Referência do conector DNS sobre AMA – campos disponíveis e esquema de normalização
O Microsoft Sentinel permite transmitir e filtrar eventos dos logs do servidor DNS (Sistema de Nomes de Domínio) do Windows para a ASimDnsActivityLog tabela de esquema normalizada. Este artigo descreve os campos usados para filtrar os dados e o esquema de normalização para os campos do servidor DNS do Windows.
O AMA (Agente do Azure Monitor) e a extensão DNS são instalados no seu Windows Server para carregar dados de seus logs analíticos DNS para seu workspace do Microsoft Sentinel. Você transmite e filtra os dados usando os Eventos DNS do Windows por meio do conector AMA.
Campos disponíveis para filtragem
Esta tabela mostra os campos disponíveis. Os nomes de campo são normalizados usando o esquema DNS.
| Nome do campo | Valores | Descrição |
|---|---|---|
| EventOriginalType | Números entre 256 e 280 | O EventID DNS do Windows, que indica o tipo do evento de protocolo DNS. |
| EventResultDetails | • NOERROR • ANTIGOR • SERVFAIL • NXDOMAIN • NOTIMP • RECUSADO • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
A cadeia de caracteres de resultado DNS da operação, conforme definido pela IANA (Autoridade de Números Atribuídos à Internet). |
| DvcIpAdrr | Endereços IP | O endereço IP do servidor relatando o evento. Esse campo também inclui localização geográfica e informações de IP mal-intencionadas. |
| DnsQuery | Nomes de domínio (FQDN) | A cadeia de caracteres que representa o nome de domínio a ser resolvido. • Pode aceitar vários valores em uma lista separada por vírgulas e curingas. Por exemplo: *.microsoft.com,google.com,facebook.com• Examine essas considerações sobre o uso de curingas. |
| DnsQueryTypeName | • A • NS • MD • MF • CNAME • SOA • MB • MG • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • NSAP • NSAP-PTR • SIG • KEY • PX • GPOS • AAAA • LOC • NXT • EID • NIMLOC • SRV |
O atributo DNS solicitado. O nome do tipo de registro de recurso DNS conforme definido pela IANA. |
Esquema de DNS normalizado ASIM
Esta tabela descreve e converte campos de servidor DNS do Windows nos nomes de campo normalizados conforme eles aparecem no esquema de normalização DNS.
| Nome do campo DNS do Windows | Nome do campo normalizado | Tipo | Descrição |
|---|---|---|---|
| EventID | EventOriginalType | String | O tipo de evento original ou ID. |
| RCODE | EventResult | String | O resultado do evento (êxito, parcial, falha, NA). |
| RCODE analisado | EventResultDetails | String | O código de resposta DNS conforme definido pelo IANA. |
| InterfaceIP | DvcIpAdrr | String | O endereço IP do dispositivo ou interface do relatório de eventos. |
| AA | DnsFlagsAuthoritative | Integer | Indica se a resposta do servidor foi autoritativa. |
| AD | DnsFlagsAuthenticated | Integer | Indica que o servidor verificou todos os dados na resposta e na autoridade da resposta, de acordo com as políticas do servidor. |
| RQNAME | DnsQuery | String | O domínio precisa ser resolvido. |
| QTYPE | DnsQueryType | Integer | O tipo de registro de recurso DNS conforme definido pela IANA. |
| Porta | SrcPortNumber | Integer | Porta de origem enviando a consulta. |
| Fonte | SrcIpAddr | Endereço IP | O endereço IP do cliente que está enviando a solicitação DNS. Para uma solicitação DNS recursiva, esse valor normalmente é o IP do dispositivo de relatório, na maioria dos casos, 127.0.0.1. |
| ElapsedTime | DnsNetworkDuration | Integer | O tempo necessário para concluir a solicitação DNS. |
| GUID | DnsSessionId | String | O identificador de sessão DNS, conforme relatado pelo dispositivo de relatório. |
Próximas etapas
Neste artigo, você aprendeu sobre os campos usados para filtrar dados de log DNS usando os eventos DNS do Windows por meio do conector AMA. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir:
- Saiba como obter visibilidade dos seus dados e possíveis ameaças.
- Comece a detectar ameaças com o Microsoft Sentinel.
- Use pastas de trabalho para monitorar seus dados.