Conector de registros DNS de NXLog para Microsoft Sentinel
El conector de datos de registros DNS de NXLog usa el seguimiento de eventos para Windows (ETW) para recopilar eventos de servidor DNS de análisis y auditoría. Para obtener la máxima eficacia, el módulo im_etw de NXLog lee los datos de seguimiento de eventos directamente, sin necesidad de capturar el seguimiento de eventos en un archivo .etl. Este conector de la API de REST puede reenviar eventos de servidor DNS a Microsoft Sentinel en tiempo real.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | NXLog_DNS_Server_CL |
| Soporte de reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | NXLog |
Ejemplos de consultas
5 principales hostlookups del servidor DNS
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
5 principales EventOriginalTypes del servidor DNS (id. de evento)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
Eventos analíticos del servidor DNS por segundo (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Instrucciones de instalación del proveedor
Nota
Este conector de datos depende de analizadores basados en las funciones de Kusto implementadas con la solución de Microsoft Sentinel para que funcione según lo previsto. **ASimDnsMicrosoftNXLog ** está diseñado para aprovechar las funcionalidades de análisis integradas de DNS de Microsoft Sentinel.
Siga las instrucciones paso a paso del tema de integración *NXLog User Guide* (Guía de usuario de NXLog) Microsoft Sentinel para configurar este conector.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.