Aracılığıyla paylaş


AMA bağlayıcısı ile Windows DNS sunucularından veri akışı ve filtreleme

Bu makalede, Windows Etki Alanı Adı Sistemi (DNS) sunucu günlüklerinizdeki olayları akışa almak ve filtrelemek için Azure İzleyici Aracısı (AMA) bağlayıcısının nasıl kullanılacağı açıklanmaktadır. Ardından, DNS sunucularınızı tehditlere ve saldırılara karşı korumak için verilerinizi derinlemesine analiz edebilirsiniz. AMA ve DNS uzantısı, DNS analiz günlüklerinizdeki verileri Microsoft Sentinel çalışma alanınıza yüklemek için Windows Server'ınıza yüklenir.

DNS, ana bilgisayar adları ve bilgisayar tarafından okunabilir IP adresleri arasında eşlenen, yaygın olarak kullanılan bir protokoldür. DNS, güvenlik göz önünde bulundurularak tasarlanmadığından, hizmet kötü amaçlı etkinlikler tarafından yüksek oranda hedeflenerek günlüğe kaydedilmesi güvenlik izlemesinin temel bir parçası haline getiriliyor. DNS sunucularını hedefleyen bazı iyi bilinen tehditler arasında DNS sunucularını hedefleyen DDoS saldırıları, DNS DDoS Amplification, DNS ele geçirme ve daha fazlası yer alır.

Bu protokolün genel güvenliğini geliştirmek için bazı mekanizmalar tanıtılsa da, DNS sunucuları hala yüksek oranda hedeflenen bir hizmettir. Kuruluşlar, ağ etkinliğini daha iyi anlamak ve ağ içindeki kaynakları hedefleyen şüpheli davranışları veya saldırıları belirlemek için DNS günlüklerini izleyebilir. AMA bağlayıcısı aracılığıyla Windows DNS Olayları bu tür görünürlük sağlar. Örneğin, kötü amaçlı etki alanı adlarını çözümlemeye çalışan istemcileri tanımlamak, DNS sunucularında istek yüklemelerini görüntülemek ve izlemek ya da dinamik DNS kayıt hatalarını görüntülemek için bağlayıcıyı kullanın.

Not

AMA bağlayıcısı aracılığıyla Windows DNS Olayları yalnızca analitik günlük olaylarını destekler.

Önkoşullar

Başlamadan önce şunların olduğunu doğrulayın:

  • Microsoft Sentinel için etkinleştirilmiş bir Log Analytics çalışma alanı.
  • İçerik hub'ından Windows Server DNS çözümünün bir parçası olarak yüklenen AMA veri bağlayıcısı aracılığıyla Windows DNS Olayları.
  • Windows Server 2016 ve üzeri desteklenir veya denetim düzeltmesi ile Windows Server 2012 R2.
  • DNS-Server analitik olay günlükleri etkin olarak yüklenen DNS sunucusu rolü. DNS analitik olay günlükleri varsayılan olarak etkin değildir. Daha fazla bilgi için bkz . Analitik olay günlüğünü etkinleştirme.

Azure sanal makinesi olmayan herhangi bir sistemden olay toplamak için Azure Arc'ın yüklü olduğundan emin olun. Azure İzleyici Aracısı tabanlı bağlayıcıyı etkinleştirmeden önce Azure Arc'ı yükleyin ve etkinleştirin. Bu gereksinim şunları içerir:

  • Fiziksel makinelerde yüklü Windows sunucuları
  • Şirket içi sanal makinelerde yüklü Windows sunucuları
  • Azure dışı bulutlardaki sanal makinelerde yüklü Windows sunucuları

Portal aracılığıyla AMA bağlayıcısı üzerinden Windows DNS'yi yapılandırma

Bağlayıcıyı çalışma alanı başına tek bir Veri Toplama Kuralı (DCR) kullanarak yapılandırmak için portal kurulum seçeneğini kullanın. Daha sonra, belirli olayları veya bilgileri filtrelemek, yalnızca izlemek istediğiniz değerli verileri karşıya yüklemek ve maliyetleri ve bant genişliği kullanımını azaltmak için gelişmiş filtreleri kullanın.

Birden çok DCR oluşturmanız gerekiyorsa bunun yerine API'yi kullanın. Api'yi kullanarak birden çok DCR oluşturmak için portalda yalnızca bir DCR gösterilir.

Bağlayıcıyı yapılandırmak için:

  1. Microsoft Sentinel'de Veri bağlayıcıları sayfasını açın ve AMA bağlayıcısı aracılığıyla Windows DNS Olayları'nı bulun.

  2. Yan bölmenin en altına doğru Bağlayıcı sayfasını aç'ı seçin.

  3. Yapılandırma alanında Veri toplama kuralı oluştur'u seçin. Çalışma alanı başına tek bir DCR oluşturabilirsiniz.

    DCR adı, aboneliği ve kaynak grubu otomatik olarak çalışma alanı adına, geçerli aboneliğe ve bağlayıcının seçildiği kaynak grubuna göre ayarlanır. Örneğin:

    A M A bağlayıcısı üzerinden Windows D N S için yeni bir D C R oluşturma işleminin ekran görüntüsü.

  4. Kaynaklar sekmesini >Kaynak Ekle'yi seçin.

  5. Günlükleri toplamak için bağlayıcıyı yüklemek istediğiniz VM'leri seçin. Örneğin:

    Windows D N S için A M A bağlayıcısı üzerinden kaynak seçme işleminin ekran görüntüsü.

  6. Değişikliklerinizi gözden geçirin ve Uygula'yı Kaydet'i>seçin.

API aracılığıyla AMA üzerinden Windows DNS bağlayıcısını yapılandırma

Bağlayıcıyı çalışma alanı başına birden çok DCR kullanarak yapılandırmak için API kurulum seçeneğini kullanın. Tek bir DCR kullanmayı tercih ederseniz bunun yerine portal seçeneğini kullanın.

Api'yi kullanarak birden çok DCR oluşturma işlemi portalda yalnızca bir DCR gösterir.

DCR oluşturmak veya güncelleştirmek için aşağıdaki örneği şablon olarak kullanın:

İstek URL'si ve üst bilgisi


PUT 

    https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2019-11-01-preview 

Request body


{
    "properties": {
        "dataSources": {
            "windowsEventLogs": [],
            "extensions": [
                {
                    "streams": [
                        "Microsoft-ASimDnsActivityLogs"
                    ],
                    "extensionName": "MicrosoftDnsAgent",
                    "extensionSettings": {
                        "Filters": [
                            {
                                "FilterName": "SampleFilter",
                                "Rules": [
                                    {
                                        "Field": "EventOriginalType",
                                        "FieldValues": [
                                            "260"
                                        ]
                                    }
                                ]
                            }
                        ]
                    },
                    "name": "SampleDns"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}",
                    "workspaceId": {WorkspaceGuid}",
                    "name": "WorkspaceDestination"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-ASimDnsActivityLogs"
                ],
                "destinations": [
                    " WorkspaceDestination "
                ]
            }
        ],
    },
    "location": "eastus2",
    "tags": {},
    "kind": "Windows",
    "id":"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Insights/dataCollectionRules/{workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
    "name": " {workspaceName}-microsoft-sentinel-asimdnsactivitylogs ",
    "type": "Microsoft.Insights/dataCollectionRules",
}

DCR'lerinizde gelişmiş filtreler kullanma

DNS sunucusu olay günlükleri çok sayıda olay içerebilir. Veriler karşıya yüklenmeden önce gereksiz olayları filtrelemek ve değerli önceliklendirme süresinden ve maliyetlerden tasarruf etmek için gelişmiş filtreleme kullanmanızı öneririz. Filtreler, gereksiz verileri çalışma alanınıza yüklenen olay akışından kaldırır ve birden çok alanın birleşimini temel alır.

Daha fazla bilgi için bkz . Filtreleme için kullanılabilir alanlar.

Portal aracılığıyla gelişmiş filtreler oluşturma

Portal üzerinden filtre oluşturmak için aşağıdaki yordamı kullanın. API ile filtre oluşturma hakkında daha fazla bilgi için bkz . Gelişmiş filtreleme örnekleri.

Portal aracılığıyla filtre oluşturmak için:

  1. Bağlayıcı sayfasındaki Yapılandırma alanında Veri toplama filtreleri ekle'yi seçin.

  2. Filtre için bir ad girin ve toplanan olay sayısını azaltan bir parametre olan filtre türünü seçin. Parametreler DNS normalleştirilmiş şemasına göre normalleştirilir. Daha fazla bilgi için bkz . Filtreleme için kullanılabilir alanlar.

    A M A bağlayıcısı üzerinden Windows D N S için filtre oluşturma işleminin ekran görüntüsü.

  3. Açılan listede listelenen değerler arasından alanı filtrelemek istediğiniz değerleri seçin.

    A M A bağlayıcısı üzerinden Windows D N S filtresine alan ekleme işleminin ekran görüntüsü.

  4. Karmaşık filtreler eklemek için Dışlama alanı ekle'yi seçerek filtreleyin ve ilgili alanı ekleyin.

    • Her alan için birden çok değer tanımlamak için virgülle ayrılmış listeler kullanın.
    • Bileşik filtreler oluşturmak için VE ilişkisi olan farklı alanlar kullanın.
    • Farklı filtreleri birleştirmek için aralarında bir OR ilişkisi kullanın.

    Filtreler joker karakterleri de aşağıdaki gibi destekler:

    • Her yıldız işaretine (*. ) sonra bir nokta ekleyin.
    • Etki alanları listesi arasında boşluk kullanmayın.
    • Joker karakterler, protokolden bağımsız olarak www.domain.comyalnızca etki alanının alt etki alanları için geçerlidir. Örneğin, gelişmiş bir filtrede kullanıyorsanız *.domain.com :
      • Filtre, protokolün HTTPS, FTP vb. olup olmadığına bakılmaksızın ve subdomain.domain.comiçin geçerlidirwww.domain.com.
      • Filtre uygulamasına domain.comuygulanmaz. öğesine filtre uygulamak için domain.comjoker karakter kullanmadan etki alanını doğrudan belirtin.
  5. Daha fazla yeni filtre eklemek için Yeni dışlama filtresi ekle'yi seçin.

  6. Filtre eklemeyi bitirdiğinizde Ekle'yi seçin.

  7. Ana bağlayıcı sayfasına dönüp Değişiklikleri uygula'yı seçerek filtreleri kaydedin ve bağlayıcılarınıza dağıtın. Mevcut filtreleri veya alanları düzenlemek veya silmek için Yapılandırma alanının altındaki tabloda bulunan düzenleme veya silme simgelerini seçin.

  8. İlk dağıtımınızdan sonra alan veya filtre eklemek için Veri toplama filtreleri ekle'yi yeniden seçin.

Gelişmiş filtreleme örnekleri

Portal veya API aracılığıyla yaygın olarak kullanılan gelişmiş filtreler oluşturmak için aşağıdaki örnekleri kullanın.

Belirli olay kimliklerini toplama

Bu filtre bağlayıcıya EventID 256 veya EventID 257 veya EventID 260'ı IPv6 adresleriyle toplamamasını bildirir.

Microsoft Sentinel portalını kullanma:

  1. Equals işlecini kullanarak 256, 257 ve 260 değerleriyle EventOriginalType alanıyla bir filtre oluşturun.

    Windows D N S için A M A bağlayıcısı üzerinden olay kimliklerini filtreleme işleminin ekran görüntüsü.

  2. Yukarıda tanımlanan EventOriginalType alanıyla ve DnsQueryTypeName alanı da AAAA olarak ayarlanmış olan And işlecini kullanarak bir filtre oluşturun.

    A M A bağlayıcısı üzerinden Windows D N S için olay kimliklerini ve IPv6 adreslerini filtreleme işleminin ekran görüntüsü.

API'yi kullanma:

"Filters": [
    {
        "FilterName": "SampleFilter",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "256", "257", "260"                                                                              
                ]
            },
            {
                "Field": "DnsQueryTypeName",
                "FieldValues": [
                    "AAAA"                                        
                ]
            }
        ]
    },
    {
        "FilterName": "EventResultDetails",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "230"                                        
                ]
            },
            {
                "Field": "EventResultDetails",
                "FieldValues": [
                    "BADKEY","NOTZONE"                                        
                ]
            }
        ]
    }
]

Belirli etki alanlarıyla olay toplama

Bu filtre bağlayıcıya microsoft.com, google.com, amazon.com veya facebook.com ya da center.local dosyasından gelen herhangi bir alt etki alanından olay toplamamasını ister.

Microsoft Sentinel portalını kullanma:

*.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local listesiyle Equals işlecini kullanarak DnsQuery alanını ayarlayın.

Joker karakter kullanımıyla ilgili şu noktaları gözden geçirin.

A M A bağlayıcısı üzerinden Windows D N S etki alanlarını filtreleme işleminin ekran görüntüsü.

Tek bir alanda farklı değerler tanımlamak için OR işlecini kullanın.

API'yi kullanma:

Joker karakter kullanımıyla ilgili şu noktaları gözden geçirin.

"Filters": [ 

    { 

        "FilterName": "SampleFilter", 

        "Rules": [ 

            { 

                "Field": "DnsQuery", 

                "FieldValues": [ 

                    "*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"                                                                               

                ] 

            }, 

         } 

    } 

] 

ASIM kullanarak normalleştirme

Bu bağlayıcı, Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları kullanılarak tamamen normalleştirilir. Bağlayıcı analiz günlüklerinden kaynaklanan olayları adlı ASimDnsActivityLogsnormalleştirilmiş tabloya akışla aktarır. Bu tablo, tüm DNS bağlayıcıları arasında paylaşılan tek bir birleşik dil kullanarak bir çevirmen işlevi görür.

Tüm DNS verilerini birleştiren ve çözümlemenizin yapılandırılmış tüm kaynaklarda çalışmasını sağlayan kaynak-belirsiz ayrıştırıcı için ASIM DNS birleştirme ayrıştırıcısını _Im_Dnskullanın.

ASIM birleştirici ayrıştırıcısı yerel ASimDnsActivityLogs tabloyu tamamlar. Yerel tablo ASIM uyumlu olsa da, diğer adlar gibi yalnızca sorgu zamanında kullanılabilen özellikler eklemek ve diğer DNS veri kaynaklarıyla birleştirmek ASimDnsActivityLogs için ayrıştırıcı gereklidir.

ASIM DNS şeması, analiz günlüklerinde Windows DNS sunucusunda günlüğe kaydedilen DNS protokolü etkinliğini temsil eder. Şema, alanları ve değerleri tanımlayan resmi parametre listeleri ve RFC'ler tarafından yönetilir.

Normalleştirilmiş alan adlarına çevrilmiş Windows DNS sunucusu alanlarının listesine bakın.

Bu makalede, Verileri karşıya yüklemek ve Windows DNS günlüklerinizi filtrelemek için AMA bağlayıcısı aracılığıyla Windows DNS olaylarını ayarlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: