Поделиться через


События WINDOWS DNS через соединитель AMA для Microsoft Sentinel

Соединитель журналов DNS Windows позволяет легко фильтровать и передавать все журналы аналитики с DNS-серверов Windows в рабочую область Microsoft Sentinel с помощью агента мониторинга Azure (AMA). Наличие этих данных в Microsoft Sentinel помогает выявлять проблемы и угрозы безопасности, такие как:

  • Попытка разрешить вредоносные доменные имена.
  • Устаревшие записи ресурсов.
  • Часто запрашиваются доменные имена и разговорные DNS-клиенты.
  • Атаки, выполняемые на DNS-сервере.

Вы можете получить следующие сведения о DNS-серверах Windows из Microsoft Sentinel:

  • Все журналы, централизованные в одном месте.
  • Загрузка запроса на DNS-серверы.
  • Динамические сбои регистрации DNS.

События WINDOWS DNS поддерживаются расширенной информационной моделью SIEM (ASIM) и передают данные в таблицу ASimDnsActivityLogs. Подробнее.

Дополнительные сведения см. в документации по Microsoft Sentinel.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics ASimDnsActivityLogs
Поддержка правил сбора данных DCR агента Azure Monitor
Поддерживается Корпорация Майкрософт

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.