Proteja e visualize o tráfego DNS

Este artigo mostra-lhe como visualizar e filtrar o tráfego DNS na rede virtual com a política de segurança DNS e proteger o seu tráfego DNS com o feed de inteligência de ameaças no Azure DNS.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
É necessária uma rede virtual. Para obter mais informações, consulte Criar uma rede virtual.

Criar uma política de segurança

Escolha um dos seguintes métodos para criar uma política de segurança usando o portal do Azure ou o PowerShell:

Portal do Azure
PowerShell

Para criar uma política de segurança DNS usando o portal do Azure:

Na Home page do portal do Azure, procure e selecione Políticas de Segurança DNS. Também pode escolher Política de Segurança Dns no Azure Marketplace.
Selecione + Criar para começar a criar uma nova política.
Na guia Noções básicas, selecione o grupo Assinatura e Recursos ou crie um novo grupo de recursos.
Ao lado de Nome da instância, insira um nome para a diretiva de segurança DNS e escolha a região onde a diretiva de segurança se aplica.

Nota

Uma política de segurança de DNS só pode ser aplicada a VNets na mesma região que a política de segurança.
Selecione Next: Virtual Networks Link e, em seguida, selecione + Add.
VNets na mesma região que a diretiva de segurança são exibidas. Selecione uma ou mais redes virtuais disponíveis e, em seguida, selecione Adicionar. Não é possível escolher uma rede virtual que já esteja associada a outra diretiva de segurança. No exemplo a seguir, duas VNets são associadas a uma diretiva de segurança, ficando duas VNets disponíveis para serem selecionadas.
As VNets selecionadas são exibidas. Se desejar, você pode remover VNets da lista antes de criar links de rede virtual.

Nota

Os links de rede virtual são criados para todas as redes virtuais exibidas na lista, estejam elas selecionadas ou não. Use caixas de seleção para selecionar VNets para remoção da lista.
Selecione Rever + criar e, em seguida, selecione Criar. Escolher Next: DNS Traffic Rules é ignorado aqui, mas também pode criar regras de tráfego agora. Neste guia, as regras de tráfego e as listas de domínios DNS são criadas e aplicadas posteriormente à política de segurança DNS.

Criar um espaço de trabalho de análise de log

Ignore esta seção se já tiver um espaço de trabalho do Log Analytics que gostaria de usar.

Para criar um espaço de trabalho do Log Analytics usando o portal do Azure:

Na página Inicial do portal do Azure, procure e selecione espaços de trabalho do Log Analytics. Você também pode escolher Espaço de Trabalho do Log Analytics no Azure Marketplace.
Selecione + Criar para começar a criar um novo espaço de trabalho.
Na guia Noções básicas, selecione o grupo Assinatura e Recursos ou crie um novo grupo de recursos.
Ao lado de Nome, insira um nome para o espaço de trabalho e escolha a Região para o espaço de trabalho.
Selecione Rever + criar e, em seguida, selecione Criar.

Configurar definições de diagnóstico

Agora que você tem um espaço de trabalho do Log Analytics, defina as configurações de diagnóstico em sua política de segurança para usar esse espaço de trabalho.

Para definir as configurações de diagnóstico:

Selecione a política de segurança DNS que você criou (myeast-secpol neste exemplo).
Em Monitorização, selecione Definições de diagnóstico.
Selecione Adicionar definição de diagnóstico.
Ao lado de Nome da configuração de diagnóstico, insira um nome para os logs que recolher aqui.
Em Logs e em Métricas , selecione "todos" os logs e métricas.
Em Detalhes do destino, selecione Enviar para o espaço de trabalho do Log Analytics e escolha a assinatura e o espaço de trabalho que você criou.
Selecione Guardar. Veja o seguinte exemplo.

Criar uma lista de domínios DNS

Para criar uma lista de domínios DNS usando o portal do Azure:

Na página Home do portal Azure, procure e selecione Listas de Domínio DNS.
Selecione + Criar para começar a criar uma nova lista de domínios.
Na guia Noções básicas, selecione o grupo Assinatura e Recursos ou crie um novo grupo de recursos.
Ao lado de Nome da lista de domínios, insira um nome para a lista de domínios e escolha a Região para a lista.

Nota

As políticas de segurança exigem listas de domínios na mesma região.
Selecione Next: DNS Domains.
Na guia Domínios DNS, insira nomes de domínio manualmente, um de cada vez, ou importe-os de um arquivo CSV (valores separados por vírgula).
Quando concluir a introdução de nomes de domínio, selecione Revisão e criação e, em seguida, selecione Criar.

Repita esta seção para criar mais listas de domínios, se desejar. Cada lista de domínios pode ser associada a uma regra de tráfego que tem uma das três ações:

Permitir: permita a consulta DNS e registre-a.
Bloquear: bloqueie a consulta DNS e registre a ação de bloqueio.
Alerta: permita a consulta DNS e registre um alerta.

Várias listas de domínios podem ser adicionadas ou removidas dinamicamente de uma única regra de tráfego DNS.

Configurar regras de tráfego DNS

Agora que você tem uma lista de domínios DNS, defina as configurações de diagnóstico em sua diretiva de segurança para usar esse espaço de trabalho.

Nota

As cadeias CNAME são examinadas ("perseguidas") para determinar se as regras de tráfego associadas a um domínio devem ser aplicadas. Por exemplo, uma regra que se aplica a malicious.contoso.com também se aplica a adatum.com se adatum.com mapeia para malicious.contoso.com ou se malicious.contoso.com aparece em qualquer lugar em uma cadeia CNAME para adatum.com.

Para definir as configurações de diagnóstico:

Selecione a política de segurança DNS que você criou (myeast-secpol neste exemplo).
Em Configurações, selecione Regras de Tráfego DNS.
Selecione + Adicionar. O painel Adicionar Regra de Tráfego DNS é aberto.
Ao lado de Prioridade, insira um valor no intervalo de 100 a 65000. As regras de menor número têm maior prioridade.
Ao lado de Nome da regra, insira um nome para a regra.
Ao lado de Listas de Domínio DNS, selecione as listas de domínios a serem usadas nesta regra.
Ao lado de Ação de Tráfego, selecione Permitir, Bloquear ou Alertar com base no tipo de ação que deve ser aplicada aos domínios selecionados. Neste exemplo, Permitir é escolhido.
Deixe o Estado da Regra padrão como Habilitado e selecione Salvar.
Atualize o modo de exibição para verificar se a regra foi adicionada com êxito. Você pode editar ações de tráfego, listas de domínios DNS, prioridade da regra e estado da regra.

Proteja o tráfego DNS com feed de informações sobre ameaças

O feed de inteligência de ameaças é uma lista de domínios totalmente gerida que é continuamente atualizada em segundo plano. Dentro da Política de Segurança DNS, é tratado como qualquer outra lista de domínios padrão — usando o mesmo modelo de configuração para prioridade e para a ação escolhida (permitir, bloquear ou alertar).

Selecione-a adicionando uma nova regra de tráfego DNS e configure-a com a ação que pretende aplicar e a respetiva prioridade.

Associe o feed de inteligência de ameaças a uma regra de tráfego DNS selecionando Azure DNS threat intel:

Configure a ação e a prioridade:

Exibir e testar logs de DNS

Navegue até sua política de segurança DNS e, em Monitoramento, selecione Configurações de diagnóstico.
Selecione o espaço de trabalho do Log Analytics que você associou anteriormente à política de segurança (secpol-loganalytics neste exemplo).
Selecione Logs à esquerda.
Para exibir consultas DNS de uma máquina virtual com endereço IP 10.40.40.4 na mesma região, execute uma consulta da seguinte maneira:

DNSQueryLogs
| where SourceIpAddress contains "10.40.40.4"
| limit 1000

Veja o seguinte exemplo:

Lembre-se de que a regra de tráfego que contém contoso.com foi definida como Permitir consultas. A consulta da máquina virtual resulta em uma resposta bem-sucedida:

C:\>dig db.sec.contoso.com +short
10.0.1.2

Expandir os detalhes da consulta na análise de log exibe dados como:

Nome da Operação: RESPONSE_SUCCESS
Região: eastus
Nome da Consulta: db.sec.contoso.com
Tipo de Consulta: A
Endereço IP de Fonte: 10.40.40.4
ResolutionPath: PrivateDnsResolução
ResolverPolicyRuleAction: Permitir

Se a regra de tráfego for editada e definida como Bloquear pedidos contoso.com, o pedido da máquina virtual resultará em uma resposta falhada. Certifique-se de selecionar Salvar quando alterar os componentes de uma regra.

Captura de ecrã a mostrar a edição de uma regra de trânsito.

Esta alteração resulta numa consulta falhada.


C:\>dig @168.63.129.16 db.sec.contoso.com 
; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> db.sec.contoso.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26872
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1224
; COOKIE: 336258f5985121ba (echoed)
;; QUESTION SECTION:
; db.sec.contoso.com. IN  A
 
;; ANSWER SECTION:
db.sec.contoso.com. 1006632960 IN CNAME blockpolicy.azuredns.invalid.
 
;; AUTHORITY SECTION:
blockpolicy.azuredns.invalid. 60 IN     SOA     ns1.azure-dns.com. support.azure.com. 1000 3600 600 1800 60
 
;; Query time: 0 msec
;; SERVER: 168.63.129.16#53(168.63.129.16) (UDP)
;; WHEN: Mon Sep 08 11:06:59 UTC 2025
;; MSG SIZE  rcvd: 183

A consulta com falha é registrada na análise de log:

Captura de ecrã de uma consulta com falha.

Nota

Pode levar alguns minutos para que os resultados da consulta apareçam na análise de log.

Configure um repositório local do PowerShell e instale o módulo Az.DnsResolver PowerShell. Isso só é necessário se você não estiver usando o Cloud Shell.

Crie uma nova pasta no disco para atuar como um repositório local do PowerShell. Neste exemplo, é utilizado C:\bin\PSRepo.
Baixe Az.DnsResolver.0.2.6.nupkg neste diretório.

Configure seu repositório local executando o seguinte comando:

# Register the repository
Register-PSRepository -Name LocalPSRepo -SourceLocation 'C:\bin\PSRepo' -ScriptSourceLocation 'C:\bin\PSRepo' -InstallationPolicy Trusted

# Install the Az.DnsResolver module
Install-Module -Name Az.DnsResolver -RequiredVersion 0.2.6 -SkipPublisherCheck

# If you already installed Az.DnsResolver, update your version to 0.2.6
Update-Module -Name Az.DnsResolver

# Confirm that the Az.DnsResolver module was installed properly
Get-InstalledModule -Name Az.DnsResolver

Definir o contexto da subscrição

# Connect PowerShell to Azure cloud
Connect-AzAccount -Environment AzureCloud

# Set your default subscription
Select-AzSubscription -SubscriptionObject (Get-AzSubscription -SubscriptionId <your-sub-id>)

Crie uma política de segurança de DNS com o PowerShell.

$ErrorActionPreference = "Stop"

################################################################
# Configure resource names and locations
################################################################

$resourceNumber = 1 # Customize this if needed
$region = "centralus" # Change this region to your preference
if ($env:username) {$name = "$($env:username)"} else {$name = "$($env:USER)"}  # The environment variable is different in Cloud Shell vs local PowerShell
$nameSuffix = "test-$($region)-$($name)-resolverpolicytest$($resourceNumber)-test"
$resourceGroupName = "rg-$($nameSuffix)"
$virtualNetworkName = "vnet-$($nameSuffix)"
$resolverPolicyName = "dnsresolverpolicy-$($nameSuffix)"
$domainListName = "domainlist-$($nameSuffix)"
$securityRuleName = "securityrule-$($nameSuffix)"
$resolverPolicyLinkName = "dnsresolverpolicylink"
$storageAccountName = "stor$($name.ToLower())"  # Customize this, taking care that the name is not too long
$storageAccountName = $storageAccountName.Substring(0, [Math]::Min(24, $storageAccountName.Length)) # Storage account names must be 3-24 characters long
$diagnosticSettingName = "diagnosticsetting-$($nameSuffix)"
$vnetId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$virtualNetworkName"

################################################################
# Create resource group, virtual network, and storage account
################################################################

Write-Host "Creating resource group"
$rg = New-AzResourceGroup -Name $resourceGroupName -Location $region
Write-Host ($rg | ConvertTo-Json -Depth 64)

Write-Host "Creating virtual network"
$defaultSubnet = New-AzVirtualNetworkSubnetConfig -Name "default" -AddressPrefix "10.$resourceNumber.0.0/24"
$vnet = New-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName -Location $region -AddressPrefix "10.$resourceNumber.0.0/16" -Subnet $defaultSubnet
Write-Host ($vnet | ConvertTo-Json -Depth 64)

Write-Host "Creating storage account"
$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -Location $region -SkuName Standard_GRS
Write-Host $storageAccount.ToString()

################################
# Create DNS security policy
################################

Write-Host "Creating DNS resolver policy"
$resolverPolicy = New-AzDnsResolverPolicy -Location $region -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
Write-Host $resolverPolicy.ToJsonString()

Write-Host "Creating DNS resolver policy virtual network link"
$link = New-AzDnsResolverPolicyVirtualNetworkLink -Location $region -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -VirtualNetworkId $vnetId
Write-Host $link.ToJsonString()

$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -Category DnsResponse

Write-Host "Creating diagnostic setting"
$diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId  $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
Write-Host $diagnosticSetting.ToJsonString()

Write-Host "Creating domain list"
$domainList = New-AzDnsResolverDomainList -Location $region -ResourceGroupName $resourceGroupName -Name $domainListName -Domain @("contoso.com.", "adatum.com.")
Write-Host $domainList.ToJsonString()

Write-Host "Creating DNS security policy rule"
$rule = New-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsSecurityRuleState "Enabled" -ActionType "Block" -ActionBlockResponseCode "SERVFAIL" -Priority 100 -DnsResolverPolicyName $resolverPolicyName -Location $region
Write-Host $rule.ToJsonString()

Opcional: atualize as políticas do resolvedor de DNS com novos valores.

################################
# Update DNS security policy
################################

Write-Host "Updating DNS resolver policy"
$resolverPolicy = Update-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName -Tag @{"key0" = "value0"} 
Write-Host $resolverPolicy.ToJsonString()

Write-Host "Updating DNS resolver policy virtual network link"
$link = Update-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -Tag @{"key1" = "value1"} 
Write-Host $link.ToJsonString()

$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $false -Category DnsResponse

Write-Host "Updating diagnostic setting by disabling log category"
$diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId  $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
Write-Host $diagnosticSetting.ToJsonString()

Write-Host "Updating domain list"
$domainList = Update-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName -Tag @{"key2" = "value2"} 
Write-Host $domainList.ToJsonString()

Write-Host "Updating DNS security policy rule"
$rule = Update-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsResolverPolicyName $resolverPolicyName
Write-Host $rule.ToJsonString()

Reveja a configuração da política de segurança DNS.

################################
# Get DNS security policy
################################

Write-Host "Getting DNS resolver policy"
$resolverPolicy = Get-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
Write-Host $resolverPolicy.ToJsonString()

Write-Host "Getting DNS resolver policy virtual network link"
$link = Get-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName
Write-Host $link.ToJsonString()

Write-Host "Getting diagnostic setting"
$diagnosticSetting = Get-AzDiagnosticSetting -ResourceId $resolverPolicy.id
Write-Host $diagnosticSetting.ToJsonString()

Write-Host "Getting domain list"
$domainList = Get-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName
Write-Host $rule.ToJsonString()

Write-Host "Getting DNS security policy rule"
$rule = Get-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverPolicyName $resolverPolicyName
Write-Host $rule.ToJsonString()

Testar a política de segurança de DNS

Para testar sua nova política de segurança, conecte-se a um dispositivo host dentro da rede virtual e emita uma consulta para os domínios que você bloqueou. Neste exemplo, a lista de domínios é contoso.com e adatum.com.

Entrada:

Resolve-DnsName -Name contoso.com -Type NS

Saída:

Resolve-DnsName : contoso.com : DNS server failure
At line:1 char:1
+ Resolve-DnsName -Name contoso.com -Type NS
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (contoso.com:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : RCODE_SERVER_FAILURE,Microsoft.DnsClient.Commands.ResolveDnsName

Revise os conceitos relacionados à política de segurança DNS.
Analise os cenários de zonas DNS Privadas do Azure.
Revise a resolução de DNS em redes virtuais.

Feedback

Esta página foi útil?

Last updated on 2025-11-19