Naslaginformatie over DNS via AMA-connector - beschikbare velden en normalisatieschema
Met Microsoft Sentinel kunt u gebeurtenissen van uw DNS-serverlogboeken (Windows Domain Name System) streamen en filteren naar de ASimDnsActivityLog genormaliseerde schematabel. In dit artikel worden de velden beschreven die worden gebruikt voor het filteren van de gegevens en het normalisatieschema voor de Windows DNS-servervelden.
De Azure Monitor Agent (AMA) en de bijbehorende DNS-extensie zijn geïnstalleerd op uw Windows Server om gegevens uit uw ANALYTISCHE DNS-logboeken te uploaden naar uw Microsoft Sentinel-werkruimte. U streamt en filtert de gegevens met behulp van de Windows DNS-gebeurtenissen via de AMA-connector.
Beschikbare velden voor filteren
In deze tabel worden de beschikbare velden weergegeven. De veldnamen worden genormaliseerd met behulp van het DNS-schema.
| Veldnaam | Waarden | Beschrijving |
|---|---|---|
| EventOriginalType | Getallen tussen 256 en 280 | De Windows DNS-gebeurtenis-id, die het type van de DNS-protocol-gebeurtenis aangeeft. |
| EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP •GEWEIGERD • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • SLECHTE TIJD • BADALG • BADTRUNC • BADCOOKIE |
De DNS-resultaattekenreeks van de bewerking, zoals gedefinieerd door de Internet Assigned Numbers Authority (IANA). |
| DvcIpAdrr | IP-adressen | Het IP-adres van de server die de gebeurtenis rapporteert. Dit veld bevat ook geografische locatie en schadelijke IP-informatie. |
| DnsQuery | Domeinnamen (FQDN) | De tekenreeks die de domeinnaam vertegenwoordigt die moet worden omgezet. • Kan meerdere waarden accepteren in een door komma's gescheiden lijst en jokertekens. Bijvoorbeeld: *.microsoft.com,google.com,facebook.com• Bekijk deze overwegingen voor het gebruik van jokertekens. |
| DnsQueryTypeName | •A •NS •MD •MF •CNAME •SOA •MB •MG •HEER • NULL •WEKEN •PTR •HINFO • MINFO •MX •TXT •RP •AFSDB • X25 •ISDN •RT • NSAP • NSAP-PTR •SIG •SLEUTEL •PX •GROEPSBELEIDSOBJECTEN •AAAA •LOC •NXT •EID • NIMLOC •SRV |
Het aangevraagde DNS-kenmerk. De naam van het type DNS-resourcerecord zoals gedefinieerd door IANA. |
Genormaliseerd DNS-schema voor ASIM
In deze tabel worden windows DNS-servervelden beschreven en omgezet in de genormaliseerde veldnamen zoals deze worden weergegeven in het DNS-normalisatieschema.
| Windows DNS-veldnaam | Genormaliseerde veldnaam | Type | Description |
|---|---|---|---|
| EventID | EventOriginalType | Tekenreeks | Het oorspronkelijke gebeurtenistype of de oorspronkelijke id. |
| RCODE | EventResult | Tekenreeks | Het resultaat van de gebeurtenis (geslaagd, gedeeltelijk, mislukt, NB). |
| RCODE geparseerd | EventResultDetails | Tekenreeks | De DNS-antwoordcode zoals gedefinieerd door IANA. |
| InterfaceIP | DvcIpAdrr | Tekenreeks | Het IP-adres van het apparaat of de interface voor gebeurtenisrapportage. |
| AA | DnsFlagsAuthoritative | Geheel getal | Geeft aan of het antwoord van de server gezaghebbend was. |
| AD | DnsFlagsAuthenticated | Geheel getal | Geeft aan dat de server alle gegevens in het antwoord en de autoriteit van het antwoord heeft geverifieerd, volgens het serverbeleid. |
| RQNAME | DnsQuery | Tekenreeks | Het domein moet worden opgelost. |
| QTYPE | DnsQueryType | Geheel getal | Het recordtype van de DNS-resource zoals gedefinieerd door IANA. |
| Poort | SrcPortNumber | Geheel getal | Bronpoort die de query verzendt. |
| Bron | SrcIpAddr | IP-adres | Het IP-adres van de client die de DNS-aanvraag verzendt. Voor een recursieve DNS-aanvraag is deze waarde meestal het IP-adres van het rapportageapparaat, in de meeste gevallen 127.0.0.1. |
| ElapsedTime | DnsNetworkDuration | Geheel getal | De tijd die nodig was om de DNS-aanvraag te voltooien. |
| GUID | DnsSessionId | Tekenreeks | De DNS-sessie-id zoals gerapporteerd door het rapportageapparaat. |
Volgende stappen
In dit artikel hebt u geleerd over de velden die worden gebruikt voor het filteren van DNS-logboekgegevens met behulp van de Windows DNS-gebeurtenissen via de AMA-connector. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
- Gebruik werkmappen om uw gegevens te bewaken.