Dela via

Samla in insikter om DIN DNS-infrastruktur med förhandsversionen av DNS Analytics

  • Artikel

DNS-analyssymbolen.

Den här artikeln beskriver hur du konfigurerar och använder Azure DNS Analytics-lösningen i Azure Monitor för att samla in insikter om DNS-infrastruktur för säkerhet, prestanda och åtgärder.

DNS-analys hjälper dig att:

  • Identifiera klienter som försöker lösa skadliga domännamn.
  • Identifiera inaktuella resursposter.
  • Identifiera vanliga domännamn och pratsamma DNS-klienter.
  • Visa begärandeinläsning på DNS-servrar.
  • Visa dynamiska DNS-registreringsfel.

Lösningen samlar in, analyserar och korrelerar Windows DNS-analys- och granskningsloggar och andra relaterade data från dina DNS-servrar.

Viktigt

Log Analytics-agenten dras tillbaka den 31 augusti 2024. Om du använder Log Analytics-agenten i din Microsoft Sentinel-distribution rekommenderar vi att du börjar planera migreringen till Azure Monitor-agenten. Mer information finns i Azure Monitor Agent-migrering för Microsoft Sentinel.

Anslutna källor

I följande tabell beskrivs de anslutna källor som stöds av den här lösningen:

Ansluten källa Support Description
Windows-agenter Yes Lösningen samlar in DNS-information från Windows-agenter.
Linux-agenter No Lösningen samlar inte in DNS-information från direkta Linux-agenter.
System Center Operations Manager-hanteringsgrupp Yes Lösningen samlar in DNS-information från agenter i en ansluten Operations Manager-hanteringsgrupp. En direktanslutning från Operations Manager-agenten till Azure Monitor krävs inte. Data vidarebefordras från hanteringsgruppen till Log Analytics-arbetsytan.
Azure-lagringskonto No Azure Storage används inte av lösningen.

Information om datainsamling

Lösningen samlar in DNS-inventering och DNS-händelserelaterade data från DNS-servrarna där en Log Analytics-agent är installerad. Dessa data laddas sedan upp till Azure Monitor och visas på lösningsinstrumentpanelen. Inventeringsrelaterade data, till exempel antalet DNS-servrar, zoner och resursposter, samlas in genom att köra DNS PowerShell-cmdletarna. Data uppdateras en gång varannan dag. Händelserelaterade data samlas in nära realtid från analys- och granskningsloggarna som tillhandahålls av förbättrad DNS-loggning och diagnostik i Windows Server 2012 R2.

Konfiguration

Använd följande information för att konfigurera lösningen:

Lösningen börjar samla in data utan ytterligare konfiguration. Du kan dock använda följande konfiguration för att anpassa datainsamlingen.

Konfigurera lösningen

Från Log Analytics-arbetsytan i Azure Portal väljer du Sammanfattning av arbetsyta (inaktuell). Välj sedan PANELEN DNS-analys . På lösningsinstrumentpanelen väljer du Konfiguration för att öppna sidan DNS-analyskonfiguration . Det finns två typer av konfigurationsändringar som du kan göra:

  • Tillåtna domännamn: Lösningen bearbetar inte alla uppslagsfrågor. Den har en lista över tillåtna domännamnssuffix. Uppslagsfrågorna som matchar domännamnen som matchar domännamnssuffixen i den här listan bearbetas inte av lösningen. Att inte bearbeta tillåtna domännamn hjälper till att optimera data som skickas till Azure Monitor. Standardlistan innehåller populära offentliga domännamn, till exempel www.google.com och www.facebook.com. Du kan visa den fullständiga standardlistan genom att rulla.

    Du kan ändra listan för att lägga till valfritt domännamnssuffix som du vill visa uppslagsinsikter för. Du kan också ta bort alla domännamnssuffix som du inte vill visa uppslagsinsikter för.

  • Tröskelvärde för pratsam klient: DNS-klienter som överskrider tröskelvärdet för antalet uppslagsbegäranden markeras i fönstret DNS-klienter . Standardtröskelvärdet är 1 000. Du kan redigera tröskelvärdet.

    Skärmbild som visar tillåtna domännamn.

Hanteringspaket

Om du använder Microsoft Monitoring Agent för att ansluta till Log Analytics-arbetsytan installeras följande hanteringspaket:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)

Om Operations Manager-hanteringsgruppen är ansluten till Log Analytics-arbetsytan installeras följande hanteringspaket i Operations Manager när du lägger till den här lösningen. Det finns ingen nödvändig konfiguration eller underhåll av dessa hanteringspaket:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
  • Dns-analyskonfiguration för Microsoft System Center Advisor (Microsoft.IntelligencePack.Dns.Configuration)

Mer information om hur lösningens hanteringspaket uppdateras finns i Anslut Operations Manager till Log Analytics.

Använda DNS Analytics-lösningen

Data som samlas in av den här övervakningslösningen är tillgängliga på sidan Sammanfattning av arbetsyta (inaktuell) i Azure Portal. Öppna den här sidan från Log Analytics-arbetsytorna för arbetsytan med din lösning och välj sedan Sammanfattning av arbetsyta (inaktuell) i det klassiska avsnittet på menyn. Varje lösning representeras av en panel. Välj en panel för mer detaljerade data som samlas in av lösningen.

DNS-panelen innehåller antalet DNS-servrar där data samlas in. Den innehåller också antalet begäranden från klienter för att lösa skadliga domäner under de senaste 24 timmarna. När du väljer en panel öppnas lösningsinstrumentpanelen.

Skärmbild som visar DNS Analytics-panelen.

Instrumentpanel för lösningen

Lösningsinstrumentpanelen visar sammanfattad information för de olika funktionerna i lösningen. Den innehåller även länkar till den detaljerade vyn för kriminalteknisk analys och diagnostik. Som standard visas data för de senaste sju dagarna. Du kan ändra datum- och tidsintervallet med hjälp av markeringskontrollen för datum och tid, enligt följande bild:

Skärmbild som visar tidsvalskontrollen.

Lösningsinstrumentpanelen visar följande avsnitt:

DNS-säkerhet: Rapporterar DE DNS-klienter som försöker kommunicera med skadliga domäner. Med hjälp av Microsofts hotinformationsflöden kan DNS Analytics identifiera klient-IP-adresser som försöker komma åt skadliga domäner. I många fall "ringer" skadlig kodinfekterade enheter ut till "kommando- och kontrollcentret" i den skadliga domänen genom att matcha domännamnet för skadlig kod.

Skärmbild som visar avsnittet DNS-säkerhet.

När du väljer en klient-IP i listan öppnas Loggsökning och visar uppslagsinformation för respektive fråga. I följande exempel upptäckte DNS Analytics att kommunikationen utfördes med en IRCbot:

Skärmbild som visar loggsökningsresultatet som visar ircbot.

Informationen hjälper dig att identifiera följande:

  • Klient-IP som initierade kommunikationen.
  • Domännamn som matchar den skadliga IP-adressen.
  • IP-adresser som domännamnet matchar.
  • Skadlig IP-adress.
  • Problemets allvarlighetsgrad.
  • Orsak till blockering av den skadliga IP-adressen.
  • Identifieringstid.

Efterfrågade domäner: Innehåller de vanligaste domännamnen som efterfrågas av DNS-klienterna i din miljö. Du kan visa listan över alla domännamn som efterfrågas. Du kan också öka detaljnivån för information om uppslagsbegäran för ett specifikt domännamn i Loggsökning.

Skärmbild som visar avsnittet Frågor om domäner.

DNS-klienter: Rapporterar att klienterna överskrider tröskelvärdet för antalet frågor under den valda tidsperioden. Du kan visa listan över alla DNS-klienter och information om de frågor som de har gjort i loggsökningen.

Skärmbild som visar avsnittet DNS-klienter.

Dynamiska DNS-registreringar: Rapporterar namnregistreringsfel. Alla registreringsfel för adressresursposter (typ A och AAAA) markeras tillsammans med de klient-IP-adresser som gjorde registreringsbegäranden. Du kan sedan använda den här informationen för att hitta rotorsaken till registreringsfelet genom att följa dessa steg:

  1. Leta upp zonen som är auktoritativ för det namn som klienten försöker uppdatera.

  2. Använd lösningen för att kontrollera inventeringsinformationen för den zonen.

  3. Kontrollera att den dynamiska uppdateringen för zonen är aktiverad.

  4. Kontrollera om zonen är konfigurerad för säker dynamisk uppdatering eller inte.

    Skärmbild som visar avsnittet Dynamiska DNS-registreringar.

Begäranden om namnregistrering: Den övre panelen visar en trendlinje med lyckade och misslyckade begäranden om dynamisk DNS-uppdatering. Den nedre panelen visar de 10 främsta klienterna som skickar misslyckade DNS-uppdateringsbegäranden till DNS-servrarna, sorterade efter antalet fel.

Skärmbild som visar avsnittet Namnregistreringsbegäranden.

Exempelfrågor för DDI-analys: Innehåller en lista över de vanligaste sökfrågorna som hämtar rådataanalysdata direkt.

Skärmbild som visar exempelfrågorna.

Du kan använda dessa frågor som utgångspunkt för att skapa egna frågor för anpassad rapportering. Frågelänken till sidan loggsökning i DNS-analys där resultaten visas:

  • Lista över DNS-servrar: Visar en lista över alla DNS-servrar med tillhörande FQDN, domännamn, skogsnamn och server-IP-adresser.

  • Lista över DNS-zoner: Visar en lista över alla DNS-zoner med associerat zonnamn, dynamisk uppdateringsstatus, namnservrar och DNSSEC-signeringsstatus.

  • Oanvända resursposter: Visar en lista över alla oanvända/inaktuella resursposter. Den här listan innehåller resurspostens namn, resursposttyp, associerad DNS-server, tid för postgenerering och zonnamn. Du kan använda den här listan för att identifiera dns-resursposter som inte längre används. Baserat på den här informationen kan du sedan ta bort dessa poster från DNS-servrarna.

  • Frågebelastning för DNS-servrar: Visar information så att du kan få ett perspektiv på DNS-belastningen på dina DNS-servrar. Den här informationen kan hjälpa dig att planera kapaciteten för servrarna. Du kan gå till fliken Mått för att ändra vyn till en grafisk visualisering. Den här vyn hjälper dig att förstå hur DNS-belastningen distribueras mellan dina DNS-servrar. Den visar trender för DNS-frågefrekvens för varje server.

    Skärmbild som visar sökresultatet för DNS-servrarnas frågelogg.

  • DNS-zonernas frågebelastning: Visar dns-zone-query-per-second-statistiken för alla zoner på DNS-servrarna som hanteras av lösningen. Välj fliken Mått för att ändra vyn från detaljerade poster till en grafisk visualisering av resultaten.

  • Konfigurationshändelser: Visar alla DNS-konfigurationsändringshändelser och associerade meddelanden. Du kan sedan filtrera dessa händelser baserat på tidpunkten för händelsen, händelse-ID, DNS-server eller aktivitetskategori. Data kan hjälpa dig att granska ändringar som gjorts på specifika DNS-servrar vid specifika tidpunkter.

  • DNS-analyslogg: Visar alla analyshändelser på alla DNS-servrar som hanteras av lösningen. Du kan sedan filtrera dessa händelser baserat på tidpunkten för händelsen, händelse-ID, DNS-server, klient-IP som gjorde uppslagsfrågan och aktivitetskategorin för frågetyp. Dns-serverns analyshändelser aktiverar aktivitetsspårning på DNS-servern. En analyshändelse loggas varje gång servern skickar eller tar emot DNS-information.

På sidan Loggsökning kan du skapa en fråga. Du kan filtrera sökresultaten med hjälp av fasetterade kontroller. Du kan också skapa avancerade frågor för att transformera, filtrera och rapportera om dina resultat. Börja med att använda följande frågor:

  1. I sökfrågerutan anger du DnsEvents för att visa alla DNS-händelser som genereras av DE DNS-servrar som hanteras av lösningen. I resultatet visas loggdata för alla händelser som rör uppslagsfrågor, dynamiska registreringar och konfigurationsändringar.

    Skärmbild som visar loggsökningen i DnsEvents.

    1. Om du vill visa loggdata för uppslagsfrågor väljer du LookUpQuery som undertypfilter från fasetteringskontrollen till vänster. En tabell som visar alla uppslagsfrågehändelser för den valda tidsperioden visas.

    2. Om du vill visa loggdata för dynamiska registreringar väljer du DynamicRegistration som undertypsfilter från fasetteringskontrollen till vänster. En tabell som visar alla dynamiska registreringshändelser för den valda tidsperioden visas.

    3. Om du vill visa loggdata för konfigurationsändringar väljer du ConfigurationChange som undertypsfilter från fasetteringskontrollen till vänster. En tabell som visar alla konfigurationsändringshändelser för den valda tidsperioden visas.

  2. I sökfrågerutan anger du DnsInventory för att visa alla DNS-inventeringsrelaterade data för de DNS-servrar som hanteras av lösningen. I resultatet visas loggdata för DNS-servrar, DNS-zoner och resursposter.

    Skärmbild som visar loggsökningen i DnsInventory.

Felsökning

Vanliga felsökningssteg:

  • Dns-sökningsdata saknas: Om du vill felsöka det här problemet kan du försöka återställa konfigurationen eller läsa in konfigurationssidan en gång i portalen. För återställning ändrar du en inställning till ett annat värde, ändrar tillbaka den till det ursprungliga värdet och sparar konfigurationen.

Förslag

Om du vill ge feedback kan du gå till sidan Log Analytics UserVoice för att publicera idéer för DNS-analysfunktioner att arbeta med.

Nästa steg

Granska Frågeloggar för att visa detaljerade DNS-loggposter.