Conectar con el servidor de nombres de dominioConnect your domain name server

Importante

El conector de datos de DNS en Azure Sentinel se encuentra actualmente en versión preliminar pública.The DNS data connector in Azure Sentinel is currently in public preview. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.This feature is provided without a service level agreement, and it's not recommended for production workloads. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas.Certain features might not be supported or might have constrained capabilities. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Puede conectar a Azure Sentinel cualquier servidor de nombres de dominio (DNS) que se ejecute en Windows.You can connect any Domain Name Server (DNS) running on Windows to Azure Sentinel. Para ello, hay que instalar un agente en el equipo DNS.This is done by installing an agent on the DNS machine. Si se usan registros de DNS, se puede obtener información relacionada con la seguridad, el rendimiento y las operaciones de la infraestructura de DNS de la organización, ya que recopilan, analizan y correlacionan registros de auditoría y análisis, además de otros datos relacionados de los servidores DNS.Using DNS logs, you can gain security, performance, and operations-related insights into the DNS infrastructure of your organization by collecting, analyzing, and correlating analytic and audit logs and other related data from the DNS servers.

Habilitar una conexión de registro DNS permite lo siguiente:When you enable DNS log connection you can:

  • Identificar a los clientes que intentan resolver nombres de dominio malintencionadosIdentify clients that try to resolve malicious domain names
  • Identificar los registros de recursos obsoletosIdentify stale resource records
  • Identificar los nombres de dominio consultados con más frecuencia y los clientes DNS participativosIdentify frequently queried domain names and talkative DNS clients
  • Ver la carga de solicitudes en los servidores DNSView request load on DNS servers
  • Ver errores de registro DNS dinámicosView dynamic DNS registration failures

Orígenes conectadosConnected sources

En la tabla siguiente se describen los orígenes conectados que son compatibles con esta solución:The following table describes the connected sources that are supported by this solution:

Origen conectadoConnected source Soporte técnicoSupport DescripciónDescription
Agentes de WindowsWindows agents Yes La solución recopila información de DNS de los agentes de Windows.The solution collects DNS information from Windows agents.
Agentes de LinuxLinux agents NoNo La solución no recopila información de DNS de los agentes directos de Linux.The solution does not collect DNS information from direct Linux agents.
Grupo de administración de System Center OperationsSystem Center Operations Manager management group Yes La solución recopila información de DNS de los agentes en un grupo de administración de Operations Manager conectado.The solution collects DNS information from agents in a connected Operations Manager management group. No se requiere ninguna conexión directa entre el agente de Operations Manager y Azure Monitor.A direct connection from the Operations Manager agent to Azure Monitor is not required. Los datos se reenvían desde el grupo de administración al área de trabajo de Log Analytics.Data is forwarded from the management group to the Log Analytics workspace.
Cuenta de Almacenamiento de AzureAzure storage account NoNo La solución no usa Azure Storage.Azure storage isn't used by the solution.

Detalles de la recopilación de datosData collection details

La solución permite recopilar inventario y datos relacionados con eventos de DNS de los servidores DNS donde se ha instalado un agente de Log Analytics.The solution collects DNS inventory and DNS event-related data from the DNS servers where a Log Analytics agent is installed. Los datos relacionados con el inventario como, por ejemplo, el número de servidores DNS, las zonas y los registros de recursos se recopilan con la ejecución de cmdlets de Powershell para DNS.Inventory-related data, such as the number of DNS servers, zones, and resource records, is collected by running the DNS PowerShell cmdlets. Los datos se actualizan una vez cada dos días.The data is updated once every two days. Los datos relacionados con eventos se recopilan casi en tiempo real a partir de los registros analíticos y de auditoría proporcionados por las funcionalidades mejoradas de registro y diagnóstico de Windows Server 2012 R2.The event-related data is collected near real time from the analytic and audit logs provided by enhanced DNS logging and diagnostics in Windows Server 2012 R2.

Conectar el dispositivo DNSConnect your DNS appliance

  1. En el portal de Azure Sentinel, seleccione Data connectors (Conectores de datos) y elija el icono de DNS (versión preliminar) .In the Azure Sentinel portal, select Data connectors and choose the DNS (Preview) tile.

  2. Si los equipos DNS están en Azure:If your DNS machines are in Azure:

    1. Haga clic en Install agent on Azure Windows virtual machine (Instalar el agente en la máquina virtual Windows de Azure).Click Install agent on Azure Windows virtual machine.
    2. En la lista Virtual machines (Máquinas virtuales), seleccione el equipo DNS que quiera transmitir a Azure Sentinel.In the Virtual machines list, select the DNS machine you want to stream into Azure Sentinel. Asegúrese de que se trata de una máquina virtual Windows.Make sure this is a Windows VM.
    3. En la ventana de la máquina virtual que se abre, haga clic en Connect(Conectar).In the window that opens for that VM, click Connect.
    4. Haga clic en Enable (Habilitar) en la ventana DNS connector (Conector DNS).Click Enable in the DNS connector window.
  3. Si el equipo DNS no está en Azure:If your DNS machine is not an Azure VM:

    1. Haga clic en Install agent on non-Azure machines (Instalar el agente en máquinas que no son de Azure).Click Install agent on non-Azure machines.
    2. En la ventana Direct agent (Agente directo), seleccione Download Windows agent (64 bit) (Descargar agente de Windows de [64 bits]) o Download Windows agent (32 bit) (Descargar agente de Windows de [32 bits]).In the Direct agent window, select either Download Windows agent (64 bit) or Download Windows agent (32 bit).
    3. Instale el agente en el equipo DNS.Install the agent on your DNS machine. Copie los valores de Workspace ID (Identificador de área de trabajo), Primary key (Clave principal) y Secondary key (Clave secundaria) y úselos cuando se le solicite durante la instalación.Copy the Workspace ID, Primary key, and Secondary key and use them when prompted during the installation.
  4. Para usar el esquema correspondiente en Log Analytics para encontrar registros DNS, busque DnsEvents.To use the relevant schema in Log Analytics for the DNS logs, search for DnsEvents.

ValidaciónValidate

En Log Analytics, busque el esquema DnsEvents y asegúrese de que hay eventos.In Log Analytics, search for the schema DnsEvents and make sure there are events.

Solución de problemasTroubleshooting

Si las consultas de búsqueda no aparecen en Azure Sentinel, siga estos pasos para que aparezcan correctamente:If Lookup Queries do not show up in Azure Sentinel, follow these steps so the queries are displayed properly:

  1. Active los registros de DNS Analytics en los servidores.Turn ON the DNS Analytics logs on your servers.
  2. Asegúrese de que aparezca DNSEvents en la lista de colecciones de Log Analytics.Make sure DNSEvents appear in your Log Analytics collection list.
  3. Active Azure DNS Analytics.Turn ON Azure DNS Analytics.
  4. En Azure DNS Analytics, en Configuración, cambie cualquiera de los valores de configuración, guárdelo, vuelva a dejarlo como estaba si es necesario y guárdelo de nuevo.In Azure DNS Analytics, under Configuration, change any of the settings, save it, then change it back if you need to, and then save it again.
  5. Compruebe Azure DNS Analytics para asegurarse de que las consultas aparecen ahora.Check Azure DNS analytics to make sure the queries are now being displayed.

Pasos siguientesNext steps

En este documento, ha aprendido a conectar dispositivos locales DNS a Azure Sentinel.In this document, you learned how to connect DNS on-premises appliances to Azure Sentinel. Para más información sobre Azure Sentinel, consulte los siguientes artículos:To learn more about Azure Sentinel, see the following articles: