AMA bağlayıcısı ile Windows DNS sunucularından veri akışı ve filtreleme
Bu makalede, Windows Etki Alanı Adı Sistemi (DNS) sunucu günlüklerinizdeki olayları akışa almak ve filtrelemek için Azure İzleyici Aracısı (AMA) bağlayıcısının nasıl kullanılacağı açıklanmaktadır. Ardından, DNS sunucularınızı tehditlere ve saldırılara karşı korumak için verilerinizi derinlemesine analiz edebilirsiniz.
AMA ve DNS uzantısı, DNS analiz günlüklerinizdeki verileri Microsoft Sentinel çalışma alanınıza yüklemek için Windows Server'ınıza yüklenir. Bağlayıcı hakkında bilgi edinin.
Genel bakış
DNS etkinliğini izlemek neden önemlidir?
DNS, ana bilgisayar adları ve bilgisayar tarafından okunabilir IP adresleri arasında eşlenen, yaygın olarak kullanılan bir protokoldür. DNS, güvenlik göz önünde bulundurularak tasarlanmadığından, hizmet kötü amaçlı etkinlikler tarafından yüksek oranda hedeflenerek günlüğe kaydedilmesi güvenlik izlemesinin temel bir parçası haline getiriliyor.
DNS sunucularını hedefleyen bazı iyi bilinen tehditler şunlardır:
- DNS sunucularını hedefleyen DDoS saldırıları
- DNS DDoS Amplification
- DNS ele geçirme
- DNS tüneli oluşturma
- DNS zehirlenmesi
- DNS kimlik sahtekarlık
- NXDOMAIN saldırısı
- Hayalet etki alanı saldırıları
AMA bağlayıcısı aracılığıyla Windows DNS Olayları
Bu protokolün genel güvenliğini geliştirmek için bazı mekanizmalar tanıtılsa da, DNS sunucuları hala yüksek oranda hedeflenen bir hizmettir. Kuruluşlar, ağ etkinliğini daha iyi anlamak ve ağ içindeki kaynakları hedefleyen şüpheli davranışları veya saldırıları belirlemek için DNS günlüklerini izleyebilir. AMA bağlayıcısı aracılığıyla Windows DNS Olayları bu tür görünürlük sağlar.
Bağlayıcı ile şunları yapabilirsiniz:
- Kötü amaçlı etki alanı adlarını çözümlemeye çalışan istemcileri belirleyin.
- DNS sunucularında istek yüklemelerini görüntüleyin ve izleyin.
- Dinamik DNS kayıt hatalarını görüntüleyin.
- Sık sorgulanan etki alanı adlarını ve konuşma istemcilerini belirleyin.
- Eski kaynak kayıtlarını tanımlayın.
- DNS ile ilgili tüm günlükleri tek bir yerde görüntüleyin.
Koleksiyon, AMA bağlayıcısı aracılığıyla Windows DNS Olayları ile nasıl çalışır?
AMA bağlayıcısı, günlükleri toplamak ve ayrıştırmak için yüklü DNS uzantısını kullanır.
Not
AMA bağlayıcısı aracılığıyla Windows DNS Olayları şu anda yalnızca analitik olay etkinliklerini desteklemektedir.
Bağlayıcı, daha fazla analiz edilmesi için olayları Microsoft Sentinel çalışma alanına akışla aktarır.
Artık belirli olayları veya bilgileri filtrelemek için gelişmiş filtreler kullanabilirsiniz. Gelişmiş filtrelerle yalnızca izlemek istediğiniz değerli verileri karşıya yükleyerek maliyetleri ve bant genişliği kullanımını azaltırsınız.
ASIM kullanarak normalleştirme
Bu bağlayıcı, Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları kullanılarak tamamen normalleştirilir. Bağlayıcı analiz günlüklerinden kaynaklanan olayları adlı ASimDnsActivityLogsnormalleştirilmiş tabloya akışla aktarır. Bu tablo, tüm DNS bağlayıcıları arasında paylaşılan tek bir birleşik dil kullanarak bir çevirmen işlevi görür.
Tüm DNS verilerini birleştiren ve çözümlemenizin yapılandırılmış tüm kaynaklarda çalışmasını sağlayan kaynak-belirsiz ayrıştırıcı için ASIM DNS birleştirme ayrıştırıcısını _Im_Dnskullanın.
ASIM birleştirici ayrıştırıcısı yerel ASimDnsActivityLogs tabloyu tamamlar. Yerel tablo ASIM uyumlu olsa da, diğer adlar gibi yalnızca sorgu zamanında kullanılabilen özellikler eklemek ve diğer DNS veri kaynaklarıyla birleştirmek ASimDnsActivityLogs için ayrıştırıcı gereklidir.
ASIM DNS şeması, analiz günlüklerinde Windows DNS sunucusunda günlüğe kaydedilen DNS protokolü etkinliğini temsil eder. Şema, alanları ve değerleri tanımlayan resmi parametre listeleri ve RFC'ler tarafından yönetilir.
Normalleştirilmiş alan adlarına çevrilmiş Windows DNS sunucusu alanlarının listesine bakın.
AMA bağlayıcısı üzerinden Windows DNS'yi ayarlama
Bağlayıcıyı iki şekilde ayarlayabilirsiniz:
- Microsoft Sentinel portalı. Bu kurulumla, çalışma alanı başına tek bir Veri Toplama Kuralı (DCR) oluşturabilir, yönetebilir ve silebilirsiniz. API aracılığıyla birden çok DCR tanımlasanız bile portalda yalnızca tek bir DCR gösterilir.
- API. Bu kurulumla birden çok DCR oluşturabilir, yönetebilir ve silebilirsiniz.
Önkoşullar
Başlamadan önce şunların olduğunu doğrulayın:
- Microsoft Sentinel çözümü etkinleştirildi.
- Tanımlı bir Microsoft Sentinel çalışma alanı.
- Windows Server 2012 R2, denetim düzeltmesi ve üzeri.
- Bir Windows DNS Sunucusu.
- Azure sanal makinesi olmayan herhangi bir sistemden olay toplamak için Azure Arc'ın yüklü olduğundan emin olun. Azure İzleyici Aracısı tabanlı bağlayıcıyı etkinleştirmeden önce Azure Arc'ı yükleyin ve etkinleştirin. Bu gereksinim şunları içerir:
- Fiziksel makinelerde yüklü Windows sunucuları
- Şirket içi sanal makinelerde yüklü Windows sunucuları
- Azure dışı bulutlardaki sanal makinelere yüklenen Windows sunucuları
Microsoft Sentinel portalında (UI) bağlayıcıyı ayarlama
Bağlayıcı sayfasını açın ve DCR'yi oluşturun
- Azure portalını açın ve Microsoft Sentinel hizmetine gidin.
- Veri bağlayıcıları dikey penceresindeki arama çubuğuna DNS yazın.
- AMA bağlayıcısı aracılığıyla Windows DNS Olayları'nı seçin.
- Bağlayıcı açıklamasının altında Bağlayıcı sayfasını aç'ı seçin.
- Yapılandırma alanında Veri toplama kuralı oluştur'u seçin. Çalışma alanı başına tek bir DCR oluşturabilirsiniz. Birden çok DCR oluşturmanız gerekiyorsa API'yi kullanın.
DCR adı, aboneliği ve kaynak grubu otomatik olarak çalışma alanı adına, geçerli aboneliğe ve bağlayıcının seçildiği kaynak grubuna göre ayarlanır.
Kaynakları tanımlama (VM' ler)
Kaynaklar sekmesini seçin ve Kaynak Ekle'yi seçin.
Günlükleri toplamak için bağlayıcıyı yüklemek istediğiniz VM'leri seçin.
Değişikliklerinizi gözden geçirin ve Uygula'yı Kaydet'i>seçin.
Istenmeyen olayları filtreleme
Filtreleri kullandığınızda, filtrenin belirttiği olayı dışlarsınız. Başka bir deyişle, Microsoft Sentinel belirtilen olay için veri toplamaz. Bu adım gerekli olmasa da maliyetleri azaltmaya ve olay önceliklendirmesini basitleştirmeye yardımcı olabilir.
Filtre oluşturmak için:
Bağlayıcı sayfasındaki Yapılandırma alanında Veri toplama filtreleri ekle'yi seçin.
Filtre için bir ad yazın ve filtre türünü seçin. Filtre türü, toplanan olayların sayısını azaltan bir parametredir. Parametreler DNS normalleştirilmiş şemasına göre normalleştirilir. Filtreleme için kullanılabilir alanların listesine bakın.
Açılan listede listelenen değerler arasından alanı filtrelemek istediğiniz değerleri seçin.
Karmaşık filtreler eklemek için Dışlama alanı ekle'yi seçerek filtreleyin ve ilgili alanı ekleyin. Aşağıdaki Gelişmiş filtreleri kullanma bölümündeki örneklere bakın.
Daha fazla yeni filtre eklemek için Yeni dışlama filtresi ekle'yi seçin.
Filtre eklemeyi bitirdiğinizde Ekle'yi seçin.
Ana bağlayıcı sayfasına dönüp Değişiklikleri uygula'yı seçerek filtreleri kaydedin ve bağlayıcılarınıza dağıtın. Mevcut filtreleri veya alanları düzenlemek veya silmek için Yapılandırma alanının altındaki tabloda bulunan düzenleme veya silme simgelerini seçin.
İlk dağıtımınızdan sonra alan veya filtre eklemek için Veri toplama filtreleri ekle'yi yeniden seçin.
API ile bağlayıcıyı ayarlama
API'yi kullanarak DCR'ler oluşturabilirsiniz. Birden çok DCR oluşturmanız gerekiyorsa bu seçeneği kullanın.
DCR oluşturmak veya güncelleştirmek için bu örneği şablon olarak kullanın:
İstek URL'si ve üst bilgisi
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview
Request body
{
"properties": {
"dataSources": {
"windowsEventLogs": [],
"extensions": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"extensionName": "MicrosoftDnsAgent",
"extensionSettings": {
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"260"
]
}
]
}
]
},
"name": "SampleDns"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
"workspaceId": {WorkspaceGuid}",
"name": "WorkspaceDestination"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"destinations": [
" WorkspaceDestination "
]
}
],
},
"location": "eastus2",
"tags": {},
"kind": "Windows",
"id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"type": "Microsoft.Insights/dataCollectionRules",
}
Gelişmiş filtreleri kullanma
DNS sunucusu olay günlükleri çok sayıda olay içerebilir. Veriler karşıya yüklenmeden önce gereksiz olayları filtrelemek için gelişmiş filtrelemeyi kullanabilir ve değerli önceliklendirme süresinden ve maliyetlerden tasarruf edebilirsiniz. Filtreler, gereksiz verileri çalışma alanınıza yüklenen olay akışından kaldırır.
Filtreler, çok sayıda alanın birleşimini temel alır.
- Virgülle ayrılmış liste kullanarak her alan için birden çok değer kullanabilirsiniz.
- Bileşik filtreler oluşturmak için VE ilişkisi olan farklı alanlar kullanın.
- Farklı filtreleri birleştirmek için aralarında bir OR ilişkisi kullanın.
Filtreleme için kullanılabilir alanları gözden geçirin.
Joker karakter kullanma
Gelişmiş filtrelerde joker karakterler kullanabilirsiniz. Joker karakterler kullanırken şu noktaları gözden geçirin:
- Her yıldız işaretine (
*.) sonra bir nokta ekleyin. - Etki alanları listesi arasında boşluk kullanmayın.
- Joker karakterler, protokolden bağımsız olarak
www.domain.comyalnızca etki alanının alt etki alanları için geçerlidir. Örneğin, gelişmiş bir filtrede kullanıyorsanız*.domain.com:- Filtre, protokolün HTTPS, FTP vb. olup olmadığına bakılmaksızın ve
subdomain.domain.comiçin geçerlidirwww.domain.com. - Filtre uygulamasına
domain.comuygulanmaz. öğesine filtre uygulamak içindomain.comjoker karakter kullanmadan etki alanını doğrudan belirtin.
- Filtre, protokolün HTTPS, FTP vb. olup olmadığına bakılmaksızın ve
Gelişmiş filtre örnekleri
Belirli olay kimliklerini toplama
Bu filtre bağlayıcıya EventID 256 veya EventID 257 veya EventID 260'ı IPv6 adresleriyle toplamamasını bildirir.
Microsoft Sentinel portalını kullanma:
Equals işlecini kullanarak 256, 257 ve 260 değerleriyle EventOriginalType alanıyla bir filtre oluşturun.
Yukarıda tanımlanan EventOriginalType alanıyla ve DnsQueryTypeName alanı da AAAA olarak ayarlanmış olan And işlecini kullanarak bir filtre oluşturun.
API'yi kullanma:
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"256", "257", "260"
]
},
{
"Field": "DnsQueryTypeName",
"FieldValues": [
"AAAA"
]
}
]
},
{
"FilterName": "EventResultDetails",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"230"
]
},
{
"Field": "EventResultDetails",
"FieldValues": [
"BADKEY","NOTZONE"
]
}
]
}
]
Belirli etki alanlarıyla olay toplama
Bu filtre bağlayıcıya microsoft.com, google.com, amazon.com veya facebook.com ya da center.local dosyasından gelen herhangi bir alt etki alanından olay toplamamasını ister.
Microsoft Sentinel portalını kullanma:
*.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local listesiyle Equals işlecini kullanarak DnsQuery alanını ayarlayın.
Joker karakter kullanımıyla ilgili şu noktaları gözden geçirin.
Tek bir alanda farklı değerler tanımlamak için OR işlecini kullanın.
API'yi kullanma:
Joker karakter kullanımıyla ilgili şu noktaları gözden geçirin.
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "DnsQuery",
"FieldValues": [
"*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"
]
},
}
}
]
Sonraki adımlar
Bu makalede, Verileri karşıya yüklemek ve Windows DNS günlüklerinizi filtrelemek için AMA bağlayıcısı aracılığıyla Windows DNS olaylarını ayarlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:
- Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
- Microsoft Sentinel ile tehditleri algılamaya başlayın.
- Verilerinizi izlemek için çalışma kitaplarını kullanın.