Bagikan melalui

Mengalirkan dan memfilter data dari server DNS Windows dengan konektor AMA

  • Artikel

Artikel ini menjelaskan cara menggunakan konektor Azure Monitor Agent (AMA) untuk mengalirkan dan memfilter peristiwa dari log server Sistem Nama Domain (DNS) Windows Anda. Anda kemudian dapat menganalisis data Anda secara mendalam untuk melindungi server DNS Anda dari ancaman dan serangan. AMA dan ekstensi DNS-nya diinstal pada Server Windows Anda untuk mengunggah data dari log analitik DNS Anda ke ruang kerja Microsoft Sentinel Anda.

DNS adalah protokol yang banyak digunakan, yang memetakan antara nama host dan alamat IP yang dapat dibaca komputer. Karena DNS tidak dirancang dengan mempertimbangkan keamanan, layanan ini sangat ditargetkan oleh aktivitas berbahaya, menjadikan pengelogan sebagai bagian penting dari pemantauan keamanan. Beberapa ancaman terkenal yang menargetkan server DNS termasuk serangan DDoS yang menargetkan server DNS, DNS DDoS Amplification, pembajakan DNS, dan banyak lagi.

Sementara beberapa mekanisme diperkenalkan untuk meningkatkan keamanan protokol ini secara keseluruhan, server DNS masih merupakan layanan yang sangat ditargetkan. Organisasi dapat memantau log DNS untuk memahami dengan lebih baik aktivitas jaringan, dan untuk mengidentifikasi perilaku mencurigakan atau serangan yang menargetkan sumber daya dalam jaringan. Konektor Peristiwa DNS Windows melalui AMA menyediakan jenis visibilitas ini. Misalnya, gunakan konektor untuk mengidentifikasi klien yang mencoba mengatasi nama domain berbahaya, melihat dan memantau beban permintaan di server DNS, atau melihat kegagalan pendaftaran DNS dinamis.

Catatan

Peristiwa DNS Windows melalui konektor AMA hanya mendukung peristiwa log analitis.

Prasyarat

Sebelum Anda mulai, pastikan Anda memiliki:

  • Ruang kerja Analitik Log diaktifkan untuk Microsoft Azure Sentinel.
  • Peristiwa DNS Windows melalui konektor data AMA diinstal sebagai bagian dari solusi DNS Windows Server dari hub konten.
  • Windows server 2016 dan yang lebih baru didukung, atau Windows Server 2012 R2 dengan perbaikan audit.
  • Peran server DNS yang diinstal dengan log peristiwa analitik DNS-Server diaktifkan. Log peristiwa analitik DNS tidak diaktifkan secara default. Untuk informasi selengkapnya, lihat Mengaktifkan pengelogan peristiwa analitis.

Untuk mengumpulkan peristiwa dari sistem apa pun yang bukan mesin virtual Azure, pastikan Azure Arc diinstal. Instal dan aktifkan Azure Arc sebelum Anda mengaktifkan konektor berbasis Agen Azure Monitor. Persyaratan ini meliputi:

  • Server Windows terinstal pada komputer fisik
  • Server Windows terinstal pada komputer virtual lokal
  • Server Windows dipasang pada komputer virtual di cloud non-Azure

Mengonfigurasi DNS Windows melalui konektor AMA melalui portal

Gunakan opsi penyiapan portal untuk mengonfigurasi konektor menggunakan satu Aturan Pengumpulan Data (DCR) per ruang kerja. Setelah itu, gunakan filter tingkat lanjut untuk memfilter peristiwa atau informasi tertentu, hanya mengunggah data berharga yang ingin Anda pantau, mengurangi biaya, dan penggunaan bandwidth.

Jika Anda perlu membuat beberapa DCR, gunakan API sebagai gantinya. Menggunakan API untuk membuat beberapa DCR masih hanya akan menampilkan satu DCR di portal.

Untuk mengonfigurasi konektor:

  1. Di Microsoft Azure Sentinel, buka halaman Konektor data, dan temukan Peristiwa DNS Windows melalui konektor AMA .

  2. Di bagian bawah panel samping, pilih Buka halaman konektor.

  3. Di area Konfigurasi, pilih Buat aturan kumpulan data. Anda dapat membuat satu DCR per ruang kerja.

    Nama DCR, langganan, dan grup sumber daya diatur secara otomatis berdasarkan nama ruang kerja, langganan saat ini, dan grup sumber daya tempat konektor dipilih. Contohnya:

    Cuplikan layar dalam membuat D C R baru untuk Windows D N S melalui konektor A M A.

  4. Pilih tab >Sumber Daya Tambahkan Sumber Daya.

  5. Pilih mesin virtual tempat Anda ingin memasang konektor untuk mengumpulkan log. Contohnya:

    Cuplikan layar dalam memilih sumber daya untuk Windows D N S melalui konektor A M A.

  6. Tinjau perubahan Anda dan pilih Simpan>Terapkan.

Mengonfigurasi DNS Windows melalui konektor AMA melalui API

Gunakan opsi penyiapan API untuk mengonfigurasi konektor menggunakan beberapa DCR per ruang kerja. Jika Anda lebih suka menggunakan satu DCR, gunakan opsi portal sebagai gantinya.

Menggunakan API untuk membuat beberapa DCR masih hanya menampilkan satu DCR di portal.

Gunakan contoh berikut sebagai templat untuk membuat atau memperbarui DCR:

URL permintaan dan header 


PUT 

    https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview

Isi permintaan


{
    "properties": {
        "dataSources": {
            "windowsEventLogs": [],
            "extensions": [
                {
                    "streams": [
                        "Microsoft-ASimDnsActivityLogs"
                    ],
                    "extensionName": "MicrosoftDnsAgent",
                    "extensionSettings": {
                        "Filters": [
                            {
                                "FilterName": "SampleFilter",
                                "Rules": [
                                    {
                                        "Field": "EventOriginalType",
                                        "FieldValues": [
                                            "260"
                                        ]
                                    }
                                ]
                            }
                        ]
                    },
                    "name": "SampleDns"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
                    "workspaceId": {WorkspaceGuid}",
                    "name": "WorkspaceDestination"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-ASimDnsActivityLogs"
                ],
                "destinations": [
                    " WorkspaceDestination "
                ]
            }
        ],
    },
    "location": "eastus2",
    "tags": {},
    "kind": "Windows",
    "id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
    "name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
    "type": "Microsoft.Insights/dataCollectionRules",
}

Menggunakan filter tingkat lanjut di DCR Anda

Log peristiwa server DNS dapat berisi sejumlah besar peristiwa. Sebaiknya gunakan pemfilteran tingkat lanjut untuk memfilter peristiwa yang tidak diperlukan sebelum data diunggah, menghemat waktu dan biaya triase yang berharga. Filter menghapus data yang tidak diperlukan dari aliran peristiwa yang diunggah ke ruang kerja Anda, dan didasarkan pada kombinasi beberapa bidang.

Untuk informasi selengkapnya, lihat Bidang yang tersedia untuk pemfilteran.

Membuat filter tingkat lanjut melalui portal

Gunakan prosedur berikut untuk membuat filter melalui portal. Untuk informasi selengkapnya tentang membuat filter dengan API, lihat Contoh pemfilteran tingkat lanjut.

Untuk membuat filter melalui portal:

  1. Pada halaman konektor, di area Konfigurasi, pilih Tambahkan filter kumpulan data.

  2. Masukkan nama untuk filter dan pilih jenis filter, yang merupakan parameter yang mengurangi jumlah peristiwa yang dikumpulkan. Parameter dinormalisasi sesuai dengan skema DNS yang dinormalisasi. Untuk informasi selengkapnya, lihat Bidang yang tersedia untuk pemfilteran.

    Cuplikan layar pembuatan filter untuk konektor Windows D N S melalui A M A.

  3. Pilih nilai yang ingin Anda filter bidangnya dari antara nilai yang tercantum di menu drop-down.

    Cuplikan layar penambahan bidang ke filter untuk konektor Windows D N S melalui A M A.

  4. Untuk menambahkan filter kompleks, pilih Tambahkan bidang kecualikan untuk memfilter dan menambahkan bidang yang relevan.

    • Gunakan daftar yang dipisahkan koma untuk menentukan beberapa nilai untuk setiap bidang.
    • Untuk membuat filter campuran, gunakan bidang yang berbeda dengan relasi AND.
    • Untuk menggabungkan filter yang berbeda, gunakan hubungan OR di antara filter tersebut.

    Filter juga mendukung kartubebas sebagai berikut:

    • Tambahkan titik setelah setiap tanda bintang (*.).
    • Jangan gunakan spasi di antara daftar domain.
    • Wildcard hanya berlaku untuk subdomain domain, termasuk www.domain.com, terlepas dari protokolnya. Misalnya, jika Anda menggunakan *.domain.com dalam filter tingkat lanjut:
      • Filter berlaku untuk www.domain.com dan subdomain.domain.com, terlepas dari apakah protokolnya adalah HTTPS, FTP, dan sebagainya.
      • Filter tidak berlaku untuk domain.com. Untuk menerapkan filter ke domain.com, tentukan domain secara langsung, tanpa menggunakan wildcard.

  5. Untuk menambahkan lebih banyak filter baru, pilih Tambahkan filter pengecualian baru.

  6. Setelah selesai menambahkan filter, pilih Tambahkan.

  7. Kembali ke halaman konektor utama, pilih Terapkan perubahan untuk menyimpan dan menyebarkan filter ke konektor Anda. Untuk mengedit atau menghapus filter atau bidang yang sudah ada, pilih ikon edit atau hapus dalam tabel di bawah area Konfigurasi .

  8. Untuk menambahkan bidang atau filter setelah penyebaran awal Anda, pilih Tambahkan filter pengumpulan data lagi.

Contoh pemfilteran tingkat lanjut

Gunakan contoh berikut untuk membuat filter tingkat lanjut yang umum digunakan, melalui portal atau API.

Jangan mengumpulkan ID peristiwa tertentu

Filter ini menginstruksikan konektor untuk tidak mengumpulkan EventID 256 atau EventID 257 atau EventID 260 dengan alamat IPv6.

Menggunakan portal Microsoft Sentinel:

  1. Buat filter dengan bidang EventOriginalType, menggunakan operator Equals, dengan nilai 256, 257, dan 260.

    Cuplikan layar memfilter ID peristiwa untuk konektor Windows D N S melalui A M A.

  2. Buat filter dengan bidang EventOriginalType yang ditentukan di atas, dan menggunakan operator And, juga menyertakan bidang DnsQueryTypeName yang diatur ke AAAA.

    Cuplikan layar memfilter ID peristiwa dan alamat IPv6 untuk konektor Windows D N S melalui A M A.

Menggunakan API:

"Filters": [
    {
        "FilterName": "SampleFilter",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "256", "257", "260"                                                                              
                ]
            },
            {
                "Field": "DnsQueryTypeName",
                "FieldValues": [
                    "AAAA"                                        
                ]
            }
        ]
    },
    {
        "FilterName": "EventResultDetails",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "230"                                        
                ]
            },
            {
                "Field": "EventResultDetails",
                "FieldValues": [
                    "BADKEY","NOTZONE"                                        
                ]
            }
        ]
    }
]

Jangan kumpulkan peristiwa dengan domain tertentu

Filter ini menginstruksikan konektor untuk tidak mengumpulkan peristiwa dari subdomain microsoft.com, google.com, amazon.com, atau peristiwa apa pun dari facebook.com atau center.local.

Menggunakan portal Microsoft Sentinel:

Atur bidang DnsQuery menggunakan operator Equals, dengan daftar *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center .lokal.

Tinjau pertimbangan ini untuk menggunakan wildcard.

Cuplikan layar memfilter domain untuk Windows D N S melalui konektor A M A.

Untuk menentukan nilai yang berbeda dalam satu bidang, gunakan operator OR.

Menggunakan API:

Tinjau pertimbangan ini untuk menggunakan wildcard.

"Filters": [ 

    { 

        "FilterName": "SampleFilter", 

        "Rules": [ 

            { 

                "Field": "DnsQuery", 

                "FieldValues": [ 

                    "*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"                                                                               

                ] 

            }, 

         } 

    } 

]

Normalisasi menggunakan ASIM

Konektor ini sepenuhnya dinormalisasi menggunakan pengurai Model Informasi Keamanan Tingkat Lanjut (ASIM). Konektor mengalirkan peristiwa yang berasal dari log analitik ke dalam tabel yang dinormalisasi bernama ASimDnsActivityLogs. Tabel ini bertindak sebagai penerjemah, menggunakan satu bahasa terpadu, dibagikan di semua konektor DNS yang akan datang.

Untuk pengurai sumber-agnostik yang menyatukan semua data DNS dan memastikan bahwa analisis Anda berjalan di semua sumber yang dikonfigurasi, gunakan pengurai pemersatu_Im_DnsDNS ASIM .

Pengurai pemersatu ASIM melengkapi tabel ASimDnsActivityLogs asli. Meskipun tabel asli sesuai dengan ASIM, pengurai diperlukan untuk menambahkan kemampuan, seperti alias, hanya tersedia pada waktu kueri, dan untuk menggabungkan ASimDnsActivityLogs dengan sumber data DNS lainnya.

Skema DNS ASIM mewakili aktivitas protokol DNS, seperti yang dicatat di server DNS Windows di log analitik. Skema diatur oleh daftar parameter resmi dan RFC yang menentukan bidang dan nilai.

Lihat daftar bidang server DNS Windows yang diterjemahkan ke dalam nama bidang yang dinormalisasi.

Konten terkait

Dalam artikel ini, Anda mempelajari cara menyiapkan peristiwa DNS Windows melalui konektor AMA untuk mengunggah data dan memfilter log DNS Windows Anda. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut: