Przesyłanie strumieniowe i filtrowanie danych z serwerów DNS systemu Windows za pomocą łącznika usługi AMA
W tym artykule opisano sposób używania łącznika agenta usługi Azure Monitor (AMA) do przesyłania strumieniowego i filtrowania zdarzeń z dzienników serwera systemu Windows Domain Name System (DNS). Następnie możesz głęboko analizować dane, aby chronić serwery DNS przed zagrożeniami i atakami. Serwer AMA i jego rozszerzenie DNS są instalowane w systemie Windows Server w celu przekazywania danych z dzienników analitycznych DNS do obszaru roboczego usługi Microsoft Sentinel.
DNS to powszechnie używany protokół, który mapuje nazwy hostów i czytelne adresy IP komputera. Ponieważ system DNS nie został zaprojektowany z myślą o zabezpieczeniach, usługa jest wysoce objęta złośliwym działaniem, dzięki czemu rejestrowanie jest istotną częścią monitorowania zabezpieczeń. Niektóre dobrze znane zagrożenia, które dotyczą serwerów DNS, obejmują ataki DDoS ukierunkowane na serwery DNS, wzmacnianie DDoS, przejęcie DNS i nie tylko.
Chociaż wprowadzono pewne mechanizmy w celu poprawy ogólnego bezpieczeństwa tego protokołu, serwery DNS są nadal usługą wysoce docelową. Organizacje mogą monitorować dzienniki DNS, aby lepiej zrozumieć aktywność sieci oraz zidentyfikować podejrzane zachowanie lub ataki ukierunkowane na zasoby w sieci. Zdarzenia DNS systemu Windows za pośrednictwem łącznika AMA zapewniają ten typ widoczności. Na przykład użyj łącznika, aby zidentyfikować klientów, którzy próbują rozpoznać złośliwe nazwy domen, wyświetlić i monitorować obciążenia żądań na serwerach DNS lub wyświetlić dynamiczne błędy rejestracji DNS.
Uwaga
Zdarzenia DNS systemu Windows za pośrednictwem łącznika AMA obecnie obsługują tylko działania zdarzeń analitycznych.
Wymagania wstępne
Przed rozpoczęciem sprawdź, czy masz:
- Obszar roboczy usługi Log Analytics jest włączony dla usługi Microsoft Sentinel.
- Rozwiązanie DNS systemu Windows Server zainstalowane w obszarze roboczym.
- Windows Server 2012 R2 z poprawką inspekcji lub nowsza wersja.
- Serwer DNS systemu Windows.
Aby zebrać zdarzenia z dowolnego systemu, który nie jest maszyną wirtualną platformy Azure, upewnij się, że usługa Azure Arc jest zainstalowana. Zainstaluj i włącz usługę Azure Arc przed włączeniem łącznika opartego na agencie usługi Azure Monitor. To wymaganie obejmuje:
- Serwery z systemem Windows zainstalowane na maszynach fizycznych
- Serwery z systemem Windows zainstalowane na lokalnych maszynach wirtualnych
- Serwery z systemem Windows zainstalowane na maszynach wirtualnych w chmurach spoza platformy Azure
Konfigurowanie systemu Windows DNS za pośrednictwem łącznika usługi AMA za pośrednictwem portalu
Użyj opcji konfiguracji portalu, aby skonfigurować łącznik przy użyciu pojedynczej reguły zbierania danych (DCR) dla obszaru roboczego. Następnie użyj filtrów zaawansowanych, aby odfiltrować określone zdarzenia lub informacje, przekazując tylko cenne dane, które chcesz monitorować, zmniejszając koszty i użycie przepustowości.
Jeśli musisz utworzyć wiele kontrolerów DCR, zamiast tego użyj interfejsu API . Użycie interfejsu API do utworzenia wielu kontrolerów domeny nadal będzie pokazywać tylko jeden kontroler domeny w portalu.
Aby skonfigurować łącznik:
W usłudze Microsoft Sentinel otwórz stronę Łączniki danych i znajdź zdarzenia DNS systemu Windows za pośrednictwem łącznika usługi AMA .
W dolnej części okienka bocznego wybierz pozycję Otwórz stronę łącznika.
W obszarze Konfiguracja wybierz pozycję Utwórz regułę zbierania danych. Możesz utworzyć pojedynczy kontroler domeny dla każdego obszaru roboczego.
Nazwa kontrolera domeny, subskrypcja i grupa zasobów są automatycznie ustawiane na podstawie nazwy obszaru roboczego, bieżącej subskrypcji i grupy zasobów wybranej przez łącznik. Na przykład:
Wybierz kartę >Zasoby Dodaj zasoby.
Wybierz maszyny wirtualne, na których chcesz zainstalować łącznik, aby zbierać dzienniki. Na przykład:
Przejrzyj zmiany i wybierz pozycję Zapisz>zastosuj.
Konfigurowanie systemu Windows DNS za pośrednictwem łącznika usługi AMA za pośrednictwem interfejsu API
Użyj opcji konfiguracji interfejsu API, aby skonfigurować łącznik przy użyciu wielu kontrolerów DCR na obszar roboczy. Jeśli wolisz użyć pojedynczego kontrolera domeny, użyj opcji portalu.
Użycie interfejsu API do utworzenia wielu kontrolerów DOMENY nadal pokazuje tylko jeden kontroler domeny w portalu.
Użyj następującego przykładu jako szablonu, aby utworzyć lub zaktualizować kontroler domeny:
Adres URL żądania i nagłówek
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview
Treść żądania
{
"properties": {
"dataSources": {
"windowsEventLogs": [],
"extensions": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"extensionName": "MicrosoftDnsAgent",
"extensionSettings": {
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"260"
]
}
]
}
]
},
"name": "SampleDns"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
"workspaceId": {WorkspaceGuid}",
"name": "WorkspaceDestination"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"destinations": [
" WorkspaceDestination "
]
}
],
},
"location": "eastus2",
"tags": {},
"kind": "Windows",
"id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"type": "Microsoft.Insights/dataCollectionRules",
}
Używanie filtrów zaawansowanych w kontrolerach domeny
Dzienniki zdarzeń serwera DNS mogą zawierać ogromną liczbę zdarzeń. Zalecamy używanie zaawansowanego filtrowania w celu odfiltrowania niepotrzebnych zdarzeń przed przekazaniem danych, co pozwala zaoszczędzić cenny czas klasyfikacji i koszty. Filtry usuwają niepotrzebne dane ze strumienia zdarzeń przekazanych do obszaru roboczego i są oparte na kombinacji wielu pól.
Aby uzyskać więcej informacji, zobacz Dostępne pola do filtrowania.
Tworzenie filtrów zaawansowanych za pośrednictwem portalu
Poniższa procedura umożliwia tworzenie filtrów za pośrednictwem portalu. Aby uzyskać więcej informacji na temat tworzenia filtrów za pomocą interfejsu API, zobacz Zaawansowane przykłady filtrowania.
Aby utworzyć filtry za pośrednictwem portalu:
Na stronie łącznika w obszarze Konfiguracja wybierz pozycję Dodaj filtry zbierania danych.
Wprowadź nazwę filtru i wybierz typ filtru, który jest parametrem, który zmniejsza liczbę zebranych zdarzeń. Parametry są znormalizowane zgodnie ze schematem znormalizowany dns. Aby uzyskać więcej informacji, zobacz Dostępne pola do filtrowania.
Wybierz wartości, dla których chcesz filtrować pole spośród wartości wymienionych na liście rozwijanej.
Aby dodać złożone filtry, wybierz pozycję Dodaj pole wykluczania, aby filtrować i dodać odpowiednie pole.
- Użyj list rozdzielanych przecinkami, aby zdefiniować wiele wartości dla każdego pola.
- Aby utworzyć filtry złożone, użyj różnych pól z relacją AND.
- Aby połączyć różne filtry, użyj relacji OR między nimi.
Filtry obsługują również symbole wieloznaczne w następujący sposób:
- Dodaj kropkę po każdej gwiazdki (
*.). - Nie używaj spacji między listą domen.
- Symbole wieloznaczne dotyczą tylko domen podrzędnych domeny, w tym
www.domain.com, niezależnie od protokołu. Jeśli na przykład używasz*.domain.comw filtrze zaawansowanym:- Filtr dotyczy
www.domain.comelementów isubdomain.domain.com, niezależnie od tego, czy protokół to HTTPS, FTP itd. - Filtr nie ma zastosowania do
domain.comelementu . Aby zastosować filtr dodomain.commetody , określ domenę bezpośrednio bez użycia symbolu wieloznakowego.
- Filtr dotyczy
Aby dodać więcej nowych filtrów, wybierz pozycję Dodaj nowy filtr wykluczania.
Po zakończeniu dodawania filtrów wybierz pozycję Dodaj.
Po powrocie na stronę głównego łącznika wybierz pozycję Zastosuj zmiany , aby zapisać i wdrożyć filtry w łącznikach. Aby edytować lub usunąć istniejące filtry lub pola, wybierz ikony edycji lub usuwania w tabeli w obszarze Konfiguracja .
Aby dodać pola lub filtry po początkowym wdrożeniu, wybierz ponownie pozycję Dodaj filtry zbierania danych.
Zaawansowane przykłady filtrowania
Skorzystaj z poniższych przykładów, aby utworzyć często używane filtry zaawansowane za pośrednictwem portalu lub interfejsu API.
Nie zbieraj określonych identyfikatorów zdarzeń
Ten filtr instruuje łącznik, aby nie zbierał identyfikatora EventID 256 lub EventID 257 lub EventID 260 z adresami IPv6.
Za pomocą portalu usługi Microsoft Sentinel:
Utwórz filtr z polem EventOriginalType przy użyciu operatora Equals z wartościami 256, 257 i 260.
Utwórz filtr z polem EventOriginalType zdefiniowanym powyżej i użyj operatora And, w tym pola DnsQueryTypeName ustawionego na wartość AAAA.
Korzystanie z interfejsu API:
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"256", "257", "260"
]
},
{
"Field": "DnsQueryTypeName",
"FieldValues": [
"AAAA"
]
}
]
},
{
"FilterName": "EventResultDetails",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"230"
]
},
{
"Field": "EventResultDetails",
"FieldValues": [
"BADKEY","NOTZONE"
]
}
]
}
]
Nie zbieraj zdarzeń z określonymi domenami
Ten filtr instruuje łącznik, aby nie zbierał zdarzeń z żadnej poddomeny microsoft.com, google.com, amazon.com lub zdarzeń z facebook.com lub center.local.
Za pomocą portalu usługi Microsoft Sentinel:
Ustaw pole DnsQuery przy użyciu operatora Equals z listą *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local.
Zapoznaj się z tymi zagadnieniami dotyczącymi używania symboli wieloznacznych.
Aby zdefiniować różne wartości w jednym polu, użyj operatora OR .
Korzystanie z interfejsu API:
Zapoznaj się z tymi zagadnieniami dotyczącymi używania symboli wieloznacznych.
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "DnsQuery",
"FieldValues": [
"*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"
]
},
}
}
]
Normalizacja przy użyciu karty ASIM
Ten łącznik jest w pełni znormalizowany przy użyciu analizatorów advanced Security Information Model (ASIM). Łącznik przesyła strumieniowo zdarzenia pochodzące z dzienników analitycznych do znormalizowanej tabeli o nazwie ASimDnsActivityLogs. Ta tabela działa jako tłumacz, używając jednego ujednoliconego języka, współużytkowanego we wszystkich łącznikach DNS.
W przypadku analizatora niezależnego od źródła, który łączy wszystkie dane DNS i zapewnia, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj analizatora _Im_Dnsujednolicania dns ASIM .
Analizator ujednolicania ASIM uzupełnia tabelę natywną ASimDnsActivityLogs . Chociaż tabela natywna jest zgodna z kartą ASIM, analizator jest potrzebny do dodawania możliwości, takich jak aliasy, dostępne tylko w czasie wykonywania zapytań i łączenia ASimDnsActivityLogs z innymi źródłami danych DNS.
Schemat DNS ASIM reprezentuje działanie protokołu DNS, jak zalogowano się na serwerze DNS systemu Windows w dziennikach analitycznych. Schemat jest zarządzany przez oficjalne listy parametrów i RFC definiujące pola i wartości.
Zobacz listę pól serwera DNS systemu Windows przetłumaczonych na znormalizowane nazwy pól.
Powiązana zawartość
W tym artykule przedstawiono sposób konfigurowania zdarzeń DNS systemu Windows za pośrednictwem łącznika usługi AMA w celu przekazywania danych i filtrowania dzienników DNS systemu Windows. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: