Proteger e exibir o tráfego de DNS

Este artigo mostra como exibir e filtrar o tráfego DNS na rede virtual com a política de segurança DNS e proteger o tráfego DNS com o feed de inteligência contra ameaças no DNS do Azure.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
É necessária uma rede virtual. Para obter mais informações, consulte Criar uma rede virtual.

Criar uma política de segurança

Escolha um dos seguintes métodos para criar uma política de segurança usando o portal do Azure ou o PowerShell:

Portal do Azure
PowerShell

Para criar uma política de segurança de DNS usando o portal do Azure:

Na página inicial do portal do Azure, procure e selecione Políticas de Segurança de DNS. Você também pode escolher Política de Segurança de DNS no Azure Marketplace.
Escolha + Criar para começar a criar uma política.
Na guia Informações básicas, escolha a Assinatura e o Grupo de recursos ou crie um grupo de recursos.
Ao lado do Nome da Instância, insira um nome para a política de segurança de DNS e escolha a Região em que a política de segurança se aplica.

Observação

Uma política de segurança de DNS só pode ser aplicada às VNets da mesma região que a política de segurança.
Selecione Avançar: Link de Redes Virtuais e escolha + Adicionar.
As VNets da mesma região que a política de segurança serão exibidas. Selecione uma ou mais VNets disponíveis e escolha Adicionar. Não é possível escolher uma VNet que já esteja associada a outra política de segurança. No exemplo a seguir, duas VNets são associadas a uma política de segurança, deixando duas VNets disponíveis para seleção.
As VNets selecionadas serão exibidas. Se desejado, você pode remover as VNets da lista antes de criar links de rede virtual.

Observação

Os links de rede virtual são criados para todas as VNets exibidas na lista, independentemente de estarem ou não selecionadas. Use caixas de seleção para selecionar as VNets para remoção da lista.
Selecione Examinar + criar e Criar. A escolha de Avançar: Regras de Tráfego DNS é ignorada aqui, mas você também pode criar as regras de tráfego agora. Neste guia, as regras de tráfego e as listas de domínios DNS são criadas e aplicadas à política de segurança de DNS posteriormente.

Criar um workspace do Log Analytics

Ignore esta seção se você já tiver um workspace do Log Analytics que deseja usar.

Para criar um workspace do Log Analytics usando o portal do Azure:

Na página inicial do portal do Azure, procure e selecione Workspaces do Log Analytics. Você também pode escolher Workspace do Log Analytics no Azure Marketplace.
Selecione + Criar para começar a criar um workspace.
Na guia Informações básicas, escolha a Assinatura e o Grupo de recursos ou crie um grupo de recursos.
Ao lado de Nome, insira um nome para o workspace e escolha a Região para o workspace.
Selecione Examinar + criar e Criar.

Definir as configurações de diagnóstico

Agora que você tem um workspace do Log Analytics, defina as configurações de diagnóstico na política de segurança para usar esse workspace.

Para definir as configurações de diagnóstico:

Escolha a política de segurança de DNS que você criou (myeast-secpol, neste exemplo).
Em Monitoramento, selecione Configurações de diagnóstico.
Selecionar Adicionar configurações de diagnóstico.
Ao lado de Nome da configuração de diagnóstico, insira um nome para os logs coletados aqui.
Em Logs e em Métricas, selecione “todos” os logs e métricas.
Em Detalhes do destino, selecione Enviar para o workspace do Log Analytics e escolha a assinatura e o workspace que você criou.
Clique em Salvar. Veja os exemplos a seguir.

Criar uma lista de domínios DNS

Para criar uma lista de domínios DNS usando o portal do Azure:

Na página inicial do portal do Azure, procure e selecione Listas de Domínios DNS.
Escolha + Criar para começar a criar uma lista de domínios.
Na guia Informações básicas, escolha a Assinatura e o Grupo de recursos ou crie um grupo de recursos.
Ao lado de Nome da lista de domínios, insira um nome para a lista de domínios e escolha a Região para a lista.

Observação

As políticas de segurança exigem listas de domínio na mesma região.
Selecione Avançar: Domínios DNS.
Na guia Domínios DNS, insira os nomes de domínios manualmente um de cada vez ou importe-os de um arquivo CSV (valor separado por vírgula).
Quando terminar de inserir os nomes de domínios, selecione Revisar + criar e, em seguida, escolha Criar.

Repita esta seção para criar mais listas de domínio, se desejado. Cada lista de domínios pode ser associada a uma regra de tráfego que tem uma das três ações:

Permitir: permita a consulta DNS e registre-a em log.
Bloquear: bloqueie a consulta DNS e registre a ação de bloqueio.
Registrar Alerta: permita a consulta DNS e registre um alerta em log.

Várias listas de domínio podem ser adicionadas ou removidas de modo dinâmico em uma só regra de tráfego DNS.

Configurar regras de tráfego DNS

Agora que você tem uma lista de domínios DNS, defina as configurações de diagnóstico na política de segurança para usar esse workspace.

Observação

Cadeias CNAME são examinadas ("perseguidas") para determinar se as regras de tráfego associadas a um domínio devem ser aplicadas. Por exemplo, uma regra que se aplica a malicioso.contoso.com também se aplica a adatum.com se adatum.com mapeia para malicious.contoso.com ou se malicioso.contoso.com aparece em qualquer lugar em uma cadeia CNAME para adatum.com.

Para definir as configurações de diagnóstico:

Escolha a política de segurança de DNS que você criou (myeast-secpol, neste exemplo).
Em Configurações, selecione Regras de Tráfego DNS.
Selecione + Adicionar. O painel Adicionar Regra de Tráfego DNS será aberto.
Ao lado de Prioridade, insira um valor no intervalo de 100 a 65.000. As regras de número mais baixo têm prioridade mais alta.
Ao lado de Nome da Regra, insira um nome para a regra.
Ao lado de Listas de Domínio DNS, selecione as listas de domínio a serem usadas nesta regra.
Ao lado da Ação de Tráfego, selecione Permitir, Bloquear ou Registrar Alerta com base no tipo de ação que deve ser aplicado aos domínios selecionados. Neste exemplo, a opção Permitir é escolhida.
Deixe o Estado da Regra padrão como Habilitado e selecione Salvar.
Atualize a exibição para verificar se a regra foi adicionada com êxito. Você pode editar as ações de tráfego, as listas de domínio DNS, a prioridade de regra e o estado da regra.

Proteger o tráfego DNS com o feed de inteligência de ameaças

O feed de inteligência contra ameaças é uma lista de domínios totalmente gerenciada que é atualizada continuamente em segundo plano. Dentro da Política de Segurança de DNS, ela é tratada como qualquer outra lista de domínio padrão , usando o mesmo modelo de configuração para prioridade e para a ação escolhida (permitir, bloquear ou alertar).

Selecione-a adicionando uma nova regra de tráfego DNS e configure-a com a ação que você deseja aplicar e sua respectiva prioridade.

Associe o feed de inteligência contra ameaças a uma regra de tráfego DNS selecionando Inteligência contra ameaças do DNS do Azure:

Configure a ação e a prioridade:

Exibir e testar logs DNS

Acesse a política de segurança de DNS e, em Monitoramento, selecione Configurações de diagnóstico.
Escolha o workspace do Log Analytics que você associou anteriormente à política de segurança (secpol-loganalytics, neste exemplo).
Selecione Logs à esquerda.
Para exibir as consultas DNS de uma máquina virtual com o endereço IP 10.40.40.4 na mesma região, execute uma consulta da seguinte maneira:

DNSQueryLogs
| where SourceIpAddress contains "10.40.40.4"
| limit 1000

Consulte o seguinte exemplo:

Lembre-se de que a regra de tráfego que contém contoso.com foi definida como Permitir consultas. A consulta da máquina virtual resulta em uma resposta bem-sucedida:

C:\>dig db.sec.contoso.com +short
10.0.1.2

Expandir os detalhes da consulta no Log Analytics exibe dados como:

OperationName: RESPONSE_SUCCESS
Região: eastus
QueryName: db.sec.contoso.com
TipoDeConsulta: A
SourceIpAddress: 10.40.40.4
ResolutionPath: PrivateDnsResolution
ResolverPolicyRuleAction: Permitir

Se a regra de tráfego for editada e definida como Bloquear consultas de contoso.com, a consulta da máquina virtual resultará em uma resposta com falha. Lembre-se de selecionar Salvar quando alterar os componentes de uma regra.

Captura de tela da edição de uma regra de tráfego.

Essa alteração resulta em uma consulta com falha:


C:\>dig @168.63.129.16 db.sec.contoso.com 
; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> db.sec.contoso.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26872
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1224
; COOKIE: 336258f5985121ba (echoed)
;; QUESTION SECTION:
; db.sec.contoso.com. IN  A
 
;; ANSWER SECTION:
db.sec.contoso.com. 1006632960 IN CNAME blockpolicy.azuredns.invalid.
 
;; AUTHORITY SECTION:
blockpolicy.azuredns.invalid. 60 IN     SOA     ns1.azure-dns.com. support.azure.com. 1000 3600 600 1800 60
 
;; Query time: 0 msec
;; SERVER: 168.63.129.16#53(168.63.129.16) (UDP)
;; WHEN: Mon Sep 08 11:06:59 UTC 2025
;; MSG SIZE  rcvd: 183

A consulta com falha é registrada no Log Analytics:

Captura de tela de uma consulta com falha.

Observação

Pode levar alguns minutos para que os resultados da consulta apareçam no Log Analytics.

Configure um repositório local do PowerShell e instale o módulo Az.DnsResolver do PowerShell. Isso só será necessário se você não estiver usando o Cloud Shell.

Crie uma pasta no disco para servir como um repositório local do PowerShell. Neste exemplo, C:\bin\PSRepo é usado.
Baixe Az.DnsResolver.0.2.6.nupkg nesse diretório.

Configure o repositório local executando o seguinte comando:

# Register the repository
Register-PSRepository -Name LocalPSRepo -SourceLocation 'C:\bin\PSRepo' -ScriptSourceLocation 'C:\bin\PSRepo' -InstallationPolicy Trusted

# Install the Az.DnsResolver module
Install-Module -Name Az.DnsResolver -RequiredVersion 0.2.6 -SkipPublisherCheck

# If you already installed Az.DnsResolver, update your version to 0.2.6
Update-Module -Name Az.DnsResolver

# Confirm that the Az.DnsResolver module was installed properly
Get-InstalledModule -Name Az.DnsResolver

Definir o contexto da assinatura

# Connect PowerShell to Azure cloud
Connect-AzAccount -Environment AzureCloud

# Set your default subscription
Select-AzSubscription -SubscriptionObject (Get-AzSubscription -SubscriptionId <your-sub-id>)

Crie uma política de segurança de DNS com o PowerShell.

$ErrorActionPreference = "Stop"

################################################################
# Configure resource names and locations
################################################################

$resourceNumber = 1 # Customize this if needed
$region = "centralus" # Change this region to your preference
if ($env:username) {$name = "$($env:username)"} else {$name = "$($env:USER)"}  # The environment variable is different in Cloud Shell vs local PowerShell
$nameSuffix = "test-$($region)-$($name)-resolverpolicytest$($resourceNumber)-test"
$resourceGroupName = "rg-$($nameSuffix)"
$virtualNetworkName = "vnet-$($nameSuffix)"
$resolverPolicyName = "dnsresolverpolicy-$($nameSuffix)"
$domainListName = "domainlist-$($nameSuffix)"
$securityRuleName = "securityrule-$($nameSuffix)"
$resolverPolicyLinkName = "dnsresolverpolicylink"
$storageAccountName = "stor$($name.ToLower())"  # Customize this, taking care that the name is not too long
$storageAccountName = $storageAccountName.Substring(0, [Math]::Min(24, $storageAccountName.Length)) # Storage account names must be 3-24 characters long
$diagnosticSettingName = "diagnosticsetting-$($nameSuffix)"
$vnetId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$virtualNetworkName"

################################################################
# Create resource group, virtual network, and storage account
################################################################

Write-Host "Creating resource group"
$rg = New-AzResourceGroup -Name $resourceGroupName -Location $region
Write-Host ($rg | ConvertTo-Json -Depth 64)

Write-Host "Creating virtual network"
$defaultSubnet = New-AzVirtualNetworkSubnetConfig -Name "default" -AddressPrefix "10.$resourceNumber.0.0/24"
$vnet = New-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName -Location $region -AddressPrefix "10.$resourceNumber.0.0/16" -Subnet $defaultSubnet
Write-Host ($vnet | ConvertTo-Json -Depth 64)

Write-Host "Creating storage account"
$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -Location $region -SkuName Standard_GRS
Write-Host $storageAccount.ToString()

################################
# Create DNS security policy
################################

Write-Host "Creating DNS resolver policy"
$resolverPolicy = New-AzDnsResolverPolicy -Location $region -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
Write-Host $resolverPolicy.ToJsonString()

Write-Host "Creating DNS resolver policy virtual network link"
$link = New-AzDnsResolverPolicyVirtualNetworkLink -Location $region -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -VirtualNetworkId $vnetId
Write-Host $link.ToJsonString()

$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -Category DnsResponse

Write-Host "Creating diagnostic setting"
$diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId  $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
Write-Host $diagnosticSetting.ToJsonString()

Write-Host "Creating domain list"
$domainList = New-AzDnsResolverDomainList -Location $region -ResourceGroupName $resourceGroupName -Name $domainListName -Domain @("contoso.com.", "adatum.com.")
Write-Host $domainList.ToJsonString()

Write-Host "Creating DNS security policy rule"
$rule = New-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsSecurityRuleState "Enabled" -ActionType "Block" -ActionBlockResponseCode "SERVFAIL" -Priority 100 -DnsResolverPolicyName $resolverPolicyName -Location $region
Write-Host $rule.ToJsonString()

Opcional: atualize as políticas de resolvedor DNS com novos valores.

################################
# Update DNS security policy
################################

Write-Host "Updating DNS resolver policy"
$resolverPolicy = Update-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName -Tag @{"key0" = "value0"} 
Write-Host $resolverPolicy.ToJsonString()

Write-Host "Updating DNS resolver policy virtual network link"
$link = Update-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -Tag @{"key1" = "value1"} 
Write-Host $link.ToJsonString()

$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $false -Category DnsResponse

Write-Host "Updating diagnostic setting by disabling log category"
$diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId  $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
Write-Host $diagnosticSetting.ToJsonString()

Write-Host "Updating domain list"
$domainList = Update-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName -Tag @{"key2" = "value2"} 
Write-Host $domainList.ToJsonString()

Write-Host "Updating DNS security policy rule"
$rule = Update-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsResolverPolicyName $resolverPolicyName
Write-Host $rule.ToJsonString()

Analise a configuração da política de segurança de DNS.

################################
# Get DNS security policy
################################

Write-Host "Getting DNS resolver policy"
$resolverPolicy = Get-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
Write-Host $resolverPolicy.ToJsonString()

Write-Host "Getting DNS resolver policy virtual network link"
$link = Get-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName
Write-Host $link.ToJsonString()

Write-Host "Getting diagnostic setting"
$diagnosticSetting = Get-AzDiagnosticSetting -ResourceId $resolverPolicy.id
Write-Host $diagnosticSetting.ToJsonString()

Write-Host "Getting domain list"
$domainList = Get-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName
Write-Host $rule.ToJsonString()

Write-Host "Getting DNS security policy rule"
$rule = Get-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverPolicyName $resolverPolicyName
Write-Host $rule.ToJsonString()

Testar a política de segurança de DNS

Para testar a nova política de segurança, conecte-se a um dispositivo host dentro da rede virtual e emita uma consulta para os domínios bloqueados. Neste exemplo, a lista de domínios é contoso.com e adatum.com.

Entrada:

Resolve-DnsName -Name contoso.com -Type NS

Saída:

Resolve-DnsName : contoso.com : DNS server failure
At line:1 char:1
+ Resolve-DnsName -Name contoso.com -Type NS
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (contoso.com:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : RCODE_SERVER_FAILURE,Microsoft.DnsClient.Commands.ResolveDnsName

Confira os conceitos relacionados à política de segurança de DNS.
Confira Cenários de zonas DNS privadas do Azure.
Confira Resolução do DNS em redes virtuais.

Comentários

Esta página foi útil?

Last updated on 2025-11-19