Sdílet prostřednictvím

Streamování a filtrování dat ze serverů DNS s Windows pomocí konektoru AMA

  • Článek

Tento článek popisuje, jak pomocí konektoru agenta služby Azure Monitor (AMA) streamovat a filtrovat události z protokolů serveru DNS (Windows Domain Name System). Pak můžete data hlouběji analyzovat, abyste ochránili servery DNS před hrozbami a útoky. Na Windows Serveru se nainstaluje AMA a jeho rozšíření DNS, aby se nahrála data z analytických protokolů DNS do pracovního prostoru Služby Microsoft Sentinel.

DNS je široce používaný protokol, který se mapuje mezi názvy hostitelů a IP adresami umožňujícími čtení počítače. Vzhledem k tomu, že DNS nebyl navržen s ohledem na zabezpečení, je služba vysoce cílená škodlivou aktivitou, takže její protokolování je důležitou součástí monitorování zabezpečení. Mezi dobře známé hrozby, které cílí servery DNS, patří útoky DDoS, které cílí na servery DNS, amplifikace služby DNS DDoS, napadení DNS a další.

Přestože byly zavedeny některé mechanismy pro zlepšení celkového zabezpečení tohoto protokolu, servery DNS jsou stále vysoce cílenou službou. Organizace můžou monitorovat protokoly DNS, aby lépe porozuměly síťové aktivitě a identifikovaly podezřelé chování nebo útoky, které cílí na prostředky v síti. Události DNS systému Windows prostřednictvím konektoru AMA poskytují tento typ viditelnosti. Pomocí konektoru můžete například identifikovat klienty, kteří se pokoušejí přeložit škodlivé názvy domén, zobrazit a monitorovat zatížení požadavků na serverech DNS nebo zobrazit chyby dynamické registrace DNS.

Poznámka:

Události DNS systému Windows prostřednictvím konektoru AMA v současné době podporují pouze aktivity analytických událostí.

Požadavky

Než začnete, ověřte, že máte:

  • Pracovní prostor služby Log Analytics povolený pro Microsoft Sentinel.
  • Řešení DNS systému Windows Server nainstalované ve vašem pracovním prostoru.
  • Windows Server 2012 R2 s opravou hotfix pro auditování nebo novější.
  • A Windows DNS Server.

Pokud chcete shromažďovat události z jakéhokoli systému, který není virtuálním počítačem Azure, ujistěte se, že je nainstalovaný Azure Arc . Před povolením konektoru založeného na agentech služby Azure Monitor nainstalujte a povolte Azure Arc. Tento požadavek zahrnuje:

  • Servery s Windows nainstalované na fyzických počítačích
  • Servery s Windows nainstalované na místních virtuálních počítačích
  • Servery s Windows nainstalované na virtuálních počítačích v cloudech mimo Azure

Konfigurace konektoru DNS systému Windows přes AMA prostřednictvím portálu

Pomocí možnosti nastavení portálu nakonfigurujte konektor pomocí jednoho pravidla shromažďování dat (DCR) pro každý pracovní prostor. Potom pomocí rozšířených filtrů vyfiltrujte konkrétní události nebo informace a nahrajte jenom cenná data, která chcete monitorovat, což snižuje náklady a využití šířky pásma.

Pokud potřebujete vytvořit více řadičů domény, použijte místo toho rozhraní API . Použití rozhraní API k vytvoření více řadičů domény bude na portálu stále zobrazovat pouze jeden řadič domény.

Konfigurace konektoru:

  1. V Microsoft Sentinelu otevřete stránku Datové konektory a vyhledejte události DNS systému Windows prostřednictvím konektoru AMA .

  2. V dolní části bočního podokna vyberte Otevřít stránku spojnice.

  3. V oblasti Konfigurace vyberte Vytvořit pravidlo shromažďování dat. Pro každý pracovní prostor můžete vytvořit jeden řadič domény.

    Název DCR, předplatné a skupina prostředků se automaticky nastaví na základě názvu pracovního prostoru, aktuálního předplatného a skupiny prostředků, ze které byl konektor vybrán. Příklad:

    Snímek obrazovky s vytvořením nového D C R pro konektor Windows D N S přes A M A

  4. Vyberte kartu >Zdroje a přidejte zdroje.

  5. Vyberte virtuální počítače, na které chcete konektor nainstalovat, aby se shromažďují protokoly. Příklad:

    Snímek obrazovky s výběrem prostředků pro konektor Windows D N S přes A M A

  6. Zkontrolujte provedené změny a vyberte Uložit>použít.

Konfigurace konektoru DNS systému Windows přes AMA přes rozhraní API

Pomocí možnosti nastavení rozhraní API nakonfigurujte konektor pomocí více řadičů domény na pracovní prostor. Pokud chcete raději použít jeden řadič domény, použijte místo toho možnost portálu.

Použití rozhraní API k vytvoření více řadičů domény stále zobrazuje na portálu pouze jeden řadič domény.

Pomocí následujícího příkladu jako šablony vytvořte nebo aktualizujte řadič domény:

Adresa URL a hlavička požadavku 


PUT 

    https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview

Text požadavku


{
    "properties": {
        "dataSources": {
            "windowsEventLogs": [],
            "extensions": [
                {
                    "streams": [
                        "Microsoft-ASimDnsActivityLogs"
                    ],
                    "extensionName": "MicrosoftDnsAgent",
                    "extensionSettings": {
                        "Filters": [
                            {
                                "FilterName": "SampleFilter",
                                "Rules": [
                                    {
                                        "Field": "EventOriginalType",
                                        "FieldValues": [
                                            "260"
                                        ]
                                    }
                                ]
                            }
                        ]
                    },
                    "name": "SampleDns"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
                    "workspaceId": {WorkspaceGuid}",
                    "name": "WorkspaceDestination"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-ASimDnsActivityLogs"
                ],
                "destinations": [
                    " WorkspaceDestination "
                ]
            }
        ],
    },
    "location": "eastus2",
    "tags": {},
    "kind": "Windows",
    "id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
    "name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
    "type": "Microsoft.Insights/dataCollectionRules",
}

Použití rozšířených filtrů v řadičích domény

Protokoly událostí serveru DNS můžou obsahovat velký počet událostí. Doporučujeme použít rozšířené filtrování k odfiltrování nepotřebných událostí před nahráním dat, což šetří cennou dobu třídění a náklady. Filtry odeberou nepotřebná data ze streamu událostí nahraných do vašeho pracovního prostoru a jsou založená na kombinaci více polí.

Další informace najdete v tématu Dostupná pole pro filtrování.

Vytváření rozšířených filtrů prostřednictvím portálu

Pomocí následujícího postupu můžete vytvořit filtry prostřednictvím portálu. Další informace o vytváření filtrů pomocí rozhraní API najdete v tématu Pokročilé příklady filtrování.

Vytvoření filtrů prostřednictvím portálu:

  1. Na stránce konektoru v oblasti Konfigurace vyberte Přidat filtry shromažďování dat.

  2. Zadejte název filtru a vyberte typ filtru, což je parametr, který snižuje počet shromážděných událostí. Parametry jsou normalizovány podle normalizovaného schématu DNS. Další informace najdete v tématu Dostupná pole pro filtrování.

    Snímek obrazovky s vytvořením filtru pro konektor Windows D N S přes A M A

  3. Vyberte hodnoty, ze kterých chcete pole filtrovat z hodnot uvedených v rozevíracím seznamu.

    Snímek obrazovky s přidáním polí do filtru pro konektor Windows D N S přes A M A

  4. Pokud chcete přidat složité filtry, vyberte Přidat pole pro vyloučení pro filtrování a přidejte příslušné pole.

    • K definování více hodnot pro každé pole použijte seznamy oddělené čárkami.
    • Chcete-li vytvořit složené filtry, použijte různá pole s relací AND.
    • Pokud chcete zkombinovat různé filtry, použijte mezi nimi vztah OR.

    Filtry také podporují zástupné cardy následujícím způsobem:

    • Za každou hvězdičku () přidejte tečku.*.
    • Nepoužívejte mezery mezi seznamem domén.
    • Zástupné dokumentace se vztahují pouze na subdomény domény, včetně www.domain.com, bez ohledu na protokol. Pokud například používáte *.domain.com rozšířený filtr:
      • Filtr platí pro www.domain.com protokol subdomain.domain.comHTTPS, FTP atd. bez ohledu na to, jestli je protokol HTTPS, FTP atd.
      • Filtr se nevztahuje na domain.com. Pokud chcete použít filtr pro domain.com, zadejte doménu přímo, aniž byste použili zástupný znak.

  5. Pokud chcete přidat další nové filtry, vyberte Přidat nový filtr vyloučení.

  6. Až budete hotovi s přidáváním filtrů, vyberte Přidat.

  7. Zpátky na hlavní stránce konektoru vyberte Použít změny a uložte a nasaďte filtry do konektorů. Pokud chcete upravit nebo odstranit existující filtry nebo pole, vyberte ikony pro úpravy nebo odstranění v tabulce v oblasti Konfigurace .

  8. Pokud chcete po počátečním nasazení přidat pole nebo filtry, znovu vyberte Přidat filtry shromažďování dat.

Pokročilé příklady filtrování

Pomocí následujících příkladů můžete vytvářet běžně používané pokročilé filtry prostřednictvím portálu nebo rozhraní API.

Neshromažďujte konkrétní ID událostí

Tento filtr dává konektoru pokyn, aby neshromažďoval ID události 256 nebo ID události 257 nebo ID události 260 s adresami IPv6.

Pomocí portálu Microsoft Sentinel:

  1. Vytvořte filtr s polem EventOriginalType pomocí operátoru Equals s hodnotami 256, 257 a 260.

    Snímek obrazovky s vyfiltrováním ID událostí pro konektor Windows D N S přes A M A

  2. Vytvořte filtr s polem EventOriginalType definovaným výše a pomocí operátoru And , včetně pole DnsQueryTypeName nastaveného na AAAA.

    Snímek obrazovky s vyfiltrováním ID událostí a adres IPv6 pro konektor Windows D N S přes A M A

Pomocí rozhraní API:

"Filters": [
    {
        "FilterName": "SampleFilter",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "256", "257", "260"                                                                              
                ]
            },
            {
                "Field": "DnsQueryTypeName",
                "FieldValues": [
                    "AAAA"                                        
                ]
            }
        ]
    },
    {
        "FilterName": "EventResultDetails",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "230"                                        
                ]
            },
            {
                "Field": "EventResultDetails",
                "FieldValues": [
                    "BADKEY","NOTZONE"                                        
                ]
            }
        ]
    }
]

Neshromažďujte události s konkrétními doménami

Tento filtr dává konektoru pokyn, aby neshromažďoval události z jakýchkoli subdomén microsoft.com, google.com, amazon.com nebo událostí z facebook.com nebo center.local.

Pomocí portálu Microsoft Sentinel:

Nastavte pole DnsQuery pomocí operátoru Rovná se se seznamem *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local.

Projděte si tyto aspekty použití zástupných znaků.

Snímek obrazovky s vyfiltrováním domén pro konektor Windows D N S přes A M A

Pokud chcete definovat různé hodnoty v jednom poli, použijte operátor OR .

Pomocí rozhraní API:

Projděte si tyto aspekty použití zástupných znaků.

"Filters": [ 

    { 

        "FilterName": "SampleFilter", 

        "Rules": [ 

            { 

                "Field": "DnsQuery", 

                "FieldValues": [ 

                    "*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"                                                                               

                ] 

            }, 

         } 

    } 

]

Normalizace pomocí ASIM

Tento konektor je plně normalizován pomocí analyzátorů ADVANCED Security Information Model (ASIM). Konektor streamuje události pocházející z analytických protokolů do normalizované tabulky s názvem ASimDnsActivityLogs. Tato tabulka funguje jako překladač s použitím jednoho sjednoceného jazyka, který se sdílí napříč všemi konektory DNS.

Pro analyzátor nezávislý na zdroji, který sjednocuje všechna data DNS a zajišťuje, aby se vaše analýza spouštěla ve všech nakonfigurovaných zdrojích, použijte analyzátor _Im_DnsSJEDNOCENÍ DNS ASIM .

Analyzátor ASIM sjednocení doplňuje nativní ASimDnsActivityLogs tabulku. I když je nativní tabulka kompatibilní s ASIM, parser je potřeba k přidání funkcí, jako jsou aliasy, dostupné pouze v době dotazu a ke kombinování ASimDnsActivityLogs s jinými zdroji dat DNS.

Schéma DNS ASIM představuje aktivitu protokolu DNS, jak je zaznamenáno na serveru DNS systému Windows v analytických protokolech. Schéma se řídí oficiálními seznamy parametrů a rfcs, které definují pole a hodnoty.

Podívejte se na seznam polí serveru DNS systému Windows přeložených do normalizovaných názvů polí.

Související obsah

V tomto článku jste zjistili, jak nastavit události DNS systému Windows prostřednictvím konektoru AMA pro nahrání dat a filtrování protokolů DNS systému Windows. Další informace o službě Microsoft Sentinel najdete v následujících článcích: