使用 DNS 分析預覽解決方案收集有關 DNS 基礎結構的深入解析
本文描述如何在 Azure 監視器中設定並使用 Azure DNS 分析解決方案,以收集關於 Azure DNS 基礎結構在安全性、效能及作業方面的深入解析。
DNS 分析可協助您︰
- 指出嘗試解析惡意網域名稱的用戶端。
- 指出過時的資源記錄。
- 指出經常查詢的網域名稱和 Talkative DNS 用戶端。
- 檢視 DNS 伺服器上的要求負載。
- 檢視動態 DNS 註冊失敗。
此解決方案會收集、分析 Windows DNS 分析和稽核記錄,並將它與 DNS 伺服器中的其他相關資料關聯。
重要
Log Analytics 代理程式將于 2024 年 8 月 31 日淘汰。 如果您在 Microsoft Sentinel 部署中使用 Log Analytics 代理程式,建議您開始規劃移轉至 Azure 監視器代理程式。 如需詳細資訊,請參閱 適用于 Microsoft Sentinel 的 Azure 監視器代理程式移轉。
連接的來源
下表描述此方案支援的連線來源:
| 連線的來源 | 支援 | 描述 |
|---|---|---|
| Windows 代理程式 | 是 | 此解決方案會收集來自 Windows 代理程式的 DNS 資訊。 |
| Linux 代理程式 | No | 解決方案不會從直接 Linux 代理程式收集 DNS 資訊。 |
| System Center Operations Manager 管理群組 | 是 | 此解決方案會收集來自連線 Operations Manager 管理群組的代理程式之中的 DNS 資訊。 不需要從 Operations Manager 代理程式直接連線到 Azure 監視器。 資料會從管理群組轉送至 Log Analytics 工作區。 |
| Azure 儲存體帳戶 | No | 解決方案不會使用 Azure 儲存體。 |
資料收集詳細資料
此解決方案會從已安裝 Log Analytics 代理程式的 DNS 伺服器收集 DNS 清查和 DNS 事件相關資料。 這項資料會再上傳至 Azure 監視器,並顯示在解決方案儀表板中。 清查相關資料 (例如 DNS 伺服器數目、區域和資源記錄) 的收集方式是執行 DNS PowerShell Cmdlet。 此資料每兩天會更新一次。 事件相關資料是以接近即時的方式,從 Windows Server 2012 R2 增強的 DNS 記錄與診斷功能所提供的分析和稽核記錄進行收集。
組態
請使用下列資訊來設定此解決方案:
- 在每部要監視的 DNS 伺服器上,都必須安裝 Windows 或 Operations Manager 代理程式。
- 您可以從Azure Marketplace將 DNS 分析解決方案新增至 Log Analytics 工作區。 您也可以使用從方案庫新增 Azure 監視器解決方案中所述的程序。
不需要進一步設定,此解決方案就會開始收集資料。 不過,您可以使用下列組態來自訂資料收集。
設定解決方案
從 Azure 入口網站 的 Log Analytics 工作區中,選取 [工作區摘要] (已被取代) 。 然後選取 [DNS 分析] 圖格。 在解決方案儀表板上,選取 [ 設定 ] 以開啟 [DNS 分析組態 ] 頁面。 您可以進行兩種類型的組態變更︰
允許列出的功能變數名稱:解決方案不會處理所有查閱查詢。 其會維護一份網域名稱尾碼的允許清單。 解析為符合此允許清單中功能變數名稱尾碼的查閱查詢不會由解決方案處理。 不處理列入允許清單的網域名稱,有助於最佳化向 Azure 監視器傳送的資料。 預設允許清單包含熱門的公用網域名稱,例如 www.google.com 和 www.facebook.com。 您可以捲動來檢視完整的預設清單。
您可以修改清單,將您想要檢視查閱深入解析的任何網域名稱尾碼加以新增。 您也可以將您不想要檢視查閱深入解析的任何網域名稱尾碼加以移除。
交談用戶端閾值:DNS 用戶端超出查閱要求數目的 DNS 用戶端會在 [DNS 用戶端 ] 窗格中反白顯示。 預設閾值為 1,000。 您可以編輯閾值。
管理組件
如果您使用 Microsoft Monitoring Agent 連線到 Log Analytics 工作區,則會安裝下列管理元件:
- Microsoft DNS 資料收集器智慧套件 (Microsoft.IntelligencePacks.Dns)
如果您的 Operations Manager 管理群組已連線到 Log Analytics 工作區,當您新增此解決方案時,下列管理組件會安裝在 Operations Manager 中。 這些管理元件不需要設定或維護:
- Microsoft DNS 資料收集器智慧套件 (Microsoft.IntelligencePacks.Dns)
- Microsoft System Center Advisor DNS 分析組態 (Microsoft.IntelligencePack.Dns.Configuration)
如需有關方案管理組件如何更新的詳細資訊,請參閱 將 Operations Manager 連接到 Log Analytics。
使用 DNS 分析解決方案
此監視解決方案收集的資料可在Azure 入口網站的 [工作區摘要] () 頁面取得。 使用您的解決方案從工作區的Log Analytics 工作區開啟此頁面,然後從功能表的 [傳統]區段選取[工作區摘要] (已被取代) 。 每個解決方案皆會以圖格表示。 選取圖格,以取得該解決方案所收集的詳細資料。
DNS 圖格包含收集到的資料所在的 DNS 伺服器之數目。 它也包含用戶端在過去 24 小時內所提出的解決惡意網域之要求數目。 當您選取圖格時,解決方案儀表板隨即開啟。
![顯示 [DNS 分析] 圖格的螢幕擷取畫面。](media/dns-analytics/dns-tile.png)
解決方案儀表板
解決方案儀表板會顯示解決方案的各種功能的摘要資訊。 它也包含鑑識分析和診斷之詳細檢視的連結。 根據預設,會顯示過去七天的資料。 您可以使用日期-時間選取控制項來變更日期與時間範圍,如下圖所示:
解決方案儀表板會顯示下列各節:
DNS 安全性:報告嘗試與惡意網域通訊的 DNS 用戶端。 藉由使用 Microsoft 威脅情報摘要,DNS 分析可以偵測嘗試存取惡意網域的用戶端 IP。 在許多情況下,受惡意程式碼感染的裝置會透過解析惡意程式碼網域名稱「撥出」至惡意網域的「命令與控制項」中心。
![顯示 [DNS 安全性] 區段的螢幕擷取畫面。](media/dns-analytics/dns-security-blade.png)
當您在清單中選取用戶端 IP 時,[記錄搜尋] 隨即開啟,並顯示個別查詢的查閱詳細資料。 在下列範例中,DNS 分析偵測到透過 IRCbot 進行的通訊:
此資訊可協助您識別︰
- 起始通訊的用戶端 IP。
- 解析為惡意 IP 的網域名稱。
- 網域名稱解析成的 IP 位址。
- 惡意 IP 位址。
- 問題的嚴重性。
- 將惡意 IP 列入封鎖清單的原因。
- 偵測時間。
查詢的網域:提供您環境中 DNS 用戶端最常查詢的功能變數名稱。 您可以檢視查詢的所有網域名稱清單。 您也可以在 記錄搜尋中向下切入至特定功能變數名稱的查閱要求詳細資料。
![顯示 [已查詢網域] 區段的螢幕擷取畫面。](media/dns-analytics/domains-queried-blade.png)
DNS 用戶端:報告在所選時段內違反查詢數目 閾值 的用戶端。 您可以在記錄 搜尋中檢視所有 DNS 用戶端的清單和查詢的詳細資料。
![顯示 [DNS 用戶端] 區段的螢幕擷取畫面。](media/dns-analytics/dns-clients-blade.png)
動態 DNS 註冊:報告名稱註冊失敗。 位址資源記錄的所有註冊失敗 (類型 A 和 AAAA) 會連同提出註冊要求的用戶端 IP 一起反白顯示。 您可以接著依照下列步驟,使用此資訊來尋找註冊失敗的根本原因︰
尋找用戶端嘗試更新之名稱的授權區域。
使用此解決方案來檢查該區域的清查資訊。
確認已啟用該區域的動態更新。
檢查該區域是否已設定安全動態更新。
![顯示 [動態 DNS 註冊] 區段的螢幕擷取畫面。](media/dns-analytics/dynamic-dns-reg-blade.png)
名稱註冊要求:上方圖格會顯示成功和失敗 DNS 動態更新要求的趨勢線。 下方的圖格所列出的前 10 個用戶端,是將失敗的 DNS 更新要求傳送給 DNS 伺服器 (依失敗數目排序)。
![顯示 [名稱註冊要求] 區段的螢幕擷取畫面。](media/dns-analytics/name-reg-req-blade.png)
範例 DDI 分析查詢:包含最常見的搜尋查詢清單,可直接擷取原始分析資料。
您可以使用這些查詢做為起點,建立自己的查詢以供自訂報告。 查詢連結至 DNS 分析記錄搜尋 頁面,其中會顯示結果:
DNS 伺服器清單:顯示所有 DNS 伺服器的清單及其相關聯的 FQDN、功能變數名稱、樹系名稱和伺服器 IP。
DNS 區域清單:顯示具有相關聯區功能變數名稱稱、動態更新狀態、名稱伺服器和 DNSSEC 簽署狀態的所有 DNS 區域清單。
未使用的資源記錄:顯示所有未使用/過時資源記錄的清單。 此清單包含資源記錄名稱、資源記錄類型、相關聯的 DNS 伺服器、記錄產生時間和區域名稱。 您可以使用此清單來找出不再使用的 DNS 資源記錄。 根據這項資訊,您可以接著從 DNS 伺服器將這些項目移除。
DNS 伺服器查詢負載:顯示資訊,讓您可以檢視 DNS 伺服器上的 DNS 負載。 這項資訊可協助您規劃伺服器的容量。 您可以移至 [計量] 索引標籤,將檢視變更為圖形化視覺效果。 此檢視可協助您了解您的 DNS 伺服器的 DNS 負載分佈狀況。 它會顯示每部伺服器的 DNS 查詢速率趨勢。
DNS 區域查詢負載:顯示解決方案所管理 DNS 伺服器上所有區域的 DNS 區域查詢每秒統計資料。 選取 [ 計量] 索引標籤 ,將檢視從詳細記錄變更為結果的圖形視覺效果。
設定事件:顯示所有 DNS 組態變更事件和相關聯的訊息。 您可以根據事件的時間、事件識別碼、DNS 伺服器或工作類別進一步篩選這些事件。 這些資料可協助您稽核 DNS 伺服器在特定時間發生的變更。
DNS 分析記錄:顯示解決方案所管理之所有 DNS 伺服器上的所有分析事件。 您可以根據事件的時間、事件識別碼、DNS 伺服器、執行查閱查詢的用戶端 IP 和查詢類型工作類別,將這些事件進一步篩選。 DNS 伺服器分析事件可追蹤 DNS 伺服器上的活動。 每次伺服器傳送或接收 DNS 資訊時,都會記錄分析事件。
使用 DNS 分析記錄搜尋來搜尋
在 [ 記錄搜尋 ] 頁面上,您可以建立查詢。 您可以使用 facet 控制項來篩選搜尋結果。 您也可以建立進階查詢來轉換、篩選和報告結果。 使用下列查詢來開始:
在搜尋查詢方塊中,輸入
DnsEvents以檢視解決方案所管理 DNS 伺服器所產生的所有 DNS 事件。 結果會列出與查閱查詢、動態註冊和設定變更相關之所有事件的記錄資料。
若要檢視查閱查詢的記錄資料,請從左側 facet 控制項選取 LookUpQuery 作為 Subtype 篩選條件。 列出所選時段之所有查閱查詢事件的資料表隨即出現。
若要檢視動態註冊的記錄資料,請從左側 facet 控制項選取 DynamicRegistration 作為 Subtype 篩選條件。 列出所選時段之所有動態註冊事件的資料表隨即出現。
若要檢視設定變更的記錄資料,請從左側 facet 控制項選取 ConfigurationChange 作為 Subtype 篩選條件。 列出所選時段之所有組態變更事件的資料表隨即出現。
在搜尋查詢方塊中,輸入
DnsInventory以檢視解決方案所管理 DNS 伺服器的所有 DNS 清查相關資料。 結果會列出 DNS 伺服器、DNS 區域和資源記錄的記錄資料。
疑難排解
常用的疑難排解步驟:
- 遺漏 DNS 查閱資料:若要針對此問題進行疑難排解,請嘗試在入口網站中重設設定或載入設定頁面一次。 若要重設,請將設定變更為另一個值,將其變更回原始值,然後儲存組態。
建議
若要提供意見反應,請參閱 Log Analytics UserVoice 頁面 ,以張貼 DNS 分析功能要處理的想法。
下一步
檢閱 查詢記錄 以檢視詳細的 DNS 記錄檔記錄。