Recopilación de información sobre la infraestructura de DNS con la solución DNS Analytics en versión preliminar
En este artículo se describe cómo configurar y usar la solución Azure DNS Analytics en Azure Monitor para recopilar información en la infraestructura de DNS sobre seguridad, rendimiento y operaciones.
DNS Analytics le ayuda a:
- Identificar a los clientes que intentan resolver nombres de dominio malintencionados.
- Identificar los registros de recursos obsoletos.
- Identificar los nombres de dominio consultados con más frecuencia y los clientes DNS participativos.
- Ver la carga de solicitudes en los servidores DNS.
- Ver errores de registro DNS dinámicos.
La solución recopila, analiza y correlaciona los registros analíticos y de auditoría de Windows DNS y otros datos relacionados a partir de los servidores DNS.
Importante
El agente de Log Analytics se retirará el 31 de agosto de 2024. Si usa el agente de Log Analytics en la implementación de Microsoft Sentinel, le recomendamos que empiece a planear la migración al Agente de Azure Monitor. Para más información, consulte Migración del Agente de Azure Monitor para Microsoft Sentinel.
Orígenes conectados
En la tabla siguiente se describen los orígenes conectados que son compatibles con esta solución:
Origen conectado | Soporte técnico | Descripción |
---|---|---|
Agentes de Windows | Sí | La solución recopila información de DNS de los agentes de Windows. |
Agentes de Linux | No | La solución no recopila información de DNS de los agentes directos de Linux. |
Grupo de administración de System Center Operations | Sí | La solución recopila información de DNS de los agentes en un grupo de administración de Operations Manager conectado. No se requiere ninguna conexión directa entre el agente de Operations Manager y Azure Monitor. Los datos se reenvían desde el grupo de administración al área de trabajo de Log Analytics. |
Cuenta de Azure Storage | No | La solución no usa Azure Storage. |
Detalles de la recopilación de datos
La solución permite recopilar inventario y datos relacionados con eventos de DNS de los servidores DNS donde se ha instalado un agente de Log Analytics. Posteriormente, estos datos se cargan en Azure Monitor y se muestran en el panel de la solución. Los datos relacionados con el inventario como, por ejemplo, el número de servidores DNS, las zonas y los registros de recursos se recopilan con la ejecución de cmdlets de Powershell para DNS. Los datos se actualizan una vez cada dos días. Los datos relacionados con eventos se recopilan casi en tiempo real a partir de los registros analíticos y de auditoría proporcionados por las funcionalidades mejoradas de registro y diagnóstico de Windows Server 2012 R2.
Configuración
Use la siguiente información para configurar la solución:
- Debe tener un agente de Windows o de Operations Manager en cada servidor DNS que desee supervisar.
- Puede agregar la solución DNS Analytics a su área de trabajo de Log Analytics desde Azure Marketplace. También puede usar el proceso que se describe en cómo agregar soluciones de Azure Monitor desde la Galería de soluciones.
La solución empezará a recopilar datos sin necesidad de ninguna configuración adicional. Sin embargo, puede usar la siguiente configuración para personalizar la recopilación de datos.
Configuración de la solución
En el área de trabajo de Log Analytics de Azure Portal, seleccione Resumen del área de trabajo (en desuso). A continuación, seleccione el icono DNS Analytics. En el panel de soluciones, seleccione Configuración para abrir la página de configuración de DNS Analytics. Hay dos tipos de cambios de configuración que puede realizar:
Nombres de dominio de la lista de permitidos: la solución no procesa todas las consultas de búsqueda. Mantiene una lista de permitidos de los sufijos de nombres de dominio. Las consultas de búsqueda que se resuelven en los nombres de dominio que coinciden con los sufijos de nombres de dominio de esta lista de permitidos no las procesa la solución. No procesar los nombres de dominio de la lista de permitidos ayuda a optimizar los datos enviados a Azure Monitor. La lista de permitidos predeterminada incluye nombres de dominio público populares, como www.google.com y www.facebook.com. Puede ver la lista predeterminada completa si se desplaza.
Puede modificar la lista para agregar cualquier sufijo de nombre de dominio del que no le interese ver información de búsqueda. También puede quitar cualquier sufijo de nombre de dominio del que no le interese ver información de búsqueda.
Umbral de cliente participativo: los clientes DNS que superan el umbral del número de solicitudes de búsqueda, se resaltan en la hoja Clientes DNS. El umbral predeterminado es 1000. Puede modificar el umbral.
Módulos de administración
Si usa Microsoft Monitoring Agent para conectarse a su área de trabajo de Log Analytics, se instalará el siguiente módulo de administración:
- Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
Si el grupo de administración de Operations Manager está conectado al área de trabajo de Log Analytics, se instalarán los siguientes módulos de administración en Operations Manager al agregar esta solución. No es necesario realizar tareas de configuración o mantenimiento de estos módulos de administración:
- Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
- Microsoft System Center Advisor DNS Analytics Configuration (Microsoft.IntelligencePack.Dns.Configuration)
Para obtener más información sobre cómo se actualizan los módulos de administración de soluciones, consulte Conexión de Operations Manager con Log Analytics.
Uso de la solución DNS Analytics
Los datos recopilados por esta solución de supervisión están disponibles en la página Resumen del área de trabajo (en desuso) en Azure Portal. Abra esta página en las áreas de trabajo de Log Analytics para el área de trabajo con la solución y, después, seleccione Resumen del área de trabajo (en desuso) en la sección Clásica del menú. Cada solución se representa mediante un icono. Haga clic en un icono para obtener los datos más detallados que recopiló esa solución.
El icono de DNS incluye la cantidad de servidores DNS donde se recopilan los datos. También incluye la cantidad de solicitudes que los clientes hicieron para solucionar dominios malintencionados durante las últimas 24 horas. Al seleccionar el icono, se abrirá el panel de la solución.
Panel de soluciones
El panel de la solución muestra información resumida de las distintas características de la solución. También incluye vínculos a la vista detallada para un análisis y diagnóstico en profundidad. De forma predeterminada, se muestran los datos de los últimos siete días. Puede cambiar el intervalo de fecha y hora con el control de selección de fecha y hora, tal como se muestra en la imagen siguiente:
El panel de la solución muestra las siguientes secciones:
Seguridad de DNS: informa de los clientes DNS que están intentando comunicarse con dominios malintencionados. Mediante el uso de las fuentes de inteligencia de amenazas de Microsoft, DNS Analytics puede detectar las direcciones IP de clientes que están intentando acceder a los dominios malintencionados. En muchos casos, los dispositivos infectados con malware "marcan" al centro de "comando y control" del dominio malintencionado resolviendo el nombre de dominio del malware.
Al seleccionar una dirección IP de cliente de la lista, se abre Búsqueda de registros y muestra los detalles de la búsqueda de la consulta correspondiente. En el siguiente ejemplo, DNS Analytics detectó que la comunicación se ha realizado con un IRCbot:
La información puede ayudarle a identificar:
- La dirección IP de cliente que inició la comunicación.
- El nombre de dominio que se resuelve en la dirección IP malintencionada.
- Las direcciones IP en las que se resuelve el nombre de dominio.
- La dirección IP malintencionada.
- La gravedad del problema.
- Motivo para incluir la dirección IP malintencionada en la lista de bloqueados.
- La hora de detección.
Dominios consultados: proporciona los nombres de los dominios que los clientes DNS consultan con más frecuencia en el entorno. Puede ver la lista de todos los nombres de dominios consultados. También puede profundizar en los detalles de la solicitud de búsqueda de un nombre de dominio específico en Búsqueda de registros.
Clientes DNS: informa de los clientes que superan el umbral del número de consultas en el período de tiempo seleccionado. Puede ver la lista de todos los clientes DNS y los detalles de las consultas efectuadas por ellos mediante Búsqueda de registros.
Registros de DNS dinámico: informa sobre los errores de registro de nombres. Todos los errores de registro de los registros de recursos de direcciones (tipos A y AAAA) se resaltan junto con el de la dirección IP que realizó las solicitudes de registro. A continuación, puede usar esta información para buscar la causa raíz del error de registro con estos pasos:
Busque la zona que sea autoritativa para el nombre que el cliente está intentando actualizar.
Use la solución para comprobar la información de inventario de esa zona.
Compruebe que está habilitada la actualización dinámica de la zona.
Compruebe si la zona está configurada para la actualización dinámica segura o no.
Solicitudes de registro de nombres: el icono superior muestra una línea de tendencia de solicitudes de actualización dinámica de DNS correctos y con error. El icono inferior muestra los principales 10 clientes que envían solicitudes de actualización de DNS con errores a los servidores DNS, ordenados por el número de errores.
Consultas de DDI Analytics de ejemplo: contiene una lista de las consultas de búsqueda más comunes que capturan directamente datos de análisis sin procesar.
Puede usar estas consultas como punto de partida a fin de crear las suyas propias para generar informes personalizados. Las consultas vinculan a la página Búsqueda de registros de DNS Analytics donde se muestran los resultados:
Lista de servidores DNS: muestra una lista de todos los servidores DNS con el nombre de dominio público, el nombre de dominio, el nombre del bloque y las direcciones IP de servidor asociados.
Lista de zonas DNS: muestra una lista de todas las zonas DNS con el nombre de zona, el estado de actualización dinámica, los servidores de nombres y el estado de la firma DNSSEC asociados.
Registros de recursos no utilizados: muestra una lista de todos los registros de recursos obsoletos/sin usar. Esta lista contiene el nombre de registro de recurso, el tipo de registro, el servidor DNS asociado, la hora de generación de los registros y el nombre de la zona. Puede usar esta lista para identificar los registros de recursos DNS que ya no están en uso. En función de esta información puede, posteriormente, quitar esas entradas de los servidores DNS.
Carga de consultas de los servidores DNS: muestra información para que pueda obtener una perspectiva de la carga DNS en los servidores DNS. Esta información puede ayudarlo a planea la capacidad de los servidores. Puede ir a la pestaña Métricas para cambiar la vista a una visualización gráfica. Esta vista le ayudará a comprender cómo se distribuye la carga DNS entre todos los servidores DNS. Muestra las tendencias de velocidad de consultas de DNS de cada servidor.
Carga de consultas de las zonas DNS: muestra las estadísticas de consulta de zona DNS por segundo de todas las zonas en los servidores DNS que administra la solución. Selecciona la pestaña Métricas para cambiar la vista de registros detallados a una visualización gráfica de los resultados.
Eventos de configuración: muestra todos los eventos de cambio de configuración de DNS y los mensajes asociados. A continuación, puede filtrar estos eventos en función de la hora del evento, el identificador de este, el servidor DNS o la categoría de la tarea. Los datos pueden ayudarle a auditar los cambios realizados en servidores DNS específicos a horas específicas.
Registro analítico de DNS: muestra todos los eventos analíticos de todos los servidores DNS que administra la solución. A continuación, puede filtrar estos eventos en función de la hora del evento, el identificador de este, el servidor DNS, la dirección IP del cliente que realizó la consulta de búsqueda y la categoría de la tarea del tipo de consulta. Los eventos analíticos del servidor DNS habilitan el seguimiento de actividades en este. Un evento analítico se registra cada vez que el servidor envía o recibe información de DNS.
Búsqueda mediante Búsqueda de registros de DNS Analytics
En la página Búsqueda de registros, puede crear una consulta. Puede filtrar los resultados de la búsqueda mediante controles de faceta. También puede crear consultas avanzadas para transformar, filtrar y informar sobre sus resultados. Comience con las siguientes consultas:
En el cuadro de consulta de búsqueda, escriba
DnsEvents
para ver todos los eventos DNS generados por los servidores DNS administrados por la solución. Los resultados muestran los datos de registro de todos los eventos relacionados con consultas de búsqueda, registros dinámicos y cambios de configuración.Para ver los datos de registro de las consultas de búsqueda, seleccione LookUpQuery como el filtro de subtipo en el control de faceta que se encuentra a la izquierda. Aparecerá una tabla que muestra todos los eventos de consulta de búsqueda para el período de tiempo seleccionado.
Para ver los datos de registro de los registros dinámicos, seleccione DynamicRegistration como el filtro de subtipo en el control de faceta que se encuentra a la izquierda. Aparecerá una tabla que muestra todos los eventos de registro dinámicos para el período de tiempo seleccionado.
Para ver los datos de registro de los cambios de configuración, seleccione ConfigurationChange como el filtro de subtipo en el control de faceta que se encuentra a la izquierda. Aparecerá una tabla que muestra todos los eventos de cambios de configuración para el período de tiempo seleccionado.
En el cuadro de consulta de búsqueda, escriba
DnsInventory
para ver todos los datos relacionados con el inventario de DNS de los servidores DNS administrados por la solución. Los resultados muestran los datos del registro para los servidores DNS, las zonas DNS y los registros de recursos.
Solución de problemas
Pasos comunes de solución de problemas:
- Faltan datos de búsquedas de DNS: para solucionar este problema, intente restablecer la configuración o simplemente cargar la página de configuración una vez en el portal. Para restablecerla, tiene que cambiar el valor de una opción por otro y volver al valor original y guardar la configuración.
Sugerencias
Para proporcionar comentarios, visite la página de UserVoice de análisis de registros y publique ideas sobre las características de DNS Analytics con las que trabajar.
Pasos siguientes
Consulte los registros de consultas para ver los registros de datos detallados de DNS.