Zabezpieczanie i wyświetlanie ruchu DNS

Aby utworzyć zasady zabezpieczeń DNS przy użyciu witryny Azure Portal:

1. Na stronie głównej witryny Azure Portal wyszukaj i wybierz pozycję Zasady zabezpieczeń DNS. Możesz również wybrać Politykę Bezpieczeństwa DNS z witryny Azure Marketplace.

2. Wybierz pozycję + Utwórz , aby rozpocząć tworzenie nowych zasad.

3. Na karcie Podstawy wybierz pozycję Subskrypcja i grupa zasobów lub utwórz nową grupę zasobów.

4. Obok pozycji Nazwa wystąpienia wprowadź nazwę zasad zabezpieczeń DNS, a następnie wybierz region, w którym mają zastosowanie zasady zabezpieczeń.

   Uwaga

   Zasady zabezpieczeń DNS można stosować tylko do sieci wirtualnych w tym samym regionie co zasady zabezpieczeń.

   

5. Wybierz pozycję Dalej: Połączenie sieci wirtualnych , a następnie wybierz pozycję + Dodaj.

6. Sieci wirtualne w tym samym regionie co zasady zabezpieczeń są wyświetlane. Wybierz co najmniej jedną dostępną sieć wirtualną, a następnie wybierz pozycję Dodaj. Nie można wybrać sieci wirtualnej, która jest już skojarzona z innymi zasadami zabezpieczeń. W poniższym przykładzie dwie sieci wirtualne są skojarzone z zasadami zabezpieczeń, pozostawiając dwie sieci wirtualne dostępne do wybrania.

   

7. Wybrane sieci wirtualne zostaną wyświetlone. Jeśli chcesz, możesz usunąć sieci wirtualne z listy przed utworzeniem łączy sieci wirtualnych.

   

   Uwaga

   Łącza sieci wirtualnej są tworzone dla wszystkich sieci wirtualnych wyświetlanych na liście, niezależnie od tego, czy zostały wybrane. Użyj pól wyboru, aby wybrać sieci VNets do usunięcia z listy.

8. Wybierz pozycję Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz. Pominięcie opcji Dalej: Reguły ruchu DNS jest tutaj dozwolone, ale można także teraz utworzyć reguły ruchu. W tym przewodniku reguły ruchu i listy domen DNS są tworzone, a następnie stosowane później do zasad zabezpieczeń DNS.

Tworzenie obszaru roboczego usługi Log Analytics

Pomiń tę sekcję, jeśli masz już obszar roboczy usługi Log Analytics, którego chcesz użyć.

Aby utworzyć obszar roboczy usługi Log Analytics przy użyciu witryny Azure Portal:

1. Na stronie głównej witryny Azure Portal wyszukaj i wybierz pozycję Obszary robocze usługi Log Analytics. Możesz również wybrać obszar roboczy usługi Log Analytics w witrynie Azure Marketplace.

2. Wybierz pozycję + Utwórz , aby rozpocząć tworzenie nowego obszaru roboczego.

3. Na karcie Podstawy wybierz pozycję Subskrypcja i grupa zasobów lub utwórz nową grupę zasobów.

4. Obok pozycji Nazwa wprowadź nazwę obszaru roboczego, a następnie wybierz region obszaru roboczego.

   

5. Wybierz pozycję Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz.

Konfigurowanie ustawień diagnostycznych

Teraz, gdy masz obszar roboczy usługi Log Analytics, skonfiguruj ustawienia diagnostyczne w zasadach zabezpieczeń, aby używać tego obszaru roboczego.

Aby skonfigurować ustawienia diagnostyczne:

1. Wybierz utworzone zasady zabezpieczeń DNS (myeast-secpol w tym przykładzie).

2. W obszarze Monitorowanie wybierz pozycję Ustawienia diagnostyczne.

3. Wybierz pozycję Dodaj ustawienia diagnostyczne.

4. Obok pozycji Nazwa ustawienia diagnostycznego wprowadź nazwę dzienników zbieranych tutaj.

5. Pod Dziennikami i Metrykami wybierz "wszystkie" dzienniki i metryki.

6. W obszarze Szczegóły miejsca docelowego wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics, a następnie wybierz utworzoną subskrypcję i obszar roboczy.

7. Wybierz pozycję Zapisz. Zobacz poniższy przykład.

   

Tworzenie listy domen DNS

Aby utworzyć listę domen DNS przy użyciu witryny Azure Portal:

1. Na stronie głównej witryny Azure Portal wyszukaj i wybierz pozycję Listy domen DNS.

2. Wybierz pozycję + Utwórz , aby rozpocząć tworzenie nowej listy domen.

3. Na karcie Podstawy wybierz pozycję Subskrypcja i grupa zasobów lub utwórz nową grupę zasobów.

4. Obok Nazwa listy domen wprowadź nazwę listy domen, a następnie wybierz region dla listy.

   Uwaga

   Zasady zabezpieczeń wymagają list domen w tym samym regionie.

5. Wybierz pozycję Dalej: Domeny DNS.

6. Na karcie Domeny DNS wprowadź nazwy domen ręcznie, pojedynczo lub zaimportuj je z pliku CSV (wartości oddzielone przecinkami).

   

7. Po zakończeniu wprowadzania nazw domen wybierz pozycję Przejrzyj i utwórz , a następnie wybierz pozycję Utwórz.

Powtórz tę sekcję, aby w razie potrzeby utworzyć więcej list domen. Każda lista domen może być skojarzona z regułą ruchu, która ma jedną z trzech akcji:

• Zezwalaj: zezwalaj na zapytanie DNS i rejestruj je.
• Blokuj: blokuj zapytanie DNS i rejestruj akcję bloku.
• Alert: zezwól na zapytanie DNS i zarejestruj alert.

Wiele list domen można dynamicznie dodawać lub usuwać z jednej reguły ruchu DNS.

Konfigurowanie reguł ruchu DNS

Teraz, gdy masz listę domen DNS, skonfiguruj ustawienia diagnostyczne w zasadach zabezpieczeń, aby używać tego obszaru roboczego.

Aby skonfigurować ustawienia diagnostyczne:

1. Wybierz utworzone zasady zabezpieczeń DNS (myeast-secpol w tym przykładzie).

2. W obszarze Ustawienia wybierz pozycję Reguły ruchu DNS.

3. Wybierz + Dodaj. Otworzy się okienko Dodawanie reguły ruchu DNS.

4. Obok pozycji Priorytet wprowadź wartość z zakresu od 100 do 65000. Reguły o niższym numerze mają wyższy priorytet.

5. Obok Nazwa reguły wprowadź nazwę reguły.

6. Obok pozycji Listy domen DNS wybierz listy domen, które mają być używane w tej regule.

7. Obok pozycji Akcja ruchu wybierz pozycję Zezwalaj, Blokuj lub Alert na podstawie typu akcji, która ma być stosowana do wybranych domen. W tym przykładzie wybrano opcję Zezwalaj .

8. Pozostaw domyślny stan reguły jako Włączony , a następnie wybierz pozycję Zapisz.

   

9. Odśwież widok, aby sprawdzić, czy reguła została pomyślnie dodana. Można edytować akcje ruchu, listy domen DNS, priorytet reguły i stan reguły.

   

Zabezpieczanie ruchu DNS za pomocą kanału informacji o zagrożeniach

Źródło danych analizy zagrożeń to w pełni zarządzana lista domen, która jest stale aktualizowana w tle. W ramach zasad zabezpieczeń DNS jest ona traktowana tak samo jak każda inna standardowa lista domen — przy użyciu tego samego modelu konfiguracji dla priorytetu i wybranej akcji (zezwalaj, blokuj lub alertu).

Wybierz ją, dodając nową regułę ruchu DNS i konfigurując ją za pomocą akcji, którą chcesz zastosować, i jej odpowiedniego priorytetu.

Skojarz źródło danych analizy zagrożeń z regułą ruchu DNS, wybierając pozycję Azure DNS threat intel:

Skonfiguruj akcję i priorytet:

Wyświetlanie i testowanie dzienników DNS

1. Przejdź do zasad zabezpieczeń DNS, a następnie w obszarze Monitorowanie wybierz pozycję Ustawienia diagnostyczne.
2. Wybierz obszar roboczy usługi Log Analytics, który został wcześniej skojarzony z zasadami zabezpieczeń (secpol-loganalytics w tym przykładzie).
3. Wybierz pozycję Dzienniki po lewej stronie.
4. Aby wyświetlić zapytania DNS z maszyny wirtualnej z adresem IP 10.40.40.4 w tym samym regionie, uruchom zapytanie w następujący sposób:

DNSQueryLogs
| where SourceIpAddress contains "10.40.40.4"
| limit 1000

Zobacz poniższy przykład:

Pamiętaj, że reguła ruchu zawierająca contoso.com została ustawiona na Zezwalaj na zapytania. Zapytanie z maszyny wirtualnej powoduje pomyślną odpowiedź:

C:\>dig db.sec.contoso.com +short
10.0.1.2

Rozwinięcie szczegółów zapytania w usłudze Log Analytics powoduje wyświetlenie danych, takich jak:

• NazwaOperacji: SUKCES_ODPOWIEDZI
• Region: eastus
• QueryName: db.sec.contoso.com
• TypZapytania: A
• SourceIpAddress: 10.40.40.4
• Ścieżka rozwiązywania: PrivateDnsResolution
• ResolverPolicyRuleAction: Zezwalaj

Jeśli reguła ruchu jest edytowana i ustawiona na Blokuj zapytania contoso.com, zapytanie z maszyny wirtualnej skutkuje nieudaną odpowiedzią. Pamiętaj, aby wybrać pozycję Zapisz po zmianie składników reguły.

Ta zmiana powoduje niepowodzenie zapytania:

C:\>dig @168.63.129.16 db.sec.contoso.com 
; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> db.sec.contoso.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26872
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1224
; COOKIE: 336258f5985121ba (echoed)
;; QUESTION SECTION:
; db.sec.contoso.com. IN  A
 
;; ANSWER SECTION:
db.sec.contoso.com. 1006632960 IN CNAME blockpolicy.azuredns.invalid.
 
;; AUTHORITY SECTION:
blockpolicy.azuredns.invalid. 60 IN     SOA     ns1.azure-dns.com. support.azure.com. 1000 3600 600 1800 60
 
;; Query time: 0 msec
;; SERVER: 168.63.129.16#53(168.63.129.16) (UDP)
;; WHEN: Mon Sep 08 11:06:59 UTC 2025
;; MSG SIZE  rcvd: 183

Zapytanie, które zakończyło się niepowodzeniem, jest rejestrowane w usłudze Log Analytics:

Skonfiguruj lokalne repozytorium programu PowerShell i zainstaluj moduł Az.DnsResolver programu PowerShell. Jest to konieczne tylko wtedy, gdy nie używasz usługi Cloud Shell.

1. Utwórz nowy folder na dysku, aby działał jako lokalne repozytorium programu PowerShell. W tym przykładzie C:\bin\PSRepo jest używany.

2. Pobierz plik Az.DnsResolver.0.2.6.nupkg do tego katalogu.

3. Skonfiguruj repozytorium lokalne, uruchamiając następujące polecenie:

   # Register the repository
   Register-PSRepository -Name LocalPSRepo -SourceLocation 'C:\bin\PSRepo' -ScriptSourceLocation 'C:\bin\PSRepo' -InstallationPolicy Trusted
   
   # Install the Az.DnsResolver module
   Install-Module -Name Az.DnsResolver -RequiredVersion 0.2.6 -SkipPublisherCheck
   
   # If you already installed Az.DnsResolver, update your version to 0.2.6
   Update-Module -Name Az.DnsResolver
   
   # Confirm that the Az.DnsResolver module was installed properly
   Get-InstalledModule -Name Az.DnsResolver
   

4. Ustawianie kontekstu subskrypcji

   # Connect PowerShell to Azure cloud
   Connect-AzAccount -Environment AzureCloud
   
   # Set your default subscription
   Select-AzSubscription -SubscriptionObject (Get-AzSubscription -SubscriptionId <your-sub-id>)
   

5. Utwórz zasady zabezpieczeń DNS przy użyciu programu PowerShell.

   $ErrorActionPreference = "Stop"
   
   ################################################################
   # Configure resource names and locations
   ################################################################
   
   $resourceNumber = 1 # Customize this if needed
   $region = "centralus" # Change this region to your preference
   if ($env:username) {$name = "$($env:username)"} else {$name = "$($env:USER)"}  # The environment variable is different in Cloud Shell vs local PowerShell
   $nameSuffix = "test-$($region)-$($name)-resolverpolicytest$($resourceNumber)-test"
   $resourceGroupName = "rg-$($nameSuffix)"
   $virtualNetworkName = "vnet-$($nameSuffix)"
   $resolverPolicyName = "dnsresolverpolicy-$($nameSuffix)"
   $domainListName = "domainlist-$($nameSuffix)"
   $securityRuleName = "securityrule-$($nameSuffix)"
   $resolverPolicyLinkName = "dnsresolverpolicylink"
   $storageAccountName = "stor$($name.ToLower())"  # Customize this, taking care that the name is not too long
   $storageAccountName = $storageAccountName.Substring(0, [Math]::Min(24, $storageAccountName.Length)) # Storage account names must be 3-24 characters long
   $diagnosticSettingName = "diagnosticsetting-$($nameSuffix)"
   $vnetId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$virtualNetworkName"
   
   ################################################################
   # Create resource group, virtual network, and storage account
   ################################################################
   
   Write-Host "Creating resource group"
   $rg = New-AzResourceGroup -Name $resourceGroupName -Location $region
   Write-Host ($rg | ConvertTo-Json -Depth 64)
   
   Write-Host "Creating virtual network"
   $defaultSubnet = New-AzVirtualNetworkSubnetConfig -Name "default" -AddressPrefix "10.$resourceNumber.0.0/24"
   $vnet = New-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName -Location $region -AddressPrefix "10.$resourceNumber.0.0/16" -Subnet $defaultSubnet
   Write-Host ($vnet | ConvertTo-Json -Depth 64)
   
   Write-Host "Creating storage account"
   $storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -Location $region -SkuName Standard_GRS
   Write-Host $storageAccount.ToString()
   
   ################################
   # Create DNS security policy
   ################################
   
   Write-Host "Creating DNS resolver policy"
   $resolverPolicy = New-AzDnsResolverPolicy -Location $region -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
   Write-Host $resolverPolicy.ToJsonString()
   
   Write-Host "Creating DNS resolver policy virtual network link"
   $link = New-AzDnsResolverPolicyVirtualNetworkLink -Location $region -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -VirtualNetworkId $vnetId
   Write-Host $link.ToJsonString()
   
   $log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -Category DnsResponse
   
   Write-Host "Creating diagnostic setting"
   $diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId  $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
   Write-Host $diagnosticSetting.ToJsonString()
   
   Write-Host "Creating domain list"
   $domainList = New-AzDnsResolverDomainList -Location $region -ResourceGroupName $resourceGroupName -Name $domainListName -Domain @("contoso.com.", "adatum.com.")
   Write-Host $domainList.ToJsonString()
   
   Write-Host "Creating DNS security policy rule"
   $rule = New-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsSecurityRuleState "Enabled" -ActionType "Block" -ActionBlockResponseCode "SERVFAIL" -Priority 100 -DnsResolverPolicyName $resolverPolicyName -Location $region
   Write-Host $rule.ToJsonString()
   

6. Opcjonalnie: Zaktualizuj zasady rozpoznawania nazw DNS przy użyciu nowych wartości.

   ################################
   # Update DNS security policy
   ################################
   
   Write-Host "Updating DNS resolver policy"
   $resolverPolicy = Update-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName -Tag @{"key0" = "value0"} 
   Write-Host $resolverPolicy.ToJsonString()
   
   Write-Host "Updating DNS resolver policy virtual network link"
   $link = Update-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -Tag @{"key1" = "value1"} 
   Write-Host $link.ToJsonString()
   
   $log = New-AzDiagnosticSettingLogSettingsObject -Enabled $false -Category DnsResponse
   
   Write-Host "Updating diagnostic setting by disabling log category"
   $diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId  $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
   Write-Host $diagnosticSetting.ToJsonString()
   
   Write-Host "Updating domain list"
   $domainList = Update-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName -Tag @{"key2" = "value2"} 
   Write-Host $domainList.ToJsonString()
   
   Write-Host "Updating DNS security policy rule"
   $rule = Update-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsResolverPolicyName $resolverPolicyName
   Write-Host $rule.ToJsonString()
   

7. Przejrzyj konfigurację zasad zabezpieczeń DNS.

   ################################
   # Get DNS security policy
   ################################
   
   Write-Host "Getting DNS resolver policy"
   $resolverPolicy = Get-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
   Write-Host $resolverPolicy.ToJsonString()
   
   Write-Host "Getting DNS resolver policy virtual network link"
   $link = Get-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName
   Write-Host $link.ToJsonString()
   
   Write-Host "Getting diagnostic setting"
   $diagnosticSetting = Get-AzDiagnosticSetting -ResourceId $resolverPolicy.id
   Write-Host $diagnosticSetting.ToJsonString()
   
   Write-Host "Getting domain list"
   $domainList = Get-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName
   Write-Host $rule.ToJsonString()
   
   Write-Host "Getting DNS security policy rule"
   $rule = Get-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverPolicyName $resolverPolicyName
   Write-Host $rule.ToJsonString()
   

Testowanie zasad zabezpieczeń DNS

Aby przetestować nowe zasady zabezpieczeń, połącz się z urządzeniem hosta w sieci wirtualnej i wystaw zapytanie dotyczące zablokowanych domen. W tym przykładzie lista domen jest contoso.com i adatum.com.

Dane wejściowe:

Resolve-DnsName -Name contoso.com -Type NS

Dane wyjściowe:

Resolve-DnsName : contoso.com : DNS server failure
At line:1 char:1
+ Resolve-DnsName -Name contoso.com -Type NS
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (contoso.com:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : RCODE_SERVER_FAILURE,Microsoft.DnsClient.Commands.ResolveDnsName