Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
met Microsoft Sentinel kunt u gebeurtenissen streamen en filteren van uw DNS-serverlogboeken (Windows Domain Name System) naar de ASimDnsActivityLog genormaliseerde schematabel. In dit artikel worden de velden beschreven die worden gebruikt voor het filteren van de gegevens en het normalisatieschema voor de Windows DNS-servervelden.
De Azure Monitor Agent (AMA) en de DNS-extensie worden geïnstalleerd op uw Windows Server om gegevens uit uw analytische DNS-logboeken te uploaden naar uw Microsoft Sentinel werkruimte. U streamt en filtert de gegevens met behulp van de Windows DNS-gebeurtenissen via de AMA-connector.
Beschikbare velden voor filteren
In deze tabel ziet u de beschikbare velden. De veldnamen worden genormaliseerd met behulp van het DNS-schema.
| Veldnaam | Waarden | Beschrijving |
|---|---|---|
| EventOriginalType | Getallen tussen 256 en 280 | De Windows DNS-gebeurtenis-id, die het type van de DNS-protocol-gebeurtenis aangeeft. |
| EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP •GEWEIGERD • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • SLECHTE TIJD • BADALG • BADTRUNC • BADCOOKIE |
De DNS-resultaattekenreeks van de bewerking, zoals gedefinieerd door de IANA (Internet Assigned Numbers Authority). |
| DvcIpAdrr | IP-adressen | Het IP-adres van de server die de gebeurtenis rapporteert. Dit veld bevat ook geo-locatie en schadelijke IP-informatie. |
| DnsQuery | Domeinnamen (FQDN) | De tekenreeks die de domeinnaam vertegenwoordigt die moet worden omgezet. • Kan meerdere waarden in een door komma's gescheiden lijst en jokertekens accepteren. Bijvoorbeeld: *.microsoft.com,google.com,facebook.com• Bekijk deze overwegingen voor het gebruik van jokertekens. |
| DnsQueryTypeName | •A •NS •MD •MF •CNAME •SOA •MB •MG •HEER • NULL •WEKEN •PTR •HINFO • MINFO •MX •TXT •RP •AFSDB • X25 •ISDN •RT • NSAP • NSAP-PTR •SIG •SLEUTEL •PX •GROEPSBELEIDSOBJECTEN •AAAA •LOC •NXT •EID • NIMLOC •SRV |
Het aangevraagde DNS-kenmerk. De naam van het type DNS-resourcerecord zoals gedefinieerd door IANA. |
Genormaliseerd DNS-schema voor ASIM
In deze tabel worden windows DNS-servervelden beschreven en omgezet in de genormaliseerde veldnamen zoals deze worden weergegeven in het DNS-normalisatieschema.
| Windows DNS-veldnaam | Genormaliseerde veldnaam | Type | Beschrijving |
|---|---|---|---|
| EventID | EventOriginalType | Tekenreeks | Het oorspronkelijke gebeurtenistype of de oorspronkelijke id. |
| RCODE | EventResult | Tekenreeks | Het resultaat van de gebeurtenis (geslaagd, gedeeltelijk, mislukt, NA). |
| RCODE geparseerd | EventResultDetails | Tekenreeks | De DNS-antwoordcode zoals gedefinieerd door IANA. |
| InterfaceIP | DvcIpAdrr | Tekenreeks | Het IP-adres van het apparaat of de interface voor gebeurtenisrapportage. |
| AA | DnsFlagsAuthoritative | Geheel getal | Geeft aan of het antwoord van de server gezaghebbend was. |
| AD | DnsFlagsAuthenticated | Geheel getal | Geeft aan dat de server alle gegevens in het antwoord en de autoriteit van het antwoord heeft geverifieerd, volgens het serverbeleid. |
| RQNAME | DnsQuery | Tekenreeks | Het domein moet worden omgezet. |
| QTYPE | DnsQueryType | Geheel getal | Het recordtype DNS-resource zoals gedefinieerd door IANA. |
| Poort | SrcPortNumber | Geheel getal | Bronpoort die de query verzendt. |
| Source | SrcIpAddr | IP-adres | Het IP-adres van de client die de DNS-aanvraag verzendt. Voor een recursieve DNS-aanvraag is deze waarde meestal het IP-adres van het rapportageapparaat, in de meeste gevallen 127.0.0.1. |
| ElapsedTime | DnsNetworkDuration | Geheel getal | De tijd die nodig was om de DNS-aanvraag te voltooien. |
| GUID | DnsSessionId | Tekenreeks | De DNS-sessie-id zoals gerapporteerd door het rapportageapparaat. |
Volgende stappen
In dit artikel hebt u geleerd over de velden die worden gebruikt voor het filteren van DNS-logboekgegevens met behulp van de Windows DNS-gebeurtenissen via de AMA-connector. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Meer informatie over hoe u inzicht krijgt in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
- Werkmappen gebruiken om uw gegevens te bewaken.