Dokumentacja dotycząca systemu DNS za pośrednictwem łącznika usługi AMA — dostępne pola i schemat normalizacji

  • Artykuł

Usługa Microsoft Sentinel umożliwia przesyłanie strumieniowe i filtrowanie zdarzeń z dzienników serwera systemu Windows Domain Name System (DNS) do ASimDnsActivityLog tabeli znormalizowanych schematów. W tym artykule opisano pola używane do filtrowania danych oraz schemat normalizacji pól serwera DNS systemu Windows.

Agent usługi Azure Monitor (AMA) i jego rozszerzenie DNS są instalowane w systemie Windows Server w celu przekazywania danych z dzienników analitycznych DNS do obszaru roboczego usługi Microsoft Sentinel. Przesyłasz strumieniowo i filtrujesz dane przy użyciu zdarzeń DNS systemu Windows za pośrednictwem łącznika usługi AMA.

Dostępne pola do filtrowania

W tej tabeli przedstawiono dostępne pola. Nazwy pól są znormalizowane przy użyciu schematu DNS.

Nazwa pola Wartości Opis
EventOriginalType Liczby z zakresu od 256 do 280 Identyfikator zdarzenia DNS systemu Windows, który wskazuje typ zdarzenia protokołu DNS.
EventResultDetails • NOERROR
• BYŁY
• SERWFAIL
• NXDOMAIN
• NOTIMP
•ODMÓWIŁ
• YXDOMAIN
• YXRRSET
• NXRRSET
• NOTAUTH
• NOTZONE
• DSOTYPENI
• BADVERS
• BADSIG
• BADKEY
• BADTIME
• BADALG
• BADTRUNC
• BADCOOKIE		 Ciąg wyniku DNS operacji zdefiniowany przez urząd IANA (Internet Assigned Numbers Authority).
DvcIpAdrr Adresy IP Adres IP serwera zgłaszające zdarzenie. To pole zawiera również lokalizację geograficzną i złośliwe informacje o adresach IP.
DnsQuery Nazwy domen (FQDN) Ciąg reprezentujący nazwę domeny do rozpoznania.
• Może akceptować wiele wartości na liście rozdzielanej przecinkami i symbolami wieloznacznymi. Przykład:
*.microsoft.com,google.com,facebook.com
• Zapoznaj się z tymi zagadnieniami dotyczącymi używania symboli wieloznacznych.
DnsQueryTypeName •A
•NS
•MD
•MF
•CNAME
•SOA
•MB
•MG
•PAN
•NULL
•WKS
•PTR
•HINFO
•MINFO
•MX
•TXT
•RP
•AFSDB
• X25
•ISDN
•RT
•NSAP
• NSAP-PTR
•SIG
•KLUCZ
•PX
•OBIEKTÓW ZASAD GRUPY
•AAAA
•LOC
•NXT
•EID
• NIMLOC
•SRV		 Żądany atrybut DNS. Nazwa typu rekordu zasobu DNS zdefiniowana przez IANA.

Znormalizowany schemat DNS karty ASIM

W tej tabeli opisano i tłumaczy pola serwera DNS systemu Windows na znormalizowane nazwy pól w miarę ich wyświetlania w schemacie normalizacji DNS.

Nazwa pola DNS systemu Windows Nazwa pola znormalizowane Typ Opis
Identyfikator zdarzenia EventOriginalType Ciąg Oryginalny typ zdarzenia lub identyfikator.
Kod RCODE EventResult Ciąg Wynik zdarzenia (powodzenie, częściowe, niepowodzenie, NA).
Przeanalizowano kod RCODE EventResultDetails Ciąg Kod odpowiedzi DNS zdefiniowany przez IANA.
InterfaceIP DvcIpAdrr Ciąg Adres IP urządzenia lub interfejsu raportowania zdarzeń.
AA DnsFlagsAuthoritative Liczba całkowita Wskazuje, czy odpowiedź z serwera była autorytatywna.
AD DnsFlagsAuthenticated Liczba całkowita Wskazuje, że serwer zweryfikował wszystkie dane w odpowiedzi i urzędzie odpowiedzi zgodnie z zasadami serwera.
RQNAME DnsQuery Ciąg Domena musi zostać rozwiązana.
QTYPE DnsQueryType Liczba całkowita Typ rekordu zasobu DNS zdefiniowany przez IANA.
Port SrcPortNumber Liczba całkowita Port źródłowy wysyłający zapytanie.
Element źródłowy SrcIpAddr Adres IP Adres IP klienta wysyłającego żądanie DNS. W przypadku cyklicznego żądania DNS ta wartość jest zazwyczaj adresem IP urządzenia raportowania, w większości przypadków 127.0.0.1.
Czas upłyniania DnsNetworkDuration Liczba całkowita Czas potrzebny na ukończenie żądania DNS.
GUID DnsSessionId Ciąg Identyfikator sesji DNS zgłoszony przez urządzenie raportowania.

Następne kroki

W tym artykule przedstawiono pola używane do filtrowania danych dziennika DNS przy użyciu zdarzeń DNS systemu Windows za pośrednictwem łącznika usługi AMA. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: