Aracılığıyla paylaş

DNS Analytics önizleme çözümüyle DNS altyapınız hakkında içgörüler toplayın

  • Makale

DNS Analizi simgesi.

Bu makalede, güvenlik, performans ve işlemler hakkında DNS altyapısıyla ilgili içgörüler toplamak için Azure İzleyici'de Azure DNS Analytics çözümünü ayarlama ve kullanma işlemleri açıklanmaktadır.

DNS Analytics şunları oluşturmanıza yardımcı olur:

  • Kötü amaçlı etki alanı adlarını çözümlemeye çalışan istemcileri belirleyin.
  • Eski kaynak kayıtlarını tanımlama.
  • Sık sorgulanan etki alanı adlarını ve talkative DNS istemcilerini belirleyin.
  • DNS sunucularında istek yükünü görüntüleyin.
  • Dinamik DNS kayıt hatalarını görüntüleyin.

Çözüm, Dns sunucularınızdaki Windows DNS analiz ve denetim günlüklerini ve diğer ilgili verileri toplar, analiz eder ve ilişkilendirır.

Önemli

Log Analytics aracısı 31 Ağustos 2024'te kullanımdan kaldırılacaktır. Microsoft Sentinel dağıtımınızda Log Analytics aracısını kullanıyorsanız Azure İzleyici Aracısı'na geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz. Microsoft Sentinel için Azure İzleyici Aracısı geçişi.

Bağlı kaynaklar

Aşağıdaki tabloda, bu çözüm tarafından desteklenen bağlı kaynaklar açıklanmaktadır:

Bağlı kaynak Destek Açıklama
Windows aracıları Yes Çözüm, Windows aracılarından DNS bilgilerini toplar.
Linux aracıları No Çözüm, doğrudan Linux aracılarından DNS bilgilerini toplamaz.
System Center Operations Manager yönetim grubu Yes Çözüm, bağlı bir Operations Manager yönetim grubundaki aracılardan DNS bilgilerini toplar. Operations Manager aracısından Azure İzleyici'ye doğrudan bağlantı gerekmez. Veriler yönetim grubundan Log Analytics çalışma alanına iletilir.
Azure Storage hesabı No Azure Depolama çözüm tarafından kullanılmaz.

Veri toplama ayrıntıları

Çözüm, Log Analytics aracısının yüklü olduğu DNS sunucularından DNS envanteri ve DNS olayla ilgili verileri toplar. Bu veriler daha sonra Azure İzleyici'ye yüklenir ve çözüm panosunda görüntülenir. DNS sunucularının, bölgelerin ve kaynak kayıtlarının sayısı gibi envanterle ilgili veriler, DNS PowerShell cmdlet'leri çalıştırılarak toplanır. Veriler iki günde bir güncelleştirilir. Olayla ilgili veriler, Windows Server 2012 R2'deki gelişmiş DNS günlüğü ve tanılamaları tarafından sağlanan analiz ve denetim günlüklerinden neredeyse gerçek zamanlı olarak toplanır.

Yapılandırma

Çözümü yapılandırmak için aşağıdaki bilgileri kullanın:

Çözüm, daha fazla yapılandırmaya gerek kalmadan veri toplamaya başlar. Ancak, veri toplamayı özelleştirmek için aşağıdaki yapılandırmayı kullanabilirsiniz.

Çözümü yapılandırma

Azure portal Log Analytics çalışma alanından Çalışma alanı özeti (kullanım dışı) öğesini seçin. Ardından DNS Analizi kutucuğunu seçin. Çözüm panosunda Yapılandırma'yı seçerek DNS Analytics Yapılandırması sayfasını açın. Yapabileceğiniz iki tür yapılandırma değişikliği vardır:

  • İzin Verilenler Listesine Alınan Etki Alanı Adları: Çözüm tüm arama sorgularını işlemez. Etki alanı adı soneklerini içeren bir izin verilenler listesi tutar. Bu izin verilenler listesindeki etki alanı adı sonekleri ile eşleşen etki alanı adlarına çözümlenen arama sorguları çözüm tarafından işlenmez. İzin verilenler listesine alınan etki alanı adlarının işlenmemesi, Azure İzleyici'ye gönderilen verilerin iyileştirilmesine yardımcı olur. Varsayılan izin verilenler listesi, www.google.com ve www.facebook.com gibi popüler genel etki alanı adlarını içerir. Kaydırarak varsayılan listenin tamamını görüntüleyebilirsiniz.

    Arama içgörülerini görüntülemek istediğiniz etki alanı adı sonekini eklemek için listeyi değiştirebilirsiniz. Arama içgörülerini görüntülemek istemediğiniz etki alanı adı sonekini de kaldırabilirsiniz.

  • Konuşma İstemcisi Eşiği: Arama isteği sayısı eşiğini aşan DNS istemcileri, DNS İstemcileri bölmesinde vurgulanır. Varsayılan eşik 1.000'dir. Eşiği düzenleyebilirsiniz.

    İzin Verilenler listesine alınan etki alanı adlarını gösteren ekran görüntüsü.

Yönetim paketleri

Log Analytics çalışma alanınıza bağlanmak için Microsoft Monitoring Agent kullanıyorsanız aşağıdaki yönetim paketi yüklenir:

  • Microsoft DNS Veri Toplayıcısı Yönetim Bilgileri Paketi (Microsoft.IntelligencePacks.Dns)

Operations Manager yönetim grubunuz Log Analytics çalışma alanınıza bağlıysa, bu çözümü eklediğinizde Operations Manager'a aşağıdaki yönetim paketleri yüklenir. Bu yönetim paketlerinin yapılandırması veya bakımı gerekli değildir:

  • Microsoft DNS Veri Toplayıcısı Yönetim Bilgileri Paketi (Microsoft.IntelligencePacks.Dns)
  • Microsoft System Center Advisor DNS Analytics Yapılandırması (Microsoft.IntelligencePack.Dns.Configuration)

Çözüm yönetim paketlerini güncelleştirme hakkında daha fazla bilgi için bkz. Operations Manager'ı Log Analytics’e Bağlama.

DNS Analytics çözümünü kullanma

Bu izleme çözümü tarafından toplanan veriler, Azure portal Çalışma Alanı Özeti (kullanım dışı) sayfasında bulunabilir. Çözümünüzle birlikte çalışma alanının Log Analytics çalışma alanlarından bu sayfayı açın ve ardından menünün Klasikbölümünden Çalışma Alanı Özeti (kullanım dışı) seçeneğini belirleyin. Her çözüm bir kutucukla temsil edilir. Bu çözüm tarafından toplanan daha ayrıntılı veriler için bir kutucuk seçin.

DNS kutucuğu, verilerin toplandığı DNS sunucularının sayısını içerir. Ayrıca istemciler tarafından son 24 saat içinde kötü amaçlı etki alanlarını çözümlemek için yapılan istek sayısını da içerir. Bir kutucuğu seçtiğinizde çözüm panosu açılır.

DNS Analytics kutucuğunu gösteren ekran görüntüsü.

Çözüm panosu

Çözüm panosunda çözümün çeşitli özelliklerine ilişkin özet bilgiler gösterilir. Ayrıca adli analiz ve tanı için ayrıntılı görünümün bağlantılarını içerir. Varsayılan olarak, veriler son yedi güne ilişkin olarak gösterilir. Aşağıdaki resimde gösterildiği gibi tarih-saat seçim denetimini kullanarak tarih ve saat aralığını değiştirebilirsiniz:

Saat seçimi denetimini gösteren ekran görüntüsü.

Çözüm panosu aşağıdaki bölümleri gösterir:

DNS Güvenliği: Kötü amaçlı etki alanlarıyla iletişim kurmaya çalışan DNS istemcilerini raporlar. DNS Analytics, Microsoft tehdit bilgileri akışlarını kullanarak kötü amaçlı etki alanlarına erişmeye çalışan istemci IP'lerini algılayabilir. Çoğu durumda, kötü amaçlı yazılımdan etkilenen cihazlar kötü amaçlı yazılım etki alanı adını çözümleyerek kötü amaçlı etki alanının "komut ve denetim" merkezine "arama" yapılır.

DNS Güvenliği bölümünü gösteren ekran görüntüsü.

Listeden bir istemci IP'sini seçtiğinizde Günlük Araması açılır ve ilgili sorgunun arama ayrıntılarını gösterir. Aşağıdaki örnekte DNS Analytics, iletişimin bir IRCbot ile yapıldığını algılamıştı:

ircbot'un gösterildiği günlük arama sonuçlarını gösteren ekran görüntüsü.

Bilgiler şunları belirlemenize yardımcı olur:

  • İletişimi başlatan istemci IP'i.
  • Kötü amaçlı IP'ye çözümleyen etki alanı adı.
  • Etki alanı adının çözümlenebilen IP adresleri.
  • Kötü amaçlı IP adresi.
  • Sorunun önem derecesi.
  • Kötü amaçlı IP'yi engelleme nedeni.
  • Algılama süresi.

Sorgulanan Etki Alanları: Ortamınızdaki DNS istemcileri tarafından sorgulanan en sık kullanılan etki alanı adlarını sağlar. Sorgulanan tüm etki alanı adlarının listesini görüntüleyebilirsiniz. Günlük Araması'nda belirli bir etki alanı adının arama isteği ayrıntılarına da gidebilirsiniz.

Sorgulanan Etki Alanları bölümünü gösteren ekran görüntüsü.

DNS İstemcileri: Seçilen zaman aralığındaki sorgu sayısı için eşiği ihlal eden istemcileri raporlar. Tüm DNS istemcilerinin listesini ve bunlar tarafından yapılan sorguların ayrıntılarını Günlük Arama'da görüntüleyebilirsiniz.

DNS İstemcileri bölümünü gösteren ekran görüntüsü.

Dinamik DNS Kayıtları: Ad kayıt hatalarını bildirir. Adres kaynak kayıtları (Tür A ve AAAA) için tüm kayıt hataları, kayıt isteklerini yapan istemci IP'leriyle birlikte vurgulanır. Bu bilgileri daha sonra aşağıdaki adımları izleyerek kayıt hatasının kök nedenini bulmak için kullanabilirsiniz:

  1. İstemcinin güncelleştirmeye çalıştığı ad için yetkili bölgeyi bulun.

  2. Bu bölgenin envanter bilgilerini denetlemek için çözümü kullanın.

  3. Bölge için dinamik güncelleştirmenin etkinleştirildiğini doğrulayın.

  4. Bölgenin güvenli dinamik güncelleştirme için yapılandırılıp yapılandırılmadığını denetleyin.

    Dinamik DNS Kayıtları bölümünü gösteren ekran görüntüsü.

Ad kayıt istekleri: Üst kutucuk, başarılı ve başarısız DNS dinamik güncelleştirme isteklerinin eğilim çizgisini gösterir. Alt kutucuk, DNS sunucularına başarısız DNS güncelleştirme istekleri gönderen ilk 10 istemciyi hata sayısına göre sıralanmış olarak listeler.

Kayıt isteklerini adlandır bölümünü gösteren ekran görüntüsü.

Örnek DDI Analytics Sorguları: Ham analiz verilerini doğrudan getiren en yaygın arama sorgularının listesini içerir.

Örnek sorguları gösteren ekran görüntüsü.

Özelleştirilmiş raporlama için kendi sorgularınızı oluşturmak için başlangıç noktası olarak bu sorguları kullanabilirsiniz. Sorgular, sonuçların görüntülendiği DNS Analytics Günlük Araması sayfasına bağlanır:

  • DNS Sunucularının Listesi: İlişkili FQDN'leri, etki alanı adları, orman adları ve sunucu IP'leriyle tüm DNS sunucularının listesini gösterir.

  • DNS Bölgeleri Listesi: İlişkili bölge adı, dinamik güncelleştirme durumu, ad sunucuları ve DNSSEC imzalama durumuna sahip tüm DNS bölgelerinin listesini gösterir.

  • Kullanılmayan Kaynak Kayıtları: Kullanılmayan/eski kaynak kayıtlarının listesini gösterir. Bu liste kaynak kaydı adını, kaynak kayıt türünü, ilişkili DNS sunucusunu, kayıt oluşturma süresini ve bölge adını içerir. Artık kullanımda olmayan DNS kaynak kayıtlarını belirlemek için bu listeyi kullanabilirsiniz. Bu bilgilere bağlı olarak, bu girdileri DNS sunucularından kaldırabilirsiniz.

  • DNS Sunucuları Sorgu Yükü: DNS sunucularınızdaki DNS yüküne ilişkin bir perspektif elde edebilmeniz için bilgileri gösterir. Bu bilgiler, sunucuların kapasitesini planlamanıza yardımcı olabilir. Görünümü grafik görselleştirme olarak değiştirmek için Ölçümler sekmesine gidebilirsiniz. Bu görünüm, DNS yükünün DNS sunucularınıza nasıl dağıtıldığı hakkında bilgi edinmenize yardımcı olur. Her sunucu için DNS sorgu hızı eğilimlerini gösterir.

    DNS sunucularının sorgu günlüğü arama sonuçlarını gösteren ekran görüntüsü.

  • DNS Bölgeleri Sorgu Yükü: Çözüm tarafından yönetilen DNS sunucularında tüm bölgelerin DNS bölge-sorgu/saniye istatistiklerini gösterir. Ayrıntılı kayıtlardan sonuçların grafik görselleştirmesine geçmek için Ölçümler sekmesini seçin.

  • Yapılandırma Olayları: Tüm DNS yapılandırma değişikliği olaylarını ve ilişkili iletileri gösterir. Ardından bu olayları olayın zamanına, olay kimliğine, DNS sunucusuna veya görev kategorisine göre filtreleyebilirsiniz. Veriler, belirli zamanlarda belirli DNS sunucularında yapılan değişiklikleri denetlemenize yardımcı olabilir.

  • DNS Analiz Günlüğü: Çözüm tarafından yönetilen tüm DNS sunucularında tüm analitik olayları gösterir. Ardından bu olayları olayın zamanına, olay kimliğine, DNS sunucusuna, arama sorgusunu yapan istemci IP'sine ve sorgu türü görev kategorisine göre filtreleyebilirsiniz. DNS sunucusu analiz olayları, DNS sunucusunda etkinlik izlemeyi etkinleştirir. Sunucu DNS bilgilerini her gönderdiğinde veya aldığında bir analitik olay günlüğe kaydedilir.

Günlük Araması sayfasında bir sorgu oluşturabilirsiniz. Model denetimlerini kullanarak arama sonuçlarınızı filtreleyebilirsiniz. Sonuçlarınızı dönüştürmek, filtrelemek ve raporlamak için gelişmiş sorgular da oluşturabilirsiniz. Aşağıdaki sorguları kullanarak başlayın:

  1. Arama sorgusu kutusuna, çözüm tarafından yönetilen DNS sunucuları tarafından oluşturulan tüm DNS olaylarını görüntülemek için girin DnsEvents . Sonuçlar arama sorguları, dinamik kayıtlar ve yapılandırma değişiklikleriyle ilgili tüm olayların günlük verilerini listeler.

    DnsEvents günlük aramasını gösteren ekran görüntüsü.

    1. Arama sorgularının günlük verilerini görüntülemek için soldaki model denetiminden Alt Tür filtresi olarak LookUpQuery'yi seçin. Seçili zaman aralığına ait tüm arama sorgusu olaylarını listeleyen bir tablo görüntülenir.

    2. Dinamik kayıtların günlük verilerini görüntülemek için soldaki model denetiminden Alt Tür filtresi olarak DynamicRegistration'ı seçin. Seçili zaman aralığı için tüm dinamik kayıt olaylarını listeleyen bir tablo görüntülenir.

    3. Yapılandırma değişikliklerinin günlük verilerini görüntülemek için sol taraftaki model denetiminden Alt Tür filtresi olarak ConfigurationChange'i seçin. Seçili zaman aralığına ait tüm yapılandırma değişikliği olaylarını listeleyen bir tablo görüntülenir.

  2. Arama sorgusu kutusuna, çözüm tarafından yönetilen DNS sunucuları için DNS envanteri ile ilgili tüm verileri görüntülemek için girin DnsInventory . Sonuçlar, DNS sunucuları, DNS bölgeleri ve kaynak kayıtları için günlük verilerini listeler.

    DnsInventory günlük aramasını gösteren ekran görüntüsü.

Sorun giderme

Yaygın sorun giderme adımları:

  • EKSIK DNS Arama Verileri: Bu sorunu gidermek için yapılandırmayı sıfırlamayı veya yapılandırma sayfasını portalda bir kez yüklemeyi deneyin. Sıfırlama için bir ayarı başka bir değerle değiştirin, özgün değere geri döndürerek yapılandırmayı kaydedin.

Öneriler

Geri bildirim sağlamak için Log Analytics UserVoice sayfasına bakın ve üzerinde çalışacak DNS Analytics özelliklerine ilişkin fikirler gönderin.

Sonraki adımlar

Ayrıntılı DNS günlük kayıtlarını görüntülemek için Sorgu günlüklerini gözden geçirin.