Referenční informace ke konektoru DNS přes AMA – dostupná pole a schéma normalizace
Microsoft Sentinel umožňuje streamovat a filtrovat události z protokolů serveru DNS (Windows Domain Name System) do tabulky normalizovaného ASimDnsActivityLog schématu. Tento článek popisuje pole používaná k filtrování dat a schéma normalizace pro pole serveru DNS systému Windows.
Na Windows Server se nainstaluje agent Azure Monitoru (AMA) a jeho rozšíření DNS, aby se nahrála data z analytických protokolů DNS do pracovního prostoru služby Microsoft Sentinel. Data můžete streamovat a filtrovat pomocí událostí DNS systému Windows prostřednictvím konektoru AMA.
Dostupná pole pro filtrování
Tato tabulka zobrazuje dostupná pole. Názvy polí se normalizují pomocí schématu DNS.
| Název pole | Hodnoty | Popis |
|---|---|---|
| EventOriginalType | Čísla mezi 256 a 280 | Id události DNS systému Windows, která označuje typ události protokolu DNS. |
| EventResultDetails | • NOERROR • BÝVALÁ • SERVFAIL • NXDOMAIN • NOTIMP •ODMÍTL • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • CHYBNÁ KLÁVESA • CHYBNÝ ČAS • BADALG • BADTRUNC • BADCOOKIE |
Řetězec výsledku DNS operace definovaný autoritou IANA (Internet Assigned Numbers Authority). |
| DvcIpAdrr | IP adresy | IP adresa serveru, který událost hlásí. Toto pole obsahuje také informace o geografické poloze a škodlivých IP adresách. |
| DnsQuery | Názvy domén (FQDN) | Řetězec představující název domény, který se má přeložit. • Může přijímat více hodnot v seznamu odděleném čárkami a zástupných znaků. Příklad: *.microsoft.com,google.com,facebook.com• Projděte si tyto důležité informace o používání zástupných znaků. |
| DnsQueryTypeName | •A •NS •MD •MF •CNAME •SOA •MB •MG •PAN •NULL •WKS •PTR •HINFO •MINFO •MX •TXT •RP • AFSDB • X25 •ISDN •RT •NSAP • NSAP-PTR •SIG •KLÍČ •PX •OBJEKTY GPO •AAAA •LOC •NXT •EID • NIMLOC •SRV |
Požadovaný atribut DNS. Název typu záznamu prostředku DNS definovaný aplikací IANA. |
Normalizované schéma DNS ASIM
Tato tabulka popisuje pole serveru DNS systému Windows a překládá je do normalizovaných názvů polí, které se zobrazují ve schématu normalizace DNS.
| Název pole DNS pro Windows | Normalizovaný název pole | Typ | Popis |
|---|---|---|---|
| ID události | EventOriginalType | Řetězec | Původní typ události nebo ID. |
| RCODE | EventResult | Řetězec | Výsledek události (úspěch, část, selhání, NE). |
| Analýza RCODE | EventResultDetails | Řetězec | Kód odpovědi DNS definovaný aplikací IANA. |
| IP adresa rozhraní | DvcIpAdrr | Řetězec | IP adresa zařízení nebo rozhraní pro generování sestav událostí. |
| AA | DnsFlagsAuthoritative | Integer | Určuje, jestli byla odpověď ze serveru autoritativní. |
| AD | DnsFlagsAuthenticated | Integer | Označuje, že server ověřil všechna data v odpovědi a autoritu odpovědi podle zásad serveru. |
| NÁZEV RQNAME | DnsQuery | Řetězec | Doménu je potřeba přeložit. |
| QTYPE | DnsQueryType | Integer | Typ záznamu prostředku DNS definovaný aplikací IANA. |
| Port | SrcPortNumber | Integer | Zdrojový port odesílající dotaz. |
| Zdroj | SrcIpAddr | IP adresa | IP adresa klienta odesílajícího požadavek DNS. U rekurzivního požadavku DNS je tato hodnota obvykle IP adresa zařízení pro generování sestav, ve většině případů 127.0.0.1. |
| ElapsedTime | DnsNetworkDuration | Integer | Doba potřebná k dokončení požadavku DNS. |
| Identifikátor GUID | Id dnsSession | Řetězec | Identifikátor relace DNS nahlášený zařízením pro generování sestav. |
Další kroky
V tomto článku jste se dozvěděli o polích používaných k filtrování dat protokolu DNS pomocí událostí DNS systému Windows prostřednictvím konektoru AMA. Další informace o službě Microsoft Sentinel najdete v následujících článcích:
- Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
- Začněte zjišťovat hrozby pomocí služby Microsoft Sentinel.
- K monitorování dat používejte sešity.