Freigeben über

Streamen und Filtern von Daten von Windows DNS-Servern mit dem AMA-Connector

  • Artikel

In diesem Artikel wird beschrieben, wie Sie den AMA-Connector (Azure Monitor Agent) verwenden, um Ereignisse aus Ihren Windows DNS-Serverprotokollen (Domain Name System) zu streamen und zu filtern. Anschließend können Sie Ihre Daten gründlich analysieren, um Ihre DNS-Server vor Bedrohungen und Angriffen zu schützen. Der AMA und seine DNS-Erweiterung werden auf Ihrem Windows Server installiert, um Daten aus Ihren DNS-Analyseprotokollen in Ihren Microsoft Sentinel-Arbeitsbereich hochzuladen.

DNS ist ein weit verbreitetes Protokoll, das eine Zuordnung zwischen Hostnamen und computerlesbaren IP-Adressen vornimmt. Da DNS nicht mit Blick auf die Sicherheit entwickelt wurde, ist der Dienst sehr anfällig für böswillige Aktivitäten, sodass seine Protokollierung ein wesentlicher Bestandteil der Sicherheitsüberwachung ist. Zu den bekannten Bedrohungen, denen DNS-Server ausgesetzt sind, gehören unter anderem DDoS-Angriffe auf DNS-Server, DNS-DDoS-Amplification und DNS-Hijacking.

Obwohl einige Mechanismen eingeführt wurden, um die allgemeine Sicherheit dieses Protokolls zu verbessern, sind DNS-Server immer noch ein sehr gefährdeter Dienst. Unternehmen können DNS-Protokolle überwachen, um die Aktivitäten im Netzwerk besser zu verstehen und verdächtiges Verhalten oder Angriffe auf Ressourcen im Netzwerk zu erkennen. Der Connector für Windows DNS-Ereignisse über AMA bietet diese Art von Sichtbarkeit. Sie können den Connector beispielsweise verwenden, um Clients zu identifizieren, die versuchen, schädliche Domänennamen aufzulösen, die Anforderungslast auf DNS-Servern anzuzeigen und zu überwachen oder um Fehler bei der dynamischen DNS-Registrierung anzuzeigen.

Hinweis

Der „Windows DNS-Ereignisse über AMA“-Connector unterstützt derzeit nur Analyseereignisaktivitäten.

Voraussetzungen

Überprüfen Sie zunächst, dass Folgendes erfolgt ist:

  • Ein Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist
  • Die in Ihrem Arbeitsbereich installierte Windows Server-DNS-Lösung.
  • Sie verfügen über Windows Server 2012 R2 mit Überwachungshotfix und höher.
  • Windows DNS Server.

Stellen Sie sicher, dass Azure Arc installiert ist, um Ereignisse von einem System zu sammeln, das kein virtueller Azure-Computer ist. Installieren und aktivieren Sie Azure Arc, bevor Sie den auf dem Azure Monitor-Agent basierenden Connector aktivieren. Diese Anforderung umfasst:

  • Auf physischen Computern installierte Windows-Server
  • Auf lokalen virtuellen Computern installierte Windows-Server
  • Auf virtuellen Computern in Nicht-Azure-Clouds installierte Windows-Server

Konfigurieren des Connectors „Windows-DNS über AMA“ über das Portal

Verwenden Sie die Portalsetupoption, um den Connector mithilfe einer einzelnen Datensammlungsregel (Data Collection Rule, DCR) pro Arbeitsbereich zu konfigurieren. Verwenden Sie anschließend erweiterte Filter, um bestimmte Ereignisse oder Informationen herauszufiltern, und laden Sie nur die wertvollen Daten hoch, die Sie überwachen möchten, um Kosten und Bandbreitennutzung zu reduzieren.

Wenn Sie mehrere DCRs erstellen müssen, verwenden Sie stattdessen die API. Bei Verwendung der API zum Erstellen mehrerer DCRs wird im Portal weiterhin nur eine DCR angezeigt.

Gehen Sie zum Konfigurieren des Connectors wie folgt vor:

  1. Öffnen Sie in Microsoft Sentinel die Seite Datenconnectors, und suchen Sie den Connector Windows-DNS-Ereignisse über AMA.

  2. Wählen Sie unten im Seitenbereich die Option Connectorseite öffnen aus.

  3. Wählen Sie im Bereich Konfiguration die Option Datensammlungsregel erstellen aus. Sie können eine einzelne DCR pro Arbeitsbereich erstellen.

    Der DCR-Name, das Abonnement und die Ressourcengruppe werden automatisch festgelegt, basierend auf dem Namen des Arbeitsbereichs, dem aktuellen Abonnement und der Ressourcengruppe, aus der der Connector ausgewählt wurde. Zum Beispiel:

    Screenshot: Erstellen einer neuen Datensammlungsregel für den „Windows DNS-Ereignisse über AMA“-Connector

  4. Wählen Sie die Registerkarte Ressourcen und dann >Ressource(n) hinzufügen aus.

  5. Wählen Sie die VMs aus, auf denen Sie den Connector zum Sammeln von Protokollen installieren möchten. Zum Beispiel:

    Screenshot: Auswahl der Ressourcen für den „Windows DNS-Ereignisse über AMA“-Connector

  6. Überprüfen Sie Ihre Änderungen, und wählen Sie Speichern>Übermitteln aus.

Konfigurieren des Connectors „Windows-DNS über AMA“ über API

Verwenden Sie die API-Setupoption, um den Connector mithilfe mehrerer DCRs pro Arbeitsbereich zu konfigurieren. Wenn Sie eine einzelne DCR vorziehen, verwenden Sie stattdessen die Portaloption.

Bei Verwendung der API zum Erstellen mehrerer DCRs wird im Portal weiterhin nur eine DCR angezeigt.

Verwenden Sie das folgende Beispiel als Vorlage, um eine DCR zu erstellen oder zu aktualisieren:

Anforderungs-URL und -Header 


PUT 

    https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview

Anforderungstext


{
    "properties": {
        "dataSources": {
            "windowsEventLogs": [],
            "extensions": [
                {
                    "streams": [
                        "Microsoft-ASimDnsActivityLogs"
                    ],
                    "extensionName": "MicrosoftDnsAgent",
                    "extensionSettings": {
                        "Filters": [
                            {
                                "FilterName": "SampleFilter",
                                "Rules": [
                                    {
                                        "Field": "EventOriginalType",
                                        "FieldValues": [
                                            "260"
                                        ]
                                    }
                                ]
                            }
                        ]
                    },
                    "name": "SampleDns"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
                    "workspaceId": {WorkspaceGuid}",
                    "name": "WorkspaceDestination"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-ASimDnsActivityLogs"
                ],
                "destinations": [
                    " WorkspaceDestination "
                ]
            }
        ],
    },
    "location": "eastus2",
    "tags": {},
    "kind": "Windows",
    "id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
    "name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
    "type": "Microsoft.Insights/dataCollectionRules",
}

Verwenden erweiterter Filter in Ihren DCRs

DNS-Serverereignisprotokolle können eine große Anzahl von Ereignissen enthalten. Es wird empfohlen, erweiterte Filter zu verwenden, um nicht benötigte Ereignisse herauszufiltern, bevor die Daten hochgeladen werden, und so wertvolle Zeit und Kosten für die Selektierung zu sparen. Die Filter entfernen die nicht benötigten Daten aus dem Datenstrom der in Ihren Arbeitsbereich hochgeladenen Ereignisse und beruhen auf einer Kombination aus mehreren Feldern.

Weitere Informationen finden Sie unter Verfügbare Felder für Filter.

Erstellen erweiterter Filter über das Portal

Gehen Sie wie folgt vor, um Filter über das Portal zu erstellen. Weitere Informationen zum Erstellen von Filtern über die API finden Sie unter Beispiele für erweiterte Filter.

So erstellen Sie Filter über das Portal:

  1. Wählen Sie auf der Connectorseite im Bereich Konfiguration die Option Datensammlungsfilter hinzufügen aus.

  2. Geben Sie einen Namen für den Filter ein, und wählen Sie den Filtertyp aus, bei dem es sich um einen Parameter handelt, der die Anzahl der erfassten Ereignisse reduziert. Die Parameter werden gemäß dem DNS-Normalisierungsschema normalisiert. Weitere Informationen finden Sie unter Verfügbare Felder für Filter.

    Screenshot: Erstellen eines Filters für den „Windows DNS-Ereignisse über AMA“-Connector

  3. Wählen Sie die Werte aus, nach denen Sie das Feld filtern möchten, aus der Dropdownliste aus.

    Screenshot: Hinzufügen von Feldern zu einem Filter für den „Windows DNS-Ereignisse über AMA“-Connector

  4. Um komplexe Filter hinzuzufügen, wählen Sie Ausschlussfeld zu Filter hinzufügen aus und fügen das entsprechende Feld hinzu.

    • Verwenden Sie durch Trennzeichen getrennte Liste, um mehrere Werte für jedes Feld zu definieren.
    • Um zusammengesetzte Filter zu erstellen, verwenden Sie verschiedene Felder mit einer UND-Beziehung.
    • Verwenden Sie eine ODER-Beziehung zwischen verschiedenen Filtern, um sie zu kombinieren.

    Filter unterstützen auch Platzhalterzeichen, und zwar folgendermaßen:

    • Fügen Sie nach jedem Sternchen (*.) einen Punkt hinzu.
    • Verwenden Sie keine Leerzeichen zwischen der Liste der Domänen.
    • Platzhalter gelten nur für die Unterdomänen der Domäne, einschließlich www.domain.com, unabhängig vom Protokoll. Wenn Sie beispielsweise *.domain.com in einem erweiterten Filter verwenden:
      • Der Filter gilt für www.domain.com und subdomain.domain.com, unabhängig davon, ob es sich bei dem Protokoll um HTTPS, FTP usw. handelt.
      • Der Filter gilt nicht für domain.com. Wenn Sie einen Filter auf domain.com anwenden möchten, geben Sie die Domäne direkt an, ohne einen Platzhalter zu verwenden.

  5. Wenn Sie weitere neue Filter hinzufügen möchten, wählen Sie Neuen Ausschlussfilter hinzufügenaus.

  6. Wenn Sie mit dem Hinzufügen von Filtern fertig sind, wählen Sie Hinzufügen aus.

  7. Zurück auf der Hauptseite der Connectors, wählen Sie Änderungen übernehmen, um die Filter zu speichern und für Ihre Connectors bereitzustellen. Wenn Sie vorhandene Filter oder Felder bearbeiten oder löschen möchten, wählen Sie die Symbole im Tabellenbereich unter dem Bereich Konfiguration aus.

  8. Wenn Sie nach der ersten Bereitstellung Felder oder Filter hinzufügen möchten, wählen Sie Datensammlungsfilter hinzufügen erneut aus.

Beispiele für erweiterte Filter

Verwenden Sie die folgenden Beispiele, um häufig verwendete erweiterte Filter über das Portal oder die API zu erstellen.

Sammeln Sie keine bestimmten Ereignis-IDs.

Dieser Filter weist den Connector an, EventID 256 oder EventID 257 oder EventID 260 mit IPv6-Adressen nicht zu sammeln.

Führen Sie über das Microsoft Sentinel-Portal Folgendes durch:

  1. Erstellen Sie einen Filter mit dem Feld EventOriginalType, mithilfe des Operators Ist gleich, mit den Werten 256, 257 und 260.

    Screenshot: Herausfiltern von Ereignis-IDs für den Connector „Windows DNS-Ereignisse über AMA“

  2. Erstellen Sie einen Filter mit dem oben definierten Feld EventOriginalType, und verwenden Sie den Operator Und, der auch das auf AAAA festgelegte Feld DnsQueryTypeName enthält.

    Screenshot: Herausfiltern von Ereignis-IDs und IPv6-Adressen für den Connector „Windows DNS-Ereignisse über AMA“

Unter Verwendung der API:

"Filters": [
    {
        "FilterName": "SampleFilter",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "256", "257", "260"                                                                              
                ]
            },
            {
                "Field": "DnsQueryTypeName",
                "FieldValues": [
                    "AAAA"                                        
                ]
            }
        ]
    },
    {
        "FilterName": "EventResultDetails",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "230"                                        
                ]
            },
            {
                "Field": "EventResultDetails",
                "FieldValues": [
                    "BADKEY","NOTZONE"                                        
                ]
            }
        ]
    }
]

Sammeln Sie keine Ereignisse mit bestimmten Domänen.

Dieser Filter weist den Connector an, keine Ereignisse von Unterdomänen von „microsoft.com“, „google.com“, „amazon.com“ oder Ereignisse von „facebook.com“ oder „center.local“ zu sammeln.

Führen Sie über das Microsoft Sentinel-Portal Folgendes durch:

Legen Sie das Feld DnsQuery mithilfe des Operators Ist gleich fest, mit der Liste *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local.

Überprüfen Sie diese Überlegungen für die Verwendung von Platzhaltern.

Screenshot: Herausfiltern von Domänen für den Connector „Windows DNS-Ereignisse über AMA“

Um verschiedene Werte in einem einzelnen Feld zu definieren, verwenden Sie den Operator ODER.

Unter Verwendung der API:

Überprüfen Sie diese Überlegungen für die Verwendung von Platzhaltern.

"Filters": [ 

    { 

        "FilterName": "SampleFilter", 

        "Rules": [ 

            { 

                "Field": "DnsQuery", 

                "FieldValues": [ 

                    "*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"                                                                               

                ] 

            }, 

         } 

    } 

]

Normalisierung mithilfe von ASIM

Dieser Connector ist mithilfe von ASIM-Parsern (Advanced Security Information Model) vollständig normalisiert. Der Connector streamt Ereignisse aus den Analyseprotokollen in die normalisierte Tabelle namens ASimDnsActivityLogs. Diese Tabelle dient als Übersetzer, der eine einheitliche Sprache verwendet, die für alle zukünftigen DNS-Connectors freigegeben ist.

Für einen quellenunabhängigen Parser, der alle DNS-Daten vereinheitlicht und sicherstellt, dass Ihre Analyse für alle konfigurierten Quellen ausgeführt wird, verwenden Sie den vereinheitlichenden ASIM DNS-Parser_Im_Dns.

Der ASIM vereinheitlichende Parser ergänzt die native ASimDnsActivityLogs-Tabelle. Während die native Tabelle ASIM-konform ist, wird der Parser benötigt, um Funktionen wie Aliase hinzuzufügen, die nur zur Abfragezeit verfügbar sind, und um ASimDnsActivityLogs mit anderen DNS-Datenquellen zu kombinieren.

Das ASIM DNS-Schema stellt die DNS-Protokollaktivität dar, wie sie vom Windows DNS-Server in den Analyseprotokollen protokolliert wird. Das Schema wird durch offizielle Parameterlisten und RFCs geregelt, die Felder und Werte definieren.

Sehen Sie sich die Liste der Windows DNS-Serverfelder an, die in die normalisierten Feldnamen übersetzt wurden.

Zugehöriger Inhalt

In diesem Artikel haben Sie erfahren, wie Sie den Connector „Windows DNS-Ereignisse über AMA“ einrichten, um Daten hochzuladen und Ihre Windows DNS-Protokolle zu filtern. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: