Microsoft Sentinel 用 NXLog DNS Logs コネクタ
NXLog DNS Logs データ コネクタは、Event Tracing for Windows (ETW) を使用して、監査と分析の両方の DNS サーバー イベントを収集します。 効率を最大限に高めるために、NXLog の "im_etw" モジュールは、イベント トレースを .etl ファイルにキャプチャすることなく、イベント トレース データを直接読み取ります。 この REST API コネクタは、DNS サーバー イベントをリアルタイムで Microsoft Sentinel に転送できます。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | NXLog_DNS_Server_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | NXLog |
クエリのサンプル
DNS サーバーの上位 5 件のホストルックアップ
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
DNS サーバーの上位 5 件の EventOriginalType (イベント ID)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
1 秒あたりの DNS サーバー分析イベント (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
ベンダーのインストール手順
注意
このデータ コネクタは、予期されるとおりに機能するために、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションに付属してデプロイされる) に依存しています。 **ASimDnsMicrosoftNXLog ** は、Microsoft Sentinel の組み込みの DNS 関連分析機能を活用するように設計されています。
このコネクタを構成するには、「NXLog ユーザー ガイド」の統合に関するトピック Microsoft Sentinel の詳細な手順に従ってください。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。