Protección y visualización del tráfico DNS

Para crear una directiva de seguridad de DNS mediante Azure Portal:

1. En la página Inicio de Azure Portal, busque y seleccione Directivas de seguridad de DNS. También puede elegir Directiva de seguridad de DNS en Azure Marketplace.

2. Seleccione + Crear para empezar a crear una directiva.

3. En la pestaña Aspectos básicos, seleccione la suscripción y el grupo de recursos, o bien cree un grupo de recursos.

4. Junto a Nombre de instancia, escriba un nombre para la directiva de seguridad de DNS y, después, elija la Región donde se aplica la directiva de seguridad.

   Nota:

   Una directiva de seguridad de DNS solo se puede aplicar a las redes virtuales de la misma región que la directiva de seguridad.

   

5. Seleccione Siguiente: Vínculo de red virtual y, después + Agregar.

6. Se muestran las redes virtuales de la misma región que la directiva de seguridad. Seleccione una o varias redes virtuales disponibles y, después, Agregar. No puede elegir una red virtual que ya esté asociada a otra directiva de seguridad. En el ejemplo siguiente, dos redes virtuales están asociadas a una directiva de seguridad, lo que deja dos redes virtuales disponibles para seleccionar.

   

7. Se muestran las redes virtuales seleccionadas. Si quiere, puede quitar redes virtuales de la lista antes de crear vínculos de red virtual.

   

   Nota:

   Los vínculos de red virtual se crean para todas las redes virtuales que se muestran en la lista, estén o no seleccionadas. Use casillas para seleccionar las redes virtuales que quiera eliminar de la lista.

8. Seleccione Revisar y crear y, luego, Crear. Aquí se omite Siguiente: Reglas de tráfico DNS, pero también puede crear reglas de tráfico ahora. En esta guía, las reglas de tráfico y las listas de dominios DNS se crean y se aplican a la directiva de seguridad de DNS más adelante.

Creación de un área de trabajo de Log Analytics

Omita esta sección si ya tiene un área de trabajo de Log Analytics que quiera usar.

Para crear un área de trabajo de Log Analytics mediante Azure Portal:

1. En la página Inicio de Azure Portal, busque y seleccione Áreas de trabajo de Log Analytics. También puede elegir Área de trabajo de Log Analytics en Azure Marketplace.

2. Seleccione + Crear para empezar a crear un área de trabajo.

3. En la pestaña Aspectos básicos, seleccione la suscripción y el grupo de recursos, o bien cree un grupo de recursos.

4. Junto a Nombre, escriba un nombre para el área de trabajo y, después, elija la Región para el área de trabajo.

   

5. Seleccione Revisar y crear y, luego, Crear.

Configuración de valores de diagnóstico

Ahora que tiene un área de trabajo de Log Analytics, configure las opciones de diagnóstico de la directiva de seguridad para usarla.

Para configurar valores de diagnóstico:

1. Seleccione la directiva de seguridad de DNS que ha creado (myeast-secpol en este ejemplo).

2. En Supervisión, seleccione Configuración de diagnóstico.

3. Seleccione Agregar configuración de diagnóstico.

4. Junto a Nombre de configuración de diagnóstico, escriba un nombre para los registros que recopila aquí.

5. En Registros y en Métricas, seleccione "todos" los registros y métricas.

6. En Detalles del destino, seleccione Enviar al área de trabajo de Log Analytics y, después, seleccione la suscripción y el área de trabajo que ha creado.

7. Seleccione Guardar. Consulte el ejemplo siguiente.

   

Creación de una lista de dominios DNS

Para crear una lista de dominios DNS mediante Azure Portal:

1. En la página Inicio de Azure Portal, busque y seleccione Listas de dominios DNS.

2. Seleccione + Crear para empezar a crear una lista de dominios.

3. En la pestaña Aspectos básicos, seleccione la suscripción y el grupo de recursos, o bien cree un grupo de recursos.

4. Junto a Nombre de lista dominios, escriba un nombre para la lista de dominios y, después, elija la Región para la lista.

   Nota:

   Las directivas de seguridad necesitan listas de dominios en la misma región.

5. Seleccione Siguiente: Dominios DNS.

6. En la pestaña Dominios DNS, escriba los nombres de dominio manualmente de uno en uno, o bien impórtelos desde un archivo de valores separados por comas (CSV).

   

7. Cuando haya terminado de escribir los nombres de dominio, seleccione Revisar y crear y despuésCrear.

Repita esta sección para crear más listas de dominios si quiere. Cada lista de dominios se puede asociar a una regla de tráfico que tenga una de estas tres acciones:

• Permitir: permitir la consulta de DNS y registrarla.
• Bloquear: bloquear la consulta de DNS y registrar la acción de bloqueo.
• Alertar: permitir la consulta de DNS y registrar una alerta.

Se pueden agregar o quitar dinámicamente varias listas de dominios de una sola regla de tráfico DNS.

Configuración de reglas de tráfico DNS

Ahora que tiene una lista de dominios DNS, configure las opciones de diagnóstico de la directiva de seguridad para usar este área de trabajo.

Para configurar valores de diagnóstico:

1. Seleccione la directiva de seguridad de DNS que ha creado (myeast-secpol en este ejemplo).

2. En Configuración, seleccione Reglas de tráfico DNS.

3. Seleccione +Agregar. Se abre el panel Agregar regla de tráfico DNS.

4. Junto a Prioridad, escriba un valor comprendido entre 100 y 65 000. Las reglas con números más bajos tienen mayor prioridad.

5. Junto a Nombre de la regla, escriba un nombre para la regla.

6. Junto a Listas de dominios DNS, seleccione las listas de dominios que se usarán en esta regla.

7. Junto a Acción de tráfico, seleccione Permitir, Bloquearo Alertar en función del tipo de acción que se debe aplicar a los dominios seleccionados. En este ejemplo, se ha elegidoPermitir.

8. Deje el Estado de regla predeterminado como Habilitado y seleccione Guardar.

   

9. Actualice la vista para comprobar que la regla se ha agregado correctamente. Puede editar acciones de tráfico, listas de dominios DNS, la prioridad de la regla y el estado de la regla.

   

Protección del tráfico DNS con la fuente de inteligencia sobre amenazas

La fuente de inteligencia sobre amenazas es una lista de dominios totalmente administrada que se actualiza continuamente en segundo plano. Dentro de la directiva de seguridad de DNS, se trata igual que cualquier otra lista de dominios estándar, usando el mismo modelo de configuración para la prioridad y para la acción elegida (permitir, bloquear o alerta).

Selecciónelo agregando una nueva regla de tráfico DNS y configúrela con la acción que desea aplicar y su prioridad respectiva.

Asocie la fuente de inteligencia sobre amenazas con una regla de tráfico DNS seleccionando inteligencia sobre amenazas de Azure DNS:

Configure la acción y la prioridad:

Visualización y prueba de registros DNS

1. Vaya a la directiva de seguridad de DNS y, después, en Supervisión, seleccione Configuración de diagnóstico.
2. Seleccione el área de trabajo de Log Analytics asociada anteriormente a la directiva de seguridad (secpol-loganalytics en este ejemplo).
3. Seleccione Registros en la parte izquierda.
4. Para ver las consultas de DNS desde una máquina virtual con la dirección IP 10.40.40.4 en la misma región, ejecute una consulta de la siguiente manera:

DNSQueryLogs
| where SourceIpAddress contains "10.40.40.4"
| limit 1000

Observe el ejemplo siguiente:

Recuerde que la regla de tráfico que contiene contoso.com se ha establecido en Permitir consultas. La consulta de la máquina virtual da como resultado una respuesta correcta:

C:\>dig db.sec.contoso.com +short
10.0.1.2

Al expandir los detalles de la consulta en Log Analytics se muestran datos como los siguientes:

• NombreDeOperación: RESPUESTA_EXITOSA
• Región: eastus
• QueryName: db.sec.contoso.com
• TipoDeConsulta: A
• SourceIpAddress: 10.40.40.4
• Ruta de Resolución: PrivateDnsResolution
• ResolverPolicyRuleAction: Permitir

Si la regla de tráfico se edita y se establece en Bloquear consultas de contoso.com, la consulta de la máquina virtual genera una respuesta con errores. Asegúrese de seleccionar Guardar al cambiar los componentes de una regla.

Este cambio da como resultado una consulta con errores:

C:\>dig @168.63.129.16 db.sec.contoso.com 
; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> db.sec.contoso.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26872
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1224
; COOKIE: 336258f5985121ba (echoed)
;; QUESTION SECTION:
; db.sec.contoso.com. IN  A
 
;; ANSWER SECTION:
db.sec.contoso.com. 1006632960 IN CNAME blockpolicy.azuredns.invalid.
 
;; AUTHORITY SECTION:
blockpolicy.azuredns.invalid. 60 IN     SOA     ns1.azure-dns.com. support.azure.com. 1000 3600 600 1800 60
 
;; Query time: 0 msec
;; SERVER: 168.63.129.16#53(168.63.129.16) (UDP)
;; WHEN: Mon Sep 08 11:06:59 UTC 2025
;; MSG SIZE  rcvd: 183

La consulta con errores se registra en Log Analytics:

Configure un repositorio de PowerShell local e instale el módulo Az.DnsResolver de PowerShell. Esto solo es necesario si no usa Cloud Shell.

1. Cree una carpeta en el disco para que actúe como repositorio local de PowerShell. En este ejemplo, se usa C:\bin\PSRepo.

2. Descargue Az.DnsResolver.0.2.6.nupkg en este directorio.

3. Ejecute el comando siguiente para configurar el repositorio local:

   # Register the repository
   Register-PSRepository -Name LocalPSRepo -SourceLocation 'C:\bin\PSRepo' -ScriptSourceLocation 'C:\bin\PSRepo' -InstallationPolicy Trusted
   
   # Install the Az.DnsResolver module
   Install-Module -Name Az.DnsResolver -RequiredVersion 0.2.6 -SkipPublisherCheck
   
   # If you already installed Az.DnsResolver, update your version to 0.2.6
   Update-Module -Name Az.DnsResolver
   
   # Confirm that the Az.DnsResolver module was installed properly
   Get-InstalledModule -Name Az.DnsResolver
   

4. Establecimiento del contexto de la suscripción

   # Connect PowerShell to Azure cloud
   Connect-AzAccount -Environment AzureCloud
   
   # Set your default subscription
   Select-AzSubscription -SubscriptionObject (Get-AzSubscription -SubscriptionId <your-sub-id>)
   

5. Cree una directiva de seguridad de DNS con PowerShell.

   $ErrorActionPreference = "Stop"
   
   ################################################################
   # Configure resource names and locations
   ################################################################
   
   $resourceNumber = 1 # Customize this if needed
   $region = "centralus" # Change this region to your preference
   if ($env:username) {$name = "$($env:username)"} else {$name = "$($env:USER)"}  # The environment variable is different in Cloud Shell vs local PowerShell
   $nameSuffix = "test-$($region)-$($name)-resolverpolicytest$($resourceNumber)-test"
   $resourceGroupName = "rg-$($nameSuffix)"
   $virtualNetworkName = "vnet-$($nameSuffix)"
   $resolverPolicyName = "dnsresolverpolicy-$($nameSuffix)"
   $domainListName = "domainlist-$($nameSuffix)"
   $securityRuleName = "securityrule-$($nameSuffix)"
   $resolverPolicyLinkName = "dnsresolverpolicylink"
   $storageAccountName = "stor$($name.ToLower())"  # Customize this, taking care that the name is not too long
   $storageAccountName = $storageAccountName.Substring(0, [Math]::Min(24, $storageAccountName.Length)) # Storage account names must be 3-24 characters long
   $diagnosticSettingName = "diagnosticsetting-$($nameSuffix)"
   $vnetId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$virtualNetworkName"
   
   ################################################################
   # Create resource group, virtual network, and storage account
   ################################################################
   
   Write-Host "Creating resource group"
   $rg = New-AzResourceGroup -Name $resourceGroupName -Location $region
   Write-Host ($rg | ConvertTo-Json -Depth 64)
   
   Write-Host "Creating virtual network"
   $defaultSubnet = New-AzVirtualNetworkSubnetConfig -Name "default" -AddressPrefix "10.$resourceNumber.0.0/24"
   $vnet = New-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName -Location $region -AddressPrefix "10.$resourceNumber.0.0/16" -Subnet $defaultSubnet
   Write-Host ($vnet | ConvertTo-Json -Depth 64)
   
   Write-Host "Creating storage account"
   $storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -Location $region -SkuName Standard_GRS
   Write-Host $storageAccount.ToString()
   
   ################################
   # Create DNS security policy
   ################################
   
   Write-Host "Creating DNS resolver policy"
   $resolverPolicy = New-AzDnsResolverPolicy -Location $region -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
   Write-Host $resolverPolicy.ToJsonString()
   
   Write-Host "Creating DNS resolver policy virtual network link"
   $link = New-AzDnsResolverPolicyVirtualNetworkLink -Location $region -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -VirtualNetworkId $vnetId
   Write-Host $link.ToJsonString()
   
   $log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -Category DnsResponse
   
   Write-Host "Creating diagnostic setting"
   $diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId  $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
   Write-Host $diagnosticSetting.ToJsonString()
   
   Write-Host "Creating domain list"
   $domainList = New-AzDnsResolverDomainList -Location $region -ResourceGroupName $resourceGroupName -Name $domainListName -Domain @("contoso.com.", "adatum.com.")
   Write-Host $domainList.ToJsonString()
   
   Write-Host "Creating DNS security policy rule"
   $rule = New-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsSecurityRuleState "Enabled" -ActionType "Block" -ActionBlockResponseCode "SERVFAIL" -Priority 100 -DnsResolverPolicyName $resolverPolicyName -Location $region
   Write-Host $rule.ToJsonString()
   

6. Opcional: actualice las directivas de resolución DNS con nuevos valores.

   ################################
   # Update DNS security policy
   ################################
   
   Write-Host "Updating DNS resolver policy"
   $resolverPolicy = Update-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName -Tag @{"key0" = "value0"} 
   Write-Host $resolverPolicy.ToJsonString()
   
   Write-Host "Updating DNS resolver policy virtual network link"
   $link = Update-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -Tag @{"key1" = "value1"} 
   Write-Host $link.ToJsonString()
   
   $log = New-AzDiagnosticSettingLogSettingsObject -Enabled $false -Category DnsResponse
   
   Write-Host "Updating diagnostic setting by disabling log category"
   $diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId  $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
   Write-Host $diagnosticSetting.ToJsonString()
   
   Write-Host "Updating domain list"
   $domainList = Update-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName -Tag @{"key2" = "value2"} 
   Write-Host $domainList.ToJsonString()
   
   Write-Host "Updating DNS security policy rule"
   $rule = Update-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsResolverPolicyName $resolverPolicyName
   Write-Host $rule.ToJsonString()
   

7. Revise la configuración de la directiva de seguridad de DNS.

   ################################
   # Get DNS security policy
   ################################
   
   Write-Host "Getting DNS resolver policy"
   $resolverPolicy = Get-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
   Write-Host $resolverPolicy.ToJsonString()
   
   Write-Host "Getting DNS resolver policy virtual network link"
   $link = Get-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName
   Write-Host $link.ToJsonString()
   
   Write-Host "Getting diagnostic setting"
   $diagnosticSetting = Get-AzDiagnosticSetting -ResourceId $resolverPolicy.id
   Write-Host $diagnosticSetting.ToJsonString()
   
   Write-Host "Getting domain list"
   $domainList = Get-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName
   Write-Host $rule.ToJsonString()
   
   Write-Host "Getting DNS security policy rule"
   $rule = Get-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverPolicyName $resolverPolicyName
   Write-Host $rule.ToJsonString()
   

Prueba de la directiva de seguridad de DNS

Para probar la nueva directiva de seguridad, conéctese a un dispositivo host dentro de la red virtual y emita una consulta para los dominios bloqueados. En este ejemplo, la lista de dominios es contoso.com y adatum.com.

Entrada:

Resolve-DnsName -Name contoso.com -Type NS

Salida:

Resolve-DnsName : contoso.com : DNS server failure
At line:1 char:1
+ Resolve-DnsName -Name contoso.com -Type NS
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (contoso.com:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : RCODE_SERVER_FAILURE,Microsoft.DnsClient.Commands.ResolveDnsName