Recolher informações sobre a sua infraestrutura DNS com a solução de pré-visualização da Análise de DNS
Este artigo descreve como configurar e utilizar a solução de Análise de DNS do Azure no Azure Monitor para recolher informações sobre a infraestrutura de DNS sobre segurança, desempenho e operações.
A Análise de DNS ajuda-o a:
- Identificar clientes que tentam resolver nomes de domínio maliciosos.
- Identificar registos de recursos obsoletos.
- Identifique os nomes de domínios consultados frequentemente e os clientes DNS talkativos.
- Ver a carga de pedidos em servidores DNS.
- Ver falhas de registo DNS dinâmicos.
A solução recolhe, analisa e correlaciona os registos de auditoria e análise do DNS do Windows e outros dados relacionados dos seus servidores DNS.
Importante
O agente do Log Analytics será descontinuado a 31 de agosto de 2024. Se estiver a utilizar o agente do Log Analytics na implementação do Microsoft Sentinel, recomendamos que comece a planear a migração para o Agente do Azure Monitor. Para obter mais informações, veja Migração do Agente do Azure Monitor para o Microsoft Sentinel.
Origens ligadas
A tabela seguinte descreve as origens ligadas que são suportadas por esta solução:
| Origem ligada | Suporte | Descrição |
|---|---|---|
| Agentes do Windows | Yes | A solução recolhe informações de DNS de agentes do Windows. |
| Agentes do Linux | No | A solução não recolhe informações DNS de agentes diretos do Linux. |
| Grupo de gestão do System Center Operations Manager | Yes | A solução recolhe informações de DNS de agentes num grupo de gestão do Operations Manager ligado. Não é necessária uma ligação direta do agente do Operations Manager ao Azure Monitor. Os dados são reencaminhados do grupo de gestão para a área de trabalho do Log Analytics. |
| Conta de armazenamento do Azure | No | O Armazenamento do Azure não é utilizado pela solução. |
Detalhes da recolha de dados
A solução recolhe o inventário DNS e os dados relacionados com eventos DNS dos servidores DNS onde está instalado um agente do Log Analytics. Em seguida, estes dados são carregados para o Azure Monitor e apresentados no dashboard da solução. Os dados relacionados com o inventário, como o número de servidores DNS, zonas e registos de recursos, são recolhidos ao executar os cmdlets do PowerShell do DNS. Os dados são atualizados uma vez a cada dois dias. Os dados relacionados com eventos são recolhidos quase em tempo real a partir dos registos analíticos e de auditoria fornecidos por registos e diagnósticos DNS melhorados no Windows Server 2012 R2.
Configuração
Utilize as seguintes informações para configurar a solução:
- Tem de ter um agente do Windows ou do Operations Manager em cada servidor DNS que pretenda monitorizar.
- Pode adicionar a solução de Análise de DNS à sua área de trabalho do Log Analytics a partir de Azure Marketplace. Também pode utilizar o processo descrito em Adicionar soluções do Azure Monitor a partir da Galeria de Soluções.
A solução começa a recolher dados sem necessidade de configuração adicional. No entanto, pode utilizar a seguinte configuração para personalizar a recolha de dados.
Configurar a solução
Na área de trabalho do Log Analytics no portal do Azure, selecione Resumo da área de trabalho (preterido). Em seguida, selecione o mosaico Análise de DNS . No dashboard da solução, selecione Configuração para abrir a página Configuração da Análise de DNS . Existem dois tipos de alterações de configuração que pode fazer:
Nomes de Domínio na lista de permissões: a solução não processa todas as consultas de pesquisa. Mantém uma lista de permissões de sufixos de nome de domínio. As consultas de pesquisa que são resolvidas para os nomes de domínio que correspondem aos sufixos de nome de domínio nesta lista de permissões não são processadas pela solução. Não processar nomes de domínio na lista de permissões ajuda a otimizar os dados enviados para o Azure Monitor. A lista de permissões predefinida inclui nomes de domínio público populares, como www.google.com e www.facebook.com. Pode ver a lista predefinida completa ao deslocar.
Pode modificar a lista para adicionar qualquer sufixo de nome de domínio para o qual pretenda ver as informações de pesquisa. Também pode remover qualquer sufixo de nome de domínio para o qual não queira ver as informações de pesquisa.
Limiar de Cliente Talkative: os clientes DNS que excedem o limiar do número de pedidos de pesquisa estão realçados no painel Clientes DNS . O limiar predefinido é 1000. Pode editar o limiar.
Pacotes de gestão
Se estiver a utilizar o Microsoft Monitoring Agent para ligar à área de trabalho do Log Analytics, é instalado o seguinte pacote de gestão:
- Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
Se o grupo de gestão do Operations Manager estiver ligado à área de trabalho do Log Analytics, os seguintes pacotes de gestão serão instalados no Operations Manager quando adicionar esta solução. Não existe nenhuma configuração ou manutenção necessária destes pacotes de gestão:
- Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
- Microsoft System Center Advisor DNS Analytics Configuration (Microsoft.IntelligencePack.Dns.Configuration)
Para obter mais informações sobre como são atualizados os pacotes de gestão da solução, veja Connect Operations Manager to Log Analytics (Ligar o Operations Manager ao Log Analytics).
Utilizar a solução de Análise de DNS
Os dados recolhidos por esta solução de monitorização estão disponíveis na página Resumo da Área de Trabalho (preterido) no portal do Azure. Abra esta página a partir das áreas de trabalho do Log Analytics da área de trabalho com a sua solução e, em seguida, selecione Resumo da Área de Trabalho (preterido) na secção Clássico do menu. Cada solução é representada por um mosaico. Selecione um mosaico para obter dados mais detalhados recolhidos por essa solução.
O mosaico DNS inclui o número de servidores DNS onde os dados estão a ser recolhidos. Também inclui o número de pedidos feitos pelos clientes para resolver domínios maliciosos nas últimas 24 horas. Quando seleciona um mosaico, o dashboard da solução é aberto.
Dashboard de soluções
O dashboard da solução mostra informações resumidas das várias funcionalidades da solução. Também inclui ligações para a vista detalhada para análise forense e diagnóstico. Por predefinição, os dados são apresentados nos últimos sete dias. Pode alterar o intervalo de data e hora com o controlo de seleção de data/hora, conforme mostrado na imagem seguinte:
O dashboard da solução mostra as seguintes secções:
Segurança DNS: comunica os clientes DNS que estão a tentar comunicar com domínios maliciosos. Ao utilizar feeds de informações sobre ameaças da Microsoft, o DNS Analytics pode detetar IPs de cliente que estão a tentar aceder a domínios maliciosos. Em muitos casos, os dispositivos infetados por malware "marcam" para o centro de "comando e controlo" do domínio malicioso ao resolver o nome de domínio de software maligno.
Quando seleciona um IP de cliente na lista, a Pesquisa de Registos é aberta e mostra os detalhes de pesquisa da respetiva consulta. No exemplo seguinte, a Análise de DNS detetou que a comunicação foi feita com um IRCbot:
As informações ajudam-no a identificar:
- IP do cliente que iniciou a comunicação.
- Nome de domínio que resolve para o IP malicioso.
- Endereços IP para os quais o nome de domínio é resolvido.
- Endereço IP malicioso.
- Gravidade do problema.
- Motivo para bloquear a lista do IP malicioso.
- Tempo de deteção.
Domínios Consultados: fornece os nomes de domínio mais frequentes que estão a ser consultados pelos clientes DNS no seu ambiente. Pode ver a lista de todos os nomes de domínio consultados. Também pode desagregar os detalhes do pedido de pesquisa de um nome de domínio específico na Pesquisa de Registos.
Clientes DNS: comunica que os clientes violam o limiar do número de consultas no período de tempo escolhido. Pode ver a lista de todos os clientes DNS e os detalhes das consultas efetuadas por eles na Pesquisa de Registos.
Registos DNS Dinâmicos: comunica falhas de registo de nomes. Todas as falhas de registo para os registos de recursos de endereço (Tipo A e AAAA) estão realçadas juntamente com os IPs de cliente que efetuaram os pedidos de registo. Em seguida, pode utilizar estas informações para encontrar a causa principal da falha de registo ao seguir estes passos:
Localize a zona que é autoritativa para o nome que o cliente está a tentar atualizar.
Utilize a solução para verificar as informações de inventário dessa zona.
Verifique se a atualização dinâmica para a zona está ativada.
Verifique se a zona está configurada para uma atualização dinâmica segura ou não.
Pedidos de registo de nomes: o mosaico superior mostra uma linha de tendência de pedidos de atualização dinâmica DNS com êxito e falhados. O mosaico inferior lista os 10 principais clientes que estão a enviar pedidos de atualização DNS falhados para os servidores DNS, ordenados pelo número de falhas.
Consultas de Análise de DDI de Exemplo: contém uma lista das consultas de pesquisa mais comuns que obtêm dados de análise não processados diretamente.
Pode utilizar estas consultas como ponto de partida para criar as suas próprias consultas para relatórios personalizados. As consultas ligam à página Pesquisa de Registos do DNS Analytics onde os resultados são apresentados:
Lista de Servidores DNS: mostra uma lista de todos os servidores DNS com o FQDN associado, o nome de domínio, o nome da floresta e os IPs de servidor.
Lista de Zonas DNS: mostra uma lista de todas as zonas DNS com o nome de zona associado, o estado da atualização dinâmica, os servidores de nomes e o estado de assinatura DNSSEC.
Registos de Recursos Não Utilizados: mostra uma lista de todos os registos de recursos não utilizados/obsoletos. Esta lista contém o nome do registo de recursos, o tipo de registo de recursos, o servidor DNS associado, a hora de geração de registos e o nome da zona. Pode utilizar esta lista para identificar os registos de recursos DNS que já não estão a ser utilizados. Com base nestas informações, pode remover essas entradas dos servidores DNS.
Carga de Consulta dos Servidores DNS: mostra informações para que possa obter uma perspetiva da carga de DNS nos seus servidores DNS. Estas informações podem ajudá-lo a planear a capacidade dos servidores. Pode aceder ao separador Métricas para alterar a vista para uma visualização gráfica. Esta vista ajuda-o a compreender como a carga DNS é distribuída pelos seus servidores DNS. Mostra as tendências de taxa de consulta DNS para cada servidor.
Carga de Consulta de Zonas DNS: mostra as estatísticas DNS zone-query-per-second de todas as zonas nos servidores DNS que estão a ser geridas pela solução. Selecione o separador Métricas para alterar a vista de registos detalhados para uma visualização gráfica dos resultados.
Eventos de Configuração: mostra todos os eventos de alteração da configuração do DNS e mensagens associadas. Em seguida, pode filtrar estes eventos com base na hora do evento, ID do evento, servidor DNS ou categoria de tarefa. Os dados podem ajudá-lo a auditar as alterações efetuadas a servidores DNS específicos em alturas específicas.
Registo Analítico do DNS: mostra todos os eventos analíticos em todos os servidores DNS geridos pela solução. Em seguida, pode filtrar estes eventos com base na hora do evento, ID do evento, servidor DNS, IP de cliente que efetuou a consulta de pesquisa e categoria de tarefa do tipo de consulta. Os eventos de análise de servidor DNS permitem o controlo de atividades no servidor DNS. É registado um evento analítico sempre que o servidor envia ou recebe informações DNS.
Procurar com a Pesquisa de Registos do DNS Analytics
Na página Pesquisa de Registos , pode criar uma consulta. Pode filtrar os resultados da pesquisa com controlos de faceta. Também pode criar consultas avançadas para transformar, filtrar e reportar os seus resultados. Comece por utilizar as seguintes consultas:
Na caixa de consulta de pesquisa, introduza
DnsEventspara ver todos os eventos DNS gerados pelos servidores DNS geridos pela solução. Os resultados listam os dados de registo de todos os eventos relacionados com consultas de pesquisa, registos dinâmicos e alterações de configuração.
Para ver os dados de registo das consultas de pesquisa, selecione LookUpQuery como o filtro Subtipo do controlo faceta à esquerda. É apresentada uma tabela que lista todos os eventos de consulta de pesquisa para o período de tempo selecionado.
Para ver os dados de registo para registos dinâmicos, selecione DynamicRegistration como o filtro Subtipo do controlo de faceta à esquerda. É apresentada uma tabela que lista todos os eventos de registo dinâmico para o período de tempo selecionado.
Para ver os dados de registo das alterações de configuração, selecione ConfiguraçãoAlterar como o filtro Subtipo do controlo faceta à esquerda. É apresentada uma tabela que lista todos os eventos de alteração de configuração para o período de tempo selecionado.
Na caixa de consulta de pesquisa, introduza
DnsInventorypara ver todos os dados relacionados com o inventário DNS para os servidores DNS geridos pela solução. Os resultados listam os dados de registo para servidores DNS, zonas DNS e registos de recursos.
Resolução de problemas
Passos comuns de resolução de problemas:
- Dados de Pesquisa DNS em falta: para resolver este problema, tente repor a configuração ou carregar a página de configuração uma vez no portal. Para repor, altere uma definição para outro valor, altere-a novamente para o valor original e guarde a configuração.
Sugestões
Para fornecer feedback, veja a página UserVoice do Log Analytics para publicar ideias para que as funcionalidades da Análise de DNS funcionem.
Passos seguintes
Veja Registos de consultas para ver registos DNS detalhados.