Microsoft Sentinel 的 NXLog DNS 記錄連接器
NXLog DNS 記錄數據連接器會使用 Windows 事件追蹤 (ETW) 來收集稽核和分析 DNS 伺服器事件。 NXLog im_etw模組會直接讀取事件追蹤數據以達到最大效率,而不需要將事件追蹤擷取到 .etl 檔案。 此 REST API 連接器可以即時將 DNS 伺服器事件轉送至 Microsoft Sentinel。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | NXLog_DNS_Server_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | NXLog |
查詢範例
DNS 伺服器前 5 名 hostlookups
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
DNS 伺服器前 5 名 EventOriginalTypes (事件識別符)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
每秒的 DNS 伺服器分析事件 (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
廠商安裝指示
注意
此數據連接器取決於以 Microsoft Sentinel 解決方案所部署的 Kusto 函式為基礎的剖析器,以如預期般運作。 **ASimDnsMicrosoftNXLog ** 的設計目的是利用 Sentinel 內建的 DNS 相關分析功能Microsoft。
請遵循 NXLog 使用者指南整合主題Microsoft Sentinel 中的逐步指示來設定此連接器。