NXLog DNS-loggar för Microsoft Sentinel
NXLog DNS-loggdataanslutningsappen använder händelsespårning för Windows (ETW) för att samla in både gransknings- och analys-DNS Server-händelser. NXLog im_etw-modulen läser händelsespårningsdata direkt för maximal effektivitet, utan att behöva samla in händelsespårningen i en .etl-fil. Den här REST API-anslutningsappen kan vidarebefordra DNS Server-händelser till Microsoft Sentinel i realtid.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslutningsattribut
| Anslutningsattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | NXLog_DNS_Server_CL |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | NXLog |
Exempel på frågor
DNS Server topp 5 hostlookups
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
DNS Server Top 5 EventOriginalTypes (händelse-ID: er)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
DNS Server-analyshändelser per sekund (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Installationsanvisningar för leverantör
Kommentar
Den här dataanslutningen är beroende av parsers baserat på Kusto-funktioner som distribueras med Microsoft Sentinel-lösningen för att fungera som förväntat. **ASimDnsMicrosoftNXLog ** är utformad för att utnyttja Microsoft Sentinels inbyggda DNS-relaterade analysfunktioner.
Följ de stegvisa anvisningarna i NXLog-användarhandbokens integreringsämne Microsoft Sentinel för att konfigurera den här anslutningsappen.