مرجع مخطط تسوية DNS لنموذج معلومات الأمان المتقدم (ASIM) (معاينة عامة)

  • مقالة
  • قراءة خلال 17 دقائق

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

يتم استخدام نموذج معلومات DNS لوصف الأحداث التي تم الإبلاغ عنها بواسطة خادم DNS أو نظام أمان DNS، ويتم استخدامه من قبل Microsoft Sentinel لتمكين التحليلات غير المتصلة بالمصادر.

لمزيد من المعلومات، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM) .

هام

مخطط تسوية DNS قيد المعاينة حاليا. يتم توفير هذه الميزة دون اتفاقية مستوى الخدمة، ولا يوصى بها لأحمال عمل الإنتاج.

تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.

نظرة عامة على المخطط

يمثل مخطط ASIM DNS نشاط بروتوكول DNS. ترسل كل من خوادم DNS والأجهزة طلبات DNS إلى نشاط DNS لسجل خادم DNS. يتضمن نشاط بروتوكول DNS استعلامات DNS وتحديثات خادم DNS ونقل البيانات المجمعة ل DNS. نظرا لأن المخطط يمثل نشاط البروتوكول، فإنه يحكمه RFCs وقوائم المعلمات المعينة رسميا، والتي يشار إليها في هذه المقالة عند الاقتضاء. لا يمثل مخطط DNS أحداث تدقيق خادم DNS.

أهم نشاط تم الإبلاغ عنه بواسطة خوادم DNS هو استعلام DNS، الذي EventType تم تعيين الحقل له إلى Query.

أهم الحقول في حدث DNS هي:

  • DnsQuery، الذي يبلغ عن اسم المجال الذي تم إصدار الاستعلام له.

  • SrcIpAddr (المستعار إلى IpAddr)، والذي يمثل عنوان IP الذي تم إنشاء الطلب منه. توفر خوادم DNS عادة حقل SrcIpAddr، ولكن عملاء DNS في بعض الأحيان لا يوفرون هذا الحقل ويوفرون فقط حقل SrcHostname .

  • EventResultDetails، الذي يبلغ عما إذا كان الطلب ناجحا وإذا لم يكن، لماذا.

  • عند توفره، DnsResponseName، الذي يحتوي على الإجابة التي يوفرها الخادم للاستعلام. لا يتطلب ASIM تحليل الاستجابة، ويختلف تنسيقها بين المصادر.

    لاستخدام هذا الحقل في محتوى غير محدد المصدر، ابحث في المحتوى باستخدام has عاملي التشغيل أو contains .

قد تتضمن أحداث DNS التي تم جمعها على جهاز العميل أيضا معلومات المستخدموالعملية .

إرشادات تجميع أحداث DNS

DNS هو بروتوكول فريد من حيث أنه قد يعبر عددا كبيرا من أجهزة الكمبيوتر. أيضا، نظرا لأن DNS يستخدم UDP، فإن الطلبات والاستجابات غير مقترنة ولا ترتبط ارتباطا مباشرا ببعضها البعض.

تظهر الصورة التالية تدفق طلب DNS مبسطا، بما في ذلك أربعة مقاطع. يمكن أن يكون الطلب في العالم الحقيقي أكثر تعقيدا، مع المزيد من الشرائح المعنية.

Simplified DNS request flow.

نظرا لأن شرائح الطلب والاستجابة غير متصلة مباشرة ببعضها البعض في تدفق طلب DNS، يمكن أن يؤدي التسجيل الكامل إلى تكرار كبير.

الجزء الأكثر قيمة لتسجيل هو الاستجابة للعميل. توفر الاستجابة استعلامات اسم المجال، ونتيجة البحث، وعنوان IP للعميل. بينما تقوم العديد من أنظمة DNS بتسجيل هذا الجزء فقط، هناك قيمة في تسجيل الأجزاء الأخرى. على سبيل المثال، غالبا ما يستفيد هجوم تسمم ذاكرة التخزين المؤقت DNS من الاستجابات المزيفة من خادم المصدر.

إذا كان مصدر البيانات يدعم تسجيل DNS الكامل وقد اخترت تسجيل مقاطع متعددة، فعدل استعلاماتك لمنع تكرار البيانات في Microsoft Sentinel.

على سبيل المثال، يمكنك تعديل الاستعلام الخاص بك بالتسوية التالية:

_Im_DNS | where SrcIpAddr != "127.0.0.1" and EventSubType == "response"

موزعي

لمزيد من المعلومات حول محللات ASIM، راجع نظرة عامة على محللات ASIM.

توحيد المحللات

لاستخدام المحللات التي تعمل على توحيد جميع محللات ASIM الجاهزة، والتأكد من أن التحليل الخاص بك يعمل عبر جميع المصادر المكونة، استخدم _Im_Dns محلل التصفية أو _ASim_Dns محلل المعلمات الأقل. يمكنك أيضا استخدام مساحة العمل المنشورة ImDns والمحللات ASimDns .

محللات خارج الصندوق ومخصصة للمصدر

للحصول على قائمة محللات DNS يوفر Microsoft Sentinel خارج الصندوق الرجوع إلى قائمة محللات ASIM

إضافة محللاتك التي تمت تسويتها

عند تنفيذ تحليلات مخصصة لنموذج معلومات Dns، قم بتسمية وظائف KQL بالتنسيق التالي:

  • vimDns<vendor><Product> لل parmetrized parsers
  • ASimDns<vendor><Product> للموزعين العاديين

تصفية معلمات المحلل

im يدعم المحللان و vim*معلمات التصفية. في حين أن هذه المحللات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.

تتوفر معلمات التصفية التالية:

الاسم النوع الوصف
وقت البدء datetime تصفية استعلامات DNS التي تم تشغيلها في هذا الوقت أو بعده فقط.
وقت الانتهاء datetime تصفية استعلامات DNS التي انتهت تشغيلها في هذا الوقت أو قبله فقط.
srcipaddr سلسلة تصفية استعلامات DNS فقط من عنوان IP المصدر هذا.
domain_has_any ديناميكي تصفية استعلامات DNS فقط حيث domain يحتوي (أو query) على أي من أسماء المجالات المدرجة، بما في ذلك كجزء من مجال الحدث. يقتصر طول القائمة على 10,000 عنصر.
اسم رمز الاستجابة سلسلة تصفية استعلامات DNS فقط التي يتطابق فيها اسم رمز الاستجابة مع القيمة المتوفرة.
على سبيل المثال:NXDOMAIN
response_has_ipv4 سلسلة تصفية استعلامات DNS فقط التي يتضمن فيها حقل الاستجابة عنوان IP المتوفر أو بادئة عنوان IP. استخدم هذه المعلمة عندما تريد التصفية على عنوان IP واحد أو بادئة واحدة.

لا يتم إرجاع النتائج للمصادر التي لا توفر استجابة.
response_has_any_prefix ديناميكي تصفية استعلامات DNS فقط حيث يتضمن حقل الاستجابة أي من عناوين IP المدرجة أو بادئات عناوين IP. يجب أن تنتهي البادئات ب .، على سبيل المثال: 10.0..

استخدم هذه المعلمة عندما تريد التصفية على قائمة عناوين IP أو البادئات.

لا يتم إرجاع النتائج للمصادر التي لا توفر استجابة. يقتصر طول القائمة على 10,000 عنصر.
نوع الحدث سلسلة تصفية استعلامات DNS من النوع المحدد فقط. إذا لم يتم تحديد قيمة، يتم إرجاع استعلامات البحث فقط.

على سبيل المثال، لتصفية استعلامات DNS فقط من اليوم الأخير التي فشلت في حل اسم المجال، استخدم:

_Im_Dns (responsecodename = 'NXDOMAIN', starttime = ago(1d), endtime=now())

لتصفية استعلامات DNS فقط لقائمة محددة من أسماء المجالات، استخدم:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co",...]);
_Im_Dns (domain_has_any = torProxies)

تلميح

لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم حرفيا ديناميكيا بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.']).

محتوى تمت تسويته

للحصول على قائمة كاملة بقواعد التحليلات التي تستخدم أحداث DNS العادية، راجع محتوى أمان استعلام DNS.

تفاصيل المخطط

يتم محاذاة نموذج معلومات DNS مع مخطط كيان OSSEM DNS.

لمزيد من المعلومات، راجع مرجع معلمة DNS لمرجع الأرقام المعينة عبر الإنترنت (IANA).

حقول ASIM الشائعة

هام

يتم وصف الحقول الشائعة لكافة المخططات بالتفصيل في مقالة الحقول الشائعة ASIM .

الحقول المشتركة مع إرشادات محددة

تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث DNS:

الحقل الفصل النوع الوصف
EventType إلزامي تعداد يشير إلى العملية التي أبلغ عنها السجل.

بالنسبة لسجلات DNS، ستكون هذه القيمة هي رمز عملية DNS.

مثال: lookup
EventSubType ‏‏اختياري تعداد إما request أو response.

بالنسبة لمعظم المصادر، يتم تسجيل الاستجابات فقط، وبالتالي فإن القيمة غالبا ما تكون استجابة.
EventResultDetails إلزامي تعداد بالنسبة لأحداث DNS، يوفر هذا الحقل رمز استجابة DNS.

ملاحظة: لا تحدد IANA حالة القيم، لذلك يجب أن تقوم التحليلات بتطبيع الحالة. إذا كان المصدر يوفر رمز استجابة رقميا فقط وليس اسم رمز استجابة، يجب أن يتضمن المحلل جدول بحث للإثراء بهذه القيمة.

إذا كان هذا السجل يمثل طلبا وليس استجابة، فقم بتعيين إلى NA.

مثال: NXDOMAIN
EventSchemaVersion إلزامي سلسلة إصدار المخطط الموثق هنا هو 0.1.3.
EventSchema إلزامي سلسلة اسم المخطط الموثق هنا هو Dns.
حقول Dvc - - بالنسبة لأحداث DNS، تشير حقول الجهاز إلى النظام الذي يبلغ عن حدث DNS.

كافة الحقول الشائعة

الحقول التي تظهر في الجدول أدناه شائعة لجميع مخططات ASIM. أي إرشادات محددة أعلاه تتجاوز الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريا بشكل عام، ولكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع مقالة الحقول المشتركة ASIM .

الفصل الحقول
إلزامي - عدد الأحداث
- EventStartTime
- EventEndTime
- نوع الحدث
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
المستحسنة - EventResultDetails
- حدث كلي
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- معرف Dvc
- نوع DvcId
- DvcAction
‏‏اختياري - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- حقول إضافية
- وصف DvcDescription

الحقول الخاصة ب DNS

الحقول المدرجة في هذا القسم خاصة بأحداث DNS، على الرغم من أن العديد منها يشبه الحقول في المخططات الأخرى وبالتالي اتبع نفس اصطلاح التسمية.

الحقل الفصل النوع ملاحظات
Src المستحسنة سلسلة معرف فريد للجهاز المصدر.

يمكن لهذا الحقل الاسم المستعار لحقول SrcDvcId أو SrcHostname أو SrcIpAddr .

مثال: 192.168.12.1
SrcIpAddr المستحسنة هذا عنوان IP عنوان IP للعميل الذي أرسل طلب DNS. لطلب DNS متكرر، ستكون هذه القيمة عادة جهاز إعداد التقارير، وفي معظم الحالات يتم تعيينها إلى 127.0.0.1.

مثال: 192.168.12.1
رقم SrcPortNumber ‏‏اختياري عدد صحيح منفذ المصدر لاستعلام DNS.

مثال: 54312
IpAddr الاسم المستعار الاسم المستعار ل SrcIpAddr
SrcGeoCountry ‏‏اختياري الدولة البلد المقترن بعنوان IP المصدر.

مثال: USA
SrcGeoRegion ‏‏اختياري المنطقة المنطقة داخل بلد مرتبط بعنوان IP المصدر.

مثال: Vermont
SrcGeoCity ‏‏اختياري المدينة المدينة المقترنة بعنوان IP المصدر.

مثال: Burlington
SrcGeoLatitude ‏‏اختياري خط العرض خط عرض الإحداثيات الجغرافية المرتبطة بعنوان IP المصدر.

مثال: 44.475833
SrcGeoLongitude ‏‏اختياري خط الطول خط طول الإحداثيات الجغرافية المرتبطة بعنوان IP المصدر.

مثال: 73.211944
SrcRiskLevel ‏‏اختياري عدد صحيح مستوى المخاطر المقترن بالمصدر. يجب تعديل القيمة إلى نطاق من 0 إلى ، مع 0 ل حميدة و 100 لمخاطر 100عالية.

مثال: 90
اسم SrcHostname المستحسنة سلسلة اسم مضيف الجهاز المصدر، باستثناء معلومات المجال.

مثال: DESKTOP-1282V4D
اسم المضيف الاسم المستعار الاسم المستعار ل SrcHostname
SrcDomain المستحسنة سلسلة مجال الجهاز المصدر.

مثال: Contoso
SrcDomainType المستحسنة تعداد نوع SrcDomain، إذا كان معروفا. تشمل القيم المتاحة ما يلي:
- Windows (مثل: contoso)
- FQDN (مثل: microsoft.com)

مطلوب إذا تم استخدام SrcDomain .
SrcFQDN ‏‏اختياري سلسلة اسم مضيف الجهاز المصدر، بما في ذلك معلومات المجال عند توفره.

ملاحظة: يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق Windows domain\hostname. يعكس حقل SrcDomainType التنسيق المستخدم.

مثال: Contoso\DESKTOP-1282V4D
SrcDvcId ‏‏اختياري سلسلة معرف الجهاز المصدر كما تم الإبلاغ عنه في السجل.

على سبيل المثال:ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
نوع SrcDvcIdType ‏‏اختياري تعداد نوع SrcDvcId، إذا كان معروفا. تشمل القيم المتاحة ما يلي:
- AzureResourceId
- MDEid

إذا كانت معرفات متعددة متوفرة، فاستخدم المعرف الأول من القائمة، وقم بتخزين المعرفين الآخرين في SrcDvcAzureResourceIdوSrcDvcMDEid، على التوالي.

ملاحظة: هذا الحقل مطلوب إذا تم استخدام SrcDvcId .
SrcDeviceType ‏‏اختياري تعداد نوع الجهاز المصدر. تشمل القيم المتاحة ما يلي:
- Computer
- Mobile Device
- IOT Device
- Other
معرف SrcUserId ‏‏اختياري سلسلة تمثيل فريد قابل للقراءة الآلية، أبجدية رقمية، وفريدة من نوعها للمستخدم المصدر. تتضمن الأنواع المعتمدة والتنسيق ما يلي:
- SID (Windows):S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578
- AADID (Azure Active Directory): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId: 00urjk4znu3BcncfY0h7
- AWSId: 72643944673

تخزين نوع المعرف في حقل SrcUserIdType .

إذا كانت المعرفات الأخرى متوفرة، نوصي بتطبيع أسماء الحقول إلى SrcUserSidوSrcUserUidوSrcUserAadIdوSrcUserOktaIdوUserAwsId على التوالي. لمزيد من المعلومات، راجع كيان المستخدم.

مثال: S-1-12
SrcUserIdType ‏‏اختياري تعداد نوع المعرف المخزن في حقل SrcUserId . تتضمن القيم المدعومة: SIDو UISAADIDو OktaIdو و.AWSId
SrcUsername ‏‏اختياري سلسلة اسم المستخدم المصدر، بما في ذلك معلومات المجال عند توفره. استخدم أحد التنسيقات التالية وبترتيب الأولوية التالي:
- Upn/Email: johndow@contoso.com
- Windows:Contoso\johndow
- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- بسيط: johndow. استخدم النموذج البسيط فقط إذا لم تكن معلومات المجال متوفرة.

تخزين نوع اسم المستخدم في حقل SrcUsernameType . إذا كانت المعرفات الأخرى متوفرة، نوصي بتطبيع أسماء الحقول إلى SrcUserUpnوSrcUserWindowsوSrcUserDn.

لمزيد من المعلومات، راجع كيان المستخدم.

مثال: AlbertE
المستخدم الاسم المستعار الاسم المستعار ل SrcUsername
نوع SrcUsernameType ‏‏اختياري تعداد يحدد نوع اسم المستخدم المخزن في حقل SrcUsername . القيم المدعومة هي: UPNو WindowsDNو و.Simple لمزيد من المعلومات، راجع كيان المستخدم.

مثال: Windows
SrcUserType ‏‏اختياري تعداد نوع الممثل. القيم المسموح بها هي:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

ملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. تخزين القيمة الأصلية في حقل EventOriginalUserType .
SrcOriginalUserType ‏‏اختياري سلسلة نوع المستخدم المصدر الأصلي، إذا تم توفيره من قبل المصدر.
SrcUserDomain ‏‏اختياري سلسلة يتم الاحتفاظ بهذا الحقل للتوافق مع الإصدارات السابقة فقط. يتطلب ASIM معلومات المجال، إذا كانت متوفرة، لتكون جزءا من حقل SrcUsername .
SrcProcessName ‏‏اختياري سلسلة اسم ملف العملية التي بدأت طلب DNS. عادة ما يعتبر هذا الاسم اسم العملية.

مثال: C:\Windows\explorer.exe
عمليه الاسم المستعار الاسم المستعار ل SrcProcessName

مثال: C:\Windows\System32\rundll32.exe
SrcProcessId ‏‏اختياري سلسلة معرف العملية (PID) للعملية التي بدأت طلب DNS.

مثال: 48610176

ملاحظة: يتم تعريف النوع كسلسلة لدعم الأنظمة المختلفة، ولكن على Windows وLinux يجب أن تكون هذه القيمة رقمية.

إذا كنت تستخدم جهاز Windows أو Linux واستخدمت نوعا مختلفا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فقم بتحويلها إلى قيمة عشرية.
SrcProcessGuid ‏‏اختياري سلسلة معرف فريد تم إنشاؤه (GUID) للعملية التي بدأت طلب DNS.

مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00
Dst المستحسنة سلسلة معرف فريد للخادم الذي تلقى طلب DNS.

قد يستخدم هذا الحقل اسما مستعارا لحقول DstDvcId أو DstHostname أو DstIpAddr .

مثال: 192.168.12.1
DstIpAddr ‏‏اختياري هذا عنوان IP عنوان IP للخادم الذي تلقى طلب DNS. لطلب DNS عادي، ستكون هذه القيمة عادة جهاز إعداد التقارير، وفي معظم الحالات يتم تعيينها إلى 127.0.0.1.

مثال: 127.0.0.1
DstGeoCountry ‏‏اختياري الدولة البلد المقترن بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية.

مثال: USA
DstGeoRegion ‏‏اختياري المنطقة المنطقة، أو الحالة، داخل بلد مقترن بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية.

مثال: Vermont
DstGeoCity ‏‏اختياري المدينة المدينة المقترنة بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية.

مثال: Burlington
DstGeoLatitude ‏‏اختياري خط العرض خط عرض الإحداثيات الجغرافية المرتبطة بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية.

مثال: 44.475833
DstGeoLongitude ‏‏اختياري خط الطول خط طول الإحداثيات الجغرافية المرتبطة بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية.

مثال: 73.211944
DstcRiskLevel ‏‏اختياري عدد صحيح مستوى المخاطر المقترن بالوجهة. يجب تعديل القيمة إلى نطاق يتراوح من 0 إلى 100، والتي تكون 0 حميدة و100 تشكل خطرا كبيرا.

مثال: 90
DstPortNumber ‏‏اختياري عدد صحيح رقم منفذ الوجهة.

مثال: 53
DstHostname ‏‏اختياري سلسلة اسم مضيف الجهاز الوجهة، باستثناء معلومات المجال. إذا لم يتوفر اسم الجهاز، فخزن عنوان IP ذي الصلة في هذا الحقل.

مثال: DESKTOP-1282V4D

ملاحظة: هذه القيمة إلزامية إذا تم تحديد DstIpAddr .
DstDomain ‏‏اختياري سلسلة مجال الجهاز الوجهة.

مثال: Contoso
DstDomainType ‏‏اختياري تعداد نوع DstDomain، إذا كان معروفا. تشمل القيم المتاحة ما يلي:
- Windows (contoso\mypc)
- FQDN (docs.microsoft.com)

مطلوب إذا تم استخدام DstDomain .
DstFQDN ‏‏اختياري سلسلة اسم مضيف الجهاز الوجهة، بما في ذلك معلومات المجال عند توفره.

مثال: Contoso\DESKTOP-1282V4D

ملاحظة: يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق Windows domain\hostname. يعكس DstDomainType التنسيق المستخدم.
معرف DstDvc ‏‏اختياري سلسلة معرف الجهاز الوجهة كما تم الإبلاغ عنه في السجل.

مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
نوع DstDvcIdType ‏‏اختياري تعداد نوع DstDvcId، إذا كان معروفا. تشمل القيم المتاحة ما يلي:
- AzureResourceId
- MDEidIf

إذا كانت معرفات متعددة متوفرة، فاستخدم المعرف الأول من القائمة أعلاه، وقم بتخزين المعرفين الآخرين في الحقلين DstDvcAzureResourceId أو DstDvcMDEid ، على التوالي.

مطلوب إذا تم استخدام DstDeviceId .
DstDeviceType ‏‏اختياري تعداد نوع الجهاز الوجهة. تشمل القيم المتاحة ما يلي:
- Computer
- Mobile Device
- IOT Device
- Other
DnsQuery إلزامي اسم مجال مؤهل بالكامل (FQDN) المجال الذي يحاول الطلب حله.

ملاحظة: ترسل بعض المصادر الاستعلام بتنسيقات مختلفة. على سبيل المثال، في بروتوكول DNS نفسه، يتضمن الاستعلام نقطة (.) في النهاية، والتي يجب إزالتها.

بينما يسمح بروتوكول DNS بالاستعلامات المتعددة في طلب واحد، فإن هذا السيناريو نادر، إذا تم العثور عليه على الإطلاق. إذا كان الطلب يحتوي على استعلامات متعددة، فخزن الاستعلام الأول في هذا الحقل، ثم احتفظ بالباقي اختياريا في الحقل AdditionalFields .

مثال: www.malicious.com
Domain الاسم المستعار اسم مستعار ل DnsQuery.
نوع DnsQuery ‏‏اختياري عدد صحيح رموز نوع سجل مورد DNS.

مثال: 28
DnsQueryTypeName المستحسنة تعداد أسماء نوع سجل مورد DNS .

ملاحظة: لا تحدد IANA حالة القيم، لذلك يجب أن تقوم التحليلات بتسوية الحالة حسب الحاجة. إذا كان المصدر يوفر رمز نوع استعلام رقمي فقط وليس اسم نوع استعلام، فيجب أن يتضمن المحلل جدول بحث للإثراء بهذه القيمة.

مثال: AAAA
DnsResponseName ‏‏اختياري سلسلة محتوى الاستجابة، كما هو مضمن في السجل.

بيانات استجابة DNS غير متناسقة عبر أجهزة التقارير، ومعقدة لتحليلها، ولها قيمة أقل للتحليليات غير الأساسية المصدر. لذلك لا يتطلب نموذج المعلومات التحليل والتطبيع، ويستخدم Microsoft Sentinel دالة مساعدة لتوفير معلومات الاستجابة. لمزيد من المعلومات، راجع معالجة استجابة DNS.
DnsResponseCodeName الاسم المستعار الاسم المستعار ل EventResultDetails
DnsResponseCode ‏‏اختياري عدد صحيح رمز الاستجابة الرقمية DNS.

مثال: 3
TransactionIdHex المستحسنة سلسلة معرف استعلام DNS الفريد كما تم تعيينه بواسطة عميل DNS، بتنسيق سداسي عشري. لاحظ أن هذه القيمة هي جزء من بروتوكول DNS وتختلف عن DnsSessionId، معرف جلسة طبقة الشبكة، الذي يعينه جهاز التقارير عادة.
NetworkProtocol ‏‏اختياري تعداد بروتوكول النقل المستخدم من قبل حدث تحليل الشبكة. يمكن أن تكون القيمة UDP أو TCP، ويتم تعيينها بشكل شائع إلى UDP ل DNS.

مثال: UDP
فئة DnsQuery ‏‏اختياري عدد صحيح معرف فئة DNS.

في الممارسة العملية، يتم استخدام فئة IN (المعرف 1) فقط، وبالتالي يكون هذا الحقل أقل قيمة.
DnsQueryClassName ‏‏اختياري سلسلة اسم فئة DNS.

في الممارسة العملية، يتم استخدام فئة IN (المعرف 1) فقط، وبالتالي يكون هذا الحقل أقل قيمة.

مثال: IN
DnsFlags ‏‏اختياري قائمة سلسلة حقل العلامات، كما هو مقدم من جهاز إعداد التقارير. إذا تم توفير معلومات العلامة في حقول متعددة، فقم بتسلسلها بفاصلة كفاصلة.

نظرا لأن علامات DNS معقدة لتحليلها وغالبا ما تستخدمها التحليلات، فلا يلزم تحليلها وتطبيعها. يمكن ل Microsoft Sentinel استخدام دالة مساعدة لتوفير معلومات العلامات. لمزيد من المعلومات، راجع معالجة استجابة DNS.

مثال: ["DR"]
UrlCategory ‏‏اختياري سلسلة قد يبحث مصدر حدث DNS أيضا عن فئة المجالات المطلوبة. يسمى الحقل UrlCategory للمحاذاة مع مخطط شبكة Microsoft Sentinel.

تتم إضافة DomainCategory باسم مستعار مناسب ل DNS.

مثال: Educational \\ Phishing
فئة المجال ‏‏اختياري الاسم المستعار الاسم المستعار ل UrlCategory.
ThreatCategory ‏‏اختياري سلسلة إذا كان مصدر حدث DNS يوفر أيضا أمان DNS، فقد يقوم أيضا بتقييم حدث DNS. على سبيل المثال، يمكنه البحث عن عنوان IP أو المجال في قاعدة بيانات التحليل الذكي للمخاطر، وتعيين المجال أو عنوان IP مع فئة التهديد.
DnsNetworkDuration ‏‏اختياري عدد صحيح مقدار الوقت، بالمللي ثانية، لإكمال طلب DNS.

مثال: 1500
المدة الاسم المستعار الاسم المستعار ل DnsNetworkDuration
DnsFlagsAuthenticated ‏‏اختياري منطقي تشير علامة DNS AD ، المرتبطة ب DNSSEC، في استجابة إلى أن جميع البيانات المضمنة في قسمي الإجابة والسلطة في الاستجابة تم التحقق منها من قبل الخادم وفقا لسياسات ذلك الخادم. راجع RFC 3655 القسم 6.1 لمزيد من المعلومات.
DnsFlagsAuthoritative ‏‏اختياري منطقي تشير علامة DNS AA إلى ما إذا كانت الاستجابة من الخادم موثوقة
DnsFlagsCheckingDisabled ‏‏اختياري منطقي تشير علامة DNS CD ، المرتبطة ب DNSSEC، في استعلام إلى أن البيانات التي لم يتم التحقق منها مقبولة للنظام الذي يرسل الاستعلام. راجع RFC 3655 القسم 6.1 لمزيد من المعلومات.
DnsFlagsRecursionAvailable ‏‏اختياري منطقي تشير علامة DNS RA في استجابة إلى أن الخادم يدعم الاستعلامات المتكررة.
DnsFlagsRecursionDesired ‏‏اختياري منطقي تشير علامة DNS RD في طلب إلى أن هذا العميل يرغب في أن يستخدم الخادم استعلامات متكررة.
DnsFlagsTruncated ‏‏اختياري منطقي تشير علامة DNS TC إلى أنه تم اقتطاع استجابة لأنها تجاوزت الحد الأقصى لحجم الاستجابة.
DnsFlagsZ ‏‏اختياري منطقي علامة DNS Z هي علامة DNS مهملة، والتي قد يتم الإبلاغ عنها بواسطة أنظمة DNS القديمة.
DnsSessionId ‏‏اختياري سلسلة معرف جلسة DNS كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. لاحظ أن هذه القيمة مختلفة عن TransactionIdHex، معرف استعلام DNS الفريد كما تم تعيينه من قبل عميل DNS.

مثال: EB4BFA28-2EAD-4EF7-BC8A-51DF4FDF5B55
معرف الجلسة الاسم المستعار سلسلة الاسم المستعار ل DnsSessionId

الأسماء المستعارة المهملة

الحقول التالية هي أسماء مستعارة يتم الاحتفاظ بها للتوافق مع الإصدارات السابقة. تمت إزالتهم من المخطط في 31 ديسمبر 2021.

  • الاستعلام (الاسم المستعار إلى DnsQuery)
  • QueryType (الاسم المستعار ل DnsQueryType)
  • QueryTypeName (الاسم المستعار ل DnsQueryTypeName)
  • ResponseName (الاسم المستعار ل DnsReasponseName)
  • ResponseCodeName (الاسم المستعار ل DnsResponseCodeName)
  • ResponseCode (الاسم المستعار ل DnsResponseCode)
  • QueryClass (الاسم المستعار ل DnsQueryClass)
  • QueryClassName (اسم مستعار ل DnsQueryClassName)
  • العلامات (الاسم المستعار ل DnsFlags)

تحديثات المخطط

التغييرات في الإصدار 0.1.2 من المخطط هي:

  • تمت إضافة الحقل EventSchema.
  • تمت إضافة حقل علامة مخصص يزيد من حقل العلامات المدمج: DnsFlagsAuthoritativeوDnsFlagsRecursionAvailableDnsFlagsCheckingDisabledDnsFlagsRecursionDesiredDnsFlagsTruncated.DnsFlagsZ

التغييرات في الإصدار 0.1.3 من المخطط هي:

  • يوثق Src*Dst*المخطط الآن بشكل صريح الحقول و Process* و.User*
  • تمت إضافة المزيد من Dvc* الحقول لمطابقة أحدث تعريف الحقول الشائعة.
  • تمت إضافتها Src و Dst كتسميات مستعارة إلى معرف رائد لأنظمة المصدر والوجهة.
  • تمت إضافة اختياري DnsNetworkDuration و Duration، اسم مستعار إليه.
  • تمت إضافة حقول الموقع الجغرافي ومستوى المخاطر الاختيارية.

الاختلافات الخاصة بالمصدر

والهدف من التطبيع هو التأكد من أن جميع المصادر توفر بيانات تتبع الاستخدام متسقة. لا يمكن تسوية المصدر الذي لا يوفر بيانات تتبع الاستخدام المطلوبة، مثل حقول المخطط الإلزامية. ومع ذلك، يمكن تسوية المصادر التي توفر عادة جميع بيانات تتبع الاستخدام المطلوبة، حتى لو كانت هناك بعض التناقضات. قد تؤثر التناقضات على اكتمال نتائج الاستعلام.

يسرد الجدول التالي التناقضات المعروفة:

المصدر التناقضات
Microsoft DNS Server الذي تم جمعه باستخدام موصل DNS وعامل Log Analytics لا يوفر الموصل حقل DnsQuery الإلزامي لمعرف الحدث الأصلي 264 (الاستجابة للتحديث الديناميكي). تتوفر البيانات في المصدر، ولكن لم تتم إعادة توجيهها بواسطة الموصل.
Corelight Zeek قد لا يوفر Corelight Zeek حقل DnsQuery الإلزامي. لقد لاحظنا مثل هذا السلوك في حالات معينة يكون فيها اسم رمز استجابة DNS هو NXDOMAIN.

معالجة استجابة DNS

في معظم الحالات، لا تتضمن أحداث DNS المسجلة معلومات الاستجابة، والتي قد تكون كبيرة ومفصلة. إذا كان السجل يتضمن المزيد من معلومات الاستجابة، فقم بتخزينه في حقل ResponseName كما يظهر في السجل.

يمكنك أيضا توفير دالة KQL إضافية تسمى _imDNS<vendor>Response_، والتي تأخذ الاستجابة غير المقتصدة كإدخال وترجع قيمة ديناميكية مع البنية التالية:

[
    {
        "part": "answer"
        "query": "yahoo.com."
        "TTL": 1782
        "Class": "IN"
        "Type": "A"
        "Response": "74.6.231.21"
    }
    {
        "part": "authority"
        "query": "yahoo.com."
        "TTL": 113066
        "Class": "IN"
        "Type": "NS"
        "Response": "ns5.yahoo.com"
    }
    ...
]

تتوافق الحقول في كل قاموس في القيمة الديناميكية مع الحقول في كل استجابة DNS. part يجب أن يتضمن الإدخال إما answerأو authorityأو additional لعكس الجزء في الاستجابة التي ينتمي إليها القاموس.

تلميح

لضمان الأداء الأمثل، قم باستدعاء الدالة imDNS<vendor>Response فقط عند الحاجة، وبعد التصفية الأولية فقط لضمان أداء أفضل.

معالجة علامات DNS

التحليل والتسوية غير مطلوبين لبيانات العلامة. بدلا من ذلك، قم بتخزين بيانات العلامة التي يوفرها جهاز التقارير في حقل العلامات . إذا كان تحديد قيمة العلامات الفردية إلى الأمام مباشرة، يمكنك أيضا استخدام حقول العلامات المخصصة.

يمكنك أيضا توفير دالة KQL إضافية تسمى _imDNS<vendor>Flags_، والتي تأخذ الاستجابة غير المتباينة، أو حقول العلامة المخصصة، كإدخال وإرجاع قائمة ديناميكية، مع قيم منطقية تمثل كل علامة بالترتيب التالي:

  • مصادق عليه (AD)
  • موثوق به (AA)
  • التحقق من معطل (قرص مضغوط)
  • Recursion Available (RA)
  • Recursion Desired (RD)
  • مقتطع (TC)
  • Z

الخطوات التالية

لمزيد من المعلومات، انظر: