Microsoft Sentinel 用 AMA コネクタ経由の Windows DNS イベント
Windows DNS ログ コネクタを使用すると、Azure Monitoring Agent (AMA) を使用して、Windows DNS サーバーから Microsoft Sentinel ワークスペースにすべての分析ログを簡単にフィルター処理してストリーミングできます。 Microsoft Sentinel でこのデータを使用すると、次のような問題とセキュリティ上の脅威を特定しやすくなります。
- 悪意のあるドメイン名を解決しようとしている。
- 古いリソース レコード。
- クエリ対象になる頻度が高いドメイン名と通信量が多い DNS クライアント。
- DNS サーバーで実行された攻撃。
Windows DNS サーバーに関する次の分析情報を Microsoft Sentinel から取得できます。
- すべてのログが 1 か所に一元化されます。
- DNS サーバーの要求負荷。
- 動的 DNS 登録エラー。
Windows DNS イベントは、Advanced SIEM Information Model (ASIM) によってサポートされており、このイベントを使用すると、ASimDnsActivityLogs テーブルにデータがストリーミングされます。 詳細については、こちらを参照してください。
詳細については、Microsoft Sentinel のドキュメントを参照してください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | ASimDnsActivityLogs |
| データ収集ルールのサポート | Azure Monitor エージェントの DCR |
| サポートしているもの | Microsoft Corporation |
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。