Connecter votre serveur de noms de domaine

Important

Le connecteur de données DNS dans Azure Sentinel est actuellement en préversion publique. Cette fonctionnalité est fournie sans contrat de niveau de service et est déconseillée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Vous pouvez vous connecter n’importe quel serveur DNS (Domain Name Server) s’exécutant sous Windows à Azure Sentinel. Pour cela, vous devez installer un agent sur l’ordinateur DNS. À l’aide des journaux DNS, vous pouvez obtenir des informations sur la sécurité, les performances et les opérations dans l’infrastructure DNS de votre organisation, en collectant, analysant et mettant en corrélation des analyses et des journaux d’audit, ainsi que d’autres des données connexes des serveurs DNS.

Lorsque vous activez la connexion du journal DNS, vous pouvez :

  • Identifier les clients qui tentent de résoudre des noms de domaine malveillant
  • Identifier les enregistrements de ressources obsolètes
  • Identifier les noms de domaine fréquemment interrogés et les clients DNS communiquant
  • Afficher la charge de la demande sur les serveurs DNS
  • Afficher les échecs d’inscription DNS dynamique

Sources connectées

Le tableau suivant décrit les sources connectées qui sont prises en charge par cette solution :

Source connectée Support Description
Agents Windows Oui La solution collecte des informations DNS auprès d’agents Windows.
Agents Linux Non La solution ne collecte aucune information DNS auprès d’agents Linux directs.
Groupe d’administration de Microsoft System Center Operations Manager Oui La solution collecte des informations DNS auprès d’agents dans un groupe d’administration d’Operations Manager connecté. Une connexion directe entre l’agent Operations Manager et Azure Monitor n’est pas obligatoire. Les données sont transférées du groupe d’administration à l’espace de travail Log Analytics.
Compte Azure Storage Non Le stockage Azure n’est pas utilisé par la solution.

Détails sur la collecte de données

La solution collecte des données liées aux inventaires DNS et aux événements DNS sur les serveurs DNS sur lesquels un agent Log Analytics est installé. Les données liées aux inventaires, comme le nombre de serveurs, de zones et d’enregistrements de ressources DNS, sont collectées en exécutant les applets de commande PowerShell de DNS. Les données sont mises à jour tous les deux jours. Les données liées aux événements sont collectées quasiment en temps réel à partir des journaux d’analyse et d’audit fournis par le biais de la fonctionnalité améliorée de diagnostics et de journalisation DNS de Windows Server 2012 R2.

Connexion à votre appliance DNS

  1. Dans le portail Azure Sentinel, sélectionnez Connecteurs de données et choisissez la vignette DNS (préversion) .

  2. Si vos ordinateurs DNS se trouvent dans Azure :

    1. Cliquez sur Installer l’agent sur la machine de virtuelle Windows Azure.
    2. Dans la liste Machines virtuelles, sélectionnez l’ordinateur DNS que vous souhaitez diffuser en continu dans Azure Sentinel. Assurez-vous qu’il s’agit d’une machine virtuelle Windows.
    3. Dans la fenêtre qui s’ouvre pour cette machine virtuelle, cliquez sur Connecter.
    4. Cliquez sur Activer dans la fenêtre Connecteur DNS.
  3. Si votre ordinateur DNS n’est pas une machine virtuelle Azure :

    1. Cliquez sur Installer l’agent sur les machines non Azure.
    2. Dans la fenêtre Agent direct, sélectionnez Télécharger l’agent Windows (64 bits) ou Télécharger l’agent Windows (32 bits) .
    3. Installez l’agent sur votre ordinateur DNS. Copiez l’ID de l’espace de travail, la clé primaire et la clé secondaire, et utilisez-les lorsque vous y êtes invité pendant l’installation.
  4. Pour utiliser le schéma pertinent dans Log Analytics pour les journaux DNS, recherchez DnsEvents.

Valider

Dans Log Analytics, recherchez le schéma DnsEvents et assurez-vous qu’il existe des événements.

Dépannage

Si les requêtes de recherche ne s’affichent pas dans Azure Sentinel, effectuez les étapes suivantes pour qu’elles s’affichent correctement :

  1. Activez les journaux DNS Analytics sur vos serveurs.
  2. Assurez-vous que des événements apparaissent sous DNSEvents dans votre liste de collections Log Analytics.
  3. Activez Azure DNS Analytics.
  4. Dans Azure DNS Analytics, sous Configuration, modifiez les paramètres souhaités, enregistrez-les, puis rétablissez-les si nécessaire et enregistrez-les à nouveau.
  5. Vérifiez que les requêtes s’affichent à présent dans Azure DNS Analytics.

Étapes suivantes

Dans ce document, vous avez appris à connecter les appliances locales DNS à Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :