Conector de logs de DNS do NXLog para o Microsoft Sentinel
O conector de dados de DNS NXLog usa o Rastreamento de Eventos para Windows (ETW) para coletar tanto os eventos de Auditoria quanto Analíticos do Servidor DNS. Para máxima eficiência, o módulo im_etw do NXLog lê dados de rastreamento de eventos diretamente, sem precisar capturar o rastreamento de eventos em um arquivo .etl. Esse conector de API REST pode encaminhar eventos do Servidor DNS ao Microsoft Sentinel em tempo real.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | NXLog_DNS_Server_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | NXLog |
Exemplos de consulta
5 principais hostlookups do Servidor DNS
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
5 principais EventOriginalTypes (IDs de evento) do Servidor DNS
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
Eventos analíticos do Servidor DNS por segundo (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Instruções de instalação do fornecedor
Observação
Esse conector de dados depende de analisadores baseados em funções do Kusto implantadas com a Solução Microsoft Sentinel para funcionar conforme o esperado. O **ASimDnsMicrosoftNXLog ** foi projetado para aproveitar os recursos de análise relacionados ao DNS integrados no Microsoft Sentinel.
Siga as instruções passo a passo no Tópico de Integração Microsoft Sentinel do Guia do Usuário do NXLog para configurar esse conector.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.