Connecter votre serveur de noms de domaineConnect your domain name server

Important

Le connecteur de données DNS dans Azure Sentinel est actuellement en préversion publique.The DNS data connector in Azure Sentinel is currently in public preview. Cette fonctionnalité est fournie sans contrat de niveau de service et n’est pas recommandée pour des charges de travail en production.This feature is provided without a service level agreement, and it's not recommended for production workloads. Certaines fonctionnalités peuvent être limitées ou non prises en charge.Certain features might not be supported or might have constrained capabilities. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Vous pouvez vous connecter n’importe quel serveur DNS (Domain Name Server) s’exécutant sous Windows à Azure Sentinel.You can connect any Domain Name Server (DNS) running on Windows to Azure Sentinel. Pour cela, vous devez installer un agent sur l’ordinateur DNS.This is done by installing an agent on the DNS machine. À l’aide des journaux DNS, vous pouvez obtenir des informations sur la sécurité, les performances et les opérations dans l’infrastructure DNS de votre organisation, en collectant, analysant et mettant en corrélation des analyses et des journaux d’audit, ainsi que d’autres des données connexes des serveurs DNS.Using DNS logs, you can gain security, performance, and operations-related insights into the DNS infrastructure of your organization by collecting, analyzing, and correlating analytic and audit logs and other related data from the DNS servers.

Lorsque vous activez la connexion du journal DNS, vous pouvez :When you enable DNS log connection you can:

  • Identifier les clients qui tentent de résoudre des noms de domaine malveillantIdentify clients that try to resolve malicious domain names
  • Identifier les enregistrements de ressources obsolètesIdentify stale resource records
  • Identifier les noms de domaine fréquemment interrogés et les clients DNS communiquantIdentify frequently queried domain names and talkative DNS clients
  • Afficher la charge de la demande sur les serveurs DNSView request load on DNS servers
  • Afficher les échecs d’inscription DNS dynamiqueView dynamic DNS registration failures

Sources connectéesConnected sources

Le tableau suivant décrit les sources connectées qui sont prises en charge par cette solution :The following table describes the connected sources that are supported by this solution:

Source connectéeConnected source SupportSupport DescriptionDescription
Agents WindowsWindows agents OUIYes La solution collecte des informations DNS auprès d’agents Windows.The solution collects DNS information from Windows agents.
Agents LinuxLinux agents NonNo La solution ne collecte aucune information DNS auprès d’agents Linux directs.The solution does not collect DNS information from direct Linux agents.
Groupe d’administration de Microsoft System Center Operations ManagerSystem Center Operations Manager management group OUIYes La solution collecte des informations DNS auprès d’agents dans un groupe d’administration d’Operations Manager connecté.The solution collects DNS information from agents in a connected Operations Manager management group. Une connexion directe entre l’agent Operations Manager et Azure Monitor n’est pas obligatoire.A direct connection from the Operations Manager agent to Azure Monitor is not required. Les données sont transférées du groupe d’administration à l’espace de travail Log Analytics.Data is forwarded from the management group to the Log Analytics workspace.
Compte Azure StorageAzure storage account NonNo Le stockage Azure n’est pas utilisé par la solution.Azure storage isn't used by the solution.

Détails sur la collecte de donnéesData collection details

La solution collecte des données liées aux inventaires DNS et aux événements DNS sur les serveurs DNS sur lesquels un agent Log Analytics est installé.The solution collects DNS inventory and DNS event-related data from the DNS servers where a Log Analytics agent is installed. Les données liées aux inventaires, comme le nombre de serveurs, de zones et d’enregistrements de ressources DNS, sont collectées en exécutant les applets de commande PowerShell de DNS.Inventory-related data, such as the number of DNS servers, zones, and resource records, is collected by running the DNS PowerShell cmdlets. Les données sont mises à jour tous les deux jours.The data is updated once every two days. Les données liées aux événements sont collectées quasiment en temps réel à partir des journaux d’analyse et d’audit fournis par le biais de la fonctionnalité améliorée de diagnostics et de journalisation DNS de Windows Server 2012 R2.The event-related data is collected near real time from the analytic and audit logs provided by enhanced DNS logging and diagnostics in Windows Server 2012 R2.

Connexion à votre appliance DNSConnect your DNS appliance

  1. Dans le portail Azure Sentinel, sélectionnez Connecteurs de données et choisissez la vignette DNS (préversion) .In the Azure Sentinel portal, select Data connectors and choose the DNS (Preview) tile.

  2. Si vos ordinateurs DNS se trouvent dans Azure :If your DNS machines are in Azure:

    1. Cliquez sur Installer l’agent sur la machine de virtuelle Windows Azure.Click Install agent on Azure Windows virtual machine.
    2. Dans la liste Machines virtuelles, sélectionnez l’ordinateur DNS que vous souhaitez diffuser en continu dans Azure Sentinel.In the Virtual machines list, select the DNS machine you want to stream into Azure Sentinel. Assurez-vous qu’il s’agit d’une machine virtuelle Windows.Make sure this is a Windows VM.
    3. Dans la fenêtre qui s’ouvre pour cette machine virtuelle, cliquez sur Connecter.In the window that opens for that VM, click Connect.
    4. Cliquez sur Activer dans la fenêtre Connecteur DNS.Click Enable in the DNS connector window.
  3. Si votre ordinateur DNS n’est pas une machine virtuelle Azure :If your DNS machine is not an Azure VM:

    1. Cliquez sur Installer l’agent sur les machines non Azure.Click Install agent on non-Azure machines.
    2. Dans la fenêtre Agent direct, sélectionnez Télécharger l’agent Windows (64 bits) ou Télécharger l’agent Windows (32 bits) .In the Direct agent window, select either Download Windows agent (64 bit) or Download Windows agent (32 bit).
    3. Installez l’agent sur votre ordinateur DNS.Install the agent on your DNS machine. Copiez l’ID de l’espace de travail, la clé primaire et la clé secondaire, et utilisez-les lorsque vous y êtes invité pendant l’installation.Copy the Workspace ID, Primary key, and Secondary key and use them when prompted during the installation.
  4. Pour utiliser le schéma pertinent dans Log Analytics pour les journaux DNS, recherchez DnsEvents.To use the relevant schema in Log Analytics for the DNS logs, search for DnsEvents.

ValiderValidate

Dans Log Analytics, recherchez le schéma DnsEvents et assurez-vous qu’il existe des événements.In Log Analytics, search for the schema DnsEvents and make sure there are events.

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter les appliances locales DNS à Azure Sentinel.In this document, you learned how to connect DNS on-premises appliances to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: