События WINDOWS DNS через соединитель AMA для Microsoft Sentinel
Соединитель журналов DNS Windows позволяет легко фильтровать и передавать все журналы аналитики с DNS-серверов Windows в рабочую область Microsoft Sentinel с помощью агента мониторинга Azure (AMA). Наличие этих данных в Microsoft Sentinel помогает выявлять проблемы и угрозы безопасности, такие как:
- Попытка разрешить вредоносные доменные имена.
- Устаревшие записи ресурсов.
- Часто запрашиваются доменные имена и разговорные DNS-клиенты.
- Атаки, выполняемые на DNS-сервере.
Вы можете получить следующие сведения о DNS-серверах Windows из Microsoft Sentinel:
- Все журналы, централизованные в одном месте.
- Загрузка запроса на DNS-серверы.
- Динамические сбои регистрации DNS.
События WINDOWS DNS поддерживаются расширенной информационной моделью SIEM (ASIM) и передают данные в таблицу ASimDnsActivityLogs. Подробнее.
Дополнительные сведения см. в документации по Microsoft Sentinel.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | ASimDnsActivityLogs |
| Поддержка правил сбора данных | DCR агента Azure Monitor |
| Поддерживается | Корпорация Майкрософт |
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.