此連接器可讓您將 AWS Route 53 DNS 記錄擷取到 Microsoft Sentinel,以增強可見度和威脅偵測。 它支援直接從 AWS S3 儲存桶中載入的 DNS 解析查詢記錄,而公用 DNS 查詢記錄和 Route 53 稽核記錄可以使用 Microsoft Sentinel 的 AWS CloudWatch 和 CloudTrail 連接器來載入。 提供完整的指示來引導您完成每個記錄類型的設定。 利用此連接器來監視 DNS 活動、偵測潛在威脅,以及改善雲端環境中的安全性狀態。
數據表屬性
| 屬性 |
價值觀 |
|
資源類型 |
- |
|
類別 |
安全 |
|
解決方案 |
SecurityInsights |
|
基本記錄 |
是的 |
|
資料引入時進行的轉換 |
否 |
|
範例查詢 |
- |
欄位
| 資料行 |
類型 |
說明 |
| 帳戶ID |
字符串 |
擁有發送查詢之虛擬私有雲的 AWS 帳戶 ID。 |
| 回答 |
動態的 |
DNS 回應記錄的陣列,包括已解析的IP位址和其他查詢相關信息。 |
| _BilledSize (帳單大小) |
真實 |
以位元組為單位的記錄大小 |
| 防火牆域名列表識別碼 |
字符串 |
符合查詢網域的網域清單標識碼。 |
| 防火牆規則動作 |
字符串 |
來自相符防火牆規則的規則動作。 |
| FirewallRuleGroupId (防火牆規則群組識別碼) |
字符串 |
套用至查詢的防火牆規則群組標識符。 |
| _IsBillable // 是否可計費 |
字符串 |
指定輸入數據是否會產生費用。 當 _IsBillable 為 false 時,此操作不會向您的 Azure 帳戶收費 |
| 記錄類型 |
字符串 |
指出 DNS 記錄的類型(例如 ResolverQueryLogs)。 |
| 查詢類別 (QueryClass) |
字符串 |
DNS 查詢類別。 通常為 IN (因特網)。 |
| 查詢名稱 |
字符串 |
已查詢的網域名稱。 |
| 查詢類型 |
字符串 |
要求的 DNS 記錄類型(例如 A、AAAA、MX)。 |
| R程式碼 |
字符串 |
文字 DNS 回應碼(例如 NOERROR、NXDOMAIN)。 |
| 區域 |
字符串 |
產生記錄的 AWS 區域。 |
| SourceSystem |
字符串 |
事件被收集時所使用的代理程式類型。 例如,OpsManager 適用於 Windows 代理程式,可以直接連線或使用 Operations Manager;Linux 適用於所有 Linux 代理程式;Azure 則適用於 Azure 診斷。 |
| SrcAddr |
字符串 |
發出查詢之實例的來源IP位址。 |
| SrcIds |
動態的 |
與 DNS 查詢源自或通過的來源實例相關的標識碼。 |
| SrcPort |
字符串 |
發出查詢的實例所使用的來源埠。 |
| 租戶識別碼 (TenantId) |
字符串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
日期時間 |
路由 53 解析程式收到 DNS 查詢的時間。 |
| 運輸 |
字符串 |
用來傳送查詢的通訊協定(例如 UDP、TCP、TLS)。 |
| 類型 |
字符串 |
資料表的名稱 |
| 版本 |
字符串 |
記錄格式的版本。 |
| VpcId |
字符串 |
DNS 查詢來源的 VPC ID。 |