AMA bağlayıcısı üzerinden DNS başvurusu - kullanılabilir alanlar ve normalleştirme şeması
Microsoft Sentinel, Windows Etki Alanı Adı Sistemi (DNS) sunucu günlüklerinizdeki olayları normalleştirilmiş şema tablosuna ASimDnsActivityLog akışla aktarmanıza ve filtrelemenize olanak tanır. Bu makalede, verileri filtrelemek için kullanılan alanlar ve Windows DNS sunucusu alanları için normalleştirme şeması açıklanmaktadır.
Azure İzleyici Aracısı (AMA) ve DNS uzantısı, DNS analiz günlüklerinizdeki verileri Microsoft Sentinel çalışma alanınıza yüklemek için Windows Server'ınıza yüklenir. Ama bağlayıcısı aracılığıyla Windows DNS Olaylarını kullanarak verileri akışla aktarıp filtreleyebilirsiniz.
Filtreleme için kullanılabilir alanlar
Bu tabloda kullanılabilir alanlar gösterilir. Alan adları DNS şeması kullanılarak normalleştirilir.
| Alan adı | Değerler | Açıklama |
|---|---|---|
| EventOriginalType | 256 ile 280 arasındaki sayılar | DNS protokolü olayının türünü gösteren Windows DNS olay kimliği. |
| EventResultDetails | • NOERROR • ESKİ • SERVFAIL • NXDOMAIN • NOTIMP •REDDETTİ • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
İşlemin İnternet Atanmış Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS sonuç dizesi. |
| DvcIpAdrr | IP adresleri | Olayı bildiren sunucunun IP adresi. Bu alan coğrafi konum ve kötü amaçlı IP bilgilerini de içerir. |
| DnsQuery | Etki alanı adları (FQDN) | Çözümlenecek etki alanı adını temsil eden dize. • Virgülle ayrılmış bir listede birden çok değer ve joker karakter kabul edebilir. Örnek: *.microsoft.com,google.com,facebook.com• Joker karakter kullanımıyla ilgili bu konuları gözden geçirin. |
| DnsQueryTypeName | •A •NS • MD •MF •CNAME •SOA •MB •MG •BAY •NULL •WKS •PTR •HINFO •MINFO •MX •TXT •RP •AFSDB • X25 •ISDN •RT •NSAP • NSAP-PTR •SIG •ANAHTAR •PX •GPO 'LAR •ACAR •LOC •NXT • EID • NIMLOC •SRV |
İstenen DNS özniteliği. IANA tarafından tanımlanan DNS kaynak kayıt türü adı. |
ASIM normalleştirilmiş DNS şeması
Bu tablo, Windows DNS sunucusu alanlarını DNS normalleştirme şemasında göründükleri gibi normalleştirilmiş alan adlarına açıklar ve çevirir.
| Windows DNS alan adı | Normalleştirilmiş alan adı | Tür | Açıklama |
|---|---|---|---|
| EventID | EventOriginalType | Dize | Özgün olay türü veya kimliği. |
| RCODE | EventResult | Dize | Olayın sonucu (başarı, kısmi, başarısızlık, NA). |
| RCODE ayrıştırıldı | EventResultDetails | Dize | IANA tarafından tanımlanan DNS yanıt kodu. |
| InterfaceIP | DvcIpAdrr | Dize | Olay raporlama cihazının veya arabiriminin IP adresi. |
| ACAR | DnsFlagsAuthoritative | Tamsayı | Sunucudan gelen yanıtın yetkili olup olmadığını gösterir. |
| AD | DnsFlagsAuthenticated | Tamsayı | Sunucunun yanıttaki tüm verileri ve sunucu ilkelerine göre yanıtın yetkilisini doğruladığını gösterir. |
| RQNAME | DnsQuery | Dize | Etki alanının çözümlenmesi gerekir. |
| QTYPE | DnsQueryType | Tamsayı | IANA tarafından tanımlanan DNS kaynak kaydı türü. |
| Bağlantı noktası | SrcPortNumber | Tamsayı | Sorguyu gönderen kaynak bağlantı noktası. |
| Kaynak | SrcIpAddr | IP Adresi | DNS isteğini gönderen istemcinin IP adresi. Özyinelemeli bir DNS isteği için bu değer genellikle raporlama cihazının IP'sine (çoğu durumda) 127.0.0.1yöneliktir. |
| ElapsedTime | DnsNetworkDuration | Tamsayı | DNS isteğinin tamamlanması için geçen süre. |
| GUID | DnsSessionId | Dize | Raporlama cihazı tarafından bildirilen DNS oturum tanımlayıcısı. |
Sonraki adımlar
Bu makalede, AMA bağlayıcısı aracılığıyla Windows DNS olaylarını kullanarak DNS günlük verilerini filtrelemek için kullanılan alanları öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:
- Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
- Microsoft Sentinel ile tehditleri algılamaya başlayın.
- Verilerinizi izlemek için çalışma kitaplarını kullanın.