Partilhar via

Referência do conector DNS sobre AMA – campos disponíveis e esquema de normalização

  • Artigo

O Microsoft Sentinel permite-lhe transmitir e filtrar eventos dos registos do servidor do Sistema de Nomes de Domínio (DNS) do Windows para a ASimDnsActivityLog tabela de esquema normalizada. Este artigo descreve os campos utilizados para filtrar os dados e o esquema de normalização para os campos do servidor DNS do Windows.

O Agente do Azure Monitor (AMA) e a extensão DNS estão instalados no Windows Server para carregar dados dos registos analíticos do DNS para a área de trabalho do Microsoft Sentinel. Pode transmitir em fluxo e filtrar os dados através dos Eventos DNS do Windows através do conector AMA.

Campos disponíveis para filtragem

Esta tabela mostra os campos disponíveis. Os nomes dos campos são normalizados com o esquema DNS.

Nome do campo Valores Descrição
EventOriginalType Números entre 256 e 280 O eventID do DNS do Windows, que indica o tipo de evento do protocolo DNS.
EventResultDetails • NOERROR
• EXR
• SERVFAIL
• NXDOMAIN
• NOTIMP
• RECUSADO
• YXDOMAIN
• YXRRSET
• NXRRSET
• NOTAUTH
• NOTZONE
• DSOTYPENI
• BADVERS
• BADSIG
• BADKEY
• BADTIME
• BADALG
• BADTRUNC
• BADCOOKIE		 A cadeia de resultados DNS da operação, conforme definido pela Autoridade de Números Atribuídos pela Internet (IANA).
DvcIpAdrr Endereços IP O endereço IP do servidor que reporta o evento. Este campo também inclui geolocalização e informações de IP maliciosas.
DnsQuery Nomes de domínio (FQDN) A cadeia que representa o nome de domínio a resolver.
• Pode aceitar múltiplos valores numa lista separada por vírgulas e carateres universais. Por exemplo:
*.microsoft.com,google.com,facebook.com
• Reveja estas considerações para utilizar carateres universais.
DnsQueryTypeName • A
• NS
• MD
• MF
• CNAME
• SOA
• MB
• MG
• MR
• NULO
• WKS
• PTR
• HINFO
• MINFO
• MX
• TXT
• RP
• AFSDB
• X25
• ISDN
• RT
• NSAP
• NSAP-PTR
• SIG
• TECLA
• PX
• GPOS
• AAAA
• LOC
• NXT
• EID
• NIMLOC
• SRV		 O atributo DNS pedido. O nome do tipo de registo de recurso DNS, conforme definido pela IANA.

Esquema DNS normalizado do ASIM

Esta tabela descreve e traduz os campos do servidor DNS do Windows para os nomes de campo normalizados, tal como aparecem no esquema de normalização DNS.

Nome do campo DNS do Windows Nome de campo normalizado Tipo Descrição
ID do Evento EventOriginalType String O tipo ou ID de evento original.
RCODE EventResult String O resultado do evento (êxito, parcial, falha, NA).
RCODE analisado EventResultDetails String O código de resposta DNS, conforme definido pela IANA.
InterfaceIP DvcIpAdrr String O endereço IP do dispositivo ou interface de relatório de eventos.
AA DnsFlagsAuthoritative Número inteiro Indica se a resposta do servidor foi autoritativa.
AD DnsFlagsAuthenticated Número inteiro Indica que o servidor verificou todos os dados na resposta e a autoridade da resposta, de acordo com as políticas do servidor.
RQNAME DnsQuery String O domínio tem de ser resolvido.
QTYPE DnsQueryType Número inteiro O tipo de registo de recursos DNS, conforme definido pela IANA.
Porta SrcPortNumber Número inteiro Porta de origem a enviar a consulta.
Origem SrcIpAddr Endereço IP O endereço IP do cliente que envia o pedido DNS. Para um pedido DNS recursivo, este valor é normalmente o IP do dispositivo de relatório, na maioria dos casos, 127.0.0.1.
ElapsedTime DnsNetworkDuration Número inteiro O tempo que demorou a concluir o pedido DNS.
GUID DnsSessionId String O identificador de sessão DNS, conforme comunicado pelo dispositivo de relatório.

Passos seguintes

Neste artigo, ficou a conhecer os campos utilizados para filtrar dados de registo DNS com os eventos DNS do Windows através do conector AMA. Para saber mais sobre o Microsoft Sentinel, veja os seguintes artigos: