Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel ermöglicht Ihnen das Streamen und Filtern von Ereignissen aus Ihren Dns-Serverprotokollen (Windows Domain Name System) in die ASimDnsActivityLog normalisierte Schematabelle. In diesem Artikel werden die Felder beschrieben, die zum Filtern der Daten verwendet werden, und das Normalisierungsschema für die Windows DNS-Serverfelder.
Der Azure Monitor-Agent (AMA) und die zugehörige DNS-Erweiterung werden auf Ihrem Windows Server installiert, um Daten aus Ihren DNS-Analyseprotokollen in Ihren Microsoft Sentinel-Arbeitsbereich hochzuladen. Sie streamen und filtern die Daten mithilfe des Windows DNS-Ereignisses über den AMA-Connector.
Verfügbare Felder zum Filtern
In dieser Tabelle sind die verfügbaren Felder aufgeführt. Die Feldnamen werden mithilfe des DNS-Schemas normalisiert.
| Feldname | Werte | Beschreibung |
|---|---|---|
| EventOriginalType | Zahlen zwischen 256 und 280 | Die Windows DNS-Ereignis-ID, die den Typ des DNS-Protokollereignisses angibt. |
| EventResultDetails | • NOERROR • EHEMALIGER • SERVFAIL • NXDOMAIN • NOTIMP •ABGELEHNT • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • SCHLECHTE ZEIT • BADALG • BADTRUNC • BADCOOKIE |
Die VON der Internet Assigned Numbers Authority (IANA) definierte DNS-Ergebniszeichenfolge des Vorgangs. |
| DvcIpAdrr | IP-Adressen | Die IP-Adresse des Servers, der das Ereignis meldet. Dieses Feld enthält auch Informationen zu geografischem Standort und schädlichen IP-Adressen. |
| DnsQuery | Domänennamen (FQDN) | Die Zeichenfolge, die den zu auflösenden Domänennamen darstellt. • Kann mehrere Werte in einer durch Trennzeichen getrennten Liste und Platzhalter akzeptieren. Zum Beispiel: *.microsoft.com,google.com,facebook.com• Überprüfen Sie diese Überlegungen zur Verwendung von Wildcards. |
| DnsQueryTypeName | •Eine •NS •MD •MF •CNAME •SOA •MB •MG •HERR •NULL •WKS •PTR •HINFO • MINFO •MX •TXT •RP • AFSDB • X25 •ISDN •RT •NSAP • NSAP-PTR •SIG •SCHLÜSSEL •PIXEL •GRUPPENRICHTLINIENOBJEKTE •AAAA •LOC •NXT • EID • NIMLOC •SRV |
Das angeforderte DNS-Attribut. Der Name des DNS-Ressourceneintragstyps, wie von IANA definiert. |
ASIM normalisiertes DNS-Schema
In dieser Tabelle werden Windows DNS-Serverfelder beschrieben und in die normalisierten Feldnamen übersetzt, wie sie im DNS-Normalisierungsschema angezeigt werden.
| Windows DNS-Feldname | Normalisierter Feldname | Typ | Beschreibung |
|---|---|---|---|
| Eventid | EventOriginalType | Zeichenfolge | Der ursprüngliche Ereignistyp oder die URSPRÜNGLICHE ID. |
| RCODE | EventResult | Zeichenfolge | Das Ergebnis des Ereignisses (Erfolg, Teil, Fehler, NA). |
| RCODE analysiert | EventResultDetails | Zeichenfolge | Der VON IANA definierte DNS-Antwortcode. |
| InterfaceIP | DvcIpAdrr | Zeichenfolge | Die IP-Adresse des Ereignisberichtsgeräts oder der Schnittstelle. |
| AA | DnsFlagsAuthoritative | Integer | Gibt an, ob die Antwort vom Server autoritativ war. |
| AD | DnsFlagsAuthenticated | Integer | Gibt an, dass der Server alle Daten in der Antwort und die Autorität der Antwort gemäß den Serverrichtlinien überprüft hat. |
| RQNAME | DnsQuery | Zeichenfolge | Die Domäne muss aufgelöst werden. |
| QTYPE | DnsQueryType | Integer | Der VON IANA definierte DNS-Ressourceneintragstyp. |
| Port | SrcPortNumber | Integer | Quellport, der die Abfrage sendet. |
| Quelle | SrcIpAddr | IP-Adresse | Die IP-Adresse des Clients, der die DNS-Anforderung sendet. Bei einer rekursiven DNS-Anforderung ist dieser Wert in der Regel die IP-Adresse des meldenden Geräts, in den meisten Fällen 127.0.0.1. |
| ElapsedTime | DnsNetworkDuration | Integer | Die Zeit, die zum Abschließen der DNS-Anforderung benötigt wurde. |
| GUID | DnsSessionId | Zeichenfolge | Der DNS-Sitzungsbezeichner, der vom meldend-Gerät gemeldet wird. |
Nächste Schritte
In diesem Artikel haben Sie die Felder kennengelernt, die zum Filtern von DNS-Protokolldaten mithilfe der Windows-DNS-Ereignisse über den AMA-Connector verwendet werden. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Erste Schritte beim Erkennen von Bedrohungen mit Microsoft Sentinel.
- Verwenden Sie Arbeitsmappen , um Ihre Daten zu überwachen.