Adatok streamelése és szűrése Windows DNS-kiszolgálókról az AMA-összekötővel
Ez a cikk azt ismerteti, hogyan használhatja az Azure Monitor Agent (AMA) összekötőt a Windows-tartománynévrendszer (DNS) kiszolgálónaplóiból származó események streamelésére és szűrésére. Ezután mélyrehatóan elemezheti az adatokat, hogy megvédje a DNS-kiszolgálókat a fenyegetésektől és támadásoktól. Az AMA és DNS-bővítménye telepítve van a Windows Serveren, hogy adatokat töltsön fel a DNS elemzési naplóiból a Microsoft Sentinel-munkaterületre.
A DNS egy széles körben használt protokoll, amely leképezi a gazdagépneveket és a számítógép által olvasható IP-címeket. Mivel a DNS-t nem a biztonság szem előtt tartásával tervezték, a szolgáltatást kifejezetten rosszindulatú tevékenységek célozták meg, így a naplózás a biztonsági monitorozás nélkülözhetetlen része. A DNS-kiszolgálókat célzó ismert fenyegetések közé tartoznak a DNS-kiszolgálókat célzó DDoS-támadások, a DNS DDoS-erősítő, a DNS-eltérítés stb.
Bár néhány mechanizmust bevezettünk a protokoll általános biztonságának javítására, a DNS-kiszolgálók továbbra is magas célokat szolgáló szolgáltatásnak számítanak. A szervezetek figyelhetik a DNS-naplókat, hogy jobban megértsék a hálózati tevékenységeket, és azonosíthassák a hálózaton belüli erőforrásokat célzó gyanús viselkedést vagy támadásokat. A Windows DNS-események az AMA-összekötőn keresztül biztosítják az ilyen típusú láthatóságot. Az összekötő használatával például azonosíthatja azokat az ügyfeleket, amelyek megpróbálják feloldani a kártékony tartományneveket, megtekinthetik és figyelik a DNS-kiszolgálókra irányuló kérelmek betöltését, vagy megtekinthetik a dinamikus DNS-regisztrációs hibákat.
Feljegyzés
A Windows DNS-események az AMA-összekötőn keresztül csak az elemzési naplóeseményeket támogatják.
Előfeltételek
Mielőtt hozzákezdene, ellenőrizze, hogy rendelkezik-e az alábbiakval:
- A Microsoft Sentinelhez engedélyezett Log Analytics-munkaterület.
- A Windows DNS-események a tartalomközpontból a Windows Server DNS-megoldás részeként telepített AMA-adatösszekötőn keresztül.
- A Windows Server 2016 és újabb verziók támogatottak, vagy a Windows Server 2012 R2 a naplózási gyorsjavítással.
- A DNS-kiszolgálói elemzési eseménynaplókkal telepített DNS-kiszolgálói szerepkör engedélyezve van. A DNS-elemzési eseménynaplók alapértelmezés szerint nincsenek engedélyezve. További információ: Elemzési eseménynaplózás engedélyezése.
Ha nem Azure-beli virtuális gépről szeretne eseményeket gyűjteni, győződjön meg arról, hogy az Azure Arc telepítve van. Az Azure Monitor Agent-alapú összekötő engedélyezése előtt telepítse és engedélyezze az Azure Arcot. A követelmények közé a következők tartoznak:
- Fizikai gépekre telepített Windows-kiszolgálók
- Helyi virtuális gépekre telepített Windows-kiszolgálók
- Nem Azure-felhők virtuális gépeire telepített Windows-kiszolgálók
A Windows DNS konfigurálása AMA-összekötőn keresztül a portálon keresztül
A portál beállítási beállításával munkaterületenként egyetlen adatgyűjtési szabály (DCR) használatával konfigurálhatja az összekötőt. Ezt követően speciális szűrőkkel szűrhet ki bizonyos eseményeket vagy információkat, és csak a figyelni kívánt értékes adatokat töltheti fel, csökkentve a költségeket és a sávszélesség-használatot.
Ha több DCR-t kell létrehoznia, használja inkább az API-t . Ha az API-val több DCR-t hoz létre, akkor is csak egy DCR jelenik meg a portálon.
Az összekötő konfigurálása:
A Microsoft Sentinelben nyissa meg az Adatösszekötők lapot, és keresse meg a Windows DNS-eseményeket az AMA-összekötőn keresztül.
Az oldalpanel alján válassza az Összekötő megnyitása lap lehetőséget.
A Konfiguráció területen válassza az Adatgyűjtési szabály létrehozása lehetőséget. Munkaterületenként egyetlen DCR-t hozhat létre.
A DCR neve, előfizetése és erőforráscsoportja automatikusan a munkaterület neve, az aktuális előfizetés és az összekötő által kiválasztott erőforráscsoport alapján van beállítva. Példa:
Válassza az Erőforrások lap Erőforrás(ok) hozzáadása gombját>.
Válassza ki azokat a virtuális gépeket, amelyekre telepíteni szeretné az összekötőt a naplók gyűjtéséhez. Példa:
Tekintse át a módosításokat, és válassza az Alkalmaz mentése lehetőséget>.
A Windows DNS konfigurálása AMA-összekötőn keresztül API-val
Az API beállításával munkaterületenként több DCR használatával konfigurálhatja az összekötőt. Ha egyetlen DCR-t szeretne használni, használja inkább a portál lehetőséget .
Ha az API-val több DCR-t hoz létre, akkor is csak egy DCR jelenik meg a portálon.
A következő példában sablonként hozhat létre vagy frissíthet egy DCR-t:
Kérelem URL-címe és fejléce
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview
Kérés törzse
{
"properties": {
"dataSources": {
"windowsEventLogs": [],
"extensions": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"extensionName": "MicrosoftDnsAgent",
"extensionSettings": {
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"260"
]
}
]
}
]
},
"name": "SampleDns"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
"workspaceId": {WorkspaceGuid}",
"name": "WorkspaceDestination"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"destinations": [
" WorkspaceDestination "
]
}
],
},
"location": "eastus2",
"tags": {},
"kind": "Windows",
"id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"type": "Microsoft.Insights/dataCollectionRules",
}
Speciális szűrők használata a DCR-ekben
A DNS-kiszolgáló eseménynaplói rengeteg eseményt tartalmazhatnak. Javasoljuk, hogy speciális szűréssel kiszűrje a szükségtelen eseményeket az adatok feltöltése előtt, így értékes osztályozási időt és költségeket takaríthat meg. A szűrők eltávolítják a szükségtelen adatokat a munkaterületre feltöltött események adatfolyamából, és több mező kombinációján alapulnak.
További információ: Elérhető mezők szűréshez.
Speciális szűrők létrehozása a portálon keresztül
A következő eljárással szűrőket hozhat létre a portálon keresztül. További információ a szűrők API-val való létrehozásáról: Speciális szűrési példák.
Szűrők létrehozása a portálon keresztül:
Az összekötő oldalán, a Konfiguráció területen válassza az Adatgyűjtési szűrők hozzáadása lehetőséget.
Adja meg a szűrő nevét, és válassza ki a szűrőtípust, amely egy olyan paraméter, amely csökkenti az összegyűjtött események számát. A paraméterek normalizálása a DNS normalizált sémája szerint van. További információ: Elérhető mezők szűréshez.
Jelölje ki azokat az értékeket, amelyekre szűrni szeretné a mezőt a legördülő menüben felsorolt értékek közül.
Összetett szűrők hozzáadásához válassza a Kizárás mező hozzáadása lehetőséget a szűréshez és a megfelelő mező hozzáadásához.
- Vesszővel tagolt listák használatával több értéket is meghatározhat minden mezőhöz.
- Összetett szűrők létrehozásához használjon különböző mezőket ÉS relációval.
- A különböző szűrők kombinálásához használjon egy VAGY relációt közöttük.
A szűrők a helyettesítő karaktereket is támogatják az alábbiak szerint:
- Adjon hozzá egy vesszőt minden csillag (
*.) után. - Ne használjon szóközöket a tartományok listája között.
- A helyettesítő karakterek csak a tartomány altartományaira vonatkoznak, beleértve
www.domain.coma protokolltól függetlenül is. Ha például speciális szűrőt használ*.domain.com:- A szűrő a https, FTP és
subdomain.domain.comígy tovább protokolltól függetlenül érvényeswww.domain.comés érvényes. - A szűrő nem vonatkozik a következőre
domain.com: . Szűrődomain.comalkalmazásához közvetlenül, helyettesítő karakter használata nélkül adja meg a tartományt.
- A szűrő a https, FTP és
További új szűrők hozzáadásához válassza az Új kizárási szűrő hozzáadása lehetőséget.
Amikor befejezte a szűrők hozzáadását, válassza a Hozzáadás lehetőséget.
A fő összekötő oldalán válassza a Módosítások alkalmazása lehetőséget a szűrők mentéséhez és az összekötőkben való üzembe helyezéséhez. Meglévő szűrők vagy mezők szerkesztéséhez vagy törléséhez jelölje ki a szerkesztési vagy törlési ikonokat a táblázatban a Konfiguráció terület alatt.
Ha a kezdeti üzembe helyezés után szeretne mezőket vagy szűrőket hozzáadni, válassza ismét az Adatgyűjtési szűrők hozzáadása lehetőséget .
Speciális szűrési példák
Az alábbi példák segítségével gyakran használt speciális szűrőket hozhat létre a portálon vagy az API-on keresztül.
Ne gyűjtsön konkrét eseményazonosítókat
Ez a szűrő arra utasítja az összekötőt, hogy ne gyűjtse össze az EventID 256 vagy EventID 257 vagy EventID 260 azonosítót IPv6-címekkel.
A Microsoft Sentinel portál használata:
Hozzon létre egy szűrőt az EventOriginalType mezővel, az Egyenlőség operátor használatával a 256, 257 és 260 értékekkel.
Hozzon létre egy szűrőt a fent definiált EventOriginalType mezővel, és használja az And operátort, beleértve az AAAA-ra beállított DnsQueryTypeName mezőt is.
Az API használata:
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"256", "257", "260"
]
},
{
"Field": "DnsQueryTypeName",
"FieldValues": [
"AAAA"
]
}
]
},
{
"FilterName": "EventResultDetails",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"230"
]
},
{
"Field": "EventResultDetails",
"FieldValues": [
"BADKEY","NOTZONE"
]
}
]
}
]
Ne gyűjtsön eseményeket adott tartományokkal
Ez a szűrő arra utasítja az összekötőt, hogy ne gyűjtsön eseményeket microsoft.com, google.com, amazon.com vagy események altartományaiból facebook.com vagy center.local webhelyről.
A Microsoft Sentinel portál használata:
Állítsa be a DnsQuery mezőt az Egyenlőség operátorral a *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local listával.
Tekintse át ezeket a szempontokat a helyettesítő karakterek használatakor.
Ha egy mező különböző értékeit szeretné definiálni, használja az OR operátort.
Az API használata:
Tekintse át ezeket a szempontokat a helyettesítő karakterek használatakor.
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "DnsQuery",
"FieldValues": [
"*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"
]
},
}
}
]
Normalizálás az ASIM használatával
Ez az összekötő teljesen normalizálva van az Advanced Security Information Model (ASIM) elemzőkkel. Az összekötő az elemzési naplókból származó eseményeket a normalizált táblába ASimDnsActivityLogsstreameli. Ez a táblázat fordítóként működik, egyetlen egységes nyelvet használva, amely az összes DNS-összekötőben meg van osztva.
Az összes DNS-adatot egyesítő forráselemzéshez, amely biztosítja, hogy az elemzés az összes konfigurált forrásban fusson, használja az ASIM DNS-egyesítési elemzőt_Im_Dns.
Az ASIM-egyesítési elemző kiegészíti a natív ASimDnsActivityLogs táblát. Bár a natív tábla ASIM-kompatibilis, az elemzőre olyan képességek hozzáadásához van szükség, mint például az aliasok, amelyek csak lekérdezési időpontban érhetők el, és más DNS-adatforrásokkal kombinálhatók ASimDnsActivityLogs .
Az ASIM DNS-séma az elemzési naplókban a Windows DNS-kiszolgálón naplózott DNS-protokolltevékenységet jelöli. A sémát a mezőket és értékeket meghatározó hivatalos paraméterlisták és RFC-k szabályozzák.
Tekintse meg a Normalizált mezőnevekre lefordított Windows DNS-kiszolgáló mezők listáját.
Kapcsolódó tartalom
Ebből a cikkből megtudhatja, hogyan állíthatja be a Windows DNS-eseményeket az AMA-összekötőn keresztül az adatok feltöltéséhez és a Windows DNS-naplók szűréséhez. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.
- Munkafüzetek használatával monitorozza az adatokat.