Trasmettere e filtrare i dati dai server DNS Windows con il connettore AMA
Questo articolo descrive come usare il connettore agente di Monitoraggio di Azure per trasmettere e filtrare gli eventi dai log del server DNS (Domain Name System) windows. È quindi possibile analizzare in modo approfondito i dati per proteggere i server DNS da minacce e attacchi. L'ama e l'estensione DNS sono installati in Windows Server per caricare i dati dai log analitici DNS nell'area di lavoro di Microsoft Sentinel.
DNS è un protocollo ampiamente usato, che esegue il mapping tra nomi host e indirizzi IP leggibili dal computer. Poiché il DNS non è stato progettato tenendo conto della sicurezza, il servizio è altamente mirato da attività dannose, rendendo la registrazione una parte essenziale del monitoraggio della sicurezza. Alcune minacce note che riguardano i server DNS includono attacchi DDoS destinati a server DNS, amplificazione DDoS DNS, hijacking DNS e altro ancora.
Mentre sono stati introdotti alcuni meccanismi per migliorare la sicurezza complessiva di questo protocollo, i server DNS sono ancora un servizio altamente mirato. Le organizzazioni possono monitorare i log DNS per comprendere meglio le attività di rete e identificare comportamenti sospetti o attacchi mirati alle risorse all'interno della rete. Gli eventi DNS di Windows tramite il connettore AMA offrono questo tipo di visibilità. Ad esempio, usare il connettore per identificare i client che tentano di risolvere nomi di dominio dannosi, visualizzare e monitorare i carichi delle richieste nei server DNS o visualizzare gli errori di registrazione DNS dinamici.
Nota
Gli eventi DNS di Windows tramite il connettore AMA supportano attualmente solo le attività analitiche degli eventi.
Prerequisiti
Prima di iniziare, verificare di avere:
- Un'area di lavoro Log Analytics abilitata per Microsoft Sentinel.
- Soluzione DNS di Windows Server installata nell'area di lavoro.
- Windows Server 2012 R2 con hotfix di audit e versione successiva.
- Un server DNS Windows.
Per raccogliere eventi da qualsiasi sistema che non sia una macchina virtuale di Azure, assicurarsi che sia installato Azure Arc. Installare e abilitare Azure Arc prima di abilitare il connettore basato su Agente di Monitoraggio di Azure. Questo requisito include:
- Server Windows installati in computer fisici
- Server Windows installati in macchine virtuali locali
- Server Windows installati in macchine virtuali in cloud non Azure
Configurare il connettore DNS di Windows tramite AMA tramite il portale
Usare l'opzione di installazione del portale per configurare il connettore usando una singola regola di raccolta dati (DCR) per ogni area di lavoro. Successivamente, usare filtri avanzati per filtrare eventi o informazioni specifici, caricando solo i dati importanti da monitorare, riducendo i costi e l'utilizzo della larghezza di banda.
Se è necessario creare più controller di dominio di dominio, usare invece l'API . L'uso dell'API per creare più controller di dominio di dominio continuerà a visualizzare un solo record di dominio nel portale.
Per configurare il connettore:
In Microsoft Sentinel aprire la pagina Connettori dati e individuare gli eventi DNS di Windows tramite il connettore AMA .
Nella parte inferiore del riquadro laterale selezionare Apri pagina connettore.
Nell'area Configurazione, selezionareCrea regola di raccolta dati. È possibile creare una singola DCR per area di lavoro.
Il nome, la sottoscrizione e il gruppo di risorse DCR vengono impostati automaticamente in base al nome dell'area di lavoro, alla sottoscrizione corrente e al gruppo di risorse da cui è stato selezionato il connettore. Ad esempio:
Selezionare la scheda >Risorse Aggiungi risorse.
Selezionare le VM in cui si desidera installare il connettore per raccogliere i log. Ad esempio:
Esaminare le modifiche e selezionare Salva>Applica.
Configurare il connettore DNS di Windows tramite AMA tramite API
Usare l'opzione di installazione dell'API per configurare il connettore usando più controller di dominio per area di lavoro. Se si preferisce usare un singolo record di dominio, usare invece l'opzione del portale.
L'uso dell'API per creare più controller di dominio di dominio mostra ancora un solo record di dominio nel portale.
Usare l'esempio seguente come modello per creare o aggiornare un record di controllo di dominio:
URL e intestazione della richiesta
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview
Testo della richiesta
{
"properties": {
"dataSources": {
"windowsEventLogs": [],
"extensions": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"extensionName": "MicrosoftDnsAgent",
"extensionSettings": {
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"260"
]
}
]
}
]
},
"name": "SampleDns"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
"workspaceId": {WorkspaceGuid}",
"name": "WorkspaceDestination"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"destinations": [
" WorkspaceDestination "
]
}
],
},
"location": "eastus2",
"tags": {},
"kind": "Windows",
"id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"type": "Microsoft.Insights/dataCollectionRules",
}
Usare filtri avanzati nei controller di dominio
I registri eventi del server DNS possono contenere un numero elevato di eventi. È consigliabile usare filtri avanzati per filtrare gli eventi non necessario prima del caricamento dei dati, risparmiando tempo e costi di valutazione preziosi. I filtri rimuovono i dati non necessari dal flusso di eventi caricati nell'area di lavoro e si basano su una combinazione di più campi.
Per altre informazioni, vedere Campi disponibili per il filtro.
Creare filtri avanzati tramite il portale
Usare la procedura seguente per creare filtri tramite il portale. Per altre informazioni sulla creazione di filtri con l'API, vedere Esempi avanzati di filtro.
Per creare filtri tramite il portale:
Nella pagina connettore selezionare Aggiungi filtri di raccolta dati nell'area Configurazione.
Immettere un nome per il filtro e selezionare il tipo di filtro, ovvero un parametro che riduce il numero di eventi raccolti. I parametri vengono normalizzati in base allo schema normalizzato DNS. Per altre informazioni, vedere Campi disponibili per il filtro.
Selezionare i valori per i quali si vuole filtrare il campo tra i valori elencati nell'elenco a discesa.
Per aggiungere filtri complessi, selezionare Aggiungi campo di esclusione per filtrare e aggiungere il campo pertinente.
- Usare elenchi delimitati da virgole per definire più valori per ogni campo.
- Per creare filtri composti, usare campi diversi con una relazione AND.
- Per combinare filtri diversi, usare una relazione OR tra di esse.
I filtri supportano anche i caratteri jolly come indicato di seguito:
- Aggiungere un punto dopo ogni asterisco (
*.). - Non usare spazi tra l'elenco di domini.
- I caratteri jolly si applicano solo ai sottodomini del dominio, incluso
www.domain.com, indipendentemente dal protocollo. Ad esempio, se si usa*.domain.comin un filtro avanzato:- Il filtro si applica a
www.domain.comesubdomain.domain.com, indipendentemente dal fatto che il protocollo sia HTTPS, FTP e così via. - Il filtro non si applica a
domain.com. Per applicare un filtro adomain.com, specificare direttamente il dominio, senza usare un carattere jolly.
- Il filtro si applica a
Per aggiungere altri nuovi filtri, selezionare Aggiungi nuovo filtro di esclusione.
Al termine dell'aggiunta di filtri, selezionare Aggiungi.
Nella pagina principale del connettore selezionare Applica modifiche per salvare e distribuire i filtri nei connettori. Per modificare o eliminare i filtri o i campi esistenti, selezionare le icone di modifica o eliminazione nella tabella nell'area Configurazione.
Per aggiungere campi o filtri dopo la distribuzione iniziale, selezionare nuovamente Aggiungi filtri di raccolta dati.
Esempi avanzati di filtro
Usare gli esempi seguenti per creare filtri avanzati di uso comune, tramite il portale o l'API.
Non raccogliere ID evento specifici
Questo filtro indica al connettore di non raccogliere EventID 256 o EventID 257 o EventID 260 con indirizzi IPv6.
Uso del portale di Microsoft Sentinel:
Creare un filtro con il campo EventOriginalType usando l'operatore Equals, con i valori 256, 257 e 260.
Creare un filtro con il campo EventOriginalType definito in precedenza e usare l'operatore And, incluso anche il campo DnsQueryTypeName impostato su AAAA.
Uso dell'API:
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"256", "257", "260"
]
},
{
"Field": "DnsQueryTypeName",
"FieldValues": [
"AAAA"
]
}
]
},
{
"FilterName": "EventResultDetails",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"230"
]
},
{
"Field": "EventResultDetails",
"FieldValues": [
"BADKEY","NOTZONE"
]
}
]
}
]
Non raccogliere eventi con domini specifici
Questo filtro indica al connettore di non raccogliere eventi da sottodomini di microsoft.com, google.com, amazon.com o eventi da facebook.com o center.local.
Uso del portale di Microsoft Sentinel:
Impostare il campo DnsQuery usando l'operatore Equals, con l'elenco *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local.
Esaminare queste considerazioni per l'uso dei caratteri jolly.
Per definire valori diversi in un singolo campo, usare l'operatore OR.
Uso dell'API:
Esaminare queste considerazioni per l'uso dei caratteri jolly.
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "DnsQuery",
"FieldValues": [
"*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"
]
},
}
}
]
Normalizzazione con ASIM
Questo connettore è completamente normalizzato tramite i parser Advanced Security Information Model (ASIM). Il connettore trasmette gli eventi originati dai log analitici nella tabella normalizzata denominata ASimDnsActivityLogs. Questa tabella funge da traduttore, usando una lingua unificata, condivisa tra tutti i connettori DNS da venire.
Per un parser indipendente dall'origine che unifica tutti i dati DNS e garantisce che l'analisi venga eseguita in tutte le origini configurate, usare il parser di unificazione DNS ASIM_Im_Dns.
Il parser unificante ASIM integra la tabella nativa ASimDnsActivityLogs. Anche se la tabella nativa è conforme a ASIM, il parser è necessario per aggiungere funzionalità, ad esempio alias, disponibili solo in fase di query e per combinare ASimDnsActivityLogs con altre origini dati DNS.
Lo schema DNS ASIM rappresenta l'attività del protocollo DNS, come registrato nel server DNS Windows nei log analitici. Lo schema è regolato da elenchi di parametri ufficiali e RFC che definiscono campi e valori.
Vedere l'elenco dei campi del server DNS Windows convertiti nei nomi di campo normalizzati.
Contenuto correlato
In questo articolo si è appreso come configurare gli eventi DNS di Windows tramite il connettore AMA per caricare i dati e filtrare i log DNS di Windows. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Iniziare a rilevare minacce con Microsoft Sentinel.
- Usare le cartelle di lavoro per monitorare i dati.