Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel ermöglicht Es Ihnen, Ereignisse aus Ihrem Windows Domain Name System (DNS)-Serverprotokollen in der ASimDnsActivityLog normalisierten Schematabelle zu streamen und zu filtern. In diesem Artikel werden die Felder beschrieben, die zum Filtern der Daten und zum Normalisierungsschema für die Windows-DNS-Serverfelder verwendet werden.
Der Azure Monitor Agent (AMA) und seine DNS-Erweiterung werden auf Ihrem Windows Server installiert, um Daten aus Ihren DNS-Analyseprotokollen in Ihren Microsoft Sentinel-Arbeitsbereich hochzuladen. Sie streamen und filtern die Daten mithilfe des Windows DNS-Ereignisses über AMA-Connector.
Verfügbare Felder zum Filtern
Diese Tabelle zeigt die verfügbaren Felder an. Die Feldnamen werden mithilfe des DNS-Schemas normalisiert.
| Feldname | Werte | BESCHREIBUNG |
|---|---|---|
| EventOriginalType | Zahlen zwischen 256 und 280 | Die Windows-DNS-Ereignis-ID, die den Typ des DNS-Protokollereignisses angibt. |
| EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP • REFUSED • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
Die DNS-Ergebniszeichenfolge des Vorgangs, wie von der Internet Assigned Numbers Authority (IANA) definiert. |
| DvcIpAdrr | IP-Adressen | Die IP-Adresse des Servers, der das Ereignis meldet. Dieses Feld enthält auch Geo-Standort- und böswillige IP-Informationen. |
| DnsQuery | Domänennamen (FQDN) | Die Zeichenfolge, die den Domänennamen darstellt, der aufgelöst werden soll. • Kann mehrere Werte in einer durch Komma getrennten Liste und Wildcards akzeptieren. Zum Beispiel: *.microsoft.com,google.com,facebook.com• Überprüfen Sie diese Überlegungen für die Verwendung von Wildcards. |
| DnsQueryTypeName | • A • NS • MD • MF • CNAME • SOA • MB • MG • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • NSAP • NSAP-PTR • SIG • KEY • PX • GPOS • AAAA • LOC • NXT • EID • NIMLOC • SRV |
Das angeforderte DNS-Attribut. Der Typname des DNS-Ressourceneintrags, wie von IANA definiert. |
ASIM normalisiertes DNS-Schema
Diese Tabelle beschreibt und übersetzt Windows DNS-Serverfelder in die normalisierten Feldnamen, da sie im DNS-Normalisierungsschema angezeigt werden.
| Windows DNS-Feldname | Normalisiertes Feld | type | BESCHREIBUNG |
|---|---|---|---|
| EventId | EventOriginalType | String | Der ursprüngliche Ereignistyp oder die ID. |
| RCODE | EventResult | String | Das Ergebnis des Ereignisses (Erfolg, Teil, Fehler, NA). |
| RCODE analysiert | EventResultDetails | String | Der DNS-Antwortcode gemäß der Definition von IANA. |
| InterfaceIP | DvcIpAdrr | String | Die IP-Adresse des Ereignisberichtsgeräts oder der Schnittstelle. |
| AA | DnsFlagsAuthoritative | Integer | Gibt an, ob die Antwort vom Server autorisierend war. |
| AD | DnsFlagsAuthenticated | Integer | Gibt an, dass der Server alle Daten in der Antwort und die Autorität der Antwort gemäß den Serverrichtlinien überprüft hat. |
| RQNAME | DnsQuery | String | Die Domäne muss aufgelöst werden. |
| QTYPE | DnsQueryType | Integer | Der Typ des DNS-Ressourceneintrags, wie von IANA definiert. |
| Port | SrcPortNumber | Integer | Quellport, der die Abfrage sendet. |
| `Source` | SrcIpAddr | IP-Adresse | Die IP-Adresse des Clients, der die DNS-Anforderung sendet. Bei einer rekursiven DNS-Anforderung ist dieser Wert in den meisten Fällen normalerweise die IP des meldenden Geräts 127.0.0.1 |
| ElapsedTime | DnsNetworkDuration | Integer | Die Zeit, die zum Abschließen der DNS-Anfrage benötigt wurde. |
| GUID | DnsSessionId | String | Der DNS-Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. |
Nächste Schritte
In diesem Artikel haben Sie die Felder kennengelernt, die zum Filtern von DNS-Protokolldaten mithilfe der Windows-DNS-Ereignisse über den AMA-Connector verwendet werden. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.
- Verwenden Sie Arbeitsmappen, um Ihre Daten zu überwachen.