Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve como utilizar o conector Azure Monitor Agent (AMA) para transmitir em fluxo e filtrar eventos a partir dos registos do servidor do Sistema de Nomes de Domínio (DNS) do Windows. Em seguida, pode analisar profundamente os seus dados para proteger os seus servidores DNS de ameaças e ataques. O AMA e a respetiva extensão DNS estão instalados no seu Windows Server para carregar dados dos seus registos analíticos DNS para a sua área de trabalho Microsoft Sentinel.
O DNS é um protocolo amplamente utilizado, que mapeia entre nomes de anfitrião e endereços IP legíveis por computador. Uma vez que o DNS não foi concebido tendo em conta a segurança, o serviço é altamente visado por atividades maliciosas, o que faz com que o registo seja uma parte essencial da monitorização de segurança. Algumas ameaças bem conhecidas que visam servidores DNS incluem ataques DDoS destinados a servidores DNS, Amplificação DDOS DNS, sequestro de DNS e muito mais.
Embora tenham sido introduzidos alguns mecanismos para melhorar a segurança geral deste protocolo, os servidores DNS continuam a ser um serviço altamente direcionado. As organizações podem monitorizar os registos DNS para compreender melhor a atividade de rede e identificar comportamentos suspeitos ou ataques direcionados para recursos dentro da rede. Os Eventos DNS do Windows através do conector AMA fornecem este tipo de visibilidade. Por exemplo, utilize o conector para identificar clientes que tentam resolver nomes de domínio maliciosos, ver e monitorizar cargas de pedidos em servidores DNS ou ver falhas de registo DNS dinâmicas.
Nota
Os Eventos DNS do Windows através do conector AMA só suportam eventos de registo analítico.
Pré-requisitos
Antes de começar, verifique se tem:
- Uma área de trabalho do Log Analytics ativada para Microsoft Sentinel.
- Os Eventos DNS do Windows através do conector de dados AMA instalados como parte da solução DNS Windows Server a partir do hub de conteúdos.
- Windows Server 2016 e posterior suportado ou Windows Server 2012 R2 com a correção de auditoria.
- Função de servidor DNS instalada com registos de eventos analíticos DNS-Server ativados. Os registos de eventos analíticos do DNS não estão ativados por predefinição. Para obter mais informações, veja Ativar o registo de eventos analíticos.
Para recolher eventos de qualquer sistema que não seja uma máquina virtual Azure, certifique-se de que o Azure Arc está instalado. Instale e ative Azure Arc antes de ativar o conector baseado no Agente do Azure Monitor. Este requisito inclui:
- Servidores Windows instalados em computadores físicos
- Servidores Windows instalados em máquinas virtuais no local
- Servidores Windows instalados em máquinas virtuais em clouds não Azure
Configurar o DNS do Windows através do conector AMA através do portal
Utilize a opção de configuração do portal para configurar o conector com uma única Regra de Recolha de Dados (DCR) por área de trabalho. Posteriormente, utilize filtros avançados para filtrar eventos ou informações específicos, carregando apenas os dados valiosos que pretende monitorizar, reduzindo os custos e a utilização da largura de banda.
Se precisar de criar vários DCRs, utilize a API . A utilização da API para criar vários DCRs continuará a mostrar apenas um DCR no portal.
Para configurar o conector:
No Microsoft Sentinel, abra a página Conectores de dados e localize os Eventos DNS do Windows através do conector AMA.
Na parte inferior do painel lateral, selecione Abrir página do conector.
Na área Configuração , selecione Criar regra de recolha de dados. Pode criar um único DCR por área de trabalho.
O nome, a subscrição e o grupo de recursos do DCR são definidos automaticamente com base no nome da área de trabalho, na subscrição atual e no grupo de recursos a partir do qual o conector foi selecionado. Por exemplo:
Selecione o separador >RecursosAdicionar Recursos.
Selecione as VMs nas quais pretende instalar o conector para recolher registos. Por exemplo:
Reveja as alterações e selecione Guardar>Aplicar.
Configurar o DNS do Windows através do conector AMA através da API
Utilize a opção de configuração da API para configurar o conector com vários DCRs por área de trabalho. Se preferir utilizar um único DCR, utilize a opção do portal .
A utilização da API para criar vários DCRs ainda mostra apenas um DCR no portal.
Utilize o seguinte exemplo como modelo para criar ou atualizar um DCR:
URL e cabeçalho do pedido
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version={latest-supported-version}
Para obter a versão mais recente da API suportada, veja Regras de Recolha de Dados – API REST (Azure Monitor) | Microsoft Learn.
Corpo do pedido
{
"location": "eastus2",
"kind" : "Windows",
"properties": {
"dataSources": {
"windowsEventLogs": [],
"extensions": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"extensionName": "MicrosoftDnsAgent",
"extensionSettings": {
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"260"
]
}
]
}
]
},
"name": "SampleDns"
}
]
},
"destinations": {
"logAnalytics": [
{
"name" : "WorkspaceDestination",
"workspaceId" : "{WorkspaceGuid}",
"workspaceResourceId" : "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{sentinelWorkspaceName}"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-ASimDnsActivityLogs"
],
"destinations": [
"WorkspaceDestination"
]
}
],
},
"tags" : {}
}
Utilizar filtros avançados nos DCRs
Os registos de eventos do servidor DNS podem conter um grande número de eventos. Recomendamos que utilize a filtragem avançada para filtrar eventos desnecessários antes de os dados serem carregados, poupando tempo e custos de triagem valiosos. Os filtros removem os dados desnecessários do fluxo de eventos carregados para a área de trabalho e baseiam-se numa combinação de vários campos.
Para obter mais informações, veja Campos disponíveis para filtragem.
Criar filtros avançados através do portal
Utilize o procedimento seguinte para criar filtros através do portal. Para obter mais informações sobre como criar filtros com a API, veja Exemplos de filtragem avançada.
Para criar filtros através do portal:
Na página do conector, na área Configuração , selecione Adicionar filtros de recolha de dados.
Introduza um nome para o filtro e selecione o tipo de filtro, que é um parâmetro que reduz o número de eventos recolhidos. Os parâmetros são normalizados de acordo com o esquema normalizado do DNS. Para obter mais informações, veja Campos disponíveis para filtragem.
Selecione os valores para os quais pretende filtrar o campo entre os valores listados na lista pendente.
Para adicionar filtros complexos, selecione Adicionar campo de exclusão para filtrar e adicionar o campo relevante.
- Utilize listas separadas por vírgulas para definir vários valores para cada campo.
- Para criar filtros compostos, utilize campos diferentes com uma relação E.
- Para combinar filtros diferentes, utilize uma relação OR entre os mesmos.
Os filtros também suportam carateres universais da seguinte forma:
- Adicione um ponto após cada asterisco (
*.). - Não utilize espaços entre a lista de domínios.
- Os carateres universais aplicam-se apenas aos subdomínios do domínio, incluindo
www.domain.com, independentemente do protocolo. Por exemplo, se utilizar*.domain.comnum filtro avançado:- O filtro aplica-se a
www.domain.comesubdomain.domain.com, independentemente de o protocolo ser HTTPS, FTP, etc. - O filtro não se aplica a
domain.com. Para aplicar um filtro adomain.com, especifique o domínio diretamente, sem utilizar um caráter universal.
- O filtro aplica-se a
Para adicionar mais filtros novos, selecione Adicionar novo filtro de exclusão.
Quando terminar de adicionar filtros, selecione Adicionar.
Novamente na página do conector principal, selecione Aplicar alterações para guardar e implementar os filtros nos conectores. Para editar ou eliminar filtros ou campos existentes, selecione os ícones de edição ou eliminação na tabela na área Configuração.
Para adicionar campos ou filtros após a implementação inicial, selecione novamente Adicionar filtros de recolha de dados .
Exemplos de filtragem avançada
Utilize os seguintes exemplos para criar filtros avançados frequentemente utilizados através do portal ou da API.
Não recolher IDs de eventos específicos
Este filtro indica ao conector para não recolher o EventID 256 ou o EventID 257 ou o EventID 260 com endereços IPv6.
Com o portal Microsoft Sentinel:
Crie um filtro com o campo EventOriginalType , utilizando o operador Equals , com os valores 256, 257 e 260.
Crie um filtro com o campo EventOriginalType definido acima e com o operador And , incluindo também o campo DnsQueryTypeName definido como AAAA.
Utilizar a API:
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"256", "257", "260"
]
},
{
"Field": "DnsQueryTypeName",
"FieldValues": [
"AAAA"
]
}
]
},
{
"FilterName": "EventResultDetails",
"Rules": [
{
"Field": "EventOriginalType",
"FieldValues": [
"230"
]
},
{
"Field": "EventResultDetails",
"FieldValues": [
"BADKEY","NOTZONE"
]
}
]
}
]
Não recolher eventos com domínios específicos
Este filtro instrui o conector a não recolher eventos de subdomínios de microsoft.com, google.com, amazon.com ou eventos do facebook.com ou do centro.local.
Com o portal Microsoft Sentinel:
Defina o campo DnsQuery com o operador Igual , com a lista *.microsoft.com,*.google.com,facebook.com,*.amazon.com,center.local.
Reveja estas considerações para utilizar carateres universais.
Para definir valores diferentes num único campo, utilize o operador OR .
Utilizar a API:
Reveja estas considerações para utilizar carateres universais.
"Filters": [
{
"FilterName": "SampleFilter",
"Rules": [
{
"Field": "DnsQuery",
"FieldValues": [
"*.microsoft.com", "*.google.com", "facebook.com", "*.amazon.com","center.local"
]
}
]
}
]
Normalização com ASIM
Este conector está totalmente normalizado com analisadores do Modelo de Informação de Segurança Avançada (ASIM). Os eventos do conector transmitem eventos provenientes dos registos analíticos para a tabela normalizada denominada ASimDnsActivityLogs. Esta tabela funciona como um tradutor, utilizando uma linguagem unificada, partilhada em todos os conectores DNS que estão por vir.
Para um analisador agnóstico de origem que unifique todos os dados DNS e garanta que a sua análise é executada em todas as origens configuradas, utilize o analisador _Im_Dnsunificador de DNS do ASIM.
O analisador unificador asim complementa a tabela nativa ASimDnsActivityLogs . Embora a tabela nativa seja compatível com ASIM, o analisador é necessário para adicionar capacidades, como aliases, disponíveis apenas no momento da consulta e para combinar ASimDnsActivityLogs com outras origens de dados DNS.
O esquema DNS do ASIM representa a atividade do protocolo DNS, conforme registado no servidor DNS do Windows nos registos analíticos. O esquema é regido por listas de parâmetros oficiais e RFCs que definem campos e valores.
Veja a lista de campos do servidor DNS do Windows traduzidos para os nomes de campo normalizados.
Conteúdos relacionados
Neste artigo, aprendeu a configurar os eventos DNS do Windows através do conector AMA para carregar dados e filtrar os registos DNS do Windows. Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos:
- Saiba como obter visibilidade sobre os seus dados e potenciais ameaças.
- Comece a detetar ameaças com Microsoft Sentinel.
- Utilize livros para monitorizar os seus dados.