DNS عبر مرجع موصل AMA - الحقول المتوفرة ومخطط التسوية
يسمح لك Microsoft Sentinel ببث الأحداث وتصفيتها من سجلات خادم نظام أسماء مجالات Windows (DNS) إلى جدول المخطط الذي تمت تسويته ASimDnsActivityLog. توضح هذه المقالة الحقول المستخدمة لتصفية البيانات، ومخطط التسوية لحقول خادم Windows DNS.
يتم تثبيت عامل Azure Monitor (AMA) وملحق DNS الخاص به على Windows Server لتحميل البيانات من سجلات DNS التحليلية إلى مساحة عمل Microsoft Sentinel. يمكنك دفق البيانات وتصفيتها باستخدام أحداث DNS Windows عبر موصل AMA.
الحقول المتوفرة للتصفية
يعرض هذا الجدول الحقول المتوفرة. تتم تسوية أسماء الحقول باستخدام مخطط DNS.
| اسم الحقل | القيم | الوصف |
|---|---|---|
| EventOriginalType | الأرقام بين 256 و280 | معرف حدث DNS لـ Windows، الذي يشير إلى نوع حدث بروتوكول DNS. |
| EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP • REFUSED • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
سلسلة نتائج DNS الخاصة بالعملية كما هو محدد بواسطة مرجع الأرقام المعينة عبر الإنترنت (IANA). |
| DvcIpAdrr | عناوين IP | عنوان IP للخادم الذي يبلغ عن الحدث. يتضمن هذا الحقل أيضًا معلومات الموقع الجغرافي ومعلومات IP الضارة. |
| DnsQuery | أسماء المجالات (FQDN) | السلسلة التي تمثل اسم المجال المطلوب حله. • يمكن قبول قيم متعددة في قائمة مفصولة بفواصل، وأحرف البدل. على سبيل المثال: *.microsoft.com,google.com,facebook.com• راجع هذه الاعتبارات لاستخدام أحرف البدل. |
| DnsQueryTypeName | • A • NS • MD • MF • CNAME • SOA • MB • MG • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • NSAP • NSAP-PTR • SIG • KEY • PX • GPOS • AAAA • LOC • NXT • EID • NIMLOC • SRV |
سمة DNS المطلوبة. اسم نوع سجل مورد DNS كما هو محدد بواسطة IANA. |
مخطط DNS المقيس ASIM
يصف هذا الجدول حقول خادم Windows DNS ويترجمها إلى أسماء الحقول التي تمت تسويتها كما تظهر في مخطط تسوية DNS.
| اسم حقل Windows DNS | اسم الحقل الذي تمت تسويته | النوع | الوصف |
|---|---|---|---|
| معرّف الحدث | EventOriginalType | سلسلة | نوع الحدث الأصلي أو المعرف. |
| RCODE | EventResult | سلسلة | نتيجة الحدث (النجاح، الجزئي، الفشل، NA). |
| تحليل RCODE | EventResultDetails | سلسلة | رمز استجابة DNS كما هو محدد بواسطة IANA. |
| InterfaceIP | DvcIpAdrr | سلسلة | عنوان IP لجهاز أو واجهة إعداد تقارير الأحداث. |
| AA | DnsFlagsAuthoritative | عدد صحيح | يشير إلى ما إذا كانت الاستجابة من الخادم موثوقة. |
| AD | DnsFlagsAuthenticated | عدد صحيح | يشير إلى أن الخادم تحقق من جميع البيانات في الإجابة وسلطة الاستجابة، وفقًا لنهج الخادم. |
| RQNAME | DnsQuery | سلسلة | يجب حل المجال. |
| QTYPE | DnsQueryType | عدد صحيح | نوع سجل مورد DNS كما هو محدد بواسطة IANA. |
| منفذ | SrcPortNumber | عدد صحيح | المنفذ المصدر يرسل الاستعلام. |
| المصدر | SrcIpAddr | عنوان IP | عنوان IP للعميل إرسال طلب DNS. بالنسبة إلى طلب DNS التكراري، تكون هذه القيمة عادةً عنوان IP لجهاز الإبلاغ، في معظم الحالات، 127.0.0.1. |
| ElapsedTime | DnsNetworkDuration | عدد صحيح | الوقت المستغرق لإكمال طلب DNS. |
| GUID | DnsSessionId | سلسلة | معرف جلسة DNS كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
الخطوات التالية
في هذه المقالة، تعرفت على الحقول المستخدمة لتصفية بيانات سجل DNS باستخدام أحداث Windows DNS عبر موصل AMA. للتعرّف على المزيد حول Microsoft Sentinel، راجع المقالات التالية:
- تعرف على كيفية الحصول على رؤية لبياناتك والتهديدات المحتملة.
- ابدأ اكتشاف التهديدات باستخدام Microsoft Sentinel.
- استخدم المصنفات لمشاهدة بياناتك.