次の方法で共有

DNS Analytics プレビュー ソリューションを使用して DNS インフラストラクチャに関する分析情報を収集する

  • [アーティクル]

DNS Analytics シンボル。

この記事では、Azure Monitor で Azure DNS Analytics ソリューションを設定して使用して、セキュリティ、パフォーマンス、および操作に関する DNS インフラストラクチャに関する分析情報を収集する方法について説明します。

DNS Analytics は、次のことに役立ちます。

  • 悪意のあるドメイン名を解決しようとしているクライアントを特定する。
  • 古いリソース レコードを特定する。
  • クエリ対象になる頻度が高いドメイン名と話好きな DNS クライアントを特定する。
  • DNS サーバーの要求負荷を確認する。
  • 動的 DNS 登録エラーを確認する。

このソリューションは、Windows DNS 分析と監査ログ、および DNS サーバーからのその他の関連データを収集、分析、関連付けるものです。

重要

Log Analytics エージェントは、2024 年 8 月 31 日に廃止。 Microsoft Sentinel デプロイで Log Analytics エージェントを使用している場合は、Azure Monitor エージェントへの移行の計画を開始することをお勧めします。 詳細については、「Microsoft Sentinelの Azure Monitor エージェントの移行」を参照してください。

接続されたソース

次の表では、このソリューションでサポートされている接続されたソースについて説明します。

接続されたソース 支援 説明
Windows エージェント イエス このソリューションは、Windows エージェントから DNS 情報を収集します。
Linux エージェント いいえ ソリューションは、直接の Linux エージェントから DNS 情報を収集しません。
System Center Operations Manager の管理グループ イエス このソリューションは、接続された Operations Manager 管理グループ内のエージェントから DNS 情報を収集します。 Operations Manager エージェントから Azure Monitor への直接接続は必要ありません。 データは管理グループから Log Analytics ワークスペースに転送されます。
Azure Storage アカウント いいえ Azure Storage はソリューションでは使用されません。

データ収集の詳細

このソリューションは、Log Analytics エージェントがインストールされている DNS サーバーから DNS インベントリと DNS イベント関連のデータを収集します。 その後、このデータは Azure Monitor にアップロードされ、ソリューション ダッシュボードに表示されます。 DNS サーバー、ゾーン、リソース レコードの数などのインベントリ関連のデータは、DNS PowerShell コマンドレットを実行して収集されます。 データは 2 日に 1 回更新されます。 イベント関連のデータは、Windows Server 2012 R2 の強化された DNS ログと診断によって提供 分析ログと監査ログからほぼリアルタイムで収集されます。

コンフィギュレーション

ソリューションを構成するには、次の情報を使用します。

さらに構成を行わなくても、ソリューションはデータの収集を開始します。 ただし、次の構成を使用してデータ収集をカスタマイズできます。

ソリューションを構成する

Azure ポータルの Log Analytics ワークスペースから、「ワークスペースの概要 (非推奨)」を選択します。 次に、DNS Analytics タイルを選択します。 ソリューション ダッシュボードで、[構成] を選択して、[DNS Analytics 構成] ページを開きます。 構成の変更には、次の 2 種類があります。

  • 許可リストに登録されたドメイン名の: ソリューションでは、すべての参照クエリが処理されるわけではありません。 ドメイン名サフィックスの許可リストが保持されます。 この許可リスト内のドメイン名サフィックスと一致するドメイン名に解決される参照クエリは、ソリューションによって処理されません。 許可リストに登録されているドメイン名を処理しないと、Azure Monitor に送信されるデータを最適化するのに役立ちます。 既定の許可リストには、www.google.comwww.facebook.comなどの一般的なパブリック ドメイン名が含まれています。 スクロールすると、完全な既定のリストを表示できます。

    リストを変更して、参照情報を表示するドメイン名サフィックスを追加できます。 表示するインサイトを確認したくないドメイン名サフィックスを削除することもできます。

  • Talkative Client Threshold: 参照要求の数のしきい値を超える DNS クライアントは、DNS クライアント ペインで強調表示されます。 既定のしきい値は 1,000 です。 しきい値を編集できます。

    許可リストに登録されているドメイン名を示すスクリーンショット。

管理パック

Microsoft Monitoring Agent を使用して Log Analytics ワークスペースに接続している場合は、次の管理パックがインストールされます。

  • Microsoft DNS データ コレクター インテリジェンス パック (Microsoft.IntelligencePacks.Dns)

Operations Manager 管理グループが Log Analytics ワークスペースに接続されている場合、このソリューションを追加すると、Operations Manager に次の管理パックがインストールされます。 これらの管理パックの構成やメンテナンスは必要ありません。

  • Microsoft DNS データ コレクター インテリジェンス パック (Microsoft.IntelligencePacks.Dns)
  • Microsoft System Center Advisor DNS アナリティクスの構成 (Microsoft.IntelligencePack.Dns.Configuration)

ソリューション管理パックの更新方法の詳細については、「Operations Manager を Log Analyticsに接続する」を参照してください。

DNS Analytics ソリューションを使用する

この監視ソリューションによって収集されたデータは、Azure portal の ワークスペースの概要 (非推奨) ページで入手できます。 ソリューションを使用してワークスペースの Log Analytics ワークスペースからこのページを開き、メニューの [クラシック] セクションから [ワークスペースの概要 (非推奨) を選択します。 各ソリューションはタイルで表されます。 より詳細なデータを表示するには、そのソリューションで収集された項目を選択してください。

DNS タイルには、データが収集されている DNS サーバーの数が含まれます。 また、過去 24 時間以内に悪意のあるドメインを解決するためにクライアントによって行われた要求の数も含まれます。 タイルを選択すると、ソリューション ダッシュボードが開きます。

DNS Analytics タイルを示すスクリーンショット。

ソリューション ダッシュボード

ソリューション ダッシュボードには、ソリューションのさまざまな機能に関する概要情報が表示されます。 また、フォレンジック分析と診断の詳細ビューへのリンクも含まれています。 既定では、過去 7 日間のデータが表示されます。 次の図に示すように、日時選択コントロールを使用して、日付と時刻の範囲を変更できます。

時間選択コントロールを示すスクリーンショット。

ソリューション ダッシュボードには、次のセクションが表示されます。

DNS セキュリティ: 悪意のあるドメインと通信しようとしている DNS クライアントを報告します。 Microsoft 脅威インテリジェンス フィードを使用すると、DNS Analytics は悪意のあるドメインにアクセスしようとしているクライアント IP を検出できます。 多くの場合、マルウェアに感染したデバイスは、マルウェア ドメイン名を解決して、悪意のあるドメインの "コマンドと制御" センターに "ダイヤルアウト" します。

[DNS セキュリティ] セクションを示すスクリーンショット。

一覧でクライアント IP を選択すると、ログ検索が開き、それぞれのクエリの参照の詳細が表示されます。 次の例では、DNS Analytics は、IRCbotを使用して通信が行われることを検出しました。

ircbot を示しているログ検索結果のスクリーンショット。

この情報は、次の情報を識別するのに役立ちます。

  • 通信を開始したクライアント IP。
  • 悪意のあるIPに対応するドメイン名。
  • ドメイン名が変換される IP アドレス。
  • 悪意のある IP アドレス。
  • 問題の重大度。
  • 悪意のある IP をブロックリスト化する理由。
  • 検出時間。

ドメインクエリ: 環境内の DNS クライアントによって照会される最も頻繁なドメイン名を提供します。 クエリされたすべてのドメイン名の一覧を表示できます。 ログ検索で特定のドメイン名に関する参照要求の詳細をドリルダウンして確認することもできます。

[ドメインクエリ]セクションを示すスクリーンショット。

DNS クライアント: 選択した期間のクエリ数のしきい値 に違反 クライアントを報告します。 ログ検索 で、すべての DNS クライアントの一覧と、それらのクライアントによって実行されたクエリの詳細表示できます。

[DNS クライアント] セクションを示すスクリーンショット。

動的 DNS 登録: 名前の登録エラーを報告します。 アドレス リソース レコード (タイプ A および AAAA) のすべての登録エラーが、登録要求を行ったクライアント IP と共に強調表示されます。 その後、次の手順に従って、この情報を使用して登録エラーの根本原因を特定できます。

  1. クライアントが更新しようとしている名前に対して権限のあるゾーンを見つけます。

  2. ソリューションを使用して、そのゾーンのインベントリ情報を確認します。

  3. ゾーンの動的更新が有効になっていることを確認します。

  4. ゾーンがセキュリティで保護された動的更新用に構成されているかどうかを確認します。

    動的 DNS 登録セクションを示すスクリーンショット。

名前の登録要求: 上部のタイルには、成功した DNS 動的更新要求と失敗した DNS 動的更新要求の近似曲線が表示されます。 下のタイルには、失敗した DNS 更新要求を DNS サーバーに送信している上位 10 個のクライアントが、エラーの数で並べ替えられた一覧に表示されます。

名前の登録要求セクションを示すスクリーンショット。

DDI Analytics クエリのサンプル: 生の分析データを直接フェッチする最も一般的な検索クエリの一覧が含まれています。

サンプル クエリを示すスクリーンショット。

これらのクエリは、カスタマイズされたレポート用の独自のクエリを作成するための開始点として使用できます。 クエリは、結果が表示される DNS Analytics Log Search ページにリンクします。

  • DNS サーバーの一覧: 関連付けられた FQDN、ドメイン名、フォレスト名、およびサーバー IP を持つすべての DNS サーバーの一覧が表示されます。

  • DNS ゾーンのの一覧: ゾーン名、動的更新状態、ネーム サーバー、DNSSEC 署名の状態が関連付けられているすべての DNS ゾーンの一覧が表示されます。

  • 未使用のリソース レコード: 未使用または古いリソース レコードの一覧が表示されます。 この一覧には、リソース レコード名、リソース レコードの種類、関連付けられている DNS サーバー、レコード生成時刻、ゾーン名が含まれます。 この一覧を使用して、使用されなくなった DNS リソース レコードを識別できます。 この情報に基づいて、DNS サーバーからこれらのエントリを削除できます。

  • DNS サーバーのクエリ負荷: DNS サーバーの DNS 負荷を確認できるように情報を表示します。 この情報は、サーバーの容量を計画するのに役立ちます。 メトリック タブに移動して、ビューをグラフィカルな視覚化に変更できます。 このビューは、DNS サーバー間で DNS 負荷がどのように分散されているかを理解するのに役立ちます。 各サーバーの DNS クエリ レートの傾向が表示されます。

    DNS サーバーのクエリ ログの検索結果を示すスクリーンショット。

  • DNS ゾーンクエリ負荷: ソリューションによって管理されている DNS サーバー上のすべてのゾーンの DNS ゾーンクエリ/秒の統計情報を表示します。 [メトリック] タブを選択して、ビューを詳細なレコードから結果のグラフィカルな視覚化に変更します。

  • 構成イベント: すべての DNS 構成変更イベントと関連するメッセージが表示されます。 その後、イベント、イベント ID、DNS サーバー、またはタスク カテゴリの時刻に基づいて、これらのイベントをフィルター処理できます。 このデータは、特定の時刻に特定の DNS サーバーに加えられた変更を監査するのに役立ちます。

  • DNS 分析ログ: ソリューションによって管理されているすべての DNS サーバー上のすべての分析イベントが表示されます。 その後、イベントの時刻、イベント ID、DNS サーバー、検索クエリを実行したクライアント IP、クエリの種類のタスク カテゴリに基づいて、これらのイベントをフィルター処理できます。 DNS サーバー分析イベントを使用すると、DNS サーバーでのアクティビティ追跡が可能になります。 サーバーが DNS 情報を送受信するたびに、分析イベントがログに記録されます。

ログ検索 ページで、クエリを作成できます。 ファセット コントロールを使用して検索結果をフィルター処理できます。 また、結果を変換、フィルター処理、レポートするための高度なクエリを作成することもできます。 まず、次のクエリを使用します。

  1. 検索クエリ ボックスに「DnsEvents」と入力して、ソリューションによって管理されている DNS サーバーによって生成されたすべての DNS イベントを表示します。 結果には、ルックアップ クエリ、動的登録、および構成の変更に関連するすべてのイベントのログ データが一覧表示されます。

    DnsEvents ログ検索を示すスクリーンショット。

    1. 検索クエリのログ データを表示するには、左側のファセット コントロール サブタイプ フィルターとして LookUpQuery を選択します。 選択した期間のすべてのルックアップ クエリ イベントを一覧表示するテーブルが表示されます。

    2. 動的登録のログ データを表示するには、左側 ファセット コントロールから サブタイプ フィルターとして DynamicRegistration を選択します。 選択した期間のすべての動的登録イベントを一覧表示するテーブルが表示されます。

    3. 構成変更のログ データを表示するには、左側 ファセット コントロールから サブタイプ フィルターとして ConfigurationChange を選択します。 選択した期間のすべての構成変更イベントを一覧表示するテーブルが表示されます。

  2. 検索クエリ ボックスに「DnsInventory」と入力して、ソリューションによって管理されている DNS サーバーのすべての DNS インベントリ関連データを表示します。 結果には、DNS サーバー、DNS ゾーン、およびリソース レコードのログ データが一覧表示されます。

    DnsInventory ログ検索を示すスクリーンショット。

トラブルシューティング

一般的なトラブルシューティング手順:

  • DNS 参照データのがありません: この問題をトラブルシューティングするには、構成をリセットするか、ポータルで構成ページを 1 回読み込みます。 リセットするには、設定を別の値に変更し、元の値に戻して、構成を保存します。

提案

フィードバックを提供するには、Log Analytics UserVoice のページ を参照して、DNS Analytics の機能に関するアイデアを投稿してください。

次のステップ

クエリ ログの を確認して、詳細な DNS ログ レコードを表示します。