Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Sentinel permite-lhe transmitir e filtrar eventos a partir dos registos do servidor do Sistema de Nomes de Domínio (DNS) do Windows para a ASimDnsActivityLog tabela de esquema normalizada. Este artigo descreve os campos utilizados para filtrar os dados e o esquema de normalização para os campos do servidor DNS do Windows.
O Azure Monitor Agent (AMA) e a respetiva extensão DNS estão instalados no seu Windows Server para carregar dados dos registos analíticos DNS para a área de trabalho Microsoft Sentinel. Pode transmitir em fluxo e filtrar os dados através dos Eventos DNS do Windows através do conector AMA.
Campos disponíveis para filtragem
Esta tabela mostra os campos disponíveis. Os nomes dos campos são normalizados com o esquema DNS.
| Nome do campo | Valores | Descrição |
|---|---|---|
| EventOriginalType | Números entre 256 e 280 | O eventID do DNS do Windows, que indica o tipo de evento do protocolo DNS. |
| EventResultDetails | • NOERROR • EXR • SERVFAIL • NXDOMAIN • NOTIMP • RECUSADO • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
A cadeia de resultados DNS da operação, conforme definido pela Autoridade de Números Atribuídos pela Internet (IANA). |
| DvcIpAdrr | Endereços IP | O endereço IP do servidor que reporta o evento. Este campo também inclui geolocalização e informações de IP maliciosas. |
| DnsQuery | Nomes de domínio (FQDN) | A cadeia que representa o nome de domínio a ser resolvido. • Pode aceitar múltiplos valores numa lista separada por vírgulas e carateres universais. Por exemplo: *.microsoft.com,google.com,facebook.com• Reveja estas considerações para utilizar carateres universais. |
| DnsQueryTypeName | • A • NS • MD • MF • CNAME • SOA • MB • MG • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • NSAP • NSAP-PTR • SIG • TECLA • PX • GPOS • AAAA • LOC • NXT • EID • NIMLOC • SRV |
O atributo DNS pedido. O nome do tipo de registo de recurso DNS, conforme definido pela IANA. |
Esquema DNS normalizado do ASIM
Esta tabela descreve e traduz os campos do servidor DNS do Windows para os nomes de campo normalizados à medida que aparecem no esquema de normalização DNS.
| Nome do campo DNS do Windows | Nome de campo normalizado | Tipo | Descrição |
|---|---|---|---|
| EventID | EventOriginalType | Cadeia | O tipo ou ID de evento original. |
| RCODE | EventResult | Cadeia | O resultado do evento (êxito, parcial, falha, NA). |
| RCODE analisado | EventResultDetails | Cadeia | O código de resposta DNS, conforme definido pela IANA. |
| InterfaceIP | DvcIpAdrr | Cadeia | O endereço IP do dispositivo ou interface de relatório de eventos. |
| AA | DnsFlagsAuthoritative | Número inteiro | Indica se a resposta do servidor foi autoritativa. |
| AD | DnsFlagsAuthenticated | Número inteiro | Indica que o servidor verificou todos os dados na resposta e a autoridade da resposta, de acordo com as políticas do servidor. |
| RQNAME | DnsQuery | Cadeia | O domínio tem de ser resolvido. |
| QTYPE | DnsQueryType | Número inteiro | O tipo de registo de recursos DNS, conforme definido pela IANA. |
| Porta | SrcPortNumber | Número inteiro | Porta de origem a enviar a consulta. |
| Source (Origem) | SrcIpAddr | Endereço IP | O endereço IP do cliente que envia o pedido DNS. Para um pedido DNS recursivo, este valor é normalmente o IP do dispositivo de relatório, na maioria dos casos, 127.0.0.1. |
| ElapsedTime | DnsNetworkDuration | Número inteiro | O tempo que demorou a concluir o pedido DNS. |
| GUID | DnsSessionId | Cadeia | O identificador de sessão DNS, conforme comunicado pelo dispositivo de relatório. |
Passos seguintes
Neste artigo, ficou a conhecer os campos utilizados para filtrar dados de registo DNS com os eventos DNS do Windows através do conector AMA. Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos:
- Saiba como obter visibilidade sobre os seus dados e potenciais ameaças.
- Comece a detetar ameaças com Microsoft Sentinel.
- Utilize livros para monitorizar os seus dados.