Microsoft Sentinel için NXLog DNS Günlükleri bağlayıcısı
NXLog DNS Günlükleri veri bağlayıcısı, hem Denetim hem de Analitik DNS Sunucusu olaylarını toplamak için Windows için Olay İzleme 'yi (ETW) kullanır. NXLog im_etw modülü, olay izleme verilerini bir .etl dosyasına yakalamaya gerek kalmadan maksimum verimlilik için doğrudan okur. Bu REST API bağlayıcısı, DNS Sunucusu olaylarını gerçek zamanlı olarak Microsoft Sentinel'e iletebilir.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | NXLog_DNS_Server_CL |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen: | NXLog |
Sorgu örnekleri
DNS Sunucusu ilk 5 hostlookups
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
DNS Sunucusu İlk 5 EventOriginalTypes (Olay Kimlikleri)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
Saniye başına DNS Sunucusu analitik olayları (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Satıcı yükleme yönergeleri
Not
Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan Kusto işlevlerini temel alan ayrıştırıcıların beklendiği gibi çalışmasına bağlıdır. **ASimDnsMicrosoftNXLog ** Microsoft Sentinel'in DNS ile ilgili yerleşik analiz özelliklerinden yararlanmak için tasarlanmıştır.
Bu bağlayıcıyı yapılandırmak için NXLog Kullanıcı Kılavuzu Tümleştirme Konusu Microsoft Sentinel'deki adım adım yönergeleri izleyin.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.