Azure portal を使用して DNS セキュリティ ポリシーを作成するには:
Azure portal の [ホーム] ページで DNSセキュリティ ポリシーを検索して選択します。 また、Azure Marketplace から [DNS セキュリティ ポリシー] を選択することもできます。
[+ 作成] を選択して新しいポリシーの作成を開始します。
[基本] タブで、[サブスクリプション] と [リソース グループ] を選択するか、新しいリソース グループを作成します。
[インスタンス名] の横に DNS セキュリティ ポリシーの名前を入力し、セキュリティ ポリシーを適用する [リージョン] を選択します。
注
DNS セキュリティ ポリシーは、セキュリティ ポリシーと同じリージョン内の VNet にのみ適用できます。
![セキュリティ ポリシーの [基本] タブのスクリーンショット。](media/dns-traffic-log-how-to/secpol-basics.png)
[次へ: 仮想ネットワーク リンク] を選択し、次に [+ 追加] を選択します。
セキュリティ ポリシーと同じリージョンの VNet が表示されます。 1 つ以上の利用可能な VNet を選び、[追加] を選びます。 既に別のセキュリティ ポリシーに関連付けられている VNet を選択することはできません。 次の例では、2 つの VNet がセキュリティ ポリシーに関連付けられており、選択可能な VNet は 2 つです。
![セキュリティ ポリシーの [仮想ネットワーク リンク] タブのスクリーンショット。](media/dns-traffic-log-how-to/secpol-vnet-links.png)
選択された VNet が表示されます。 必要に応じて、仮想ネットワーク リンクを作成する前に、リストから VNet を削除できます。
注
仮想ネットワーク リンクは、選択されているかどうかにかかわらず、リストに表示されている全ての VNet に対して作成されます。 チェックボックスを使用して、リストから削除する VNet を選択します。
[確認および作成] を選択し、次に [作成] を選択します。
[次へ: DNS トラフィック ルール] の選択はここではスキップしますが、今すぐトラフィック ルールを作成することもできます。 このガイドでは、トラフィック ルールと DNS ドメイン リストを作成し、後で DNS セキュリティ ポリシーに適用します。
ログ分析ワークスペースを作成する
既に使用する Log Analytics ワークスペースがある場合は、このセクションをスキップします。
Azure portal を使用して Log Analytics ワークスペースを作成するには:
Azure portal の [ホーム] ページで、Log Analytics ワークスペースを検索して選択します。 Azure Marketplace から [Log Analytics ワークスペース] を選択することもできます。
[+ 作成] を選択して新しいワークスペースの作成を開始します。
[基本] タブで、[サブスクリプション] と [リソース グループ] を選択するか、新しいリソース グループを作成します。
[名前] の横にワークスペースの名前を入力し、ワークスペースの [リージョン] を選択します。
[確認および作成] を選択し、次に [作成] を選択します。
Log Analytics ワークスペースができたので、このワークスペースを使用するようにセキュリティ ポリシーの診断設定を構成します。
診断設定を構成するには:
作成した DNS セキュリティ ポリシー (この例では myeast-secpol) を選択します。
[監視] で [診断設定] を選択します。
[診断設定の追加] を選択します。
[診断設定の名前] の横に、ここで収集するログの名前を入力します。
[ログ] と [メトリック] で "すべて" のログとメトリックを選択します。
[診断の詳細] で [Log Analytics ワークスペースに送信する] を選択し、作成したサブスクリプションと ワークスペースを選択します。
[保存] を選択します。 次の例を参照してください。
DNS ドメイン リストを作成する
Azure portal を使って DNS ドメイン リストを作成するには:
Azure portal の [ホーム] ページで DNS ドメイン リストを検索して選択します。
[+ 作成] を選択して新しいドメイン リストの作成を開始します。
[基本] タブで、[サブスクリプション] と [リソース グループ] を選択するか、新しいリソース グループを作成します。
[ドメイン リスト名] の横にドメイン リスト名を入力し、リストの [リージョン] を選択します。
注
セキュリティ ポリシーには、同じリージョン内のドメイン リストが必要です。
[次へ: DNS ドメイン] を選択します。
[DNS ドメイン] タブで、ドメイン名を 1 つずつ手動で入力するか、コンマ区切り値 (CSV) ファイルからインポートします。
ドメイン名の入力が完了したら、[確認と作成] を選択し、[作成] を選択します。
必要に応じて、詳細なドメイン リストを作成するためにこのセクションを繰り返します。 各ドメイン リストは、次の 3 つのアクションのいずれかを持つトラフィック ルールに関連付けることができます。
-
許可: DNS クエリを許可し、ログに記録します。
-
ブロック: DNS クエリをブロックし、ブロック アクションをログに記録します。
-
アラート: DNS クエリを許可し、アラートをログに記録します。
1 つの DNS トラフィック ルールから複数のドメイン リストを動的に追加または削除できます。
DNS ドメイン リストができたので、このワークスペースを使用するようにセキュリティ ポリシーの診断設定を構成します。
注
CNAME チェーンが調べられ ("追跡され")、ドメインに関連付けられているトラフィック ルールを適用する必要があるかどうかを判断します。 たとえば、malicious.contoso.com に適用されるルールは、adatum.com が malicious.contoso.com にマップされる場合、または malicious.contoso.com が adatum.com の CNAME チェーンのどこかに表示される場合は、adatum.com にも適用されます。
診断設定を構成するには:
作成した DNS セキュリティ ポリシー (この例では myeast-secpol) を選択します。
[設定] で、[DNS トラフィック ルール] を選択します。
[+ 追加]を選択します。
[DNS トラフィック ルールの追加] ペインが開きます。
[優先度] の横に、100 - 65000 の範囲の値を入力します。 ルールの数値が小さいほど優先度が高くなります。
[ルール名] の横にルールの名前を入力します。
[DNS ドメイン リスト] の横で、このルールで使用するドメイン リストを選択します。
[トラフィック アクション] の次に、選択したドメインに適用するアクションの種類に基づいて、[許可]、[ブロック]、または [アラート] を選択します。 この例では [許可] が選択されています。
既定の [ルールの状態] を [有効] のままにして、[保存] を選択します。
ビューを更新して、ルールが正常に追加されたことを確認します。 トラフィック アクション、DNS ドメイン リスト、ルールの優先度、ルールの状態を編集できます。
脅威インテリジェンス フィードを使用して DNS トラフィックをセキュリティで保護する
脅威インテリジェンス フィードは、バックグラウンドで継続的に更新されるフル マネージド ドメインリストです。 DNS セキュリティ ポリシー内では、他の標準ドメイン リストと同様に扱われます。優先順位と選択したアクション (許可、ブロック、またはアラート) に対して同じ構成モデルを使用します。
新しい DNS トラフィック ルールを追加して選択し、適用するアクションとそれぞれの優先度で構成します。
Azure DNS 脅威 intel を選択して、脅威インテリジェンス フィードを DNS トラフィック ルールに関連付けます。
アクションと優先度を構成します。
DNS ログを表示してテストする
- DNS セキュリティ ポリシーに移動し、[監視] で [診断設定] を選択します。
- 以前にセキュリティ ポリシーに関連付けた Log Analytics ワークスペース (この例では secpol-loganalytics) を選択します。
- 左側の [ログ] を選びます。
- 同じリージョン内の IP アドレス 10.40.40.4 の仮想マシンからの DNS クエリを表示するには、次のようにクエリを実行します。
DNSQueryLogs
| where SourceIpAddress contains "10.40.40.4"
| limit 1000
次の例を参照してください。
contoso.com を含むトラフィック ルールが [許可] クエリに設定されていたことを思い出してください。 仮想マシンからのクエリは正常に応答します。
C:\>dig db.sec.contoso.com +short
10.0.1.2
ログ分析でクエリの詳細を展開すると、次のようなデータが表示されます。
- 操作名: 応答_成功
- リージョン: eastus
- QueryName: db.sec.contoso.com
- クエリタイプ: A
- 送信元IPアドレス: 10.40.40.4
- 解決方法: PrivateDnsResolution
- リゾルバポリシールールアクション: 許可
トラフィック ルールを編集して [ブロック] の contoso.com クエリに設定すると、仮想マシンからのクエリの王乙が失敗します。 ルールのコンポーネントを変更する場合は、必ず [保存] を選択してください。
この変更により、次のようにクエリが失敗します。
C:\>dig @168.63.129.16 db.sec.contoso.com
; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> db.sec.contoso.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26872
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1224
; COOKIE: 336258f5985121ba (echoed)
;; QUESTION SECTION:
; db.sec.contoso.com. IN A
;; ANSWER SECTION:
db.sec.contoso.com. 1006632960 IN CNAME blockpolicy.azuredns.invalid.
;; AUTHORITY SECTION:
blockpolicy.azuredns.invalid. 60 IN SOA ns1.azure-dns.com. support.azure.com. 1000 3600 600 1800 60
;; Query time: 0 msec
;; SERVER: 168.63.129.16#53(168.63.129.16) (UDP)
;; WHEN: Mon Sep 08 11:06:59 UTC 2025
;; MSG SIZE rcvd: 183
失敗したクエリは次のログ分析に記録されます。
注
クエリの結果がログ分析に表示されるまで、数分かかる場合があります。
ローカル PowerShell リポジトリを設定し、Az.DnsResolver PowerShell モジュールをインストールします。 これは、Cloud Shell を使用していない場合にのみ必要です。
ディスク上に新しいフォルダーを作成し、ローカル PowerShell リポジトリとして使用します。 この例では、C:\bin\PSRepo が使用されています。
Az.DnsResolver.0.2.6.nupkg をこのディレクトリにダウンロードします。
次のコマンドを実行して、ローカル リポジトリを設定します。
# Register the repository
Register-PSRepository -Name LocalPSRepo -SourceLocation 'C:\bin\PSRepo' -ScriptSourceLocation 'C:\bin\PSRepo' -InstallationPolicy Trusted
# Install the Az.DnsResolver module
Install-Module -Name Az.DnsResolver -RequiredVersion 0.2.6 -SkipPublisherCheck
# If you already installed Az.DnsResolver, update your version to 0.2.6
Update-Module -Name Az.DnsResolver
# Confirm that the Az.DnsResolver module was installed properly
Get-InstalledModule -Name Az.DnsResolver
サブスクリプションのコンテキストを設定する
# Connect PowerShell to Azure cloud
Connect-AzAccount -Environment AzureCloud
# Set your default subscription
Select-AzSubscription -SubscriptionObject (Get-AzSubscription -SubscriptionId <your-sub-id>)
PowerShell を使用して DNS セキュリティ ポリシーを作成します。
$ErrorActionPreference = "Stop"
################################################################
# Configure resource names and locations
################################################################
$resourceNumber = 1 # Customize this if needed
$region = "centralus" # Change this region to your preference
if ($env:username) {$name = "$($env:username)"} else {$name = "$($env:USER)"} # The environment variable is different in Cloud Shell vs local PowerShell
$nameSuffix = "test-$($region)-$($name)-resolverpolicytest$($resourceNumber)-test"
$resourceGroupName = "rg-$($nameSuffix)"
$virtualNetworkName = "vnet-$($nameSuffix)"
$resolverPolicyName = "dnsresolverpolicy-$($nameSuffix)"
$domainListName = "domainlist-$($nameSuffix)"
$securityRuleName = "securityrule-$($nameSuffix)"
$resolverPolicyLinkName = "dnsresolverpolicylink"
$storageAccountName = "stor$($name.ToLower())" # Customize this, taking care that the name is not too long
$storageAccountName = $storageAccountName.Substring(0, [Math]::Min(24, $storageAccountName.Length)) # Storage account names must be 3-24 characters long
$diagnosticSettingName = "diagnosticsetting-$($nameSuffix)"
$vnetId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$virtualNetworkName"
################################################################
# Create resource group, virtual network, and storage account
################################################################
Write-Host "Creating resource group"
$rg = New-AzResourceGroup -Name $resourceGroupName -Location $region
Write-Host ($rg | ConvertTo-Json -Depth 64)
Write-Host "Creating virtual network"
$defaultSubnet = New-AzVirtualNetworkSubnetConfig -Name "default" -AddressPrefix "10.$resourceNumber.0.0/24"
$vnet = New-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName -Location $region -AddressPrefix "10.$resourceNumber.0.0/16" -Subnet $defaultSubnet
Write-Host ($vnet | ConvertTo-Json -Depth 64)
Write-Host "Creating storage account"
$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -Location $region -SkuName Standard_GRS
Write-Host $storageAccount.ToString()
################################
# Create DNS security policy
################################
Write-Host "Creating DNS resolver policy"
$resolverPolicy = New-AzDnsResolverPolicy -Location $region -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
Write-Host $resolverPolicy.ToJsonString()
Write-Host "Creating DNS resolver policy virtual network link"
$link = New-AzDnsResolverPolicyVirtualNetworkLink -Location $region -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -VirtualNetworkId $vnetId
Write-Host $link.ToJsonString()
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -Category DnsResponse
Write-Host "Creating diagnostic setting"
$diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
Write-Host $diagnosticSetting.ToJsonString()
Write-Host "Creating domain list"
$domainList = New-AzDnsResolverDomainList -Location $region -ResourceGroupName $resourceGroupName -Name $domainListName -Domain @("contoso.com.", "adatum.com.")
Write-Host $domainList.ToJsonString()
Write-Host "Creating DNS security policy rule"
$rule = New-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsSecurityRuleState "Enabled" -ActionType "Block" -ActionBlockResponseCode "SERVFAIL" -Priority 100 -DnsResolverPolicyName $resolverPolicyName -Location $region
Write-Host $rule.ToJsonString()
オプション: 新しい値を使用して DNS リゾルバー ポリシーを更新します。
################################
# Update DNS security policy
################################
Write-Host "Updating DNS resolver policy"
$resolverPolicy = Update-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName -Tag @{"key0" = "value0"}
Write-Host $resolverPolicy.ToJsonString()
Write-Host "Updating DNS resolver policy virtual network link"
$link = Update-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -Tag @{"key1" = "value1"}
Write-Host $link.ToJsonString()
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $false -Category DnsResponse
Write-Host "Updating diagnostic setting by disabling log category"
$diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
Write-Host $diagnosticSetting.ToJsonString()
Write-Host "Updating domain list"
$domainList = Update-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName -Tag @{"key2" = "value2"}
Write-Host $domainList.ToJsonString()
Write-Host "Updating DNS security policy rule"
$rule = Update-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsResolverPolicyName $resolverPolicyName
Write-Host $rule.ToJsonString()
DNS セキュリティ ポリシーの構成を確認します。
################################
# Get DNS security policy
################################
Write-Host "Getting DNS resolver policy"
$resolverPolicy = Get-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
Write-Host $resolverPolicy.ToJsonString()
Write-Host "Getting DNS resolver policy virtual network link"
$link = Get-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName
Write-Host $link.ToJsonString()
Write-Host "Getting diagnostic setting"
$diagnosticSetting = Get-AzDiagnosticSetting -ResourceId $resolverPolicy.id
Write-Host $diagnosticSetting.ToJsonString()
Write-Host "Getting domain list"
$domainList = Get-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName
Write-Host $rule.ToJsonString()
Write-Host "Getting DNS security policy rule"
$rule = Get-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverPolicyName $resolverPolicyName
Write-Host $rule.ToJsonString()
DNS セキュリティ ポリシーをテストする
新しいセキュリティ ポリシーをテストするには、仮想ネットワーク内のホスト デバイスに接続し、ブロックしたドメインのクエリを発行します。 この例では、ドメイン リストは contoso.com と adatum.com です。
次の内容を入力します。
Resolve-DnsName -Name contoso.com -Type NS
出力:
Resolve-DnsName : contoso.com : DNS server failure
At line:1 char:1
+ Resolve-DnsName -Name contoso.com -Type NS
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ResourceUnavailable: (contoso.com:String) [Resolve-DnsName], Win32Exception
+ FullyQualifiedErrorId : RCODE_SERVER_FAILURE,Microsoft.DnsClient.Commands.ResolveDnsName
