Az Advanced Security Information Model (ASIM) DNS normalizálási sémájának referenciája (nyilvános előzetes verzió)
A DNS-információs modell egy DNS-kiszolgáló vagy egy DNS-biztonsági rendszer által jelentett események leírására szolgál, és a Microsoft Sentinel a forráselemzés engedélyezésére használja.
További információ: Normalization and the Advanced Security Information Model (ASIM).
Fontos
A DNS-normalizálási séma jelenleg előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott.
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Séma áttekintése
Az ASIM DNS-séma a DNS protokolltevékenységet jelöli. Mind a DNS-kiszolgálók, mind az eszközök DNS-kéréseket küldenek egy DNS-kiszolgáló napló DNS-tevékenységének. A DNS protokolltevékenység magában foglalja a DNS-lekérdezéseket, a DNS-kiszolgáló frissítéseit és a DNS tömeges adatátvitelét. Mivel a séma a protokolltevékenységet jelöli, az RFC-k és a hivatalosan hozzárendelt paraméterlisták szabályozzák, amelyekre szükség esetén ebben a cikkben hivatkozunk. A DNS-séma nem a DNS-kiszolgáló naplózási eseményeit jelöli.
A DNS-kiszolgálók által jelentett legfontosabb tevékenység egy DNS-lekérdezés, amelyhez a EventType mező be van állítva Query.
A DNS-események legfontosabb mezői a következők:
DnsQuery, amely azt a tartománynevet jelenti, amelyhez a lekérdezést kiadták.
A SrcIpAddr (ipAddr-hez aliasolt) érték, amely azt az IP-címet jelöli, amelyből a kérés létrejött. A DNS-kiszolgálók általában a SrcIpAddr mezőt adják meg, de a DNS-ügyfelek néha nem adják meg ezt a mezőt, és csak az SrcHostname mezőt adják meg.
EventResultDetails, amely azt jelzi, hogy a kérés sikeres volt-e, és ha nem, miért.
Ha elérhető, a DnsResponseName, amely a kiszolgáló által a lekérdezésre adott választ tartalmazza. Az ASIM-nek nincs szüksége a válasz elemzésére, formátuma forrásonként eltérő.
Ha ezt a mezőt forrás-agnosztikus tartalomban szeretné használni, keressen rá a tartalomra a vagy
containsoperátorokkalhas.
Az ügyféleszközön gyűjtött DNS-események tartalmazhatnak felhasználói és folyamatadatokat is.
A DNS-események gyűjtésének irányelvei
A DNS egy egyedi protokoll, amely nagy számú számítógépet keresztezhet. Mivel a DNS UDP-t használ, a kérések és válaszok nem kapcsolódnak egymáshoz, és nem kapcsolódnak egymáshoz.
Az alábbi képen egy egyszerűsített DNS-kérési folyamat látható, amely négy szegmenst tartalmaz. A valós kérések összetettebbek lehetnek, és több szegmenst is érinthetnek.
Mivel a kérelem- és válaszszegmensek nincsenek közvetlenül egymáshoz csatlakoztatva a DNS-kérések folyamatában, a teljes naplózás jelentős duplikációt eredményezhet.
A naplózandó legértékesebb szegmens az ügyfél válasza. A válasz megadja a tartománynév-lekérdezéseket, a keresési eredményt és az ügyfél IP-címét. Bár sok DNS-rendszer csak ezt a szegmenst naplózza, van érték a többi rész naplózásában. Egy DNS-gyorsítótár mérgezéses támadása például gyakran kihasználja a felsőbb rétegbeli kiszolgáló hamis válaszait.
Ha az adatforrás támogatja a teljes DNS-naplózást, és több szegmens naplózását választotta, módosítsa a lekérdezéseket, hogy megakadályozza az adatok duplikálását a Microsoft Sentinelben.
Módosíthatja például a lekérdezést a következő normalizálással:
_Im_Dns | where SrcIpAddr != "127.0.0.1" and EventSubType == "response"
Elemzők
Az ASIM-elemzőkkel kapcsolatos további információkért tekintse meg az ASIM-elemzők áttekintését.
Házon kívül elemzők
Ha olyan elemzőket szeretne használni, amelyek egyesítik az összes beépített ASIM-elemzőt, és biztosítják, hogy az elemzés az összes konfigurált forrásban fusson, használja az egyesítő elemzőt _Im_Dns táblanévként a lekérdezésben.
A Microsoft Sentinel által biztosított DNS-elemzők listájához tekintse meg az ASIM-elemzők listáját.
Saját normalizált elemzők hozzáadása
Amikor egyéni elemzőket implementál a Dns-információs modellhez, nevezze el a KQL-függvényeket a formátum vimDns<vendor><Product>használatával. Az ASIM-elemzők kezelésével foglalkozó cikkben megtudhatja, hogyan adhat hozzá egyéni elemzőket a DNS-egyesítési elemzőhöz.
Szűrőelemző paraméterek
A DNS-elemzők támogatják a szűrési paramétereket. Bár ezek a paraméterek nem kötelezőek, javíthatják a lekérdezés teljesítményét.
A következő szűrési paraméterek érhetők el:
| Név | Típus | Leírás |
|---|---|---|
| indítási idő | dátum/idő | Csak az adott időpontban vagy után futtatott DNS-lekérdezések szűrése. |
| endtime | dátum/idő | Szűrjön csak azokat a DNS-lekérdezéseket, amelyek ekkor vagy azt megelőzően futottak. |
| srcipaddr | húr | Csak a forrás IP-címről származó DNS-lekérdezések szűrése. |
| domain_has_any | dinamikus/sztring | Csak olyan DNS-lekérdezések szűrése, ahol a domain (vagy query) listázott tartománynevek bármelyike szerepel, beleértve az eseménytartomány részét is. A lista hossza legfeljebb 10 000 elem lehet. |
| responsecodename | húr | Csak olyan DNS-lekérdezések szűrése, amelyek válaszkódjának neve megegyezik a megadott értékkel. Például: NXDOMAIN |
| response_has_ipv4 | húr | Csak olyan DNS-lekérdezések szűrése, amelyekben a válaszmező tartalmazza a megadott IP-címet vagy IP-címelőtagot. Ezt a paramétert akkor használja, ha egyetlen IP-címre vagy előtagra szeretne szűrni. A rendszer nem ad vissza eredményt olyan források esetében, amelyek nem adnak választ. |
| response_has_any_prefix | dinamikus | Csak olyan DNS-lekérdezések szűrése, amelyekben a válaszmező tartalmazza a felsorolt IP-címek vagy IP-címelőtagok bármelyikét. Az előtagoknak például a .következővel kell végződnie: 10.0.. Ezt a paramétert akkor használja, ha az IP-címek vagy előtagok listájára szeretne szűrni. A rendszer nem ad vissza eredményt olyan források esetében, amelyek nem adnak választ. A lista hossza legfeljebb 10 000 elem lehet. |
| eventtype | húr | Csak a megadott típusú DNS-lekérdezések szűrése. Ha nincs megadva érték, a rendszer csak keresési lekérdezéseket ad vissza. |
Ha például csak a tartománynév feloldására nem használt utolsó napból származó DNS-lekérdezéseket szeretné szűrni, használja a következőt:
_Im_Dns (responsecodename = 'NXDOMAIN', starttime = ago(1d), endtime=now())
Ha csak a DNS-lekérdezéseket szeretné szűrni a megadott tartománynevek listájára, használja a következőt:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_Dns (domain_has_any = torProxies)
Egyes paraméterek a típusértékek dynamic listáját vagy egy sztringértéket is elfogadnak. Ha egy konstanslistát dinamikus értéket váró paramétereknek szeretne átadni, használjon explicit módon egy dinamikus literált. Például: dynamic(['192.168.','10.'])
Normalizált tartalom
A normalizált DNS-eseményeket használó elemzési szabályok teljes listáját a DNS-lekérdezés biztonsági tartalma tartalmazza.
Séma részletei
A DNS-információs modell az OSSEM DNS-entitásséma szerint van összhangban.
További információkért tekintse meg az Internet Assigned Numbers Authority (IANA) DNS-paraméterreferenciáját.
Gyakori ASIM-mezők
Fontos
Az összes sémában közös mezők részletes leírását az ASIM Common Fields című cikk ismerteti.
Általános mezők konkrét irányelvekkel
Az alábbi lista a DNS-eseményekre vonatkozó konkrét irányelvekkel rendelkező mezőket sorolja fel:
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| EventType | Kötelező | Enumerated | A rekord által jelentett műveletet jelzi. A DNS-rekordok esetében ez az érték a DNS műveleti kódja. Példa: Query |
| EventSubType | Választható | Enumerated | Vagy request vagy response. A legtöbb forrás esetében csak a válaszok vannak naplózva, ezért az érték gyakran válasz. |
| EventResultDetails | Kötelező | Enumerated | A DNS-események esetében ez a mező adja meg a DNS-válaszkódot. Megjegyzések: - Az IANA nem határozza meg az értékek esetét, ezért az elemzésnek normalizálnia kell az esetet. – Ha a forrás csak numerikus válaszkódot ad meg, és nem a válaszkód nevét, az elemzőnek tartalmaznia kell egy keresési táblát, amely bővíti ezt az értéket. - Ha ez a rekord egy kérést jelöl, és nem választ, állítsa na értékre. Példa: NXDOMAIN |
| EventSchemaVersion | Kötelező | Sztring | Az itt dokumentált séma verziója 0.1.7. |
| EventSchema | Kötelező | Sztring | Az itt dokumentált séma neve Dns. |
| Dvc-mezők | - | - | A DNS-események esetében az eszközmezők a DNS-eseményt jelentésző rendszerre vonatkoznak. |
Minden gyakori mező
Az alábbi táblázatban megjelenő mezők az összes ASIM-sémában gyakoriak. A fent megadott útmutatás felülbírálja a mező általános irányelveit. Előfordulhat például, hogy egy mező általában nem kötelező, de egy adott sémához kötelező. Az egyes mezőkkel kapcsolatos további részletekért tekintse meg az ASIM Közös mezők című cikket.
| Osztály | Mezők |
|---|---|
| Kötelező |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Ajánlott |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Választható |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - További mezők - DvcDescription - DvcScopeId - DvcScope |
Forrásrendszermezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Src | Alias | Sztring | A forráseszköz egyedi azonosítója. Ez a mező aliasként használhatja az SrcDvcId, az SrcHostname vagy a SrcIpAddr mezőket. Példa: 192.168.12.1 |
| SrcIpAddr | Ajánlott | IP Address | A DNS-kérelmet küldő ügyfél IP-címe. Rekurzív DNS-kérés esetén ez az érték általában a jelentéskészítő eszköz, és a legtöbb esetben a következőre 127.0.0.1van állítva. Példa: 192.168.12.1 |
| SrcPortNumber | Választható | Egész | A DNS-lekérdezés forrásportja. Példa: 54312 |
| IpAddr | Alias | Alias – SrcIpAddr | |
| SrcGeoCountry | Választható | Ország | A forrás IP-címéhez társított ország/régió. Példa: USA |
| SrcGeoRegion | Választható | Régió | A forrás IP-címéhez társított régió. Példa: Vermont |
| SrcGeoCity | Választható | Város | A forrás IP-címéhez társított város. Példa: Burlington |
| SrcGeoLatitude | Választható | Latitude | A forrás IP-címhez társított földrajzi koordináták szélessége. Példa: 44.475833 |
| SrcGeoLongitude | Választható | Longitude | A forrás IP-címhez társított földrajzi koordináták hosszúsága. Példa: 73.211944 |
| SrcRiskLevel | Választható | Egész | A forráshoz társított kockázati szint. Az értéket olyan tartományhoz 0 kell igazítani, amely 100jóindulatú 0 és 100 magas kockázatú.Példa: 90 |
| SrcOriginalRiskLevel | Választható | Egész | A forráshoz társított kockázati szint a jelentéskészítő eszköz által jelentett módon. Példa: Suspicious |
| SrcHostname | Ajánlott | Sztring | A forráseszköz gazdagépneve, a tartományinformációk kivételével. Példa: DESKTOP-1282V4D |
| Állomásnév | Alias | Alias – SrcHostname | |
| SrcDomain | Ajánlott | Sztring | A forráseszköz tartománya. Példa: Contoso |
| SrcDomainType | Feltételes | Enumerated | A SrcDomain típusa, ha ismert. Lehetséges értékek: - Windows (például: contoso)- FQDN (például: microsoft.com)A SrcDomain használata esetén kötelező megadni. |
| SrcFQDN | Választható | Sztring | A forráseszköz állomásneve, beleértve a tartományinformációkat, ha elérhető. Megjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. Az SrcDomainType mező a használt formátumot tükrözi. Példa: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Választható | Sztring | A forráseszköz azonosítója a rekordban jelentett módon. Például: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Választható | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. Az SrcDvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezetten. |
| SrcDvcScope | Választható | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. Az SrcDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| SrcDvcIdType | Feltételes | Enumerated | Az SrcDvcId típusa, ha ismert. Lehetséges értékek: - AzureResourceId- MDEidHa több azonosító is elérhető, használja a lista első azonosítóját, és tárolja a többit az SrcDvcAzureResourceId és az SrcDvcMDEid fájlban. Megjegyzés: Ez a mező SrcDvcId használata esetén kötelező. |
| SrcDeviceType | Választható | Enumerated | A forráseszköz típusa. Lehetséges értékek: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Választható | Sztring | Az eszközhöz társított leíró szöveg. Például: Primary Domain Controller |
Forrásfelhasználói mezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| SrcUserId | Választható | Sztring | A forrásfelhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása. További információkért és a további azonosítók alternatív mezőiért tekintse meg a Felhasználó entitást. Példa: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserScope | Választható | Sztring | A hatókör, például a Microsoft Entra-bérlő, amelyben az SrcUserId és a SrcUsername definiálva van. vagy további információk és az engedélyezett értékek listája: UserScope a Séma áttekintése című cikkben. |
| SrcUserScopeId | Választható | Sztring | A hatókör azonosítója, például a Microsoft Entra Directory ID, amelyben az SrcUserId és a SrcUsername definiálva van. További információ és az engedélyezett értékek listája: UserScopeId a Séma áttekintése című cikkben. |
| SrcUserIdType | Feltételes | UserIdType | Az SrcUserId mezőben tárolt azonosító típusa. További információ és az engedélyezett értékek listája: UserIdType a Séma áttekintése című cikkben. |
| SrcUsername | Választható | Felhasználónév | A forrás felhasználóneve, beleértve a tartományinformációkat is, ha elérhetők. További információt a Felhasználó entitás című témakörben talál. Példa: AlbertE |
| SrcUsernameType | Feltételes | UsernameType | A SrcUsername mezőben tárolt felhasználónév típusát adja meg. További információ és az engedélyezett értékek listája: UsernameType a Séma áttekintése című cikkben. Példa: Windows |
| Felhasználó | Alias | Alias – SrcUsername | |
| SrcUserType | Választható | UserType | A forrásfelhasználó típusa. További információ és az engedélyezett értékek listája: UserType a Séma áttekintése című cikkben. Például: Guest |
| SrcUserSessionId | Választható | Sztring | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. Példa: 102pTUgC3p8RIqHvzxLCHnFlg |
| SrcOriginalUserType | Választható | Sztring | Ha a forrás megadja, az eredeti forrásfelhasználó típusa. |
Forrásfolyamat mezői
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| SrcProcessName | Választható | Sztring | A DNS-kérést kezdeményező folyamat fájlneve. Ez a név általában a folyamat neve. Példa: C:\Windows\explorer.exe |
| Folyamat | Alias | Alias a SrcProcessName-hez Példa: C:\Windows\System32\rundll32.exe |
|
| SrcProcessId | Választható | Sztring | A DNS-kérést kezdeményező folyamat folyamatazonosítója (PID). Példa: 48610176 Megjegyzés: A típus sztringkéntvan definiálva a különböző rendszerek támogatásához, de Windows és Linux rendszeren ennek az értéknek numerikusnak kell lennie. Ha Windows vagy Linux rendszerű gépet használ, és más típust használ, mindenképpen konvertálja az értékeket. Ha például hexadecimális értéket használt, konvertálja decimális értékké. |
| SrcProcessGuid | Választható | Sztring | A DNS-kérést kezdeményező folyamat egyedi azonosítója (GUID). Példa: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Célrendszermezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Dst | Alias | Sztring | A DNS-kérést kapott kiszolgáló egyedi azonosítója. Ez a mező aliasként használhatja a DstDvcId, a DstHostname vagy a DstIpAddr mezőket. Példa: 192.168.12.1 |
| DstIpAddr | Választható | IP Address | Annak a kiszolgálónak az IP-címe, amely megkapta a DNS-kérelmet. Normál DNS-kérés esetén ez az érték általában a jelentéskészítő eszköz, és a legtöbb esetben a következőre 127.0.0.1van állítva: .Példa: 127.0.0.1 |
| DstGeoCountry | Választható | Ország | A cél IP-címéhez társított ország/régió. További információ: Logikai típusok. Példa: USA |
| DstGeoRegion | Választható | Régió | A cél IP-címhez társított régió vagy állam. További információ: Logikai típusok. Példa: Vermont |
| DstGeoCity | Választható | Város | A cél IP-címéhez társított város. További információ: Logikai típusok. Példa: Burlington |
| DstGeoLatitude | Választható | Latitude | A cél IP-címéhez társított földrajzi koordináták szélessége. További információ: Logikai típusok. Példa: 44.475833 |
| DstGeoLongitude | Választható | Longitude | A cél IP-címhez társított földrajzi koordinátának a hosszúsága. További információ: Logikai típusok. Példa: 73.211944 |
| DstRiskLevel | Választható | Egész | A célhoz társított kockázati szint. Az értéket 0 és 100 közötti tartományra kell módosítani, amely 0 jóindulatú és 100 magas kockázatú. Példa: 90 |
| DstOriginalRiskLevel | Választható | Egész | A célhoz társított kockázati szint a jelentéskészítő eszköz által jelentett módon. Példa: Malicious |
| DstPortNumber | Választható | Egész | Célport száma. Példa: 53 |
| DstHostname | Választható | Sztring | A céleszköz állomásneve, a tartományadatok kivételével. Ha nem érhető el eszköznév, ebben a mezőben tárolja a megfelelő IP-címet. Példa: DESKTOP-1282V4DMegjegyzés: Ez az érték kötelező, ha a DstIpAddr meg van adva. |
| DstDomain | Választható | Sztring | A céleszköz tartománya. Példa: Contoso |
| DstDomainType | Feltételes | Enumerated | A DstDomain típusa, ha ismert. Lehetséges értékek: - Windows (contoso\mypc)- FQDN (learn.microsoft.com)A DstDomain használata esetén kötelező megadni. |
| DstFQDN | Választható | Sztring | A céleszköz állomásneve, beleértve a tartományadatokat, ha elérhető. Példa: Contoso\DESKTOP-1282V4D Megjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. A DstDomainType a használt formátumot tükrözi. |
| DstDvcId | Választható | Sztring | A rekordban jelentett céleszköz azonosítója. Példa: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Választható | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DstDvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezetten. |
| DstDvcScope | Választható | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DstDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| DstDvcIdType | Feltételes | Enumerated | A DstDvcId típusa, ha ismert. Lehetséges értékek: - AzureResourceId- MDEidIfHa több azonosító is elérhető, használja a fenti lista első azonosítóját, és tárolja a többit a DstDvcAzureResourceId vagy a DstDvcMDEid mezőkben. A DstDeviceId használata esetén kötelező megadni. |
| DstDeviceType | Választható | Enumerated | A céleszköz típusa. Lehetséges értékek: - Computer- Mobile Device- IOT Device- Other |
| DstDescription | Választható | Sztring | Az eszközhöz társított leíró szöveg. Például: Primary Domain Controller |
DNS-specifikus mezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| DnsQuery | Kötelező | Sztring | A kérelem által feloldani kívánt tartomány. Megjegyzések: – Egyes források eltérő formátumban küldenek érvényes teljes tartománynév-lekérdezéseket. Például magában a DNS-protokollban a lekérdezés tartalmaz egy pont (.) a végén, amelyet el kell távolítani. - Bár a DNS-protokoll egy teljes tartománynévre korlátozza a mező értéktípusát, a legtöbb DNS-kiszolgáló bármilyen értéket engedélyez, ezért ez a mező nem csak a teljes tartománynév értékeire korlátozódik. A DNS-bújtatási támadások a lekérdezésmezőben érvénytelen FQDN-értékeket használhatnak. – Bár a DNS-protokoll több lekérdezést is engedélyez egyetlen kérelemben, ez a forgatókönyv ritkán fordul elő, ha egyáltalán megtalálható. Ha a kérelem több lekérdezéssel is rendelkezik, tárolja az elsőt ebben a mezőben, majd szükség esetén tartsa a többit a További mezők mezőben. Példa: www.malicious.com |
| Tartomány | Alias | Alias a DnsQueryhez. | |
| DnsQueryType | Választható | Egész | A DNS-erőforrásrekord típuskódjai. Példa: 28 |
| DnsQueryTypeName | Ajánlott | Enumerated | A DNS-erőforrásrekord típusnevei . Megjegyzések: - Az IANA nem határozza meg az értékek esetét, ezért az elemzésnek szükség szerint normalizálnia kell az esetet. - Az érték ANY a 255-ös válaszkód esetében támogatott.- Az érték TYPExxxx támogatott a nem megfeleltetett válaszkódok esetében, ahol xxxx a válaszkód numerikus értéke a BIND DNS-kiszolgáló által jelentett módon.-Ha a forrás csak numerikus lekérdezéstípuskódot biztosít, és nem lekérdezéstípusnevet, az elemzőnek tartalmaznia kell egy keresési táblát, amely bővíti ezt az értéket. Példa: AAAA |
| DnsResponseName | Választható | Sztring | A válasz tartalma a rekordban szereplő módon. A DNS-válaszadatok inkonzisztensek a jelentéskészítési eszközök között, összetett elemzést jelentenek, és kevésbé értékesek a forráselemzéshez. Ezért az információs modell nem igényel elemzést és normalizálást, a Microsoft Sentinel pedig egy segédfüggvényt használ a válaszinformációk megadásához. További információ: DNS-válasz kezelése. |
| DnsResponseCodeName | Alias | Alias – EventResultDetails | |
| DnsResponseCode | Választható | Egész | A DNS numerikus válaszkódja. Példa: 3 |
| TransactionIdHex | Ajánlott | Sztring | A DNS-ügyfél által hozzárendelt egyedi DNS-lekérdezési azonosító hexadecimális formátumban. Vegye figyelembe, hogy ez az érték a DNS-protokoll része, és eltér a dnsSessionId-től, a hálózati réteg munkamenet-azonosítójától, amelyet általában a jelentéskészítő eszköz rendel hozzá. |
| NetworkProtocol | Választható | Enumerated | A hálózati feloldási esemény által használt átviteli protokoll. Az érték lehet UDP vagy TCP, és leggyakrabban UDP értékre van állítva a DNS-hez. Példa: UDP |
| NetworkProtocolVersion | Választható | Enumerated | A NetworkProtocol verziója. Ha az IP-verzió megkülönböztetésére használja, használja az értékeket IPv4 és IPv6a . |
| DnsQueryClass | Választható | Egész | A DNS-osztály azonosítója. A gyakorlatban csak az IN osztályt (1. azonosító) használja, ezért ez a mező kevésbé értékes. |
| DnsQueryClassName | Választható | Sztring | A DNS-osztály neve. A gyakorlatban csak az IN osztályt (1. azonosító) használja, ezért ez a mező kevésbé értékes. Példa: IN |
| DnsFlags | Választható | Sztring | A jelzők mező, a jelentéskészítő eszköz által megadott módon. Ha a jelölőinformációk több mezőben is meg vannak adva, összefűzendők vesszővel elválasztóként. Mivel a DNS-jelzők elemzése összetett, és az elemzések ritkábban használják, az elemzés és a normalizálás nem szükséges. A Microsoft Sentinel egy segédfüggvényt is használhat a jelzők információinak megadásához. További információ: DNS-válasz kezelése. Példa: ["DR"] |
| DnsNetworkDuration | Választható | Egész | A DNS-kérés teljesítéséhez szükséges idő ezredmásodpercben. Példa: 1500 |
| Időtartam | Alias | Alias – DnsNetworkDuration | |
| DnsFlagsAuthenticated | Választható | Logikai | A DNSSEC-hez kapcsolódó DNS-jelző AD egy válaszban azt jelzi, hogy a válasz válasz- és szolgáltatói szakaszaiban szereplő összes adatot a kiszolgáló az adott kiszolgáló házirendjeinek megfelelően ellenőrizte. További információt az RFC 3655 6.1 . szakaszában talál. |
| DnsFlagsAuthoritative | Választható | Logikai | A DNS-jelző AA azt jelzi, hogy a kiszolgáló válasza mérvadó volt-e |
| DnsFlagsCheckingDisabled | Választható | Logikai | A DNSSEC-hez kapcsolódó DNS-jelző CD azt jelzi egy lekérdezésben, hogy a nem ellenőrzött adatok elfogadhatók a lekérdezést küldő rendszer számára. További információt az RFC 3655 6.1 . szakaszában talál. |
| DnsFlagsRecursionAvailable | Választható | Logikai | A DNS-jelző RA egy válaszban jelzi, hogy a kiszolgáló támogatja a rekurzív lekérdezéseket. |
| DnsFlagsRecursionDesired | Választható | Logikai | A DNS-jelző RD egy kérésben azt jelzi, hogy az ügyfél szeretné, ha a kiszolgáló rekurzív lekérdezéseket használna. |
| DnsFlagsTruncated | Választható | Logikai | A DNS-jelző TC azt jelzi, hogy a válasz csonkolt, mivel túllépte a maximális válaszméretet. |
| DnsFlagsZ | Választható | Logikai | A DNS-jelző Z elavult DNS-jelző, amelyet a régebbi DNS-rendszerek jelenthetnek. |
| DnsSessionId | Választható | húr | A DNS-munkamenet azonosítója a jelentéskészítő eszköz által jelentett módon. Ez az érték eltér a TransactionIdHex értéktől, amely a DNS-ügyfél által hozzárendelt egyedi DNS-lekérdezési azonosító. Példa: EB4BFA28-2EAD-4EF7-BC8A-51DF4FDF5B55 |
| Munkamenet-azonosító | Alias | Alias – DnsSessionId | |
| DnsResponseIpCountry | Választható | Ország | A DNS-válasz egyik IP-címéhez társított ország/régió. További információ: Logikai típusok. Példa: USA |
| DnsResponseIpRegion | Választható | Régió | A DNS-válasz egyik IP-címéhez társított régió vagy állam. További információ: Logikai típusok. Példa: Vermont |
| DnsResponseIpCity | Választható | Város | A DNS-válasz egyik IP-címéhez társított város. További információ: Logikai típusok. Példa: Burlington |
| DnsResponseIpLatitude | Választható | Latitude | A DNS-válasz egyik IP-címéhez társított földrajzi koordinátának a szélessége. További információ: Logikai típusok. Példa: 44.475833 |
| DnsResponseIpLongitude | Választható | Longitude | A DNS-válasz egyik IP-címéhez társított földrajzi koordinátának hosszúsága. További információ: Logikai típusok. Példa: 73.211944 |
Vizsgálati mezők
Az alábbi mezők egy ellenőrzést jelölnek, amelyet egy DNS-biztonsági eszköz hajtott végre. A fenyegetéssel kapcsolatos mezők egyetlen fenyegetést jelölnek, amely a forráscímhez, a célcímhez, a válaszban szereplő IP-címek egyikéhez vagy a DNS-lekérdezési tartományhoz van társítva. Ha egynél több fenyegetést azonosítottak fenyegetésként, az egyéb IP-címekre vonatkozó információk a mezőben AdditionalFieldstárolhatók.
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| UrlCategory | Választható | Sztring | Egy DNS-eseményforrás a kért tartományok kategóriáját is megkeresheti. A mező neve UrlCategory , amely megfelel a Microsoft Sentinel hálózati sémájának. A DomainCategory a DNS-hez illeszkedő aliasként van hozzáadva. Példa: Educational \\ Phishing |
| DomainCategory | Alias | Alias az UrlCategory-hoz. | |
| NetworkRuleName | Választható | Sztring | A fenyegetést azonosító szabály neve vagy azonosítója. Példa: AnyAnyDrop |
| NetworkRuleNumber | Választható | Egész | A fenyegetést azonosító szabály száma. Példa: 23 |
| Szabály | Alias | Sztring | A NetworkRuleName vagy a NetworkRuleNumber értéke. Ha a NetworkRuleNumber értékét használja, a típust sztringgé kell konvertálni. |
| ThreatId | Választható | Sztring | A hálózati munkamenetben azonosított fenyegetés vagy kártevő azonosítója. Példa: Tr.124 |
| ThreatCategory | Választható | Sztring | Ha egy DNS-eseményforrás DNS-biztonságot is biztosít, akkor a DNS-esemény kiértékelése is lehetséges. Megkeresheti például az IP-címet vagy a tartományt egy fenyegetésfelderítési adatbázisban, és hozzárendelheti a tartományt vagy az IP-címet egy fenyegetéskategóriához. |
| ThreatIpAddr | Választható | IP Address | Egy IP-cím, amelyhez fenyegetést azonosítottak. A ThreatField mező a ThreatIpAddr által képviselt mező nevét tartalmazza. Ha a Tartomány mezőben fenyegetést talál, ennek a mezőnek üresnek kell lennie. |
| ThreatField | Feltételes | Enumerated | Az a mező, amelyhez fenyegetést azonosítottak. Az érték vagy SrcIpAddr, DstIpAddr, Domainvagy DnsResponseName. |
| ThreatName | Választható | Sztring | Az azonosított fenyegetés neve a jelentéskészítő eszköz által jelentett módon. |
| ThreatConfidence | Választható | Egész | A azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
| ThreatOriginalConfidence | Választható | Sztring | Az azonosított fenyegetés eredeti megbízhatósági szintje a jelentéskészítő eszköz által jelentett módon. |
| ThreatRiskLevel | Választható | Egész | Az azonosított fenyegetéshez társított kockázati szint, amely 0 és 100 közötti értékre normalizálva. |
| ThreatOriginalRiskLevel | Választható | Sztring | Az azonosított fenyegetéshez tartozó eredeti kockázati szint, amelyet a jelentéskészítő eszköz jelentett. |
| ThreatIsActive | Választható | Logikai | Igaz, ha az azonosított fenyegetés aktív fenyegetésnek minősül. |
| ThreatFirstReportedTime | Választható | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
| ThreatLastReportedTime | Választható | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
Elavult aliasok és mezők
Az alábbi mezők a visszamenőleges kompatibilitás érdekében fenntartott aliasok. 2021. december 31-én eltávolították őket a sémából.
-
Query(alias–DnsQuery) -
QueryType(alias–DnsQueryType) -
QueryTypeName(alias–DnsQueryTypeName) -
ResponseName(alias–DnsResponseName) -
ResponseCodeName(alias–DnsResponseCodeName) -
ResponseCode(alias–DnsResponseCode) -
QueryClass(alias–DnsQueryClass) -
QueryClassName(alias–DnsQueryClassName) -
Flags(alias–DnsFlags) SrcUserDomain
Sémafrissítések
A séma 0.1.2-es verziójának változásai a következők:
- Hozzáadta a mezőt
EventSchema. - Dedikált jelzőmezőt adott hozzá, amely kibővíti a kombinált jelzők mezőt:
DnsFlagsAuthoritative,DnsFlagsCheckingDisabled,DnsFlagsRecursionAvailable, ,DnsFlagsRecursionDesiredDnsFlagsTruncatedésDnsFlagsZ.
A séma 0.1.3-s verziójának változásai a következők:
- A séma mostantól explicit módon dokumentumokat és
Process*Dst*User*mezőket tartalmaz.Src* - További
Dvc*mezőket adott hozzá, hogy megfeleljenek a legújabb általános meződefiníciónak. - Aliasként hozzáadva
Srca forrás- ésDstcélrendszerek vezető azonosítóihoz. - Nem kötelező
DnsNetworkDuration, ésDurationegy aliast is hozzáadtunk hozzá. - Opcionális földrajzi hely és kockázati szint mezőket adott hozzá.
A séma 0.1.4-es verziójának változásai a következők:
- Hozzáadta az opcionális mezőket
ThreatIpAddr,ThreatField,ThreatName,ThreatConfidence,ThreatOriginalConfidenceThreatOriginalRiskLevel,ThreatIsActive,ThreatFirstReportedTimeésThreatLastReportedTime.
A séma 0.1.5-ös verziójának változásai a következők:
- Hozzáadta a mezőket
SrcUserScope,SrcUserSessionId,SrcDvcScopeId,SrcDvcScope,DstDvcScopeIdDstDvcScope,DvcScopeIdésDvcScope.
A séma 0.1.6-os verziójának változásai a következők:
- Hozzáadta a mezőket
DnsResponseIpCountry,DnsResponseIpRegion,DnsResponseIpCityésDnsResponseIpLongitudeDnsResponseIpLatitude.
A séma 0.1.7-es verziójának változásai a következők:
- Hozzáadta a mezőket
SrcDescription,SrcOriginalRiskLevel,DstDescription,DstOriginalRiskLevel,SrcUserScopeIdNetworkProtocolVersion,Rule,RuleName,RuleNumberésThreatId.
Forrásspecifikus eltérések
A normalizálás célja annak biztosítása, hogy minden forrás konzisztens telemetriát biztosítson. Nem lehet normalizálni azokat a forrásokat, amelyek nem biztosítják a szükséges telemetriát, például a kötelező sémamezőket. Azonban azokat a forrásokat, amelyek általában minden szükséges telemetriát biztosítanak, még akkor is normalizálhatók, ha vannak eltérések. Az eltérések hatással lehetnek a lekérdezési eredmények teljességére.
Az alábbi táblázat az ismert eltéréseket sorolja fel:
| Forrás | Eltérések |
|---|---|
| A DNS-összekötő és a Log Analytics-ügynök használatával gyűjtött Microsoft DNS-kiszolgáló | Az összekötő nem adja meg a kötelező DnsQuery mezőt a 264-ben megadott eredeti eseményazonosítóhoz (dinamikus frissítésre adott válasz). Az adatok a forrásnál érhetők el, de az összekötő nem továbbítja. |
| Corelight Zeek | Előfordulhat, hogy a Corelight Zeek nem adja meg a kötelező DnsQuery mezőt. Megfigyeltük az ilyen viselkedést bizonyos esetekben, amikor a DNS-válaszkód neve .NXDOMAIN |
DNS-válasz kezelése
A naplózott DNS-események a legtöbb esetben nem tartalmaznak válaszadatokat, amelyek nagyok és részletesek lehetnek. Ha a rekord több válaszinformációt is tartalmaz, a rekordban megjelenő Válasznév mezőben tárolja.
Egy további KQL-függvényt _imDNS<vendor>Response_is megadhat, amely bemenetként veszi fel a nem elemzett választ, és dinamikus értéket ad vissza a következő struktúrával:
[
{
"part": "answer"
"query": "yahoo.com."
"TTL": 1782
"Class": "IN"
"Type": "A"
"Response": "74.6.231.21"
}
{
"part": "authority"
"query": "yahoo.com."
"TTL": 113066
"Class": "IN"
"Type": "NS"
"Response": "ns5.yahoo.com"
}
...
]
A dinamikus értékben lévő szótárak mezői az egyes DNS-válaszok mezőinek felelnek meg. A part bejegyzésnek tartalmaznia kell vagy answerazt authoritya részt, additional amelyhez a szótár tartozik.
Tipp.
Az optimális teljesítmény biztosítása érdekében csak akkor hívja meg a imDNS<vendor>Response függvényt, ha szükséges, és csak a kezdeti szűrés után, hogy jobb teljesítményt biztosítson.
DNS-jelzők kezelése
A jelölőadatok elemzéséhez és normalizálásához nincs szükség. Ehelyett tárolja a jelentéskészítő eszköz által megadott jelzőadatokat a Jelzők mezőben. Ha az egyes jelölők értékének meghatározása egyenesen előre halad, használhatja a dedikált jelzők mezőit is.
Megadhat egy további KQL-függvényt _imDNS<vendor>Flags_is, amely a nem elemezhető választ vagy a dedikált jelzőmezőket veszi bemenetként, és dinamikus listát ad vissza, logikai értékekkel, amelyek az egyes jelölőket a következő sorrendben jelölik:
- Hitelesített (AD)
- Mérvadó (AA)
- Letiltott ellenőrzés (CD)
- Recursion Available (RA)
- Kívánt rekurzió (RD)
- Csonkolt (TC)
- Z
Következő lépések
További információk: