此连接器允许将 AWS Route 53 DNS 日志引入到 Microsoft Sentinel 中,以提高可见性和威胁检测。 它支持直接从 AWS S3 存储桶引入的 DNS 解析程序查询日志,而公共 DNS 查询日志和 Route 53 审核日志可以使用 sentinel 的 AWS CloudWatch 和 CloudTrail 连接器Microsoft引入。 提供了全面的说明,指导你完成每种日志类型的设置。 利用此连接器监视 DNS 活动、检测潜在威胁以及改善云环境中的安全状况。
数据表属性
| 特征 |
价值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时转换 |
否 |
|
示例查询 |
- |
列
| 列 |
类型 |
DESCRIPTION |
| AccountId |
字符串 |
拥有发送查询的VPC的 AWS 帐户 ID。 |
| 答案 |
动态的 |
DNS 响应记录的数组,包括解析的 IP 地址和其他查询相关信息。 |
| _BilledSize(账单大小) |
真正 |
记录大小(字节) |
| 防火墙域列表ID |
字符串 |
与查询域匹配的域列表的 ID。 |
| FirewallRuleAction |
字符串 |
与匹配的防火墙规则相关的规则操作 |
| 防火墙规则组标识符 |
字符串 |
应用于查询的防火墙规则组的 ID。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 日志类型 |
字符串 |
指示 DNS 日志的类型(例如 ResolverQueryLogs)。 |
| QueryClass |
字符串 |
DNS 查询类。 通常为 IN (Internet)。 |
| 查询名称 |
字符串 |
已查询的域名。 |
| 查询类型 |
字符串 |
请求的 DNS 记录类型(例如 A、AAAA、MX)。 |
| Rcode |
字符串 |
文本 DNS 响应代码(例如 NOERROR、NXDOMAIN)。 |
| 区域 |
字符串 |
生成日志的 AWS 区域。 |
| 源系统 |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| SrcAddr |
字符串 |
发出查询的实例的源 IP 地址。 |
| SrcIds |
动态的 |
与 DNS 查询源自或传递的源实例相关的标识符。 |
| SrcPort |
字符串 |
发出查询的实例上的源端口。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
路由 53 解析程序收到 DNS 查询的时间。 |
| 运输 |
字符串 |
用于发送查询的协议(例如 UDP、TCP、TLS)。 |
| 类型 |
字符串 |
表的名称 |
| 版本 |
字符串 |
日志格式的版本。 |
| VpcId |
字符串 |
DNS 查询源自的 VPC 的 ID。 |