Conector de logs de DNS do NXLog para o Microsoft Sentinel
O conector de dados de DNS NXLog usa o Rastreamento de Eventos para Windows (ETW) para coletar tanto os eventos de Auditoria quanto Analíticos do Servidor DNS. Para máxima eficiência, o módulo im_etw do NXLog lê dados de rastreamento de eventos diretamente, sem precisar capturar o rastreamento de eventos em um arquivo .etl. Esse conector de API REST pode encaminhar eventos do Servidor DNS ao Microsoft Sentinel em tempo real.
Esse conteúdo foi gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | NXLog_DNS_Server_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | NXLog |
Exemplos de consulta
5 principais hostlookups do Servidor DNS
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
5 principais EventOriginalTypes (IDs de evento) do Servidor DNS
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
Eventos analíticos do Servidor DNS por segundo (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Instruções de instalação do fornecedor
Observação
Esse conector de dados depende de analisadores baseados em funções do Kusto implantadas com a Solução Microsoft Sentinel para funcionar conforme o esperado. O **ASimDnsMicrosoftNXLog ** foi projetado para aproveitar os recursos de análise relacionados ao DNS integrados no Microsoft Sentinel.
Siga as instruções passo a passo no Tópico de Integração Microsoft Sentinel do Guia do Usuário do NXLog para configurar esse conector.