使用 AMA 連接器串流和篩選來自 Windows DNS 伺服器的數據
本文說明如何使用 Azure 監視器代理程式 (AMA) 連接器,從您的 Windows 功能變數名稱系統 (DNS) 伺服器記錄串流和篩選事件。 然後,您可以深入分析數據,以保護 DNS 伺服器免於遭受威脅和攻擊。
AMA 及其 DNS 擴充功能會安裝在 Windows Server 上,以將數據從 DNS 分析記錄上傳至 Microsoft Sentinel 工作區。 了解連接器。
概觀
監視 DNS 活動很重要的原因
DNS 是廣泛使用的通訊協定,可在主機名和計算機可讀取IP位址之間對應。 由於 DNS 並未考慮安全性,因此服務受到惡意活動的高度目標,因此其記錄成為安全性監視不可或缺的一部分。
以 DNS 伺服器為目標的一些已知威脅包括:
- 以 DNS 伺服器為目標的 DDoS 攻擊
- DNS DDoS 放大
- DNS 劫持
- DNS 通道
- DNS 中毒
- DNS 詐騙
- NXDOMAIN 攻擊
- 虛設網域攻擊
透過 AMA 連接器的 Windows DNS 事件
雖然引進了一些機制來改善此通訊協定的整體安全性,但 DNS 伺服器仍是高度目標服務。 組織可以監視 DNS 記錄,以進一步瞭解網路活動,以及識別以網路內資源為目標的可疑行為或攻擊。 透過 AMA 連接器的 Windows DNS 事件提供這種類型的可見性。
透過連接器,您可以:
- 識別嘗試解析惡意功能變數名稱的用戶端。
- 檢視和監視 DNS 伺服器上的要求負載。
- 檢視動態 DNS 註冊失敗。
- 識別經常查詢的功能變數名稱和交談式用戶端。
- 識別過時的資源記錄。
- 在一個位置檢視所有 DNS 相關記錄。
集合如何透過 AMA 連接器與 Windows DNS 事件搭配運作
AMA 連接器會使用已安裝的 DNS 擴充功能來收集和剖析記錄。
注意
透過 AMA 連接器的 Windows DNS 事件目前僅支援分析事件活動。
連接器會將事件串流至 Microsoft Sentinel 工作區,以進一步分析。
您現在可以使用進階篩選來篩選出特定事件或資訊。 透過進階篩選,您只會上傳您想要監視的寶貴數據,以降低成本和頻寬使用量。
使用 ASIM 正規化
此連接器使用 進階安全性資訊模型 (ASIM) 剖析器完全正規化。 連接器會將事件從分析記錄串流至名為 ASimDnsActivityLogs的標準化數據表。 此表格可作為翻譯工具,使用一種統一的語言,在所有 DNS 連接器之間共用。
若為與來源無關的剖析器,統一所有 DNS 數據,並確保分析在所有設定的來源上執行,請使用 ASIM DNS 統一剖析器_Im_Dns。
ASIM 統一剖析器可補充原生 ASimDnsActivityLogs 數據表。 雖然原生數據表符合 ASIM 規範,但需要剖析器來新增功能,例如別名、只能在查詢時間使用,以及與其他 DNS 數據源結合 ASimDnsActivityLogs 。
ASIM DNS 架構代表 DNS 通訊協定活動,如分析記錄中的 Windows DNS 伺服器所記錄。 架構是由定義欄位和值的官方參數清單和 RFC 所控管。
請參閱已轉譯為正規化功能變數名稱的 Windows DNS 伺服器欄位清單。
透過 AMA 連接器設定 Windows DNS
您可以透過兩種方式設定連接器:
- Microsoft Sentinel 入口網站。 透過此設定,您可以為每個工作區建立、管理及刪除單一數據收集規則 (DCR)。 即使您透過 API 定義多個 DCR,入口網站也只會顯示單一 DCR。
- API。 透過此設定,您可以建立、管理及刪除多個 DCR。
必要條件
開始之前,請確認您有:
- 已啟用 Microsoft Sentinel 解決方案。
- 定義的 Microsoft Sentinel 工作區。
- Windows Server 2012 R2 搭配稽核 Hotfix 和更新版本。
- Windows DNS 伺服器。
- 若要從非 Azure 虛擬機的任何系統收集事件,請確定 已安裝 Azure Arc 。 在啟用 Azure 監視器代理程式型連接器之前,請先安裝並啟用 Azure Arc。 這項需求包括:
- 安裝在實體機器上的 Windows 伺服器
- 安裝在內部部署虛擬機器上的 Windows 伺服器
- 安裝在非 Azure 雲端虛擬機器上的 Windows 伺服器
在 Microsoft Sentinel 入口網站中設定連接器 (UI)
開啟連接器頁面並建立 DCR
- 開啟 Azure 入口網站 並流覽至 Microsoft Sentinel 服務。
- 在 [ 數據連接器] 刀鋒視窗中,於搜尋列中輸入 DNS。
- 透過 AMA 連接器選取 Windows DNS 事件。
- 在連接器描述下方,選取 [ 開啟連接器] 頁面。
- 在 [ 組態 ] 區域中,選取 [ 建立數據收集規則]。 您可以為每個工作區建立單一 DCR。 如果您需要建立多個 DCR, 請使用 API。
DCR 名稱、訂用帳戶和資源群組會根據工作區名稱、目前的訂用帳戶,以及從中選取連接器的資源群組自動設定。
定義資源 (VM)
選取 [資源] 索引標籤,然後選取 [新增資源]。
選取您要安裝連接器以收集記錄的 VM。
檢閱您的變更,然後選取 [儲存>套用]。
篩選掉不想要的事件
當您使用篩選條件時,會排除篩選條件所指定的事件。 換句話說,Microsoft Sentinel 不會收集指定事件的數據。 雖然不需要此步驟,但有助於降低成本並簡化事件分級。
若要建立篩選:
在連接器頁面上的 [組態 ] 區域中,選取 [ 新增數據收集篩選]。
輸入篩選的名稱,然後選取篩選類型。 篩選類型是可減少所收集事件數目的參數。 參數會根據 DNS 正規化架構進行正規化。 請參閱可供篩選的可用欄位清單。
選擇要從下拉式清單中所列值篩選欄位的值。
若要新增複雜的篩選,請選取 [新增排除字段] 來篩選 並新增相關的字段。 請參閱下方使用 進階篩選 一節中的範例。
若要新增更多新的篩選,請選取 [新增排除篩選]。
完成新增篩選后,請選取 [ 新增]。
回到主要連接器頁面,選取 [ 套用變更 ] 以儲存篩選,並將篩選部署到您的連接器。 若要編輯或刪除現有的篩選或字段,請選取 [組態] 區域中數據表中的編輯或刪除圖示。
若要在初始部署之後新增欄位或篩選,請再次選取 [ 新增數據收集篩選 ]。
使用 API 設定連接器
您可以使用 API 建立 DCR 。 如果您需要建立多個 DCR,請使用此選項。
使用此範例作為範本來建立或更新 DCR:
要求 URL 和標頭
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview
要求本文
{
"properties": {
"dataSources": {
"windowsEventLogs": [],
"extensions": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"extensionName": "MicrosoftDnsAgent",
"extensionSettings": {
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"260"
]
}
]
}
]
},
"name": "SampleDns"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
"workspaceId": {WorkspaceGuid}",
"name": "WorkspaceDestination"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"destinations": [
" WorkspaceDestination "
]
}
],
},
"location": "eastus2",
"tags": {},
"kind": "Windows",
"id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"type": "Microsoft.Insights/dataCollectionRules",
}
使用進階篩選
DNS 伺服器事件記錄檔可以包含大量的事件。 您可以使用進階篩選來篩選出不必要的事件,再上傳數據,節省寶貴的分級時間和成本。 篩選條件會從上傳至工作區的事件串流中移除不必要的數據。
篩選是根據許多欄位的組合。
- 您可以使用逗號分隔清單,針對每個欄位使用多個值。
- 若要建立復合篩選,請使用具有 AND 關聯的不同欄位。
- 若要合併不同的篩選,請使用它們之間的 OR 關聯。
檢閱 可用的欄位以進行篩選。
使用萬用字元
您可以在進階篩選中使用通配符。 使用通配符時,請檢閱下列考慮:
- 在每個星號 (
*.) 後面加入一個點。 - 請勿在網域清單之間使用空格。
- 通配符僅適用於網域的子域,包括
www.domain.com,不論通訊協議為何。 例如,如果您在*.domain.com進階篩選中使用:- 不論通訊協定是否為 HTTPS、FTP 等等,篩選都會套用至
www.domain.com和subdomain.domain.com。 - 篩選不適用於
domain.com。 若要將篩選套用至domain.com,請直接指定網域,而不使用通配符。
- 不論通訊協定是否為 HTTPS、FTP 等等,篩選都會套用至
進階篩選範例
不要收集特定事件標識碼
此篩選會指示連接器不要使用 IPv6 位址收集 EventID 256 或 EventID 257 或 EventID 260。
使用 Microsoft Sentinel 入口網站:
使用 Equals 運算符,使用 EventOriginalType 欄位建立篩選,其值為 256、257 和 260。
使用上面定義的 EventOriginalType 欄位建立篩選,並使用 And 運算符,也包含設定為 AAAA 的 DnsQueryTypeName 欄位。
使用 API:
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"256", "257", "260"
]
},
{
"Field": "DnsQueryTypeName",
"FieldValues": [
"AAAA"
]
}
]
},
{
"FilterName": "EventResultDetails",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"230"
]
},
{
"Field": "EventResultDetails",
"FieldValues": [
"BADKEY","NOTZONE"
]
}
]
}
]
不要收集具有特定網域的事件
此篩選會指示連接器不要從 microsoft.com、google.com、amazon.com 或 facebook.com 或 center.local 的任何子域收集事件。
使用 Microsoft Sentinel 入口網站:
使用 Equals 運算符設定 DnsQuery 字段,並將清單 *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local。
請檢閱這些考慮,以 使用通配符。
若要在單一欄位中定義不同的值,請使用 OR 運算元。
使用 API:
請檢閱這些考慮,以 使用通配符。
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "DnsQuery",
"FieldValues": [
"*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"
]
},
}
}
]
下一步
在本文中,您已瞭解如何透過 AMA 連接器設定 Windows DNS 事件,以上傳資料並篩選您的 Windows DNS 記錄。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 瞭解如何 瞭解您的數據和潛在威脅。
- 開始使用 Microsoft Sentinel 偵測威脅。
- 使用活頁簿 來監視您的數據。