Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel consente di trasmettere e filtrare gli eventi dai log del server DNS (Domain Name System) di Windows alla ASimDnsActivityLog tabella dello schema normalizzata. Questo articolo descrive i campi usati per filtrare i dati e lo schema di normalizzazione per i campi del server DNS Windows.
L'agente di monitoraggio Azure (AMA) e la relativa estensione DNS vengono installati nel Windows Server per caricare i dati dai log analitici DNS nell'area di lavoro Microsoft Sentinel. È possibile trasmettere e filtrare i dati usando gli eventi DNS di Windows tramite il connettore AMA.
Campi disponibili per il filtro
Questa tabella mostra i campi disponibili. I nomi dei campi vengono normalizzati usando lo schema DNS.
| Nome del campo | Valori | Descrizione |
|---|---|---|
| EventOriginalType | Numeri compresi tra 256 e 280 | Id evento DNS di Windows, che indica il tipo di evento del protocollo DNS. |
| EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP •RIFIUTATO • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
Stringa del risultato DNS dell'operazione definita dall'IANA (Internet Assigned Numbers Authority). |
| DvcIpAdrr | Indirizzi IP | Indirizzo IP del server che segnala l'evento. Questo campo include anche la posizione geografica e le informazioni IP dannose. |
| DnsQuery | Nomi di dominio (FQDN) | Stringa che rappresenta il nome di dominio da risolvere. • Può accettare più valori in un elenco delimitato da virgole e caratteri jolly. Ad esempio: *.microsoft.com,google.com,facebook.com• Esaminare queste considerazioni per l'uso dei caratteri jolly. |
| DnsQueryTypeName | •Un •NS •MD •MF •CNAME •SOA •MB •MG •SIGNOR •NULL •WKS •PTR • HINFO • MINFO •MX • TXT •RP • AFSDB • X25 •ISDN •RT • NSAP • NSAP-PTR • SIG •CHIAVE •PX •GPO • AAAA •LOC •NXT •EID • NIMLOC •SRV |
Attributo DNS richiesto. Nome del tipo di record di risorsa DNS definito da IANA. |
Schema DNS normalizzato ASIM
Questa tabella descrive e converte i campi del server DNS Windows nei nomi di campo normalizzati come vengono visualizzati nello schema di normalizzazione DNS.
| Nome campo DNS Windows | Nome campo normalizzato | Tipo | Descrizione |
|---|---|---|---|
| Eventid | EventOriginalType | Stringa | Tipo di evento o ID originale. |
| RCODE | EventResult | Stringa | Risultato dell'evento (esito positivo, parziale, errore, NA). |
| RCODE analizzato | EventResultDetails | Stringa | Codice di risposta DNS come definito da IANA. |
| InterfaceIP | DvcIpAdrr | Stringa | Indirizzo IP del dispositivo o dell'interfaccia di segnalazione eventi. |
| AA | DnsFlagsAuthoritative | Numero intero | Indica se la risposta del server è autorevole. |
| ANNUNCIO | DnsFlagsAuthenticated | Numero intero | Indica che il server ha verificato tutti i dati nella risposta e l'autorità della risposta, in base ai criteri del server. |
| RQNAME | DnsQuery | Stringa | Il dominio deve essere risolto. |
| QTYPE | DnsQueryType | Numero intero | Tipo di record di risorsa DNS definito da IANA. |
| Porta | SrcPortNumber | Numero intero | Porta di origine che invia la query. |
| Origine | SrcIpAddr | Indirizzo IP | Indirizzo IP del client che invia la richiesta DNS. Per una richiesta DNS ricorsiva, questo valore è in genere l'IP del dispositivo di segnalazione, nella maggior parte dei casi. 127.0.0.1 |
| ElapsedTime | DnsNetworkDuration | Numero intero | Tempo necessario per completare la richiesta DNS. |
| GUID | DnsSessionId | Stringa | Identificatore della sessione DNS segnalato dal dispositivo di report. |
Passaggi successivi
In questo articolo sono stati illustrati i campi usati per filtrare i dati del log DNS usando gli eventi DNS di Windows tramite il connettore AMA. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Introduzione al rilevamento delle minacce con Microsoft Sentinel.
- Usare le cartelle di lavoro per monitorare i dati.