Delen via

Naslaginformatie over DNS via AMA-connector - beschikbare velden en normalisatieschema

  • Artikel

Met Microsoft Sentinel kunt u gebeurtenissen van uw DNS-serverlogboeken (Windows Domain Name System) streamen en filteren naar de ASimDnsActivityLog genormaliseerde schematabel. In dit artikel worden de velden beschreven die worden gebruikt voor het filteren van de gegevens en het normalisatieschema voor de Windows DNS-servervelden.

De Azure Monitor Agent (AMA) en de bijbehorende DNS-extensie zijn geïnstalleerd op uw Windows Server om gegevens uit uw ANALYTISCHE DNS-logboeken te uploaden naar uw Microsoft Sentinel-werkruimte. U streamt en filtert de gegevens met behulp van de Windows DNS-gebeurtenissen via de AMA-connector.

Beschikbare velden voor filteren

In deze tabel worden de beschikbare velden weergegeven. De veldnamen worden genormaliseerd met behulp van het DNS-schema.

Veldnaam Waarden Beschrijving
EventOriginalType Getallen tussen 256 en 280 De Windows DNS-gebeurtenis-id, die het type van de DNS-protocol-gebeurtenis aangeeft.
EventResultDetails • NOERROR
• FORMERR
• SERVFAIL
• NXDOMAIN
• NOTIMP
•GEWEIGERD
• YXDOMAIN
• YXRRSET
• NXRRSET
• NOTAUTH
• NOTZONE
• DSOTYPENI
• BADVERS
• BADSIG
• BADKEY
• SLECHTE TIJD
• BADALG
• BADTRUNC
• BADCOOKIE		 De DNS-resultaattekenreeks van de bewerking, zoals gedefinieerd door de Internet Assigned Numbers Authority (IANA).
DvcIpAdrr IP-adressen Het IP-adres van de server die de gebeurtenis rapporteert. Dit veld bevat ook geografische locatie en schadelijke IP-informatie.
DnsQuery Domeinnamen (FQDN) De tekenreeks die de domeinnaam vertegenwoordigt die moet worden omgezet.
• Kan meerdere waarden accepteren in een door komma's gescheiden lijst en jokertekens. Bijvoorbeeld:
*.microsoft.com,google.com,facebook.com
• Bekijk deze overwegingen voor het gebruik van jokertekens.
DnsQueryTypeName •A
•NS
•MD
•MF
•CNAME
•SOA
•MB
•MG
•HEER
• NULL
•WEKEN
•PTR
•HINFO
• MINFO
•MX
•TXT
•RP
•AFSDB
• X25
•ISDN
•RT
• NSAP
• NSAP-PTR
•SIG
•SLEUTEL
•PX
•GROEPSBELEIDSOBJECTEN
•AAAA
•LOC
•NXT
•EID
• NIMLOC
•SRV		 Het aangevraagde DNS-kenmerk. De naam van het type DNS-resourcerecord zoals gedefinieerd door IANA.

Genormaliseerd DNS-schema voor ASIM

In deze tabel worden windows DNS-servervelden beschreven en omgezet in de genormaliseerde veldnamen zoals deze worden weergegeven in het DNS-normalisatieschema.

Windows DNS-veldnaam Genormaliseerde veldnaam Type Description
EventID EventOriginalType Tekenreeks Het oorspronkelijke gebeurtenistype of de oorspronkelijke id.
RCODE EventResult Tekenreeks Het resultaat van de gebeurtenis (geslaagd, gedeeltelijk, mislukt, NB).
RCODE geparseerd EventResultDetails Tekenreeks De DNS-antwoordcode zoals gedefinieerd door IANA.
InterfaceIP DvcIpAdrr Tekenreeks Het IP-adres van het apparaat of de interface voor gebeurtenisrapportage.
AA DnsFlagsAuthoritative Geheel getal Geeft aan of het antwoord van de server gezaghebbend was.
AD DnsFlagsAuthenticated Geheel getal Geeft aan dat de server alle gegevens in het antwoord en de autoriteit van het antwoord heeft geverifieerd, volgens het serverbeleid.
RQNAME DnsQuery Tekenreeks Het domein moet worden opgelost.
QTYPE DnsQueryType Geheel getal Het recordtype van de DNS-resource zoals gedefinieerd door IANA.
Poort SrcPortNumber Geheel getal Bronpoort die de query verzendt.
Bron SrcIpAddr IP-adres Het IP-adres van de client die de DNS-aanvraag verzendt. Voor een recursieve DNS-aanvraag is deze waarde meestal het IP-adres van het rapportageapparaat, in de meeste gevallen 127.0.0.1.
ElapsedTime DnsNetworkDuration Geheel getal De tijd die nodig was om de DNS-aanvraag te voltooien.
GUID DnsSessionId Tekenreeks De DNS-sessie-id zoals gerapporteerd door het rapportageapparaat.

Volgende stappen

In dit artikel hebt u geleerd over de velden die worden gebruikt voor het filteren van DNS-logboekgegevens met behulp van de Windows DNS-gebeurtenissen via de AMA-connector. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: