AMA bağlayıcısı ile Windows DNS sunucularından veri akışı ve filtreleme
Bu makalede, Windows Etki Alanı Adı Sistemi (DNS) sunucu günlüklerinizdeki olayları akışa almak ve filtrelemek için Azure İzleyici Aracısı (AMA) bağlayıcısının nasıl kullanılacağı açıklanmaktadır. Ardından, DNS sunucularınızı tehditlere ve saldırılara karşı korumak için verilerinizi derinlemesine analiz edebilirsiniz. AMA ve DNS uzantısı, DNS analiz günlüklerinizdeki verileri Microsoft Sentinel çalışma alanınıza yüklemek için Windows Server'ınıza yüklenir.
DNS, ana bilgisayar adları ve bilgisayar tarafından okunabilir IP adresleri arasında eşlenen, yaygın olarak kullanılan bir protokoldür. DNS, güvenlik göz önünde bulundurularak tasarlanmadığından, hizmet kötü amaçlı etkinlikler tarafından yüksek oranda hedeflenerek günlüğe kaydedilmesi güvenlik izlemesinin temel bir parçası haline getiriliyor. DNS sunucularını hedefleyen bazı iyi bilinen tehditler arasında DNS sunucularını hedefleyen DDoS saldırıları, DNS DDoS Amplification, DNS ele geçirme ve daha fazlası yer alır.
Bu protokolün genel güvenliğini geliştirmek için bazı mekanizmalar tanıtılsa da, DNS sunucuları hala yüksek oranda hedeflenen bir hizmettir. Kuruluşlar, ağ etkinliğini daha iyi anlamak ve ağ içindeki kaynakları hedefleyen şüpheli davranışları veya saldırıları belirlemek için DNS günlüklerini izleyebilir. AMA bağlayıcısı aracılığıyla Windows DNS Olayları bu tür görünürlük sağlar. Örneğin, kötü amaçlı etki alanı adlarını çözümlemeye çalışan istemcileri tanımlamak, DNS sunucularında istek yüklemelerini görüntülemek ve izlemek ya da dinamik DNS kayıt hatalarını görüntülemek için bağlayıcıyı kullanın.
Not
AMA bağlayıcısı aracılığıyla Windows DNS Olayları yalnızca analitik günlük olaylarını destekler.
Önkoşullar
Başlamadan önce şunların olduğunu doğrulayın:
- Microsoft Sentinel için etkinleştirilmiş bir Log Analytics çalışma alanı.
- İçerik hub'ından Windows Server DNS çözümünün bir parçası olarak yüklenen AMA veri bağlayıcısı aracılığıyla Windows DNS Olayları.
- Windows Server 2016 ve üzeri desteklenir veya denetim düzeltmesi ile Windows Server 2012 R2.
- DNS-Server analitik olay günlükleri etkin olarak yüklenen DNS sunucusu rolü. DNS analitik olay günlükleri varsayılan olarak etkin değildir. Daha fazla bilgi için bkz . Analitik olay günlüğünü etkinleştirme.
Azure sanal makinesi olmayan herhangi bir sistemden olay toplamak için Azure Arc'ın yüklü olduğundan emin olun. Azure İzleyici Aracısı tabanlı bağlayıcıyı etkinleştirmeden önce Azure Arc'ı yükleyin ve etkinleştirin. Bu gereksinim şunları içerir:
- Fiziksel makinelerde yüklü Windows sunucuları
- Şirket içi sanal makinelerde yüklü Windows sunucuları
- Azure dışı bulutlardaki sanal makinelerde yüklü Windows sunucuları
Portal aracılığıyla AMA bağlayıcısı üzerinden Windows DNS'yi yapılandırma
Bağlayıcıyı çalışma alanı başına tek bir Veri Toplama Kuralı (DCR) kullanarak yapılandırmak için portal kurulum seçeneğini kullanın. Daha sonra, belirli olayları veya bilgileri filtrelemek, yalnızca izlemek istediğiniz değerli verileri karşıya yüklemek ve maliyetleri ve bant genişliği kullanımını azaltmak için gelişmiş filtreleri kullanın.
Birden çok DCR oluşturmanız gerekiyorsa bunun yerine API'yi kullanın. Api'yi kullanarak birden çok DCR oluşturmak için portalda yalnızca bir DCR gösterilir.
Bağlayıcıyı yapılandırmak için:
Microsoft Sentinel'de Veri bağlayıcıları sayfasını açın ve AMA bağlayıcısı aracılığıyla Windows DNS Olayları'nı bulun.
Yan bölmenin en altına doğru Bağlayıcı sayfasını aç'ı seçin.
Yapılandırma alanında Veri toplama kuralı oluştur'u seçin. Çalışma alanı başına tek bir DCR oluşturabilirsiniz.
DCR adı, aboneliği ve kaynak grubu otomatik olarak çalışma alanı adına, geçerli aboneliğe ve bağlayıcının seçildiği kaynak grubuna göre ayarlanır. Örneğin:
Kaynaklar sekmesini >Kaynak Ekle'yi seçin.
Günlükleri toplamak için bağlayıcıyı yüklemek istediğiniz VM'leri seçin. Örneğin:
Değişikliklerinizi gözden geçirin ve Uygula'yı Kaydet'i>seçin.
API aracılığıyla AMA üzerinden Windows DNS bağlayıcısını yapılandırma
Bağlayıcıyı çalışma alanı başına birden çok DCR kullanarak yapılandırmak için API kurulum seçeneğini kullanın. Tek bir DCR kullanmayı tercih ederseniz bunun yerine portal seçeneğini kullanın.
Api'yi kullanarak birden çok DCR oluşturma işlemi portalda yalnızca bir DCR gösterir.
DCR oluşturmak veya güncelleştirmek için aşağıdaki örneği şablon olarak kullanın:
İstek URL'si ve üst bilgisi
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview
Request body
{
"properties": {
"dataSources": {
"windowsEventLogs": [],
"extensions": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"extensionName": "MicrosoftDnsAgent",
"extensionSettings": {
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"260"
]
}
]
}
]
},
"name": "SampleDns"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
"workspaceId": {WorkspaceGuid}",
"name": "WorkspaceDestination"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"destinations": [
" WorkspaceDestination "
]
}
],
},
"location": "eastus2",
"tags": {},
"kind": "Windows",
"id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
"type": "Microsoft.Insights/dataCollectionRules",
}
DCR'lerinizde gelişmiş filtreler kullanma
DNS sunucusu olay günlükleri çok sayıda olay içerebilir. Veriler karşıya yüklenmeden önce gereksiz olayları filtrelemek ve değerli önceliklendirme süresinden ve maliyetlerden tasarruf etmek için gelişmiş filtreleme kullanmanızı öneririz. Filtreler, gereksiz verileri çalışma alanınıza yüklenen olay akışından kaldırır ve birden çok alanın birleşimini temel alır.
Daha fazla bilgi için bkz . Filtreleme için kullanılabilir alanlar.
Portal aracılığıyla gelişmiş filtreler oluşturma
Portal üzerinden filtre oluşturmak için aşağıdaki yordamı kullanın. API ile filtre oluşturma hakkında daha fazla bilgi için bkz . Gelişmiş filtreleme örnekleri.
Portal aracılığıyla filtre oluşturmak için:
Bağlayıcı sayfasındaki Yapılandırma alanında Veri toplama filtreleri ekle'yi seçin.
Filtre için bir ad girin ve toplanan olay sayısını azaltan bir parametre olan filtre türünü seçin. Parametreler DNS normalleştirilmiş şemasına göre normalleştirilir. Daha fazla bilgi için bkz . Filtreleme için kullanılabilir alanlar.
Açılan listede listelenen değerler arasından alanı filtrelemek istediğiniz değerleri seçin.
Karmaşık filtreler eklemek için Dışlama alanı ekle'yi seçerek filtreleyin ve ilgili alanı ekleyin.
- Her alan için birden çok değer tanımlamak için virgülle ayrılmış listeler kullanın.
- Bileşik filtreler oluşturmak için VE ilişkisi olan farklı alanlar kullanın.
- Farklı filtreleri birleştirmek için aralarında bir OR ilişkisi kullanın.
Filtreler joker karakterleri de aşağıdaki gibi destekler:
- Her yıldız işaretine (
*.
) sonra bir nokta ekleyin. - Etki alanları listesi arasında boşluk kullanmayın.
- Joker karakterler, protokolden bağımsız olarak
www.domain.com
yalnızca etki alanının alt etki alanları için geçerlidir. Örneğin, gelişmiş bir filtrede kullanıyorsanız*.domain.com
:- Filtre, protokolün HTTPS, FTP vb. olup olmadığına bakılmaksızın ve
subdomain.domain.com
için geçerlidirwww.domain.com
. - Filtre uygulamasına
domain.com
uygulanmaz. öğesine filtre uygulamak içindomain.com
joker karakter kullanmadan etki alanını doğrudan belirtin.
- Filtre, protokolün HTTPS, FTP vb. olup olmadığına bakılmaksızın ve
Daha fazla yeni filtre eklemek için Yeni dışlama filtresi ekle'yi seçin.
Filtre eklemeyi bitirdiğinizde Ekle'yi seçin.
Ana bağlayıcı sayfasına dönüp Değişiklikleri uygula'yı seçerek filtreleri kaydedin ve bağlayıcılarınıza dağıtın. Mevcut filtreleri veya alanları düzenlemek veya silmek için Yapılandırma alanının altındaki tabloda bulunan düzenleme veya silme simgelerini seçin.
İlk dağıtımınızdan sonra alan veya filtre eklemek için Veri toplama filtreleri ekle'yi yeniden seçin.
Gelişmiş filtreleme örnekleri
Portal veya API aracılığıyla yaygın olarak kullanılan gelişmiş filtreler oluşturmak için aşağıdaki örnekleri kullanın.
Belirli olay kimliklerini toplama
Bu filtre bağlayıcıya EventID 256 veya EventID 257 veya EventID 260'ı IPv6 adresleriyle toplamamasını bildirir.
Microsoft Sentinel portalını kullanma:
Equals işlecini kullanarak 256, 257 ve 260 değerleriyle EventOriginalType alanıyla bir filtre oluşturun.
Yukarıda tanımlanan EventOriginalType alanıyla ve DnsQueryTypeName alanı da AAAA olarak ayarlanmış olan And işlecini kullanarak bir filtre oluşturun.
API'yi kullanma:
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"256", "257", "260"
]
},
{
"Field": "DnsQueryTypeName",
"FieldValues": [
"AAAA"
]
}
]
},
{
"FilterName": "EventResultDetails",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"230"
]
},
{
"Field": "EventResultDetails",
"FieldValues": [
"BADKEY","NOTZONE"
]
}
]
}
]
Belirli etki alanlarıyla olay toplama
Bu filtre bağlayıcıya microsoft.com, google.com, amazon.com veya facebook.com ya da center.local dosyasından gelen herhangi bir alt etki alanından olay toplamamasını ister.
Microsoft Sentinel portalını kullanma:
*.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local listesiyle Equals işlecini kullanarak DnsQuery alanını ayarlayın.
Joker karakter kullanımıyla ilgili şu noktaları gözden geçirin.
Tek bir alanda farklı değerler tanımlamak için OR işlecini kullanın.
API'yi kullanma:
Joker karakter kullanımıyla ilgili şu noktaları gözden geçirin.
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "DnsQuery",
"FieldValues": [
"*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"
]
},
}
}
]
ASIM kullanarak normalleştirme
Bu bağlayıcı, Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları kullanılarak tamamen normalleştirilir. Bağlayıcı analiz günlüklerinden kaynaklanan olayları adlı ASimDnsActivityLogs
normalleştirilmiş tabloya akışla aktarır. Bu tablo, tüm DNS bağlayıcıları arasında paylaşılan tek bir birleşik dil kullanarak bir çevirmen işlevi görür.
Tüm DNS verilerini birleştiren ve çözümlemenizin yapılandırılmış tüm kaynaklarda çalışmasını sağlayan kaynak-belirsiz ayrıştırıcı için ASIM DNS birleştirme ayrıştırıcısını _Im_Dns
kullanın.
ASIM birleştirici ayrıştırıcısı yerel ASimDnsActivityLogs
tabloyu tamamlar. Yerel tablo ASIM uyumlu olsa da, diğer adlar gibi yalnızca sorgu zamanında kullanılabilen özellikler eklemek ve diğer DNS veri kaynaklarıyla birleştirmek ASimDnsActivityLogs
için ayrıştırıcı gereklidir.
ASIM DNS şeması, analiz günlüklerinde Windows DNS sunucusunda günlüğe kaydedilen DNS protokolü etkinliğini temsil eder. Şema, alanları ve değerleri tanımlayan resmi parametre listeleri ve RFC'ler tarafından yönetilir.
Normalleştirilmiş alan adlarına çevrilmiş Windows DNS sunucusu alanlarının listesine bakın.
İlgili içerik
Bu makalede, Verileri karşıya yüklemek ve Windows DNS günlüklerinizi filtrelemek için AMA bağlayıcısı aracılığıyla Windows DNS olaylarını ayarlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:
- Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
- Microsoft Sentinel ile tehditleri algılamaya başlayın.
- Verilerinizi izlemek için çalışma kitaplarını kullanın.