Transmitir e filtrar dados de servidores DNS do Windows com o conector AMA
Este artigo descreve como usar o conector do Azure Monitor Agent (AMA) para transmitir e filtrar eventos dos logs do servidor DNS (Sistema de Nomes de Domínio) do Windows. Em seguida, você pode analisar profundamente seus dados para proteger seus servidores DNS contra ameaças e ataques.
O AMA e sua extensão DNS são instalados no Windows Server para carregar dados dos logs analíticos do DNS para o espaço de trabalho do Microsoft Sentinel. Saiba mais sobre o conector.
Descrição geral
Por que é importante monitorar a atividade do DNS
O DNS é um protocolo amplamente utilizado, que mapeia entre nomes de host e endereços IP legíveis por computador. Como o DNS não foi projetado com a segurança em mente, o serviço é altamente visado por atividades maliciosas, tornando seu registro uma parte essencial do monitoramento de segurança.
Algumas ameaças bem conhecidas que visam servidores DNS incluem:
- Ataques DDoS visando servidores DNS
- Amplificação DDoS de DNS
- Sequestro de DNS
- Tunelamento DNS
- Envenenamento de DNS
- Falsificação de DNS
- Ataque NXDOMAIN
- Ataques de domínio fantasma
Eventos DNS do Windows via conector AMA
Embora alguns mecanismos tenham sido introduzidos para melhorar a segurança geral deste protocolo, os servidores DNS ainda são um serviço altamente direcionado. As organizações podem monitorar os logs de DNS para entender melhor a atividade da rede e identificar comportamentos suspeitos ou ataques direcionados a recursos dentro da rede. Os eventos DNS do Windows via conector AMA fornecem esse tipo de visibilidade.
Com o conector, você pode:
- Identifique clientes que tentam resolver nomes de domínio mal-intencionados.
- Visualize e monitore cargas de solicitações em servidores DNS.
- Visualize falhas de registro de DNS dinâmico.
- Identifique nomes de domínio frequentemente consultados e clientes falantes.
- Identifique registros de recursos obsoletos.
- Veja todos os logs relacionados ao DNS em um só lugar.
Como funciona a recolha com os Eventos DNS do Windows através do conector AMA
O conector AMA usa a extensão DNS instalada para coletar e analisar os logs.
Nota
Atualmente, os Eventos DNS do Windows através do conector AMA suportam apenas atividades de eventos analíticos.
O conector transmite os eventos para o espaço de trabalho do Microsoft Sentinel para serem analisados posteriormente.
Agora você pode usar filtros avançados para filtrar eventos ou informações específicas. Com filtros avançados, você carrega apenas os dados valiosos que deseja monitorar, reduzindo custos e uso de largura de banda.
Normalização usando ASIM
Este conector é totalmente normalizado usando analisadores ASIM (Advanced Security Information Model). O conector transmite eventos originados dos logs analíticos para a tabela normalizada chamada ASimDnsActivityLogs
. Esta tabela atua como um tradutor, usando um idioma unificado, compartilhado em todos os conectores DNS futuros.
Para um analisador independente de origem que unifique todos os dados DNS e garanta que sua análise seja executada em todas as fontes configuradas, use o analisador _Im_Dns
unificador de DNS ASIM.
O analisador unificador ASIM complementa a tabela nativa ASimDnsActivityLogs
. Embora a tabela nativa seja compatível com ASIM, o analisador é necessário para adicionar recursos, como aliases, disponíveis apenas no momento da consulta e para combinar ASimDnsActivityLogs
com outras fontes de dados DNS.
O esquema DNS ASIM representa a atividade do protocolo DNS, conforme registrado no servidor DNS do Windows nos logs analíticos. O esquema é regido por listas de parâmetros oficiais e RFCs que definem campos e valores.
Consulte a lista de campos do servidor DNS do Windows traduzidos para os nomes de campos normalizados.
Configurar o conector DNS sobre AMA do Windows
Você pode configurar o conector de duas maneiras:
- Portal Microsoft Sentinel. Com essa configuração, você pode criar, gerenciar e excluir uma única Regra de Coleta de Dados (DCR) por espaço de trabalho. Mesmo que você defina vários DCRs por meio da API, o portal mostra apenas um único DCR.
- API. Com essa configuração, você pode criar, gerenciar e excluir vários DCRs.
Pré-requisitos
Antes de começar, verifique se você tem:
- A solução Microsoft Sentinel habilitada.
- Um espaço de trabalho definido do Microsoft Sentinel.
- Windows Server 2012 R2 com hotfix de auditoria e posterior.
- Um servidor DNS do Windows.
- Para coletar eventos de qualquer sistema que não seja uma máquina virtual do Azure, verifique se o Azure Arc está instalado. Instale e habilite o Azure Arc antes de habilitar o conector baseado no Azure Monitor Agent. Este requisito inclui:
- Servidores Windows instalados em máquinas físicas
- Servidores Windows instalados em máquinas virtuais locais
- Servidores Windows instalados em máquinas virtuais em nuvens que não sejam do Azure
Configurar o conector no portal (UI) do Microsoft Sentinel
Abra a página do conector e crie o DCR
- Abra o portal do Azure e navegue até o serviço Microsoft Sentinel.
- Na folha Conectores de dados, na barra de pesquisa, digite DNS.
- Selecione os Eventos DNS do Windows através do conector AMA .
- Abaixo da descrição do conector, selecione Abrir página do conector.
- Na área Configuração, selecione Criar regra de coleta de dados. Você pode criar um único DCR por espaço de trabalho. Se você precisar criar vários DCRs, use a API.
O nome DCR, a assinatura e o grupo de recursos são definidos automaticamente com base no nome do espaço de trabalho, na assinatura atual e no grupo de recursos do qual o conector foi selecionado.
Definir recursos (VMs)
Selecione a guia Recursos e selecione Adicionar Recurso(s).
Selecione as VMs nas quais você deseja instalar o conector para coletar logs.
Reveja as alterações e selecione Guardar>Aplicar.
Filtrar eventos indesejados
Ao usar filtros, você exclui o evento especificado pelo filtro. Em outras palavras, o Microsoft Sentinel não coleta dados para o evento especificado. Embora esta etapa não seja necessária, ela pode ajudar a reduzir custos e simplificar a triagem de eventos.
Para criar filtros:
Na página do conector, na área Configuração , selecione Adicionar filtros de coleta de dados.
Digite um nome para o filtro e selecione o tipo de filtro. O tipo de filtro é um parâmetro que reduz o número de eventos coletados. Os parâmetros são normalizados de acordo com o esquema normalizado DNS. Consulte a lista de campos disponíveis para filtragem.
Escolha os valores para os quais deseja filtrar o campo entre os valores listados na lista suspensa.
Para adicionar filtros complexos, selecione Adicionar campo de exclusão para filtrar e adicione o campo relevante. Veja exemplos na seção Usar filtros avançados abaixo.
Para adicionar mais novos filtros, selecione Adicionar novo filtro de exclusão.
Quando terminar de adicionar filtros, selecione Adicionar.
De volta à página principal do conector, selecione Aplicar alterações para salvar e implantar os filtros nos conectores. Para editar ou excluir filtros ou campos existentes, selecione os ícones de edição ou exclusão na tabela na área Configuração .
Para adicionar campos ou filtros após a implantação inicial, selecione Adicionar filtros de coleta de dados novamente.
Configurar o conector com a API
Você pode criar DCRs usando a API. Use esta opção se precisar criar vários DCRs.
Use este exemplo como um modelo para criar ou atualizar um DCR:
URL e cabeçalho da solicitação
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview
Corpo do pedido
{
"properties": {
"dataSources": {
"windowsEventLogs": [],
"extensions": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"extensionName": "MicrosoftDnsAgent",
"extensionSettings": {
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"260"
]
}
]
}
]
},
"name": "SampleDns"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
"workspaceId": {WorkspaceGuid}",
"name": "WorkspaceDestination"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"destinations": [
" WorkspaceDestination "
]
}
],
},
"location": "eastus2",
"tags": {},
"kind": "Windows",
"id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"type": "Microsoft.Insights/dataCollectionRules",
}
Usar filtros avançados
Os logs de eventos do servidor DNS podem conter um grande número de eventos. Você pode usar a filtragem avançada para filtrar eventos desnecessários antes que os dados sejam carregados, economizando tempo e custos valiosos de triagem. Os filtros removem os dados desnecessários do fluxo de eventos carregados no seu espaço de trabalho.
Os filtros baseiam-se numa combinação de vários campos.
- Você pode usar vários valores para cada campo usando uma lista separada por vírgula.
- Para criar filtros compostos, use campos diferentes com uma relação AND.
- Para combinar diferentes filtros, use uma relação OR entre eles.
Analise os campos disponíveis para filtragem.
Utilizar carateres universais
Você pode usar curingas em filtros avançados. Analise estas considerações ao usar curingas:
- Adicione um ponto após cada asterisco (
*.
). - Não use espaços entre a lista de domínios.
- Os curingas aplicam-se apenas aos subdomínios do domínio, incluindo
www.domain.com
, independentemente do protocolo. Por exemplo, se você usar*.domain.com
em um filtro avançado:- O filtro se aplica a
www.domain.com
esubdomain.domain.com
, independentemente de o protocolo ser HTTPS, FTP e assim por diante. - O filtro não se aplica ao
domain.com
. Para aplicar um filtro aodomain.com
, especifique o domínio diretamente, sem usar um curinga.
- O filtro se aplica a
Exemplos avançados de filtros
Não colete IDs de eventos específicos
Esse filtro instrui o conector a não coletar EventID 256 ou EventID 257 ou EventID 260 com endereços IPv6.
Usando o portal Microsoft Sentinel:
Crie um filtro com o campo EventOriginalType , usando o operador Equals , com os valores 256, 257 e 260.
Crie um filtro com o campo EventOriginalType definido acima e usando o operador And , incluindo também o campo DnsQueryTypeName definido como AAAA.
Usando a API:
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"256", "257", "260"
]
},
{
"Field": "DnsQueryTypeName",
"FieldValues": [
"AAAA"
]
}
]
},
{
"FilterName": "EventResultDetails",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"230"
]
},
{
"Field": "EventResultDetails",
"FieldValues": [
"BADKEY","NOTZONE"
]
}
]
}
]
Não colete eventos com domínios específicos
Esse filtro instrui o conector a não coletar eventos de nenhum subdomínio de microsoft.com, google.com, amazon.com ou eventos de facebook.com ou center.local.
Usando o portal Microsoft Sentinel:
Defina o campo DnsQuery usando o operador Equals , com a lista *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local.
Analise estas considerações para usar curingas.
Para definir valores diferentes em um único campo, use o operador OR .
Usando a API:
Analise estas considerações para usar curingas.
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "DnsQuery",
"FieldValues": [
"*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"
]
},
}
}
]
Próximos passos
Neste artigo, você aprendeu como configurar os eventos DNS do Windows por meio do conector AMA para carregar dados e filtrar seus logs DNS do Windows. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Saiba como obter visibilidade dos seus dados e potenciais ameaças.
- Comece a detetar ameaças com o Microsoft Sentinel.
- Use pastas de trabalho para monitorar seus dados.