć wiele kontrolerów DCR, użyj interfejsu API.
Nazwa kontrolera domeny, subskrypcja i grupa zasobów są automatycznie ustawiane na podstawie nazwy obszaru roboczego, bieżącej subskrypcji i grupy zasobów wybranej przez łącznik.
Definiowanie zasobów (maszyn wirtualnych)
Wybierz kartę Zasoby i wybierz pozycję Dodaj zasoby.
Wybierz maszyny wirtualne, na których chcesz zainstalować łącznik, aby zbierać dzienniki.
Przejrzyj zmiany i wybierz pozycję Zapisz>zastosuj.
Filtrowanie niepożądanych zdarzeń
W przypadku używania filtrów wykluczysz zdarzenie określone przez filtr. Innymi słowy, usługa Microsoft Sentinel nie zbiera danych dla określonego zdarzenia. Chociaż ten krok nie jest wymagany, może pomóc zmniejszyć koszty i uprościć klasyfikację zdarzeń.
Aby utworzyć filtry:
Na stronie łącznika w obszarze Konfiguracja wybierz pozycję Dodaj filtry zbierania danych.
Wpisz nazwę filtru i wybierz typ filtru. Typ filtru to parametr, który zmniejsza liczbę zebranych zdarzeń. Parametry są znormalizowane zgodnie ze schematem znormalizowany dns. Zobacz listę dostępnych pól do filtrowania.
Wybierz wartości, dla których chcesz filtrować pole spośród wartości wymienionych na liście rozwijanej.
Aby dodać złożone filtry, wybierz pozycję Dodaj pole wykluczania, aby filtrować i dodać odpowiednie pole. Zobacz przykłady w sekcji Używanie filtrów zaawansowanych poniżej.
Aby dodać więcej nowych filtrów, wybierz pozycję Dodaj nowy filtr wykluczania.
Po zakończeniu dodawania filtrów wybierz pozycję Dodaj.
Po powrocie na stronę głównego łącznika wybierz pozycję Zastosuj zmiany , aby zapisać i wdrożyć filtry w łącznikach. Aby edytować lub usunąć istniejące filtry lub pola, wybierz ikony edycji lub usuwania w tabeli w obszarze Konfiguracja .
Aby dodać pola lub filtry po początkowym wdrożeniu, wybierz ponownie pozycję Dodaj filtry zbierania danych.
Konfigurowanie łącznika za pomocą interfejsu API
Kontrolery domeny można utworzyć przy użyciu interfejsu API. Użyj tej opcji, jeśli musisz utworzyć wiele kontrolerów domeny.
Użyj tego przykładu jako szablonu, aby utworzyć lub zaktualizować kontroler domeny:
Adres URL żądania i nagłówek
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview
Treść żądania
{
"properties": {
"dataSources": {
"windowsEventLogs": [],
"extensions": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"extensionName": "MicrosoftDnsAgent",
"extensionSettings": {
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"260"
]
}
]
}
]
},
"name": "SampleDns"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
"workspaceId": {WorkspaceGuid}",
"name": "WorkspaceDestination"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"destinations": [
" WorkspaceDestination "
]
}
],
},
"location": "eastus2",
"tags": {},
"kind": "Windows",
"id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"type": "Microsoft.Insights/dataCollectionRules",
}
Korzystanie z filtrów zaawansowanych
Dzienniki zdarzeń serwera DNS mogą zawierać ogromną liczbę zdarzeń. Zaawansowane filtrowanie umożliwia filtrowanie niepotrzebnych zdarzeń przed przekazaniem danych, co pozwala zaoszczędzić cenny czas klasyfikacji i koszty. Filtry usuwają niepotrzebne dane ze strumienia zdarzeń przekazanych do obszaru roboczego.
Filtry są oparte na kombinacji wielu pól.
- Można użyć wielu wartości dla każdego pola przy użyciu listy rozdzielanej przecinkami.
- Aby utworzyć filtry złożone, użyj różnych pól z relacją AND.
- Aby połączyć różne filtry, użyj relacji OR między nimi.
Przejrzyj dostępne pola do filtrowania.
Korzystanie z symboli wieloznacznych
Symbole wieloznaczne można używać w filtrach zaawansowanych. Zapoznaj się z tymi zagadnieniami podczas korzystania z symboli wieloznacznych:
- Dodaj kropkę po każdej gwiazdki (
*.). - Nie używaj spacji między listą domen.
- Symbole wieloznaczne dotyczą tylko domen podrzędnych domeny, w tym
www.domain.com, niezależnie od protokołu. Jeśli na przykład używasz*.domain.comw filtrze zaawansowanym:- Filtr dotyczy
www.domain.comelementów isubdomain.domain.com, niezależnie od tego, czy protokół to HTTPS, FTP itd. - Filtr nie ma zastosowania do
domain.comelementu . Aby zastosować filtr dodomain.commetody , określ domenę bezpośrednio bez użycia symbolu wieloznakowego.
- Filtr dotyczy
Zaawansowane przykłady filtrów
Nie zbieraj określonych identyfikatorów zdarzeń
Ten filtr instruuje łącznik, aby nie zbierał identyfikatora EventID 256 lub EventID 257 lub EventID 260 z adresami IPv6.
Za pomocą portalu usługi Microsoft Sentinel:
Utwórz filtr z polem EventOriginalType przy użyciu operatora Equals z wartościami 256, 257 i 260.
Utwórz filtr z polem EventOriginalType zdefiniowanym powyżej i użyj operatora And, w tym pola DnsQueryTypeName ustawionego na wartość AAAA.
Korzystanie z interfejsu API:
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"256", "257", "260"
]
},
{
"Field": "DnsQueryTypeName",
"FieldValues": [
"AAAA"
]
}
]
},
{
"FilterName": "EventResultDetails",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"230"
]
},
{
"Field": "EventResultDetails",
"FieldValues": [
"BADKEY","NOTZONE"
]
}
]
}
]
Nie zbieraj zdarzeń z określonymi domenami
Ten filtr instruuje łącznik, aby nie zbierał zdarzeń z żadnej poddomeny microsoft.com, google.com, amazon.com lub zdarzeń z facebook.com lub center.local.
Za pomocą portalu usługi Microsoft Sentinel:
Ustaw pole DnsQuery przy użyciu operatora Equals z listą *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local.
Zapoznaj się z tymi zagadnieniami dotyczącymi używania symboli wieloznacznych.
Aby zdefiniować różne wartości w jednym polu, użyj operatora OR .
Korzystanie z interfejsu API:
Zapoznaj się z tymi zagadnieniami dotyczącymi używania symboli wieloznacznych.
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "DnsQuery",
"FieldValues": [
"*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"
]
},
}
}
]
Następne kroki
W tym artykule przedstawiono sposób konfigurowania zdarzeń DNS systemu Windows za pośrednictwem łącznika usługi AMA w celu przekazywania danych i filtrowania dzienników DNS systemu Windows. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: