Udostępnij za pośrednictwem

Zbieranie szczegółowych informacji o infrastrukturze DNS za pomocą rozwiązania usługi DNS Analytics w wersji zapoznawczej

  • Artykuł

Symbol analizy DNS.

W tym artykule opisano sposób konfigurowania i używania rozwiązania Azure DNS Analytics w usłudze Azure Monitor w celu zbierania szczegółowych informacji o infrastrukturze DNS na temat zabezpieczeń, wydajności i operacji.

Analiza DNS ułatwia:

  • Zidentyfikuj klientów, którzy próbują rozpoznać złośliwe nazwy domen.
  • Identyfikowanie nieaktualnych rekordów zasobów.
  • Zidentyfikuj często wyszukiwane nazwy domen i rozmówczych klientów DNS.
  • Wyświetlanie obciążenia żądań na serwerach DNS.
  • Wyświetlanie dynamicznych niepowodzeń rejestracji DNS.

Rozwiązanie zbiera, analizuje i koreluje dzienniki analityczne i inspekcji systemu Windows DNS oraz inne powiązane dane z serwerów DNS.

Ważne

Agent usługi Log Analytics zostanie wycofany 31 sierpnia 2024 r. Jeśli używasz agenta usługi Log Analytics we wdrożeniu usługi Microsoft Sentinel, zalecamy rozpoczęcie planowania migracji do agenta usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Migracja agenta usługi Azure Monitor dla usługi Microsoft Sentinel.

Połączone źródła

W poniższej tabeli opisano połączone źródła obsługiwane przez to rozwiązanie:

Połączone źródło Pomoc techniczna Description
Agenci dla systemu Windows Tak Rozwiązanie zbiera informacje DNS z agentów systemu Windows.
Agenci dla systemu Linux Nie Rozwiązanie nie zbiera informacji DNS z bezpośrednich agentów systemu Linux.
Grupa zarządzania programu System Center Operations Manager Tak Rozwiązanie zbiera informacje DNS od agentów w połączonej grupie zarządzania programu Operations Manager. Bezpośrednie połączenie z agenta programu Operations Manager do usługi Azure Monitor nie jest wymagane. Dane są przekazywane z grupy zarządzania do obszaru roboczego usługi Log Analytics.
Konto usługi Azure Storage Nie Usługa Azure Storage nie jest używana przez rozwiązanie.

Szczegóły zbierania danych

Rozwiązanie zbiera spis DNS i dane związane z zdarzeniami DNS z serwerów DNS, na których jest zainstalowany agent usługi Log Analytics. Te dane są następnie przekazywane do usługi Azure Monitor i wyświetlane na pulpicie nawigacyjnym rozwiązania. Dane związane ze spisem, takie jak liczba serwerów DNS, stref i rekordów zasobów, są zbierane przez uruchomienie poleceń cmdlet programu PowerShell DNS. Dane są aktualizowane co dwa dni. Dane związane z zdarzeniami są zbierane niemal w czasie rzeczywistym z dzienników analitycznych i inspekcji udostępnianych przez rozszerzone rejestrowanie i diagnostykę DNS w Windows Server 2012 R2.

Konfiguracja

Skorzystaj z poniższych informacji, aby skonfigurować rozwiązanie:

Rozwiązanie rozpoczyna zbieranie danych bez konieczności dalszej konfiguracji. Można jednak użyć następującej konfiguracji, aby dostosować zbieranie danych.

Konfigurowanie rozwiązania

W obszarze roboczym usługi Log Analytics w Azure Portal wybierz pozycję Podsumowanie obszaru roboczego (przestarzałe). Następnie wybierz kafelek Analiza DNS . Na pulpicie nawigacyjnym rozwiązania wybierz pozycję Konfiguracja , aby otworzyć stronę Konfiguracja usługi DNS Analytics . Istnieją dwa typy zmian konfiguracji, które można wprowadzić:

  • Dozwolone nazwy domen: rozwiązanie nie przetwarza wszystkich zapytań wyszukiwania. Utrzymuje listę dozwolonych sufiksów nazw domen. Zapytania wyszukiwania rozpoznawane jako nazwy domen zgodne z sufiksami nazw domen w tej liście dozwolonych nie są przetwarzane przez rozwiązanie. Przetwarzanie dozwolonych nazw domen nie pozwala zoptymalizować danych wysyłanych do usługi Azure Monitor. Domyślna lista dozwolonych zawiera popularne nazwy domen publicznych, takie jak www.google.com i www.facebook.com. Pełną listę domyślną można wyświetlić, przewijając.

    Możesz zmodyfikować listę, aby dodać dowolny sufiks nazwy domeny, dla którego chcesz wyświetlić szczegółowe informacje dotyczące wyszukiwania. Możesz również usunąć dowolny sufiks nazwy domeny, dla którego nie chcesz wyświetlać szczegółowych informacji dotyczących wyszukiwania.

  • Próg klienta talkative: klienci DNS przekraczający próg liczby żądań wyszukiwania są wyróżnione w okienku Klienci DNS . Domyślny próg to 1000. Możesz edytować próg.

    Zrzut ekranu przedstawiający nazwy domen dozwolonych.

Pakiety administracyjne

Jeśli używasz programu Microsoft Monitoring Agent do nawiązywania połączenia z obszarem roboczym usługi Log Analytics, zostanie zainstalowany następujący pakiet administracyjny:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)

Jeśli grupa zarządzania programu Operations Manager jest połączona z obszarem roboczym usługi Log Analytics, następujące pakiety administracyjne są instalowane w programie Operations Manager podczas dodawania tego rozwiązania. Nie ma wymaganej konfiguracji ani konserwacji tych pakietów administracyjnych:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
  • Konfiguracja analizy DNS programu Microsoft System Center Advisor (Microsoft.IntelligencePack.Dns.Configuration)

Aby uzyskać więcej informacji na temat aktualizowania pakietów administracyjnych rozwiązania, zobacz artykuł Connect Operations Manager to Log Analytics (Połączenie programu Operations Manager z usługą Log Analytics).

Korzystanie z rozwiązania analizy DNS

Dane zebrane przez to rozwiązanie do monitorowania są dostępne na stronie Podsumowanie obszaru roboczego (przestarzałe) w Azure Portal. Otwórz tę stronę z obszarów roboczych usługi Log Analytics dla obszaru roboczego przy użyciu rozwiązania, a następnie wybierz pozycję Podsumowanie obszaru roboczego (przestarzałe) w sekcji Klasyczne w menu. Każde rozwiązanie jest reprezentowane przez kafelek. Wybierz kafelek, aby uzyskać bardziej szczegółowe dane zebrane przez to rozwiązanie.

Kafelek DNS zawiera liczbę serwerów DNS, na których są zbierane dane. Obejmuje ona również liczbę żądań wysyłanych przez klientów w celu rozwiązania złośliwych domen w ciągu ostatnich 24 godzin. Po wybraniu kafelka zostanie otwarty pulpit nawigacyjny rozwiązania.

Zrzut ekranu przedstawiający kafelek analiza DNS.

Pulpit nawigacyjny rozwiązania

Pulpit nawigacyjny rozwiązania zawiera podsumowanie informacji dotyczących różnych funkcji rozwiązania. Zawiera również linki do szczegółowego widoku analizy kryminalistycznej i diagnostyki. Domyślnie dane są wyświetlane przez ostatnie siedem dni. Zakres daty i godziny można zmienić przy użyciu kontrolki wyboru daty i godziny, jak pokazano na poniższej ilustracji:

Zrzut ekranu przedstawiający kontrolkę wyboru czasu.

Pulpit nawigacyjny rozwiązania zawiera następujące sekcje:

Zabezpieczenia DNS: zgłasza klientów DNS, którzy próbują komunikować się ze złośliwymi domenami. Korzystając z kanałów informacyjnych analizy zagrożeń firmy Microsoft, usługa DNS Analytics może wykrywać adresy IP klientów, które próbują uzyskać dostęp do złośliwych domen. W wielu przypadkach urządzenia zainfekowane złośliwym oprogramowaniem "wybierają się" do centrum "polecenia i kontroli" złośliwej domeny przez rozpoznawanie nazwy domeny złośliwego oprogramowania.

Zrzut ekranu przedstawiający sekcję Zabezpieczenia DNS.

Po wybraniu adresu IP klienta na liście zostanie otwarte wyszukiwanie dzienników i zostanie wyświetlone szczegóły wyszukiwania odpowiedniego zapytania. W poniższym przykładzie usługa DNS Analytics wykryła, że komunikacja została wykonana za pomocą bota IRCbot:

Zrzut ekranu przedstawiający wyniki wyszukiwania w dzienniku z komunikatem ircbot.

Te informacje ułatwiają zidentyfikowanie następujących informacji:

  • Adres IP klienta, który zainicjował komunikację.
  • Nazwa domeny rozpoznawana jako złośliwy adres IP.
  • Adresy IP rozpoznawane przez nazwę domeny.
  • Złośliwy adres IP.
  • Ważność problemu.
  • Przyczyna blokowania złośliwego adresu IP.
  • Czas wykrywania.

Domeny, których dotyczy zapytanie: zapewnia najczęściej wykonywane zapytania o nazwy domen przez klientów DNS w danym środowisku. Listę wszystkich zapytanych nazw domen można wyświetlić. Możesz również przejść do szczegółów żądania wyszukiwania określonej nazwy domeny w wyszukiwaniu dzienników.

Zrzut ekranu przedstawiający sekcję Domeny, których dotyczy zapytanie.

Klienci DNS: zgłasza, że klienci naruszają próg liczby zapytań w wybranym przedziale czasu. Listę wszystkich klientów DNS i szczegóły zapytań wykonanych przez nich można wyświetlić w obszarze Wyszukiwanie dzienników.

Zrzut ekranu przedstawiający sekcję Klienci DNS.

Dynamiczne rejestracje DNS: zgłasza błędy rejestracji nazw. Wszystkie błędy rejestracji rekordów zasobów adresów (Typ A i AAAA) są wyróżnione wraz z adresami IP klienta, które wysyłały żądania rejestracji. Następnie możesz użyć tych informacji, aby znaleźć główną przyczynę niepowodzenia rejestracji, wykonując następujące kroki:

  1. Znajdź strefę autorytatywną dla nazwy, którą klient próbuje zaktualizować.

  2. Użyj rozwiązania, aby sprawdzić informacje o spisie tej strefy.

  3. Sprawdź, czy aktualizacja dynamiczna strefy jest włączona.

  4. Sprawdź, czy strefa jest skonfigurowana pod kątem bezpiecznej aktualizacji dynamicznej, czy nie.

    Zrzut ekranu przedstawiający sekcję Dynamiczne rejestracje DNS.

Żądania rejestracji nazw: górny kafelek przedstawia linię trendu pomyślnych i zakończonych niepowodzeniem żądań aktualizacji dynamicznych DNS. Niższy kafelek zawiera listę 10 pierwszych klientów, którzy wysyłają nieudane żądania aktualizacji DNS do serwerów DNS, posortowane według liczby błędów.

Zrzut ekranu przedstawiający sekcję Żądania rejestracji nazw.

Przykładowe zapytania analizy DDI: zawiera listę najczęściej używanych zapytań wyszukiwania, które bezpośrednio pobierają nieprzetworzone dane analityczne.

Zrzut ekranu przedstawiający przykładowe zapytania.

Możesz użyć tych zapytań jako punktu wyjścia do tworzenia własnych zapytań na potrzeby niestandardowego raportowania. Zapytania łączą się ze stroną wyszukiwania dzienników usługi DNS Analytics , na której są wyświetlane wyniki:

  • Lista serwerów DNS: przedstawia listę wszystkich serwerów DNS ze skojarzona nazwą FQDN, nazwą domeny, nazwą lasu i adresami IP serwera.

  • Lista stref DNS: przedstawia listę wszystkich stref DNS z skojarzoną nazwą strefy, stanem aktualizacji dynamicznej, serwerami nazw i stanem podpisywania DNSSEC.

  • Nieużywane rekordy zasobów: przedstawia listę wszystkich nieużywanych/nieaktualnych rekordów zasobów. Ta lista zawiera nazwę rekordu zasobu, typ rekordu zasobu, skojarzony serwer DNS, czas generowania rekordu i nazwę strefy. Za pomocą tej listy można zidentyfikować rekordy zasobów DNS, które nie są już używane. Na podstawie tych informacji można następnie usunąć te wpisy z serwerów DNS.

  • Ładowanie zapytań serwerów DNS: przedstawia informacje umożliwiające uzyskanie perspektywy obciążenia DNS na serwerach DNS. Te informacje mogą pomóc w zaplanowaniu pojemności serwerów. Możesz przejść do karty Metryki , aby zmienić widok na wizualizację graficzną. Ten widok pomaga zrozumieć, jak obciążenie DNS jest dystrybuowane na serwerach DNS. Przedstawia trendy szybkości zapytań DNS dla każdego serwera.

    Zrzut ekranu przedstawiający wyniki wyszukiwania w dzienniku zapytań serwerów DNS.

  • Ładowanie zapytań stref DNS: przedstawia statystyki strefy DNS zapytania na sekundę wszystkich stref na serwerach DNS zarządzanych przez rozwiązanie. Wybierz kartę Metryki , aby zmienić widok ze szczegółowych rekordów na graficzną wizualizację wyników.

  • Zdarzenia konfiguracji: pokazuje wszystkie zdarzenia zmiany konfiguracji DNS i skojarzone komunikaty. Następnie można filtrować te zdarzenia na podstawie czasu zdarzenia, identyfikatora zdarzenia, serwera DNS lub kategorii zadań. Dane mogą pomóc w inspekcji zmian wprowadzonych na określonych serwerach DNS w określonych momentach.

  • Dziennik analityczny DNS: przedstawia wszystkie zdarzenia analityczne na wszystkich serwerach DNS zarządzanych przez rozwiązanie. Następnie można filtrować te zdarzenia na podstawie czasu zdarzenia, identyfikatora zdarzenia, serwera DNS, adresu IP klienta, który wykonał zapytanie wyszukiwania i kategorii zadań typu zapytania. Zdarzenia analityczne serwera DNS umożliwiają śledzenie aktywności na serwerze DNS. Zdarzenie analityczne jest rejestrowane za każdym razem, gdy serwer wysyła lub odbiera informacje DNS.

Na stronie Przeszukiwanie dzienników możesz utworzyć zapytanie. Wyniki wyszukiwania można filtrować przy użyciu kontrolek aspektów. Możesz również tworzyć zaawansowane zapytania, aby przekształcać, filtrować i raportować wyniki. Zacznij od użycia następujących zapytań:

  1. W polu zapytania wyszukiwania wprowadź , DnsEvents aby wyświetlić wszystkie zdarzenia DNS generowane przez serwery DNS zarządzane przez rozwiązanie. Wyniki zawierają listę danych dziennika dla wszystkich zdarzeń związanych z zapytaniami wyszukiwania, dynamicznymi rejestracjami i zmianami konfiguracji.

    Zrzut ekranu przedstawiający wyszukiwanie w dzienniku DnsEvents.

    1. Aby wyświetlić dane dziennika dla zapytań odnośników, wybierz pozycję LookUpQuery jako filtr Podtypu z kontrolki aspektu po lewej stronie. Zostanie wyświetlona tabela zawierająca wszystkie zdarzenia zapytania wyszukiwania dla wybranego okresu.

    2. Aby wyświetlić dane dziennika dla rejestracji dynamicznych, wybierz pozycję DynamicRegistration jako filtr Subtype z kontrolki aspektu po lewej stronie. Zostanie wyświetlona tabela zawierająca listę wszystkich zdarzeń rejestracji dynamicznej dla wybranego okresu.

    3. Aby wyświetlić dane dziennika pod kątem zmian konfiguracji, wybierz pozycję ConfigurationChange jako filtr Subtype z kontrolki aspektu po lewej stronie. Zostanie wyświetlona tabela zawierająca listę wszystkich zdarzeń zmiany konfiguracji dla wybranego okresu.

  2. W polu zapytania wyszukiwania wprowadź , DnsInventory aby wyświetlić wszystkie dane związane z spisem DNS dla serwerów DNS zarządzanych przez rozwiązanie. Wyniki zawierają listę danych dziennika dla serwerów DNS, stref DNS i rekordów zasobów.

    Zrzut ekranu przedstawiający wyszukiwanie w dzienniku DnsInventory.

Rozwiązywanie problemów

Typowe kroki rozwiązywania problemów:

  • Brakujące dane wyszukiwania DNS: aby rozwiązać ten problem, spróbuj zresetować konfigurację lub załadować stronę konfiguracji raz w portalu. Aby zresetować, zmień ustawienie na inną wartość, zmień ją z powrotem na oryginalną wartość i zapisz konfigurację.

Sugestie

Aby przekazać opinię, zobacz stronę UserVoice usługi Log Analytics , aby opublikować pomysły dotyczące funkcji usługi DNS Analytics do pracy.

Następne kroki

Przejrzyj dzienniki zapytań , aby wyświetlić szczegółowe rekordy dziennika DNS.