Stream und Filtern von Daten von Windows DNS-Servern mit dem AMA-Connector

In diesem Artikel wird beschrieben, wie Sie den AMA-Connector (Azure Monitor Agent) verwenden, um Ereignisse aus Ihren DNS-Serverprotokollen (Domain Name System) von Windows zu streamen und zu filtern. Anschließend können Sie Ihre Daten eingehend analysieren, um Ihre DNS-Server vor Bedrohungen und Angriffen zu schützen. Der AMA und seine DNS-Erweiterung werden auf Ihrem Windows Server installiert, um Daten aus Ihren DNS-Analyseprotokollen in Ihren Microsoft Sentinel-Arbeitsbereich hochzuladen.

DNS ist ein weit verbreitetes Protokoll, das zwischen Hostnamen und computerlesbaren IP-Adressen zuordnet. Da DNS nicht unter Berücksichtigung der Sicherheit entworfen wurde, ist der Dienst in hohem Maße von böswilligen Aktivitäten betroffen, sodass seine Protokollierung ein wesentlicher Bestandteil der Sicherheitsüberwachung ist. Einige bekannte Bedrohungen, die auf DNS-Server abzielen, sind DDoS-Angriffe auf DNS-Server, DNS-DDoS-Verstärkung, DNS-Hijacking und mehr.

Obwohl einige Mechanismen eingeführt wurden, um die Allgemeine Sicherheit dieses Protokolls zu verbessern, sind DNS-Server immer noch ein sehr gezielter Dienst. Organisationen können DNS-Protokolle überwachen, um die Netzwerkaktivität besser zu verstehen und verdächtiges Verhalten oder Angriffe auf Ressourcen im Netzwerk zu identifizieren. Der Connector für Windows DNS-Ereignisse über AMA bietet diese Art von Sichtbarkeit. Verwenden Sie beispielsweise den Connector, um Clients zu identifizieren, die versuchen, böswillige Domänennamen aufzulösen, Anforderungslasten auf DNS-Servern anzuzeigen und zu überwachen oder dynamische DNS-Registrierungsfehler anzuzeigen.

Hinweis

Der Windows DNS-Ereignisse über AMA-Connector unterstützt nur analytische Protokollereignisse.

Voraussetzungen

Bevor Sie beginnen, überprüfen Sie, ob Sie über Folgendes verfügen:

  • Ein Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist.
  • Der Windows DNS-Ereignisse über AMA-Datenconnector, der als Teil der Windows Server DNS-Lösung vom Content Hub installiert wird.
  • Windows Server 2016 und höher unterstützt oder Windows Server 2012 R2 mit dem Überwachungs-Hotfix.
  • Dns-Serverrolle, die mit aktivierten analytischen Dns-Server-Ereignisprotokollen installiert ist. Dns-Analyseereignisprotokolle sind standardmäßig nicht aktiviert. Weitere Informationen finden Sie unter Aktivieren der analytischen Ereignisprotokollierung.

Stellen Sie sicher, dass Azure Arc installiert ist, um Ereignisse von einem Beliebigen System zu erfassen, das kein Azure virtueller Computer ist. Installieren und aktivieren Sie Azure Arc, bevor Sie den Azure Monitor-Agent-basierten Connector aktivieren. Diese Anforderung umfasst Folgendes:

  • Auf physischen Computern installierte Windows-Server
  • Auf lokalen virtuellen Computern installierte Windows-Server
  • Windows-Server, die auf virtuellen Computern in nicht Azure Clouds installiert sind

Konfigurieren des Windows DNS over AMA-Connectors über das Portal

Verwenden Sie die Setupoption des Portals, um den Connector mit einer einzelnen Datensammlungsregel (Data Collection Rule, DCR) pro Arbeitsbereich zu konfigurieren. Verwenden Sie anschließend erweiterte Filter, um bestimmte Ereignisse oder Informationen herauszufiltern und nur die wertvollen Daten hochzuladen, die Sie überwachen möchten, um Kosten und Bandbreitennutzung zu senken.

Wenn Sie mehrere DCRs erstellen müssen, verwenden Sie stattdessen die API . Wenn Sie die API zum Erstellen mehrerer DCRs verwenden, wird im Portal immer noch nur ein DCR angezeigt.

So konfigurieren Sie den Connector:

  1. Öffnen Sie Microsoft Sentinel die Seite Datenconnectors, und suchen Sie die Windows DNS-Ereignisse über den AMA-Connector.

  2. Wählen Sie unten im Seitenbereich Connectorseite öffnen aus.

  3. Wählen Sie im Bereich Konfiguration die Option Datensammlungsregel erstellen aus. Sie können einen einzelnen DCR pro Arbeitsbereich erstellen.

    Der DCR-Name, das Abonnement und die Ressourcengruppe werden automatisch basierend auf dem Arbeitsbereichsnamen, dem aktuellen Abonnement und der Ressourcengruppe festgelegt, aus der der Connector ausgewählt wurde. Zum Beispiel:

    Screenshot: Erstellen einer neuen D C R für den Windows DN S over A-Connector

  4. Wählen Sie die Registerkarte >RessourcenRessourcen hinzufügen aus.

  5. Wählen Sie die VMs aus, auf denen Sie den Connector zum Sammeln von Protokollen installieren möchten. Zum Beispiel:

    Screenshot: Auswählen von Ressourcen für den Windows DN S over A-Connector

  6. Überprüfen Sie Ihre Änderungen, und wählen Sie Save Apply (Übernehmen)> aus.

Konfigurieren des Windows DNS over AMA-Connectors über die API

Verwenden Sie die API-Setupoption, um den Connector mit mehreren DCRs pro Arbeitsbereich zu konfigurieren. Wenn Sie lieber eine einzelne DCR verwenden möchten, verwenden Sie stattdessen die Portaloption .

Wenn Sie die API zum Erstellen mehrerer DCRs verwenden, wird immer noch nur eine DCR im Portal angezeigt.

Verwenden Sie das folgende Beispiel als Vorlage, um eine DCR zu erstellen oder zu aktualisieren:

Anforderungs-URL und -Header 

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version={latest-supported-version}

Die neueste unterstützte API-Version finden Sie unter Datensammlungsregeln – REST-API (Azure Monitor) | Microsoft Learn.

Screenshot: Darstellung der API-Version in der DCR-Dokumentation

Anforderungstext

{
    "location": "eastus2",
    "kind" : "Windows",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [],
            "extensions": [
                {
                    "streams": [
                        "Microsoft-ASimDnsActivityLogs"
                    ],
                    "extensionName": "MicrosoftDnsAgent",
                    "extensionSettings": {
                        "Filters": [
                            {
                                "FilterName": "SampleFilter",
                                "Rules": [
                                    {
                                        "Field": "EventOriginalType",
                                        "FieldValues": [
                                            "260"
                                        ]
                                    }
                                ]
                            }
                        ]
                    },
                    "name": "SampleDns"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "name" : "WorkspaceDestination",
                    "workspaceId" : "{WorkspaceGuid}",
                    "workspaceResourceId" : "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-ASimDnsActivityLogs"
                ],
                "destinations": [
                    "WorkspaceDestination"
                ]
            }
        ],
    },
    "tags" : {}
}

Verwenden erweiterter Filter in Ihren DCRs

DNS-Serverereignisprotokolle können eine große Anzahl von Ereignissen enthalten. Es wird empfohlen, die erweiterte Filterung zu verwenden, um nicht benötigte Ereignisse vor dem Hochladen der Daten herauszufiltern, um wertvolle Selektierungszeit und -kosten zu sparen. Die Filter entfernen die nicht benötigten Daten aus dem Datenstrom von Ereignissen, die in Ihren Arbeitsbereich hochgeladen wurden, und basieren auf einer Kombination aus mehreren Feldern.

Weitere Informationen finden Sie unter Verfügbare Felder zum Filtern.

Erstellen erweiterter Filter über das Portal

Gehen Sie wie folgt vor, um Filter über das Portal zu erstellen. Weitere Informationen zum Erstellen von Filtern mit der API finden Sie unter Erweiterte Filterbeispiele.

So erstellen Sie Filter über das Portal:

  1. Wählen Sie auf der Connectorseite im Bereich Konfiguration die Option Datensammlungsfilter hinzufügen aus.

  2. Geben Sie einen Namen für den Filter ein, und wählen Sie den Filtertyp aus. Hierbei handelt es sich um einen Parameter, der die Anzahl der gesammelten Ereignisse reduziert. Parameter werden gemäß dem normalisierten DNS-Schema normalisiert. Weitere Informationen finden Sie unter Verfügbare Felder zum Filtern.

    Screenshot: Erstellen eines Filters für den Windows DN S over A-Connector

  3. Wählen Sie die Werte aus, nach denen Sie das Feld filtern möchten, unter den werten, die in der Dropdownliste aufgeführt sind.

    Screenshot: Hinzufügen von Feldern zu einem Filter für den Windows DN S over A-Connector

  4. Um komplexe Filter hinzuzufügen, wählen Sie Ausschlussfeld hinzufügen aus, um zu filtern , und fügen Sie das entsprechende Feld hinzu.

    • Verwenden Sie durch Trennzeichen getrennte Listen, um mehrere Werte für jedes Feld zu definieren.
    • Verwenden Sie zum Erstellen zusammengesetzter Filter verschiedene Felder mit einer AND-Beziehung.
    • Um verschiedene Filter zu kombinieren, verwenden Sie eine OR-Beziehung zwischen ihnen.

    Filter unterstützen auch Wie folgt Wildcards:

    • Fügen Sie einen Punkt hinter jedem Sternchen (*.) hinzu.
    • Verwenden Sie keine Leerzeichen zwischen der Liste der Domänen.
    • Platzhalter gelten nur für die Unterdomänen der Domäne, einschließlich www.domain.com, unabhängig vom Protokoll. Wenn Sie beispielsweise in einem erweiterten Filter verwenden *.domain.com :
      • Der Filter gilt für www.domain.com und subdomain.domain.com, unabhängig davon, ob das Protokoll HTTPS, FTP usw. ist.
      • Der Filter gilt nicht für domain.com. Um einen Filter auf domain.comanzuwenden, geben Sie die Domäne direkt an, ohne einen Wildcard zu verwenden.

  5. Um weitere neue Filter hinzuzufügen, wählen Sie Neuen Ausschlussfilter hinzufügen aus.

  6. Wenn Sie mit dem Hinzufügen von Filtern fertig sind, wählen Sie Hinzufügen aus.

  7. Wählen Sie auf der Hauptseite des Connectors Änderungen anwenden aus, um die Filter für Ihre Connectors zu speichern und bereitzustellen. Um vorhandene Filter oder Felder zu bearbeiten oder zu löschen, wählen Sie die Bearbeitungs- oder Löschsymbole in der Tabelle im Bereich Konfiguration aus.

  8. Wählen Sie zum Hinzufügen von Feldern oder Filtern nach der ersten Bereitstellung erneut Datensammlungsfilter hinzufügen aus.

Beispiele für erweiterte Filterung

Verwenden Sie die folgenden Beispiele, um häufig verwendete erweiterte Filter über das Portal oder die API zu erstellen.

Sammeln Sie keine bestimmten Ereignis-IDs.

Dieser Filter weist den Connector an, eventID 256 oder EventID 257 oder EventID 260 nicht mit IPv6-Adressen zu erfassen.

Verwenden des Microsoft Sentinel-Portals:

  1. Erstellen Sie mithilfe des Equals-Operators mit den Werten 256, 257 und 260 einen Filter mit dem Feld EventOriginalType.

    Screenshot des Herausfilterns von Ereignis-IDs für den Windows D N S over A-Connector.

  2. Erstellen Sie einen Filter mit dem oben definierten EventOriginalType-Feld , und verwenden Sie den Operator And , einschließlich des Felds DnsQueryTypeName , das auf AAAA festgelegt ist.

    Screenshot: Herausfiltern von Ereignis-IDs und IPv6-Adressen für den Windows DN S-über-A-Connector

Verwenden der API:

"Filters": [
    {
        "FilterName": "SampleFilter",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "256", "257", "260"                                                                              
                ]
            },
            {
                "Field": "DnsQueryTypeName",
                "FieldValues": [
                    "AAAA"                                        
                ]
            }
        ]
    },
    {
        "FilterName": "EventResultDetails",
        "Rules": [
            {
                "Field": "EventOriginalType",
                "FieldValues": [
                    "230"                                        
                ]
            },
            {
                "Field": "EventResultDetails",
                "FieldValues": [
                    "BADKEY","NOTZONE"                                        
                ]
            }
        ]
    }
]

Sammeln Sie keine Ereignisse mit bestimmten Domänen.

Dieser Filter weist den Connector an, keine Ereignisse von unterdomänen von microsoft.com, google.com, amazon.com oder Ereignissen aus facebook.com oder center.local zu sammeln.

Verwenden des Microsoft Sentinel-Portals:

Legen Sie das DnsQuery-Feld mit dem Equals-Operator mit der Liste *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local fest.

Überprüfen Sie diese Überlegungen zur Verwendung von Wildcards.

Screenshot: Herausfiltern von Domänen für den Windows DN S over A-Connector

Verwenden Sie den OR-Operator , um unterschiedliche Werte in einem einzelnen Feld zu definieren.

Verwenden der API:

Überprüfen Sie diese Überlegungen zur Verwendung von Wildcards.

"Filters": [ 
    { 
        "FilterName": "SampleFilter", 
        "Rules": [ 
            { 
                "Field": "DnsQuery", 
                "FieldValues": [ 
                    "*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"                                                                               
                ]
            }
        ]
    }
]

Normalisierung mit ASIM

Dieser Connector wird mithilfe von ASIM-Parsern (Advanced Security Information Model) vollständig normalisiert. Der Connector streamt Ereignisse, die aus den Analyseprotokollen stammen, in die normalisierte Tabelle namens ASimDnsActivityLogs. Diese Tabelle fungiert als Übersetzer und verwendet eine einheitliche Sprache, die für alle kommenden DNS-Connectors freigegeben ist.

Verwenden Sie für einen quellenunabhängigen Parser, der alle DNS-Daten vereinheitlicht und sicherstellt, dass Ihre Analyse über alle konfigurierten Quellen hinweg ausgeführt wird, den ASIM DNS vereinheitlichenden Parser_Im_Dns.

Der vereinheitlichende ASIM-Parser ergänzt die native ASimDnsActivityLogs Tabelle. Obwohl die native Tabelle ASIM-kompatibel ist, wird der Parser benötigt, um Funktionen wie Aliase hinzuzufügen, die nur zur Abfragezeit verfügbar sind, und um sie mit anderen DNS-Datenquellen zu kombinieren ASimDnsActivityLogs .

Das ASIM-DNS-Schema stellt die DNS-Protokollaktivität dar, die auf dem Windows DNS-Server in den Analyseprotokollen protokolliert wird. Das Schema wird von offiziellen Parameterlisten und RFCs gesteuert, die Felder und Werte definieren.

Sehen Sie sich die Liste der Windows DNS-Serverfelder an, die in die normalisierten Feldnamen übersetzt wurden.

Verwandte Inhalte

In diesem Artikel haben Sie erfahren, wie Sie die Windows DNS-Ereignisse über den AMA-Connector einrichten, um Daten hochzuladen und Ihre Windows DNS-Protokolle zu filtern. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

  • Last updated on