Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Sentinel permite transmitir y filtrar eventos desde los registros de servidor del Sistema de nombres de dominio (DNS) de Windows a la ASimDnsActivityLog tabla de esquema normalizado. En este artículo se describen los campos utilizados para filtrar los datos y el esquema de normalización de los campos del servidor DNS de Windows.
El agente de Azure Monitor (AMA) y su extensión DNS se instalan en el Windows Server para cargar datos de los registros analíticos de DNS en el área de trabajo de Microsoft Sentinel. Transmita y filtre los datos mediante los eventos DNS de Windows a través del conector AMA.
Campos disponibles para el filtrado
En esta tabla se muestran los campos disponibles. Los nombres de campo se normalizan mediante el esquema DNS.
| Nombre del campo | Valores | Descripción |
|---|---|---|
| EventOriginalType | Números entre 256 y 280 | El id. de evento dns de Windows, que indica el tipo del evento de protocolo DNS. |
| EventResultDetails | • NOERROR • EXR • SERVFAIL • NXDOMAIN • NOTIMP • SE RECHAZÓ • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
Cadena de resultado DNS de la operación tal como la define la autoridad de números asignados por Internet (IANA). |
| DvcIpAdrr | Direcciones IP | Dirección IP del servidor que informa del evento. Este campo también incluye la ubicación geográfica y la información de IP malintencionada. |
| DnsQuery | Nombres de dominio (FQDN) | Cadena que representa el nombre de dominio que se va a resolver. • Puede aceptar varios valores en una lista separada por comas y caracteres comodín. Por ejemplo: *.microsoft.com,google.com,facebook.com• Revise estas consideraciones para usar caracteres comodín. |
| DnsQueryTypeName | • A • NS • MD • MF • CNAME • SOA • MB • MG • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • NSAP • NSAP-PTR • SIG • CLAVE • PX • GPO • AAAA • LOC • NXT • EID • NIMLOC • SRV |
Atributo DNS solicitado. Nombre del tipo de registro de recurso DNS tal como lo define IANA. |
Esquema DNS normalizado de ASIM
En esta tabla se describen y convierten los campos del servidor DNS de Windows en los nombres de campo normalizados a medida que aparecen en el esquema de normalización de DNS.
| Nombre del campo DNS de Windows | Nombre de campo normalizado | Tipo | Description |
|---|---|---|---|
| EventID | EventOriginalType | Cadena | Tipo de evento o identificador original. |
| RCODE | EventResult | Cadena | Resultado del evento (correcto, parcial, error, NA). |
| RCODE analizado | EventResultDetails | Cadena | El código de respuesta DNS tal como lo define IANA. |
| InterfaceIP | DvcIpAdrr | Cadena | Dirección IP del dispositivo o interfaz de informes de eventos. |
| AA | DnsFlagsAuthoritative | Entero | Indica si la respuesta del servidor era autoritativa. |
| AD | DnsFlagsAuthenticated | Entero | Indica que el servidor ha comprobado todos los datos de la respuesta y la autoridad de la respuesta, según las directivas del servidor. |
| RQNAME | DnsQuery | Cadena | El dominio debe resolverse. |
| QTYPE | DnsQueryType | Entero | Tipo de registro de recurso DNS tal como lo define IANA. |
| Puerto | SrcPortNumber | Entero | Puerto de origen que envía la consulta. |
| Origen | SrcIpAddr | Dirección IP | Dirección IP del cliente que envía la solicitud DNS. Para una solicitud DNS recursiva, este valor suele ser la dirección IP del dispositivo de informes, en la mayoría de los casos, 127.0.0.1. |
| ElapsedTime | DnsNetworkDuration | Entero | El tiempo que tardó en completar la solicitud DNS. |
| GUID | DnsSessionId | Cadena | Identificador de sesión DNS notificado por el dispositivo de informes. |
Pasos siguientes
En este artículo, ha obtenido información sobre los campos que se usan para filtrar los datos de registro DNS mediante los eventos DNS de Windows a través del conector AMA. Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:
- Obtenga información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas.
- Empiece a detectar amenazas con Microsoft Sentinel.
- Use libros para supervisar los datos.