Сбор аналитических сведений об инфраструктуре DNS с помощью предварительного решения Аналитики DNS

  • Статья

Символ Аналитики DNS.

В этой статье описывается, как настроить и использовать решение Аналитики DNS Azure в службе Azure Monitor, чтобы собрать сведения об инфраструктуре DNS по безопасности, производительности и операциях.

Решение аналитики DNS помогает выполнить следующие задачи:

  • определить клиенты, которые пытаются разрешить вредоносные доменные имена;
  • определить устаревшие записи ресурсов;
  • определить часто запрашиваемые доменные имена и "разговорчивые" DNS-клиенты;
  • просмотреть нагрузку запросов на DNS-серверы;
  • просмотреть ошибки при регистрации динамических DNS.

Это решение собирает, анализирует и сопоставляет данные журналов аналитики и аудита Windows DNS, а также другие связанные данные с DNS-серверов.

Важно!

Агент Log Analytics будет прекращен 31 августа 2024 г. Если вы используете агент Log Analytics в развертывании Microsoft Sentinel, рекомендуется приступить к планированию миграции на агент Azure Monitor. Дополнительные сведения см. в статье Миграция агента Azure Monitor для Microsoft Sentinel.

Подключенные источники

В следующей таблице описаны подключенные источники, поддерживаемые этим решением.

Подключенный источник Поддержка Описание
Агенты Windows Да Решение собирает сведения о DNS из агентов Windows.
Агенты Linux Нет Решение не собирает сведения DNS от прямых агентов Linux.
Группа управления System Center Operations Manager Да Решение собирает сведения о DNS из агентов в подключенной группе управления Operations Manager. Прямое подключение агента Operations Manager к Azure Monitor не требуется. Данные пересылаются из группы управления в рабочую область Log Analytics.
Учетная запись хранения Azure Нет Служба хранилища Azure не используется решением.

Сведения о сборе данных

Решение собирает данные, связанные с инвентаризацией и событиями DNS, с DNS-серверов, на которых установлен агент Log Analytics. Затем эти данные передаются в службу Azure Monitor и отображаются на панели мониторинга решения. Данные, связанные с инвентаризацией, такие как количество DNS-серверов, зон и записей ресурсов, собираются с помощью командлетов PowerShell для DNS. Эти данные обновляются каждые два дня. Данные, связанные с событиями, собираются практически в реальном времени из журналов аналитики и аудита, которые обеспечиваются расширенными функциями диагностики и ведения журнала DNS в Windows Server 2012 R2.

Конфигурация

Для настройки решения используйте указанные ниже данные.

  • Агент Windows или Operations Manager должен быть установлен на каждом DNS-сервере, который вы хотите отслеживать.
  • Вы можете добавить решение "Аналитика DNS" в рабочую область Log Analytics из Azure Marketplace. Вы также можете использовать процесс, описанный в статье Решения мониторинга в Azure Monitor.

Чтобы решение начало сбор данных, никакие дополнительные настройки не требуются. Однако можно использовать описанные ниже действия, чтобы настроить процесс сбора данных.

Настройка решения

В рабочей области Log Analytics в портал Azure выберите Сводка рабочей области (не рекомендуется). Затем выберите плитку Аналитика DNS . На панели мониторинга решения выберите Конфигурация , чтобы открыть страницу Конфигурация аналитики DNS . В конфигурацию можно внести два типа изменений:

  • Разрешенные доменные имена. Решение обрабатывает не все запросы подстановки. Для этого используется список разрешенных суффиксов доменного имени. Запросы подстановки, которые разрешаются в доменные имена, соответствующие суффиксам доменного имени в этом списке разрешений, не обрабатываются решением. Возможность не обрабатывать разрешенные доменные имена помогает оптимизировать данные, отправляемые в Azure Monitor. Список разрешенных имен по умолчанию включает в себя популярные общедоступные доменные имена, такие как www.google.com и www.facebook.com. Используя полосу прокрутки, можно просмотреть полный список по умолчанию.

    Вы можете изменить этот список, добавив любые суффиксы доменных имен, для которых необходимо просмотреть сведения о поиске. Вы также можете удалить любые суффиксы доменных имен, если не хотите просматривать сведения о поиске.

  • Пороговое значение разговорчивого клиента. DNS-клиенты, превышающие пороговое значение для количества запросов поиска, выделяются на панели DNS-клиенты . Пороговое значение по умолчанию — 1000. Это значение можно изменить.

    Снимок экрана: доменные имена в списке разрешенных.

Пакеты управления

Если вы используете Microsoft Monitoring Agent для подключения к рабочей области Log Analytics, устанавливается следующий пакет управления:

  • Пакет сбора данных Microsoft DNS (Microsoft.IntelligencePacks.Dns)

Если группа управления Operations Manager подключена к рабочей области Log Analytics, при добавлении этого решения в Operations Manager будут установлены следующие пакеты. Не требуется настройка или обслуживание этих пакетов управления:

  • Пакет сбора данных Microsoft DNS (Microsoft.IntelligencePacks.Dns)
  • Конфигурация аналитики DNS для Microsoft System Center Advisor (Microsoft.IntelligencePack.Dns.Configuration)

Дополнительные сведения об обновлении пакетов управления для решений см. в статье Подключение Operations Manager к Log Analytics.

Использование решения аналитики DNS

Данные, собранные этим решением для мониторинга, доступны на странице Сводка рабочей области (не рекомендуется) в портал Azure. Откройте эту страницу в рабочих областях Log Analytics для рабочей области с вашим решением, а затем выберите Сводка рабочей области (нерекомендуемая) в разделе Классическое меню. Каждое решение представлено в виде плитки. Выберите плитку, чтобы получить более подробные данные, собранные этим решением.

На фрагменте DNS изображено количество DNS-серверов, с которых собираются данные. а также количество запросов, выполненных за последние 24 часа клиентами для разрешения вредоносных доменов. При выборе плитки откроется панель мониторинга решения.

Снимок экрана: плитка

Панель мониторинга решения

На панели мониторинга решения отображаются сводные данные для различных компонентов решения. Здесь также есть ссылки на подробное представление для ретроспективного анализа и диагностики. По умолчанию данные отображаются за последние семь дней. Вы можете изменить диапазон дат и времени с помощью элемента управления для выбора даты и времени, как показано на изображении ниже.

Снимок экрана: элемент управления

На панели мониторинга решения отображаются следующие разделы:

Безопасность DNS. Сообщает о DNS-клиентах, которые пытаются взаимодействовать с вредоносными доменами. Используя каналы корпорации Майкрософт для аналитики угроз, решение аналитики DNS может обнаруживать IP-адреса клиентов, которые пытаются получить доступ к вредоносным доменам. Во многих случаях устройства, инфицированные вредоносными программами, "дозваниваются" в центр "команд и управления" вредоносного домена, разрешая вредоносное доменное имя.

Снимок экрана: раздел

При выборе IP-адреса клиента в списке откроется поиск по журналам, где отображаются сведения о поиске соответствующего запроса. В следующем примере решение аналитики DNS обнаружило, что обмен данными выполнялся с программой-трояном IRCbot.

Снимок экрана: результаты поиска по журналам с ircbot.

Эти сведения помогут вам определить следующее:

  • IP-адрес клиента, инициировавший обмен данными;
  • доменное имя, разрешающееся во вредоносный IP-адрес;
  • IP-адреса, в которые разрешается доменное имя;
  • вредоносный IP-адрес;
  • степень серьезности проблемы;
  • причину для добавления вредоносного IP-адреса в список блокировок;
  • время обнаружения.

Запрашиваемые домены. Предоставляет наиболее частые доменные имена, запрашиваемые DNS-клиентами в вашей среде. Вы можете просмотреть список всех запрошенных доменных имен. Вы также можете детализировать сведения о запросе на уточняющий запрос определенного доменного имени в поиске по журналам.

Снимок экрана: раздел

DNS-клиенты. Сообщает клиентам, которые превышают пороговое значение для количества запросов за выбранный период времени. Список всех DNS-клиентов и сведения о выполненных ими запросах можно просмотреть в разделе Поиск по журналам.

Снимок экрана: раздел DNS-клиентов.

Динамические регистрации DNS: сообщает о сбоях регистрации имен. В этой колонке выделяются все ошибки регистрации записей ресурсов адресов (типов A и AAAA), а также IP-адреса клиентов, выполнившие эти запросы на регистрацию. Эти сведения затем можно использовать для поиска основной причины сбоя регистрации:

  1. Найдите зону, которая является заслуживающей доверия для имени, которое клиент пытается обновить.

  2. Используйте решение для проверки данных инвентаризации из этой зоны.

  3. Убедитесь, что для этой зоны включено динамическое обновление.

  4. Проверьте, настроена ли зона для выполнения безопасного динамического обновления.

    Снимок экрана: раздел

Запросы на регистрацию имен. На верхней плитке отображается линия тренда успешных и неудачных запросов на динамическое обновление DNS. В нижнем элементе отображается список первых 10 клиентов с наибольшим числом невыполненных запросов на обновление DNS, отправленных на DNS-серверы. Клиенты отсортированы по числу ошибок.

Снимок экрана: раздел

Пример запросов аналитики DDI. Содержит список наиболее распространенных поисковых запросов, которые напрямую извлекает необработанные аналитические данные.

Снимок экрана: примеры запросов.

Эти запросы можно использовать как отправную точку для создания собственных запросов для настраиваемых отчетов. Запросы ссылаются на страницу поиска по журналам DNS Analytics , где отображаются результаты:

  • Список DNS-серверов: список всех DNS-серверов со связанными полным доменным именем, доменным именем, именем леса и IP-адресами сервера.

  • Список зон DNS: список всех зон DNS со связанным именем зоны, состоянием динамического обновления, серверами имен и состоянием подписывания DNSSEC.

  • Неиспользуемые записи ресурсов. Отображает список всех неиспользуемых или устаревших записей ресурсов. Этот список содержит имя записи ресурса, тип записи ресурса, связанный DNS-сервер, время создания записи и имя зоны. С помощью этого списка можно определить записи ресурсов DNS, которые больше не используются. Затем на основании этой информации вы можете удалить эти записи с DNS-серверов.

  • Загрузка запросов DNS-серверов. Отображает сведения, позволяющие получить представление о нагрузке DNS на DNS-серверы. Учитывая эти сведения, вы можете правильно спланировать емкость серверов. Вы можете перейти на вкладку метрик, чтобы изменить представление на графическую визуализацию. Это представление позволяет лучше понять, как нагрузка DNS распределяется между DNS-серверами. Для каждого сервера показаны тенденции изменения числа запросов DNS.

    Снимок экрана: результаты поиска в журнале запросов DNS-серверов.

  • Загрузка запросов зон DNS. Показывает статистику запроса зоны DNS в секунду для всех зон НА DNS-серверах, управляемых решением. Перейдите на вкладку Метрики , чтобы изменить представление с подробных записей на графическую визуализацию результатов.

  • События конфигурации: отображаются все события изменения конфигурации DNS и связанные с ними сообщения. Затем эти события можно отфильтровать по времени события, идентификатору события, DNS-серверу или категории задачи. С помощью этих данных можно отслеживать изменения, внесенные на определенных DNS-серверах в определенное время.

  • Аналитический журнал DNS. Отображает все аналитические события на всех DNS-серверах, управляемых решением. Затем эти события можно отфильтровать по времени события, идентификатору события, DNS-серверу, IP-адресу клиента, выполнившему запрос поиска, а также запросить категорию задачи типа. События аналитики DNS-сервера позволяют отслеживать действия на DNS-сервере. Событие аналитики записывается в журнал каждый раз, когда сервер отправляет или получает сведения о DNS.

На странице Поиск по журналам можно создать запрос. Результаты поиска можно фильтровать с помощью элементов управления аспектами. Можно создать сложные запросы для преобразования и фильтрации результатов, а также для формирования соответствующих отчетов. Начните с помощью следующих запросов:

  1. В поле поискового запроса введите DnsEvents , чтобы просмотреть все события DNS, созданные DNS-серверами, управляемыми решением. В результатах отобразятся данные журнала для всех событий, связанных с запросами поиска, динамическими регистрациями и изменениями конфигурации.

    Снимок экрана: поиск по журналам DnsEvents.

    1. Чтобы просмотреть данные журнала о запросах поиска, отфильтруйте подтип по значению LookUpQuery, используя элемент управления в левой части экрана. Появится таблица со списком всех событий запроса поиска за выбранный период времени.

    2. Чтобы просмотреть данные журнала о динамических регистрациях, отфильтруйте подтип по значению DynamicRegistration, используя элемент управления в левой части экрана. Появится таблица со списком всех событий динамической регистрации за выбранный период времени.

    3. Чтобы просмотреть данные журнала об изменениях конфигурации, отфильтруйте подтип по значению ConfigurationChange, используя элемент управления в левой части экрана. Появится таблица со списком всех событий изменения конфигурации за выбранный период времени.

  2. В поле поискового запроса введите DnsInventory , чтобы просмотреть все данные инвентаризации DNS для DNS-серверов, управляемых решением. В списке результатов отобразятся данные журнала о DNS-серверах, зонах DNS и записях ресурсов.

    Снимок экрана: поиск по журналам DnsInventory.

Устранение неполадок

Распространенные действия по устранению неполадок:

  • Отсутствуют данные поиска DNS. Чтобы устранить эту проблему, попробуйте сбросить конфигурацию или загрузить страницу конфигурации один раз на портале. Для сброса измените параметр на другое значение, верните его на исходное значение и сохраните конфигурацию.

Предложения

Чтобы оставить отзыв, перейдите на страницу Log Analytics UserVoice , чтобы опубликовать идеи по функциям Аналитики DNS для работы.

Дальнейшие действия

Просмотрите журналы запросов, чтобы просмотреть подробные записи журнала DNS.