Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Sentinel vous permet de diffuser et de filtrer les événements de vos journaux de serveur DNS (Domain Name System) Windows vers la ASimDnsActivityLog table de schéma normalisée. Cet article décrit les champs utilisés pour filtrer les données et le schéma de normalisation pour les champs du serveur DNS Windows.
L’agent Azure Monitor (AMA) et son extension DNS sont installés sur votre Windows Server pour charger des données de vos journaux analytiques DNS vers votre espace de travail Microsoft Sentinel. Vous diffusez et filtrez les données à l’aide des événements DNS Windows via le connecteur AMA.
Champs disponibles pour le filtrage
Ce tableau affiche les champs disponibles. Les noms de champs sont normalisés à l’aide du schéma DNS.
| Nom du champ | Valeurs | Description |
|---|---|---|
| EventOriginalType | Nombres compris entre 256 et 280 | L’ID d’événement DNS Windows, qui indique le type de l’événement de protocole DNS. |
| EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP •REFUSÉ • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
Chaîne de résultat DNS de l’opération telle que définie par l’IANA (Internet Assigned Numbers Authority). |
| DvcIpAdrr | Adresses IP | Adresse IP du serveur signalant l’événement. Ce champ inclut également des informations de géolocalisation et d’adresses IP malveillantes. |
| DnsQuery | Noms de domaine (FQDN) | Chaîne représentant le nom de domaine à résoudre. • Peut accepter plusieurs valeurs dans une liste séparée par des virgules et des caractères génériques. Par exemple : *.microsoft.com,google.com,facebook.com• Passez en revue ces considérations pour l’utilisation de caractères génériques. |
| DnsQueryTypeName | •Un •NS •MD •MF •CNAME •SOA •MB •MG •M •NULL •WKS •PTR • HINFO • MINFO •MX •TXT •RP • AFSDB • X25 •RNIS •RT •NSAP • NSAP-PTR • SIG •CLÉ •PX •GPO • AAAA •LOC •NXT •EID • NIMLOC •SRV |
Attribut DNS demandé. Nom du type d’enregistrement de ressource DNS tel que défini par IANA. |
Schéma DNS normalisé ASIM
Ce tableau décrit et traduit les champs du serveur DNS Windows en noms de champs normalisés tels qu’ils apparaissent dans le schéma de normalisation DNS.
| Nom du champ DNS Windows | Nom du champ normalisé | Type | Description |
|---|---|---|---|
| Eventid | EventOriginalType | String | Id ou type d’événement d’origine. |
| RCODE | EventResult | String | Résultat de l’événement (réussite, partielle, échec, NA). |
| RCODE analysé | EventResultDetails | String | Code de réponse DNS tel que défini par IANA. |
| InterfaceIP | DvcIpAdrr | String | Adresse IP de l’interface ou de l’appareil de création de rapports d’événements. |
| AA | DnsFlagsAuthoritative | Entier | Indique si la réponse du serveur faisait autorité. |
| AD | DnsFlagsAuthenticated | Entier | Indique que le serveur a vérifié toutes les données de la réponse et l’autorité de la réponse, en fonction des stratégies du serveur. |
| RQNAME | DnsQuery | String | Le domaine doit être résolu. |
| QTYPE | DnsQueryType | Entier | Type d’enregistrement de ressource DNS tel que défini par IANA. |
| Port | SrcPortNumber | Entier | Port source envoyant la requête. |
| Source | SrcIpAddr | Adresse IP | Adresse IP du client qui envoie la requête DNS. Pour une requête DNS récursive, cette valeur est généralement l’adresse IP de l’appareil de création de rapports, dans la plupart des cas, 127.0.0.1. |
| Temps écoulé | DnsNetworkDuration | Entier | Temps nécessaire pour terminer la requête DNS. |
| GUID | DnsSessionId | String | Identificateur de session DNS tel que signalé par l’appareil de création de rapports. |
Étapes suivantes
Dans cet article, vous avez découvert les champs utilisés pour filtrer les données de journal DNS à l’aide des événements DNS Windows via le connecteur AMA. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment obtenir une visibilité sur vos données et les menaces potentielles.
- Commencez à détecter les menaces avec Microsoft Sentinel.
- Utilisez des classeurs pour surveiller vos données.