Microsoft Sentinelを使用すると、Windows ドメイン ネーム システム (DNS) サーバー ログから正規化されたスキーマ テーブルASimDnsActivityLogイベントをストリーミングおよびフィルター処理できます。 この記事では、データのフィルター処理に使用されるフィールドと、Windows DNS サーバー フィールドの正規化スキーマについて説明します。
Azure Monitor Agent (AMA) とその DNS 拡張機能がWindows Serverにインストールされ、DNS 分析ログからMicrosoft Sentinel ワークスペースにデータをアップロードします。 AMA コネクタ経由で Windows DNS イベントを使用して、データをストリーミングおよびフィルター処理します。
フィルター処理に使用できるフィールド
次の表に、使用可能なフィールドを示します。 フィールド名は、 DNS スキーマを使用して正規化されます。
| フィールド名 | 値 | 説明 |
|---|---|---|
| EventOriginalType | 256 から 280 までの数値 | Dns プロトコル イベントの種類を示す Windows DNS eventID。 |
| EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP •拒否 • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
インターネット割り当て番号機関 (IANA) によって定義された操作の DNS 結果文字列。 |
| DvcIpAdrr | IP アドレス | イベントを報告するサーバーの IP アドレス。 このフィールドには、地理的な場所と悪意のある IP 情報も含まれます。 |
| DnsQuery | ドメイン名 (FQDN) | 解決するドメイン名を表す文字列。 • コンマ区切りリストとワイルドカードで複数の値を受け取ることができます。 例: *.microsoft.com,google.com,facebook.com• ワイルドカードの使用に関するこれらの考慮事項を確認します。 |
| DnsQueryTypeName | •A •Ns •Md •Mf •Cname •Soa •Mb •Mg •氏 •Null •週 •Ptr • HINFO • MINFO •Mx •Txt •Rp • AFSDB • X25 •Isdn •Rt •Nsap • NSAP-PTR •Sig •キー •ピクセル •Gpo •Aaaa •Loc •Nxt •Eid • NIMLOC •Srv |
要求された DNS 属性。 IANA によって定義された DNS リソース レコードの種類名。 |
ASIM 正規化 DNS スキーマ
次の表では、Windows DNS サーバー のフィールドを、 DNS 正規化スキーマに表示される正規化されたフィールド名に変換します。
| Windows DNS フィールド名 | 正規化されたフィールド名 | 型 | 説明 |
|---|---|---|---|
| Eventid | EventOriginalType | 文字列 | 元のイベントの種類または ID。 |
| Rcode | EventResult | 文字列 | イベントの結果 (成功、部分的、失敗、NA)。 |
| RCODE 解析済み | EventResultDetails | 文字列 | IANA によって定義された DNS 応答コード。 |
| InterfaceIP | DvcIpAdrr | 文字列 | イベント 報告デバイスまたはインターフェイスの IP アドレス。 |
| Aa | DnsFlagsAuthoritative | 整数 | サーバーからの応答が権限を持っていたかどうかを示します。 |
| 広告 | DnsFlagsAuthenticated | 整数 | サーバー ポリシーに従って、サーバーが応答内のすべてのデータと応答の権限を検証したことを示します。 |
| RQNAME | DnsQuery | 文字列 | ドメインを解決する必要があります。 |
| QTYPE | DnsQueryType | 整数 | IANA によって定義された DNS リソース レコードの種類。 |
| ポート | SrcPortNumber | 整数 | クエリを送信するソース ポート。 |
| ソース | SrcIpAddr | IP アドレス | DNS 要求を送信するクライアントの IP アドレス。 再帰 DNS 要求の場合、この値は通常、レポート デバイスの IP であり、ほとんどの場合、 127.0.0.1。 |
| ElapsedTime | DnsNetworkDuration | 整数 | DNS 要求の完了にかかった時間。 |
| GUID | DnsSessionId | 文字列 | レポート デバイスによって報告される DNS セッション識別子。 |
次の手順
この記事では、AMA コネクタを使用して Windows DNS イベントを使用して DNS ログ データをフィルター処理するために使用するフィールドについて説明しました。 Microsoft Sentinelの詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法について説明します。
- Microsoft Sentinelで脅威の検出を開始します。
- ブックを使用して データを監視します。