AMA를 통한 DNS 커넥터 참조 - 사용 가능한 필드 및 정규화 스키마
Microsoft Sentinel을 사용하면 Windows DNS(Domain Name System) 서버 로그에서 ASimDnsActivityLog 정규화된 스키마 테이블로 이벤트를 스트리밍하고 필터링할 수 있습니다. 이 문서에서는 데이터 필터링에 사용되는 필드와 Windows DNS 서버 필드의 정규화 스키마에 대해 설명합니다.
AMA(Azure Monitor 에이전트) 및 해당 DNS 확장은 Windows Server에 설치되어 DNS 분석 로그의 데이터를 Microsoft Sentinel 작업 영역으로 업로드합니다. AMA를 통한 Windows DNS 이벤트 커넥터를 사용하여 데이터를 스트리밍하고 필터링합니다.
필터링에 사용 가능한 필드
이 표는 사용 가능한 필드를 보여 줍니다. 필드 이름은 DNS 스키마를 사용하여 정규화됩니다.
| 필드 이름 | 값 | Description |
|---|---|---|
| EventOriginalType | 256에서 280 사이의 숫자 | DNS 프로토콜 이벤트의 형식을 나타내는 Windows DNS eventID. |
| EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP • REFUSED • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
IANA(Internet Assigned Numbers Authority)에서 정의한 작업의 DNS 결과 문자열입니다. |
| DvcIpAdrr | IP 주소 | 이벤트를 보고하는 서버의 IP 주소입니다. 이 필드에는 지리적 위치 및 악성 IP 정보도 포함됩니다. |
| DnsQuery | 도메인 이름(FQDN) | 확인할 도메인 이름을 나타내는 문자열입니다. • 여러 값을 쉼표로 구분한 목록과 와일드카드를 사용할 수 있습니다. 예를 들면 다음과 같습니다. *.microsoft.com,google.com,facebook.com• 와일드카드 사용에 대한 다음 고려 사항을 검토합니다. |
| DnsQueryTypeName | • A • NS • MD • MF • CNAME • SOA • MB • MG • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • NSAP • NSAP-PTR • SIG • KEY • PX • GPOS • AAAA • LOC • NXT • EID • NIMLOC • SRV |
요청된 DNS 특성입니다. IANA에서 정의한 DNS 리소스 레코드 종류 이름입니다. |
ASIM 정규화된 DNS 스키마
이 표는 Windows DNS 서버 필드를 설명하고 DNS 정규화 스키마에 나타나는 정규화된 필드 이름으로 변환합니다.
| Windows DNS 필드 이름 | 정규화된 필드 이름 | 형식 | Description |
|---|---|---|---|
| EventID | EventOriginalType | String | 원래 이벤트 유형 또는 ID입니다. |
| RCODE | EventResult | String | 이벤트의 결과(성공, 부분, 실패, 해당 없음). |
| 구문 분석된 RCODE | EventResultDetails | String | IANA에서 정의한 DNS 응답 코드입니다. |
| InterfaceIP | DvcIpAdrr | String | 이벤트 보고 디바이스 또는 인터페이스의 IP 주소입니다. |
| AA | DnsFlagsAuthoritative | 정수 | 서버의 응답이 신뢰할 수 있는지 여부를 나타냅니다. |
| AD | DnsFlagsAuthenticated | 정수 | 서버가 서버 정책에 따라 답변의 모든 데이터와 답변의 권한을 확인했음을 나타냅니다. |
| RQNAME | DnsQuery | String | 도메인을 해결해야 합니다. |
| QTYPE | DnsQueryType | 정수 | IANA에서 정의한 DNS 리소스 레코드 종류입니다. |
| 포트 | SrcPortNumber | 정수 | 쿼리를 보내는 원본 포트입니다. |
| 원본 | SrcIpAddr | IP 주소 | DNS 요청을 보내는 클라이언트의 IP 주소입니다. 재귀 DNS 요청의 경우 이 값은 일반적으로 보고 디바이스의 IP이며 대부분의 경우 127.0.0.1입니다. |
| ElapsedTime | DnsNetworkDuration | 정수 | DNS 요청을 완료하는 데 걸린 시간입니다. |
| GUID | DnsSessionId | String | 보고 디바이스에서 보고한 DNS 세션 식별자입니다. |
다음 단계
이 문서에서는 AMA를 통한 Windows DNS 이벤트 커넥터를 사용하여 DNS 로그 데이터를 필터링하는 데 사용되는 필드에 대해 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.
- 데이터에 대한 가시성을 얻고 재적 위협을 확인하는 방법을 알아봅니다.
- Microsoft Sentinel로 위협 검색을 시작합니다.
- 통합 문서를 사용하여 데이터를 모니터링합니다.