Referens för DNS över AMA-anslutningsapp – tillgängliga fält och normaliseringsschema
Med Microsoft Sentinel kan du strömma och filtrera händelser från dina DNS-serverloggar (Windows Domain Name System) till den ASimDnsActivityLog normaliserade schematabellen. I den här artikeln beskrivs de fält som används för att filtrera data och normaliseringsschemat för Windows DNS-serverfälten.
Azure Monitor-agenten (AMA) och dess DNS-tillägg installeras på Din Windows Server för att ladda upp data från DNS-analysloggarna till Microsoft Sentinel-arbetsytan. Du strömmar och filtrerar data med hjälp av Windows DNS-händelser via AMA-anslutningsappen.
Tillgängliga fält för filtrering
I den här tabellen visas tillgängliga fält. Fältnamnen normaliseras med hjälp av DNS-schemat.
| Fältnamn | Värden | Beskrivning |
|---|---|---|
| EventOriginalType | Tal mellan 256 och 280 | Windows DNS eventID, som anger typen av DNS-protokollhändelse. |
| EventResultDetails | • NOERROR • TIDIGARER • SERVFAIL • NXDOMAIN • NOTIMP •VÄGRADE • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
Åtgärdens DNS-resultatsträng enligt definitionen av IANA (Internet Assigned Numbers Authority). |
| DvcIpAdrr | IP-adresser | IP-adressen för servern som rapporterar händelsen. Det här fältet innehåller även geoplats och skadlig IP-information. |
| DnsQuery | Domännamn (FQDN) | Strängen som representerar domännamnet som ska matchas. • Kan acceptera flera värden i en kommaavgränsad lista och jokertecken. Exempel: *.microsoft.com,google.com,facebook.com• Granska dessa överväganden för att använda jokertecken. |
| DnsQueryTypeName | •A •NS •MD •MF •CNAME •SOA •MB •MG •MR •NULL •WKS •PTR •HINFO • MINFO •MX •TXT •RP • AFSDB • X25 •ISDN •RT •NSAP • NSAP-PTR • SIG •NYCKEL •PX •GRUPPRINCIPOBJEKT •AAAA •LOC •NXT •EID • NIMLOC •SRV |
Det begärda DNS-attributet. Dns-resursens posttypsnamn som definieras av IANA. |
ASIM-normaliserat DNS-schema
Den här tabellen beskriver och översätter Windows DNS-serverfält till de normaliserade fältnamnen som de visas i DNS-normaliseringsschemat.
| Windows DNS-fältnamn | Normaliserat fältnamn | Typ | Beskrivning |
|---|---|---|---|
| EventID | EventOriginalType | Sträng | Den ursprungliga händelsetypen eller ID:t. |
| RCODE | EventResult | Sträng | Resultatet av händelsen (lyckad, partiell, misslyckad, NA). |
| RCODE tolkad | EventResultDetails | Sträng | DNS-svarskoden som definieras av IANA. |
| InterfaceIP | DvcIpAdrr | Sträng | IP-adressen för händelserapporteringsenheten eller -gränssnittet. |
| AA | DnsFlagsAuthoritative | Integer | Anger om svaret från servern var auktoritativt. |
| AD | DnsFlagsAuthenticated | Integer | Anger att servern verifierade alla data i svaret och utfärdaren av svaret, enligt serverprinciperna. |
| RQNAME | DnsQuery | Sträng | Domänen måste lösas. |
| QTYPE | DnsQueryType | Integer | DNS-resursposttypen enligt definitionen i IANA. |
| Port | SrcPortNumber | Integer | Källporten skickar frågan. |
| Källa | SrcIpAddr | IP-adress | IP-adressen för klienten som skickar DNS-begäran. För en rekursiv DNS-begäran är det här värdet vanligtvis den rapporterande enhetens IP-adress, i de flesta fall 127.0.0.1. |
| ElapsedTime | DnsNetworkDuration | Integer | Den tid det tog att slutföra DNS-begäran. |
| GUID | DnsSessionId | Sträng | DNS-sessionsidentifieraren som rapporteras av rapporteringsenheten. |
Nästa steg
I den här artikeln har du lärt dig om fälten som används för att filtrera DNS-loggdata med hjälp av Windows DNS-händelser via AMA-anslutningsappen. Mer information om Microsoft Sentinel finns i följande artiklar:
- Lär dig hur du får insyn i dina data och potentiella hot.
- Kom igång med att identifiera hot med Microsoft Sentinel.
- Använd arbetsböcker för att övervaka dina data.