DNS over AMA 连接器参考 - 可用字段和规范化架构
Microsoft Sentinel 允许筛选 Windows 域名系统 (DNS) 服务器日志中的事件并将其流式传输到 ASimDnsActivityLog
规范化架构表。 本文介绍用于筛选数据的字段,以及 Windows DNS 服务器字段的规范化架构。
Azure Monitor 代理 (AMA) 及其 DNS 扩展安装在 Windows Server 上,用于将 DNS 分析日志中的数据上传到 Microsoft Sentinel 工作区。 可以使用“通过 AMA 处理 Windows DNS 事件”连接器流式传输和筛选数据。
可用于筛选的字段
下表显示了可用字段。 使用 DNS 架构规范化字段名称。
字段名称 | 值 | 说明 |
---|---|---|
“EventOriginalType” | 256 到 280 的数字 | Windows DNS eventID,指示 DNS 协议事件的类型。 |
EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP • REFUSED • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
操作的 DNS 结果字符串,由 Internet 编号分配机构 (IANA) 定义。 |
DvcIpAdrr | IP 地址 | 报告事件的服务器的 IP 地址。 此字段还包含地理位置和恶意 IP 信息。 |
DnsQuery | 域名 (FQDN) | 表示要解析的域名的字符串。 • 可以接受多个值(逗号分隔的列表)和通配符。 例如: *.microsoft.com,google.com,facebook.com • 查看有关使用通配符的这些注意事项。 |
DnsQueryTypeName | • A • NS • MD • MF • CNAME • SOA • MB • MG • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • NSAP • NSAP-PTR • SIG • KEY • PX • GPOS • AAAA • LOC • NXT • EID • NIMLOC • SRV |
请求的 DNS 属性。 IANA 定义的 DNS 资源记录类型名称。 |
ASIM 规范化 DNS 架构
下表描述了 Windows DNS 服务器字段并将其转换成了 DNS 规范化架构中显示的规范化字段名称。
Windows DNS 字段名称 | 规范化字段名称 | 类型 | 说明 |
---|---|---|---|
EventID | “EventOriginalType” | 字符串 | 原始事件类型或 ID。 |
RCODE | EventResult | 字符串 | 事件的结果(成功、部分成功、失败、NA)。 |
分析的 RCODE | EventResultDetails | 字符串 | IANA 定义的 DNS 响应代码。 |
InterfaceIP | DvcIpAdrr | 字符串 | 事件报告设备或接口的 IP 地址。 |
AA | DnsFlagsAuthoritative | Integer | 指示来自服务器的响应是否具有权威性。 |
AD | DnsFlagsAuthenticated | 整数 | 指示服务器已根据服务器策略验证了应答中的所有数据和响应权威性。 |
RQNAME | DnsQuery | 字符串 | 需要解析的域。 |
QTYPE | DnsQueryType | 整数 | IANA 定义的 DNS 资源记录类型。 |
端口 | SrcPortNumber | 整数 | 发送查询的源端口。 |
源 | SrcIpAddr | IP 地址 | 发送 DNS 请求的客户端的 IP 地址。 对于递归 DNS 请求,此值通常是报告设备的 IP,在大多数情况下为 127.0.0.1 。 |
ElapsedTime | DnsNetworkDuration | 整数 | 完成 DNS 请求所用的时间。 |
GUID | DnsSessionId | 字符串 | 报告设备报告的 DNS 会话标识符。 |
后续步骤
在本文中,你已了解用于使用“通过 AMA 处理 Windows DNS 事件”连接器筛选 DNS 日志数据的字段。 若要详细了解 Microsoft Sentinel,请参阅以下文章:
- 开始使用 Microsoft Sentinel 检测威胁。
- 使用工作簿监视数据。