适用于 Microsoft Sentinel 的 Windows DNS Events via AMA 连接器

通过 Windows DNS 日志连接器,可以使用 Azure Monitoring Agent (AMA) 轻松筛选所有分析日志并将其从 Windows DNS 服务器流式传输到 Microsoft Sentinel 工作区。 在 Microsoft Sentinel 中提供此数据有助于识别问题和安全威胁,例如:

  • 尝试解析恶意域名。
  • 陈旧的资源记录。
  • 经常查询的域名和请求频繁的 DNS 客户端。
  • 对 DNS 服务器执行的攻击。

可以从 Microsoft Sentinel 获取对 Windows DNS 服务器的以下见解:

  • 所有日志都集中在一个位置。
  • DNS 服务器上的请求负载。
  • 动态 DNS 注册错误。

高级 SIEM 信息模型 (ASIM) 支持 Windows DNS 事件,并将数据流式传输到 ASimDnsActivityLogs 表。 了解详细信息

有关详细信息,请参阅 Microsoft Sentinel 文档

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 ASimDnsActivityLogs
数据收集规则支持 Azure Monitor 代理 DCR
支持的服务 Microsoft Corporation