Filtern und Anzeigen von DNS-Datenverkehr

In diesem Artikel erfahren Sie, wie Sie DNS-Datenverkehr im virtuellen Netzwerk mit DNS-Sicherheitsrichtlinie anzeigen und filtern und Ihren DNS-Datenverkehr mit dem Threat Intelligence-Feed in Azure DNS sichern.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Ein virtuelles Netzwerk ist erforderlich. Weitere Informationen finden Sie unter Erstellen eines virtuellen Netzwerks.

Erstellen einer Sicherheitsrichtlinie

Wählen Sie eine der folgenden Methoden aus, um eine Sicherheitsrichtlinie mithilfe des Azure-Portals oder von PowerShell zu erstellen:

Azure-Portal
PowerShell

Folgendermaßen erstellen Sie eine DNS-Sicherheitsrichtlinie mithilfe des Azure-Portals:

Suchen Sie auf der Startseite des Azure-Portals nach DNS-Sicherheitsrichtlinien, und wählen Sie die Option aus. Sie können auch DNS-Sicherheitsrichtlinie im Azure Marketplace auswählen.
Wählen Sie + Erstellen aus, um mit der Erstellung einer neuen Richtlinie zu beginnen.
Wählen Sie auf der Registerkarte Allgemeine Informationen das Abonnement und die Ressourcengruppe aus, oder erstellen Sie eine neue Ressourcengruppe.
Geben Sie neben Instanznameeinen Namen für die DNS-Sicherheitsrichtlinie ein, und wählen Sie dann die Region aus, für die die Sicherheitsrichtlinie gelten soll.

Hinweis

Eine DNS-Sicherheitsrichtlinie kann nur auf VNets in derselben Region wie die Sicherheitsrichtlinie angewendet werden.
Wählen Sie Weiter: VNet-Verknüpfungen und dann + Hinzufügen aus.
Es werden VNets in derselben Region wie die Sicherheitsrichtlinie angezeigt. Wählen Sie mindestens ein verfügbares VNet und dann Hinzufügen aus. Sie können kein VNet auswählen, das bereits einer anderen Sicherheitsrichtlinie zugeordnet ist. Im folgenden Beispiel sind zwei VNets einer Sicherheitsrichtlinie zugeordnet, sodass zwei weitere VNets bleiben, die ausgewählt werden können.
Die ausgewählten VNets werden angezeigt. Wenn gewünscht, können Sie VNets aus der Liste entfernen, bevor Sie VNet-Verknüpfungen erstellen.

Hinweis

Es werden VNet-Verknüpfungen für alle in der Liste angezeigten VNets unabhängig davon erstellt, ob sie ausgewählt sind. Verwenden Sie Kontrollkästchen, um VNets zum Entfernen aus der Liste auszuwählen.
Wählen Sie Überprüfen und erstellen und anschließend Erstellen aus. Das Auswählen von Weiter: DNS-Datenverkehrsregeln wird hier übersprungen, Sie können aber an dieser Stelle nach Bedarf Datenverkehrsregeln erstellen. In diesem Leitfaden werden Datenverkehrsregeln und DNS-Domänenlisten erstellt und später auf die DNS-Sicherheitsrichtlinie angewendet.

Erstellen eines Log Analytics-Arbeitsbereichs

Überspringen Sie diesen Abschnitt, wenn Sie bereits über einen Log Analytics-Arbeitsbereich verfügen, den Sie verwenden möchten.

Folgendermaßen erstellen Sie einen Log Analytics-Arbeitsbereichs mithilfe des Azure-Portals:

Suchen Sie auf der Startseite des Azure-Portals nach Log Analytics-Arbeitsbereiche, und wählen Sie diese Option aus. Sie können auch Log Analytics-Arbeitsbereich im Azure Marketplace auswählen.
Wählen Sie + Erstellen aus, um mit der Erstellung eines neuen Arbeitsbereichs zu beginnen.
Wählen Sie auf der Registerkarte Allgemeine Informationen das Abonnement und die Ressourcengruppe aus, oder erstellen Sie eine neue Ressourcengruppe.
Geben Sie neben Name einen Namen für den Arbeitsbereich ein, und wählen Sie dann die Region für ihn aus.
Wählen Sie Überprüfen und erstellen und anschließend Erstellen aus.

Konfigurieren von Diagnoseeinstellungen

Nachdem Sie nun über einen Log Analytics-Arbeitsbereich verfügen, konfigurieren Sie die Diagnoseeinstellungen in Ihrer Sicherheitsrichtlinie, um diesen Arbeitsbereich zu verwenden.

Folgendermaßen konfigurieren Sie die Diagnoseeinstellungen:

Wählen Sie die von Ihnen erstellte DNS-Sicherheitsrichtlinie aus (in diesem Beispiel myeast-secpol).
Wählen Sie unter Überwachung die Option Diagnoseeinstellungen aus.
Klicken Sie auf Diagnoseeinstellung hinzufügen.
Geben Sie neben Name der Diagnoseeinstellung einen Namen für die Protokolle ein, die Sie hier sammeln.
Wählen Sie unter Protokolle und unter Metriken „alle“ Protokolle und Metriken aus.
Wählen Sie unter Zieldetails die Option An Log Analytics-Arbeitsbereich senden und dann das Abonnement und den von Ihnen erstellten Arbeitsbereich aus.
Wählen Sie Speichern aus. Siehe folgendes Beispiel.

Erstellen einer DNS-Domänenliste

Folgendermaßen erstellen Sie eine DNS-Domänenliste mithilfe des Azure-Portals:

Suchen Sie auf der Startseite des Azure-Portals nach DNS-Domänenlisten, und wählen Sie die Option aus.
Wählen Sie + Erstellen aus, um mit der Erstellung einer neuen Domänenliste zu beginnen.
Wählen Sie auf der Registerkarte Allgemeine Informationen das Abonnement und die Ressourcengruppe aus, oder erstellen Sie eine neue Ressourcengruppe.
Geben Sie neben Name der Domänenliste einen Namen für die Domänenliste ein, und wählen Sie dann die Region für sie aus.

Hinweis

Sicherheitsrichtlinien erfordern Domänenlisten in derselben Region.
Wählen Sie Weiter: DNS-Domänen aus.
Geben Sie auf der Registerkarte DNS-Domänen manuell Domänennamen ein, oder importieren Sie sie aus einer CSV-Datei (Comma Separated Value, durch Trennzeichen getrennte Datei).
Wenn Sie die Eingabe der Domänennamen abgeschlossen haben, wählen Sie Überprüfen + erstellen und dann Erstellen aus.

Wiederholen Sie diesen Abschnitt, um bei Bedarf weitere Domänenlisten zu erstellen. Jede Domänenliste kann einer Datenverkehrsregel zugeordnet werden, die eine von drei Aktionen enthält:

Zulassen: Zulassen und Protokollieren der DNS-Abfrage.
Blockieren: Blockieren der DNS-Abfrage und Protokollieren der Blockieren-Aktion.
Warnen: Zulassen der DNS-Abfrage und Protokollieren einer Warnung.

Es können mehrere Domänenlisten dynamisch zu einer einzelnen DNS-Datenverkehrsregel hinzugefügt oder aus ihr entfernt werden.

Konfigurieren von DNS-Datenverkehrsregeln

Nachdem Sie nun über eine DNS-Domänenliste verfügen, konfigurieren Sie die Diagnoseeinstellungen in Ihrer Sicherheitsrichtlinie, um diesen Arbeitsbereich zu verwenden.

Hinweis

CNAME-Ketten werden untersucht („verfolgt“), um zu ermitteln, ob die Datenverkehrsregeln, die einer Domäne zugeordnet sind, gelten sollen. Beispiel: Eine Regel, die für malicious.contoso.com gilt, gilt auch für adatum.com, wenn adatum.com zu malicious.contoso.com zugeordnet ist oder wenn malicious.contoso.com an einer beliebigen Stelle der CNAME-Kette für adatum.com erscheint.

Folgendermaßen konfigurieren Sie die Diagnoseeinstellungen:

Wählen Sie die von Ihnen erstellte DNS-Sicherheitsrichtlinie aus (in diesem Beispiel myeast-secpol).
Wählen Sie unter Einstellungen die Option DNS-Datenverkehrsregeln aus.
Wählen Sie + Hinzufügen. Der Bereich DNS-Datenverkehrsregel hinzufügen wird geöffnet.
Geben Sie neben Priorität einen Wert zwischen 100 und 65.000 ein. Regeln mit niedrigeren Zahlen haben eine höhere Priorität.
Geben Sie neben Name der Regel einen Namen für die Regel ein.
Wählen Sie neben DNS-Domänenlisten die Domänenlisten aus, die in dieser Regel verwendet werden sollen.
Wählen Sie neben DatenverkehrsaktionZulassen, Blockierenoder Warnen basierend auf dem Aktionstyp aus, der für die ausgewählten Domänen gelten soll. In diesem Beispiel wird Zulassen ausgewählt.
Belassen Sie den standardmäßigen Regelstatus auf Aktiviert , und wählen Sie Speichern aus.
Aktualisieren Sie die Ansicht, um zu überprüfen, ob die Regel erfolgreich hinzugefügt wurde. Sie können Datenverkehrsaktionen, DNS-Domänenlisten sowie die Priorität und den Status der Regel bearbeiten.

Sicherer DNS-Datenverkehr mit Threat-Intelligence-Feed

Der Bedrohungserkennungsfeed ist eine vollständig verwaltete Domänenliste, die kontinuierlich im Hintergrund aktualisiert wird. Innerhalb der DNS-Sicherheitsrichtlinie wird sie genauso behandelt wie jede andere Standarddomänenliste – mit demselben Konfigurationsmodell für Priorität und für die ausgewählte Aktion (Zulassen, Blockieren oder Warnung).

Wählen Sie diese Option, indem Sie eine neue DNS-Datenverkehrsregel hinzufügen und diese mit der gewünschten Aktion sowie deren jeweiliger Priorität konfigurieren.

Ordnen Sie den Threat Intelligence-Feed einer DNS-Datenverkehrsregel zu, indem Sie Azure DNS-Bedrohungsintelligenz auswählen:

Konfigurieren Sie die Aktion und Priorität:

Anzeigen und Testen von DNS-Protokollen

Navigieren Sie zu Ihrer DNS-Sicherheitsrichtlinie, und wählen Sie dann unter ÜberwachungDiagnoseeinstellungen aus.
Wählen Sie den Log Analytics-Arbeitsbereich aus, den Sie der Sicherheitsrichtlinie zuvor zugeordnet haben (in diesem Beispiel secpol-loganalytics).
Wählen Sie auf der linken Seite Protokolle aus.
Um DNS-Abfragen von einem virtuellen Computer mit der IP-Adresse 10.40.40.4 in derselben Region anzuzeigen, führen Sie die folgende Abfrage aus:

DNSQueryLogs
| where SourceIpAddress contains "10.40.40.4"
| limit 1000

Sehen Sie sich folgendes Beispiel an:

Denken Sie daran, dass die Datenverkehrsregel, die „contoso.com“ enthält, für Abfragen auf Zulassen festgelegt wurde. Die Abfrage vom virtuellen Computer führt zu einer erfolgreichen Antwort:

C:\>dig db.sec.contoso.com +short
10.0.1.2

Wenn Sie die Abfragedetails in der Protokollanalyse erweitern, werden beispielsweise folgende Daten angezeigt:

OperationName: ERFOLGREICHE_ANTWORT
Region: East US
QueryName: db.sec.contoso.com
Abfragetyp: A
Quell-IP-Adresse: 10.40.40.4
Auflösungspfad: PrivateDnsResolution
ResolverPolicyRuleAction: Erlauben

Wenn die Datenverkehrsregel bearbeitet und auf das Blockieren von „contoso.com“-Abfragen festgelegt wird, führt die Abfrage vom virtuellen Computer zu einer Fehlerantwort. Achten Sie darauf, Speichern auszuwählen, wenn Sie die Komponenten einer Regel ändern.

Screenshot, der das Bearbeiten einer Datenverkehrsregel zeigt.

Diese Änderung führt zu einer fehlgeschlagenen Abfrage:


C:\>dig @168.63.129.16 db.sec.contoso.com 
; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> db.sec.contoso.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26872
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1224
; COOKIE: 336258f5985121ba (echoed)
;; QUESTION SECTION:
; db.sec.contoso.com. IN  A
 
;; ANSWER SECTION:
db.sec.contoso.com. 1006632960 IN CNAME blockpolicy.azuredns.invalid.
 
;; AUTHORITY SECTION:
blockpolicy.azuredns.invalid. 60 IN     SOA     ns1.azure-dns.com. support.azure.com. 1000 3600 600 1800 60
 
;; Query time: 0 msec
;; SERVER: 168.63.129.16#53(168.63.129.16) (UDP)
;; WHEN: Mon Sep 08 11:06:59 UTC 2025
;; MSG SIZE  rcvd: 183

Die fehlgeschlagene Abfrage wird in der Protokollanalyse aufgezeichnet:

Screenshot einer fehlgeschlagenen Abfrage.

Hinweis

Es kann einige Minuten dauern, bis Abfrageergebnisse in der Protokollanalyse angezeigt werden.

Richten Sie ein lokales PowerShell-Repository ein, und installieren Sie das PowerShell-Modul „Az.DnsResolver“. Dies ist nur erforderlich, wenn Sie nicht Cloud Shell verwenden.

Erstellen Sie einen neuen Ordner auf Ihrem Datenträger, der als lokales PowerShell-Repository fungiert. In diesem Beispiel wird C:\bin\PSRepo verwendet.
Laden Sie Az.DnsResolver.0.2.6.nupkg in dieses Verzeichnis herunter.

Richten Sie Ihr lokales Repository ein, indem Sie den folgenden Befehl ausführen:

# Register the repository
Register-PSRepository -Name LocalPSRepo -SourceLocation 'C:\bin\PSRepo' -ScriptSourceLocation 'C:\bin\PSRepo' -InstallationPolicy Trusted

# Install the Az.DnsResolver module
Install-Module -Name Az.DnsResolver -RequiredVersion 0.2.6 -SkipPublisherCheck

# If you already installed Az.DnsResolver, update your version to 0.2.6
Update-Module -Name Az.DnsResolver

# Confirm that the Az.DnsResolver module was installed properly
Get-InstalledModule -Name Az.DnsResolver

Festlegen des Abonnementkontexts

# Connect PowerShell to Azure cloud
Connect-AzAccount -Environment AzureCloud

# Set your default subscription
Select-AzSubscription -SubscriptionObject (Get-AzSubscription -SubscriptionId <your-sub-id>)

Erstellen Sie eine DNS-Sicherheitsrichtlinie mithilfe von PowerShell.

$ErrorActionPreference = "Stop"

################################################################
# Configure resource names and locations
################################################################

$resourceNumber = 1 # Customize this if needed
$region = "centralus" # Change this region to your preference
if ($env:username) {$name = "$($env:username)"} else {$name = "$($env:USER)"}  # The environment variable is different in Cloud Shell vs local PowerShell
$nameSuffix = "test-$($region)-$($name)-resolverpolicytest$($resourceNumber)-test"
$resourceGroupName = "rg-$($nameSuffix)"
$virtualNetworkName = "vnet-$($nameSuffix)"
$resolverPolicyName = "dnsresolverpolicy-$($nameSuffix)"
$domainListName = "domainlist-$($nameSuffix)"
$securityRuleName = "securityrule-$($nameSuffix)"
$resolverPolicyLinkName = "dnsresolverpolicylink"
$storageAccountName = "stor$($name.ToLower())"  # Customize this, taking care that the name is not too long
$storageAccountName = $storageAccountName.Substring(0, [Math]::Min(24, $storageAccountName.Length)) # Storage account names must be 3-24 characters long
$diagnosticSettingName = "diagnosticsetting-$($nameSuffix)"
$vnetId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$virtualNetworkName"

################################################################
# Create resource group, virtual network, and storage account
################################################################

Write-Host "Creating resource group"
$rg = New-AzResourceGroup -Name $resourceGroupName -Location $region
Write-Host ($rg | ConvertTo-Json -Depth 64)

Write-Host "Creating virtual network"
$defaultSubnet = New-AzVirtualNetworkSubnetConfig -Name "default" -AddressPrefix "10.$resourceNumber.0.0/24"
$vnet = New-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName -Location $region -AddressPrefix "10.$resourceNumber.0.0/16" -Subnet $defaultSubnet
Write-Host ($vnet | ConvertTo-Json -Depth 64)

Write-Host "Creating storage account"
$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -Location $region -SkuName Standard_GRS
Write-Host $storageAccount.ToString()

################################
# Create DNS security policy
################################

Write-Host "Creating DNS resolver policy"
$resolverPolicy = New-AzDnsResolverPolicy -Location $region -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
Write-Host $resolverPolicy.ToJsonString()

Write-Host "Creating DNS resolver policy virtual network link"
$link = New-AzDnsResolverPolicyVirtualNetworkLink -Location $region -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -VirtualNetworkId $vnetId
Write-Host $link.ToJsonString()

$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -Category DnsResponse

Write-Host "Creating diagnostic setting"
$diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId  $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
Write-Host $diagnosticSetting.ToJsonString()

Write-Host "Creating domain list"
$domainList = New-AzDnsResolverDomainList -Location $region -ResourceGroupName $resourceGroupName -Name $domainListName -Domain @("contoso.com.", "adatum.com.")
Write-Host $domainList.ToJsonString()

Write-Host "Creating DNS security policy rule"
$rule = New-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsSecurityRuleState "Enabled" -ActionType "Block" -ActionBlockResponseCode "SERVFAIL" -Priority 100 -DnsResolverPolicyName $resolverPolicyName -Location $region
Write-Host $rule.ToJsonString()

Optional: Aktualisieren Sie die DNS-Resolverrichtlinien mit neuen Werten.

################################
# Update DNS security policy
################################

Write-Host "Updating DNS resolver policy"
$resolverPolicy = Update-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName -Tag @{"key0" = "value0"} 
Write-Host $resolverPolicy.ToJsonString()

Write-Host "Updating DNS resolver policy virtual network link"
$link = Update-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -Tag @{"key1" = "value1"} 
Write-Host $link.ToJsonString()

$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $false -Category DnsResponse

Write-Host "Updating diagnostic setting by disabling log category"
$diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId  $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
Write-Host $diagnosticSetting.ToJsonString()

Write-Host "Updating domain list"
$domainList = Update-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName -Tag @{"key2" = "value2"} 
Write-Host $domainList.ToJsonString()

Write-Host "Updating DNS security policy rule"
$rule = Update-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsResolverPolicyName $resolverPolicyName
Write-Host $rule.ToJsonString()

Überprüfen Sie die Konfiguration der DNS-Sicherheitsrichtlinie.

################################
# Get DNS security policy
################################

Write-Host "Getting DNS resolver policy"
$resolverPolicy = Get-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
Write-Host $resolverPolicy.ToJsonString()

Write-Host "Getting DNS resolver policy virtual network link"
$link = Get-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName
Write-Host $link.ToJsonString()

Write-Host "Getting diagnostic setting"
$diagnosticSetting = Get-AzDiagnosticSetting -ResourceId $resolverPolicy.id
Write-Host $diagnosticSetting.ToJsonString()

Write-Host "Getting domain list"
$domainList = Get-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName
Write-Host $rule.ToJsonString()

Write-Host "Getting DNS security policy rule"
$rule = Get-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverPolicyName $resolverPolicyName
Write-Host $rule.ToJsonString()

Testen der DNS-Sicherheitsrichtlinie

Um Ihre neue Sicherheitsrichtlinie zu testen, stellen Sie eine Verbindung mit einem Hostgerät im virtuellen Netzwerk her, und führen Sie eine Abfrage für die Domänen aus, die Sie blockiert haben. In diesem Beispiel besteht die Domänenliste aus contoso.com und adatum.com.

Eingabe:

Resolve-DnsName -Name contoso.com -Type NS

Ausgabe:

Resolve-DnsName : contoso.com : DNS server failure
At line:1 char:1
+ Resolve-DnsName -Name contoso.com -Type NS
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (contoso.com:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : RCODE_SERVER_FAILURE,Microsoft.DnsClient.Commands.ResolveDnsName

Sehen Sie sich die Konzepte im Zusammenhang mit der DNS-Sicherheitsrichtlinie an.
Lesen Sie den Artikel Private Azure DNS-Zonen – Szenarien.
Lesen Sie den Artikel DNS-Auflösung in virtuellen Netzwerken.

Feedback

War diese Seite hilfreich?

Last updated on 2025-11-19