Справочник по соединителю DNS через AMA — доступные поля и схема нормализации
Microsoft Sentinel позволяет передавать и фильтровать события из журналов DNS-сервера Windows в нормализованную таблицу схемы ASimDnsActivityLog. В этой статье описываются поля, используемые для фильтрации данных, и схема нормализации для полей DNS-сервера Windows.
Агент Azure Monitor (AMA) и его расширение DNS устанавливаются на сервере Windows Server для передачи данных из аналитических журналов DNS в рабочую область Microsoft Sentinel. Потоковая передача и фильтрация данных с помощью соединителя "События Windows DNS через AMA".
Доступные поля для фильтрации
В этой таблице показаны доступные поля. Имена полей нормализуются с помощью схемы DNS.
| Имя поля | Значения | Описание |
|---|---|---|
| EventOriginalType | Числа от 256 до 280 | Идентификатор события Windows DNS, указывающий тип события протокола DNS. |
| EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP • REFUSED • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
Строка результата DNS операции, определенная центром IANA. |
| DvcIpAdrr | IP-адреса | IP-адрес сервера, сообщающего о событии. Это поле также содержит сведения о географическом расположении и вредоносных IP-адресах. |
| DnsQuery | Имена доменов (FQDN) | Строка, представляющая разрешенное доменное имя. • Может принимать несколько значений в списке с разделителями-запятыми, и подстановочные знаки. Например: *.microsoft.com,google.com,facebook.com• При использовании подстановочных знаков ознакомьтесь со следующими рекомендациями. |
| DnsQueryTypeName | • A • NS • MD • MF • CNAME • SOA • MB • MG • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • NSAP • NSAP-PTR • SIG • KEY • PX • GPOS • AAAA • LOC • NXT • EID • NIMLOC • SRV |
Запрошенный атрибут DNS. Имя типа записи ресурса DNS, определенное IANA. |
Схема DNS, нормализованная ASIM
В этой таблице поля DNS-сервера Windows преобразуются в нормализованные имена полей, которые отображаются в схеме нормализации DNS.
| Имя поля Windows DNS | Нормализованное имя поля | Тип | Описание |
|---|---|---|---|
| EventID | EventOriginalType | Строковый тип | Исходный тип или идентификатор события. |
| RCODE | EventResult | Строка | Результат события (успех, частично, сбой, NA). |
| Проанализированный RCODE | EventResultDetails | Строка | Код ответа DNS, определенный IANA. |
| InterfaceIP | DvcIpAdrr | Строковый тип | IP-адрес устройства или интерфейса для создания отчетов о событиях. |
| AA | DnsFlagsAuthoritative | Целое число | Указывает, является ли ответ сервера полномочным. |
| AD | DnsFlagsAuthenticated | Целое число | Указывает, что сервер проверил все данные в ответе и полномочия ответа в соответствии с политиками сервера. |
| RQNAME | DnsQuery | Строковый тип | Домен, который требуется разрешить. |
| QTYPE | DnsQueryType | Целое число | Тип записи ресурса DNS, определенный IANA. |
| Порт | SrcPortNumber | Целочисленный тип | Исходный порт, отправляющий запрос. |
| Источник | SrcIpAddr | IP-адрес | IP-адрес клиента, отправляющего запрос DNS. Для рекурсивного запроса DNS это значение обычно определяет IP-адрес передающего устройства и в большинстве случаев равно 127.0.0.1. |
| ElapsedTime | DnsNetworkDuration | Целое число | Время, необходимое для выполнения запроса DNS. |
| GUID | DnsSessionId | Строковый тип | Идентификатор сеанса DNS, сообщаемый устройством составления отчетов. |
Дальнейшие действия
В этой статье вы узнали о полях, используемых для фильтрации данных журнала DNS с помощью соединителя "События Windows DNS через AMA". Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Узнайте, как отслеживать свои данные и потенциальные угрозы.
- Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
- Используйте книги для мониторинга данных.