使用 DNS Analytics 预览解决方案收集有关 DNS 基础结构的见解

  • 项目

“DNS Analytics”符号。

本文介绍了如何在 Azure Monitor 中设置并使用 Azure DNS Analytics 解决方案,收集有关 DNS 基础结构安全性、性能和操作的见解。

DNS Analytics 可帮助:

  • 确定尝试解决恶意域名的客户端。
  • 确定过时的资源记录。
  • 确定经常查询的域名和请求频繁的 DNS 客户端。
  • 查看 DNS 服务器上的请求负载。
  • 查看动态 DNS 注册错误。

解决方案收集、分析和关联 Windows DNS 分析和审核日志,以及 DNS 服务器的其他相关数据。

重要

Log Analytics 代理将于 2024 年 8 月 31 日停用。 若要在 Microsoft Sentinel 部署中使用 Log Analytics 代理,建议你开始计划到 Azure Monitor 代理的迁移。 有关详细信息,请参阅 Microsoft Sentinel 的 Azure Monitor 代理迁移

连接的源

下表介绍了该解决方案支持的连接的源:

连接的源 支持 说明
Windows 代理 解决方案会从 Windows 代理收集 DNS 信息。
Linux 代理 该解决方案不会从直接 Linux 代理收集 DNS 信息。
System Center Operations Manager 管理组 解决方案会从连接的 Operations Manager 管理组中的代理收集 DNS 信息。 不需要从 Operations Manager 代理直接连接到 Azure Monitor。 数据将从管理组转发到 Log Analytics 工作区。
Azure 存储帐户 该解决方案不使用 Azure 存储。

数据收集详细信息

解决方案从安装有 Log Analytics 代理的 DNS 服务器收集 DNS 清单以及与 DNS 事件相关的数据。 此数据稍后将上传到 Azure Monitor,之后会显示在解决方案仪表板中。 通过运行 DNS PowerShell cmdlet 收集与清单相关的数据,如 DNS 服务器的数量、区域和资源记录。 该数据每两天更新一次。 与事件相关的数据几乎是从由 Windows Server 2012 R2 中增强的 DNS 日志记录和诊断提供的分析和审核日志中实时收集的。

配置

使用以下信息配置解决方案:

解决方案将开始收集数据,而无需进一步配置。 但是,可使用以下配置自定义数据收集。

配置解决方案

从 Azure 门户中的“Log Analytics 工作区”选择“工作区摘要(已弃用)”。 然后,选择“DNS Analytics”磁贴。 在解决方案仪表板上,选择“配置”以打开“DNS Analytics 配置”页面。 可进行两种类型的配置更改:

  • 加入允许列表的域名:解决方案并不会处理所有查找查询。 这样可保留域名后缀允许列表。 查找查询会解析为匹配此允许列表中域名后缀的域名,但不由解决方案处理。 不处理列入允许列表的域名有助于优化发送到 Azure Monitor 的数据。 默认允许列表包括常用的公共域名,例如 www.google.comwww.facebook.com。 可以滚动查看完整的默认列表。

    可以修改列表,添加任何想要查看的域名后缀,从而查看查找见解。 还可以删除任何不感兴趣的域名后缀,从而查看查找见解。

  • 客户端请求阈值:DNS 客户端超出查找请求数的阈值时,将突出显示在“DNS 客户端”窗格中。 默认阈值为 1,000。 可以编辑该阈值。

    显示加入允许列表的域名的屏幕截图。

管理包

如果使用 Microsoft Monitoring Agent 连接到 Log Analytics 工作区,则将安装以下管理包:

  • Microsoft DNS 数据收集器智能包 (Micrsoft.IntelligencePacks.Dns)

如果 Operations Manager 管理组已连接到 Log Analytics 工作区,则添加此解决方案时会在 Operations Manager 中安装以下管理包。 无需对这些管理包进行任何配置或维护:

  • Microsoft DNS 数据收集器智能包 (Micrsoft.IntelligencePacks.Dns)
  • Microsoft System Center Advisor DNS Analytics 配置 (Microsoft.IntelligencePack.Dns.Configuration)

有关如何更新解决方案管理包的详细信息,请参阅将 Operations Manager 连接到 Log Analytics

使用 DNS Analytics 解决方案

此监视解决方案收集的数据可在 Azure 门户的“工作区摘要(已弃用)”页中找到。 从包含你的解决方案的工作区“Log Analytics 工作区”打开此页,然后从菜单的“经典”部分选择“工作区摘要(已弃用)”。 每个解决方案都由一个磁贴表示。 选择磁贴可获取该解决方案收集的更详细数据。

DNS 磁贴包括在其中收集数据的 DNS 服务器的数量。 它还包括过去 24 小时内客户端为解决恶意域而发出的请求数。 选择磁贴时,会打开解决方案仪表板。

显示 DNS Analytics 磁贴的屏幕截图。

解决方案仪表板

解决方案仪表板显示解决方案各种功能的摘要信息。 还包括指向用于取证分析和诊断的详细视图的链接。 默认显示过去七天的数据。 可以使用日期-时间选择控件更改日期和时间范围,如下图中所示:

显示时间选择控件的屏幕截图。

解决方案仪表板显示以下部分:

DNS 安全性:报告正在尝试与恶意域进行通信的 DNS 客户端。 通过使用 Microsoft 威胁情报馈送,DNS Analytics 可以检测正在尝试访问恶意域的客户端 IP。 在许多情况下,通过解决恶意软件的域名,恶意软件影响设备对恶意域“命令和控制”中心的“拨号”。

显示“DNS 安全性”部分的屏幕截图。

在列表中选择客户端 IP 时,将打开“日志搜索”,显示相应查询的查找详细信息。 在以下示例中,DNS Analytics 检测到与 IRCbot 的通信已完成:

显示日志搜索结果的屏幕截图,其中显示 ircbot。

该信息可帮助确定:

  • 启动通信的客户端 IP。
  • 解析为恶意 IP 的域名。
  • 解析域名得到的 IP 地址。
  • 恶意 IP 地址。
  • 问题严重性。
  • 将恶意 IP 列入方块列表的原因。
  • 检测时间。

查询的域:提供环境中的 DNS 客户端正在查询的最常见域名。 可以查看所有查询的域名的列表。 还可在日志搜索中向下钻取,找到特定域名的查找请求详细信息。

显示“已查询的域”部分的屏幕截图。

DNS 客户端:报告所选时间段内查询数超出阈值的客户端。 可在日志搜索中查看相应列表,了解所有 DNS 客户端及其进行的查询的详细信息。

显示“DNS 客户端”部分的屏幕截图。

动态 DNS 注册:报告名称注册失败。 突出显示地址资源记录(类型 A 和 AAAA)的所有注册失败以及提出注册请求的客户端 IP。 然后可以使用此信息,通过执行以下步骤查找注册失败的根本原因:

  1. 为客户端正在尝试更新的名称找到权威的区域。

  2. 使用解决方案检查该区域的清单信息。

  3. 确认该区域的动态更新已启用。

  4. 检查该区域是否已针对安全动态更新进行配置。

    显示“动态 DNS 注册”部分的屏幕截图。

名称注册请求:上面的磁贴显示一条趋势线,上面列出成功和失败的 DNS 动态更新请求数。 下面的磁贴列出前 10 个向 DNS 服务器发送 DNS 更新请求失败的客户端(按失败的次数排列)。

显示“名称注册请求”部分的屏幕截图。

示例 DDI Analytics 查询:包含直接提取原始分析数据的最常见搜索查询的列表。

显示“示例查询”的屏幕截图。

可以基于这些查询创建用于生成自定义报表的查询。 查询链接到显示结果的 DNS Analytics 日志搜索页:

  • DNS 服务器列表:显示包含所有 DNS 服务器及其关联的 FQDN、域名、林名和服务器 IP 的列表。

  • DNS 区域列表:显示包含所有 DNS 区域及其关联的区域名称、动态更新状态、名称服务器和 DNSSEC 签名状态的列表。

  • 未使用的资源记录:显示所有未使用/过时的资源记录的列表。 此列表包含资源记录名称、资源记录类型、关联的 DNS 服务器、记录生成时间和区域名称。 可使用此列表确定不再使用的 DNS 资源记录。 然后可以根据此信息从 DNS 服务器中删除这些条目。

  • DNS 服务器查询负载:显示可从中了解 DNS 服务器上的 DNS 负载的信息。 此信息可帮助你规划服务器的容量。 可以转到“指标”选项卡,将视图更改为图形可视化效果。 此视图可帮助了解 DNS 负载在 DNS 服务器上的分布方式。 它显示每个服务器的 DNS 查询速率趋势。

    显示 DNS 服务器查询日志搜索结果的屏幕截图。

  • DNS 区域查询负载:显示该解决方案管理的 DNS 服务器上所有区域的 DNS 每秒区域查询统计信息。 选择“指标”选项卡,将视图从详细记录更改为结果的图形可视化效果。

  • 配置事件:显示所有 DNS 配置更改事件和相关消息。 然后可以按照事件时间、事件 ID、DNS 服务器或任务类别筛选这些事件。 该数据有助于审核在特定时间对特定的 DNS 服务器所做的更改。

  • DNS 分析日志:显示解决方案管理的所有 DNS 服务器上的所有分析事件。 然后可以按照事件时间、事件 ID、DNS 服务器、进行查找查询的客户端 IP 和查询类型任务类别,对这些事件进行筛选。 DNS 服务器分析事件允许对 DNS 服务器进行活动跟踪。 每次服务器发送或接收 DNS 信息时,都将记录一个分析事件。

可在“日志搜索”页上创建查询。 可使用分面控件筛选搜索结果。 还可创建高级查询以转换、筛选和报告结果。 通过执行以下查询进行启动:

  1. 在“搜索查询”框中输入 DnsEvents,查看由该解决方案管理的 DNS 服务器生成的所有 DNS 事件。 结果中将列出与查找查询、动态注册和配置更改相关的所有事件的日志数据。

    显示 DnsEvents 日志搜索的屏幕截图。

    1. 若要查看查找查询的日志数据,请在左侧的分面控件中选择“LookUpQuery”作为“子类型”筛选器。 此时会显示一个表格,其中列出了所选时间段内的所有查找查询事件。

    2. 若要查看动态注册的日志数据,请在左侧的分面控件中选择“DynamicRegistration”作为“子类型”筛选器。 此时会显示一个表格,其中列出了所选时间段内的所有动态注册事件。

    3. 若要查看配置更改的日志数据,请在左侧的分面控件中选择“ConfigurationChange”作为“子类型”筛选器。 此时会显示一个表格,其中列出了所选时间段内的所有配置更改事件。

  2. 在“搜索查询”框中输入 DnsInventory,查看由该解决方案管理的 DNS 服务器中所有与 DNS 清单相关数据。 结果中列出 DNS 服务器的日志数据、DNS 区域和资源记录。

    显示 DnsInventory 日志搜索的屏幕截图。

疑难解答

常见故障排除步骤:

  • 缺少 DNS 查找数据:要解决此问题,请尝试在门户中重置配置或仅加载一次配置页。 若要重置,请将设置更改为其他值,然后将其更改回原始值并保存配置。

建议

若要提供反馈,请查看 Log Analytics UserVoice 页,发布有关要使用的 DNS Analytics 功能的想法。

后续步骤

查看查询日志以查看详细的 DNS 日志记录。