Freigeben über

DNS über AMA-Connector-Referenz – verfügbare Felder und Normalisierungsschema

  • Artikel

Microsoft Sentinel ermöglicht Es Ihnen, Ereignisse aus Ihrem Windows Domain Name System (DNS)-Serverprotokollen in der ASimDnsActivityLog normalisierten Schematabelle zu streamen und zu filtern. In diesem Artikel werden die Felder beschrieben, die zum Filtern der Daten und zum Normalisierungsschema für die Windows-DNS-Serverfelder verwendet werden.

Der Azure Monitor Agent (AMA) und seine DNS-Erweiterung werden auf Ihrem Windows Server installiert, um Daten aus Ihren DNS-Analyseprotokollen in Ihren Microsoft Sentinel-Arbeitsbereich hochzuladen. Sie streamen und filtern die Daten mithilfe des Windows DNS-Ereignisses über AMA-Connector.

Verfügbare Felder zum Filtern

Diese Tabelle zeigt die verfügbaren Felder an. Die Feldnamen werden mithilfe des DNS-Schemas normalisiert.

Feldname Werte BESCHREIBUNG
EventOriginalType Zahlen zwischen 256 und 280 Die Windows-DNS-Ereignis-ID, die den Typ des DNS-Protokollereignisses angibt.
EventResultDetails • NOERROR
• FORMERR
• SERVFAIL
• NXDOMAIN
• NOTIMP
• REFUSED
• YXDOMAIN
• YXRRSET
• NXRRSET
• NOTAUTH
• NOTZONE
• DSOTYPENI
• BADVERS
• BADSIG
• BADKEY
• BADTIME
• BADALG
• BADTRUNC
• BADCOOKIE		 Die DNS-Ergebniszeichenfolge des Vorgangs, wie von der Internet Assigned Numbers Authority (IANA) definiert.
DvcIpAdrr IP-Adressen Die IP-Adresse des Servers, der das Ereignis meldet. Dieses Feld enthält auch Geo-Standort- und böswillige IP-Informationen.
DnsQuery Domänennamen (FQDN) Die Zeichenfolge, die den Domänennamen darstellt, der aufgelöst werden soll.
• Kann mehrere Werte in einer durch Komma getrennten Liste und Wildcards akzeptieren. Zum Beispiel:
*.microsoft.com,google.com,facebook.com
• Überprüfen Sie diese Überlegungen für die Verwendung von Wildcards.
DnsQueryTypeName • A
• NS
• MD
• MF
• CNAME
• SOA
• MB
• MG
• MR
• NULL
• WKS
• PTR
• HINFO
• MINFO
• MX
• TXT
• RP
• AFSDB
• X25
• ISDN
• RT
• NSAP
• NSAP-PTR
• SIG
• KEY
• PX
• GPOS
• AAAA
• LOC
• NXT
• EID
• NIMLOC
• SRV		 Das angeforderte DNS-Attribut. Der Typname des DNS-Ressourceneintrags, wie von IANA definiert.

ASIM normalisiertes DNS-Schema

Diese Tabelle beschreibt und übersetzt Windows DNS-Serverfelder in die normalisierten Feldnamen, da sie im DNS-Normalisierungsschema angezeigt werden.

Windows DNS-Feldname Normalisiertes Feld type BESCHREIBUNG
EventId EventOriginalType String Der ursprüngliche Ereignistyp oder die ID.
RCODE EventResult String Das Ergebnis des Ereignisses (Erfolg, Teil, Fehler, NA).
RCODE analysiert EventResultDetails String Der DNS-Antwortcode gemäß der Definition von IANA.
InterfaceIP DvcIpAdrr String Die IP-Adresse des Ereignisberichtsgeräts oder der Schnittstelle.
AA DnsFlagsAuthoritative Integer Gibt an, ob die Antwort vom Server autorisierend war.
AD DnsFlagsAuthenticated Integer Gibt an, dass der Server alle Daten in der Antwort und die Autorität der Antwort gemäß den Serverrichtlinien überprüft hat.
RQNAME DnsQuery String Die Domäne muss aufgelöst werden.
QTYPE DnsQueryType Integer Der Typ des DNS-Ressourceneintrags, wie von IANA definiert.
Port SrcPortNumber Integer Quellport, der die Abfrage sendet.
`Source` SrcIpAddr IP-Adresse Die IP-Adresse des Clients, der die DNS-Anforderung sendet. Bei einer rekursiven DNS-Anforderung ist dieser Wert in den meisten Fällen normalerweise die IP des meldenden Geräts 127.0.0.1
ElapsedTime DnsNetworkDuration Integer Die Zeit, die zum Abschließen der DNS-Anfrage benötigt wurde.
GUID DnsSessionId String Der DNS-Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird.

Nächste Schritte

In diesem Artikel haben Sie die Felder kennengelernt, die zum Filtern von DNS-Protokolldaten mithilfe der Windows-DNS-Ereignisse über den AMA-Connector verwendet werden. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: