Shromážděte přehledy o infrastruktuře DNS pomocí řešení DNS Analytics verze Preview
Tento článek popisuje, jak nastavit a používat řešení Azure DNS Analytics ve službě Azure Monitor k získání přehledů o infrastruktuře DNS týkající se zabezpečení, výkonu a provozu.
Analýza DNS vám pomůže:
- Identifikujte klienty, kteří se pokoušejí přeložit škodlivé názvy domén.
- Identifikace zastaralých záznamů o prostředcích
- Identifikujte často dotazované názvy domén a mluvené klienty DNS.
- Zobrazení zatížení požadavků na servery DNS
- Zobrazení chyb dynamické registrace DNS
Řešení shromažďuje, analyzuje a koreluje analytické a auditní protokoly DNS systému Windows a další související data z vašich serverů DNS.
Důležité
Agent Log Analytics bude vyřazen 31. srpna 2024. Pokud v nasazení služby Microsoft Sentinel používáte agenta Log Analytics, doporučujeme začít plánovat migraci na agenta Azure Monitoru. Další informace najdete v tématu Migrace agenta Azure Monitoru pro Microsoft Sentinel.
Připojené zdroje
Následující tabulka popisuje připojené zdroje, které toto řešení podporuje:
Připojený zdroj | Podpora | Description |
---|---|---|
Agenti systému Windows | Yes | Řešení shromažďuje informace DNS z agentů Windows. |
Agenti systému Linux | No | Řešení neshromažďuje informace DNS z přímých linuxových agentů. |
Skupina pro správu nástroje System Center Operations Manager | Yes | Řešení shromažďuje informace DNS z agentů v připojené skupině pro správu Operations Manageru. Přímé připojení z agenta Operations Manageru ke službě Azure Monitor se nevyžaduje. Data se předávají ze skupiny pro správu do pracovního prostoru služby Log Analytics. |
Účet služby Azure Storage | No | Řešení nepoužívá Azure Storage. |
Podrobnosti o shromažďování dat
Řešení shromažďuje inventář DNS a data související s událostmi DNS ze serverů DNS, na kterých je nainstalovaný agent Log Analytics. Tato data se pak nahrají do služby Azure Monitor a zobrazí se na řídicím panelu řešení. Data související s inventářem, jako je počet serverů DNS, zón a záznamů prostředků, se shromažďují spuštěním rutin PROSTŘEDÍ POWERShell pro DNS. Data se aktualizují jednou za dva dny. Data související s událostmi se shromažďují téměř v reálném čase z protokolů analýzy a auditu, které poskytuje rozšířené protokolování a diagnostika DNS v Windows Server 2012 R2.
Konfigurace
Ke konfiguraci řešení použijte následující informace:
- Na každém serveru DNS, který chcete monitorovat, musíte mít agenta windows nebo nástroje Operations Manager .
- Řešení DNS Analytics můžete do pracovního prostoru služby Log Analytics přidat z Azure Marketplace. Můžete také použít postup popsaný v tématu Přidání řešení Azure Monitoru z galerie řešení.
Řešení začne shromažďovat data bez nutnosti další konfigurace. K přizpůsobení shromažďování dat však můžete použít následující konfiguraci.
Konfigurace řešení
V pracovním prostoru služby Log Analytics v Azure Portal vyberte Souhrn pracovního prostoru (zastaralé). Pak vyberte dlaždici Analýza DNS . Na řídicím panelu řešení vyberte Konfigurace a otevřete stránku Konfigurace analýzy DNS . Existují dva typy změn konfigurace, které můžete provést:
Názvy domén v seznamu povolených: Řešení nezpracovává všechny vyhledávací dotazy. Udržuje seznam povolených přípon názvů domén. Řešení nezpracovává vyhledávací dotazy, které se přeloží na názvy domén, které odpovídají příponám názvů domén v tomto seznamu povolených. Nezpracování názvů domén zařazených na seznam povolených pomáhá optimalizovat data odesílaná do služby Azure Monitor. Výchozí seznam povolených zahrnuje oblíbené názvy veřejných domén, jako jsou www.google.com a www.facebook.com. Úplný výchozí seznam můžete zobrazit posouváním.
Úpravou seznamu můžete přidat libovolnou příponu názvu domény, pro kterou chcete zobrazit přehledy vyhledávání. Můžete také odebrat všechny přípony názvu domény, pro které nechcete zobrazovat přehledy vyhledávání.
Prahová hodnota klienta talkative: Klienti DNS, kteří překračují prahovou hodnotu počtu požadavků na vyhledávání, jsou zvýrazněni v podokně Klienti DNS . Výchozí prahová hodnota je 1 000. Prahovou hodnotu můžete upravit.
Sady Management Pack
Pokud se k pracovnímu prostoru služby Log Analytics připojujete pomocí agenta Microsoft Monitoring Agent, nainstaluje se následující sada Management Pack:
- Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
Pokud je vaše skupina pro správu Operations Manageru připojená k pracovnímu prostoru služby Log Analytics, po přidání tohoto řešení se v Operations Manageru nainstalují následující sady Management Pack. Není nutná konfigurace ani údržba těchto sad Management Pack:
- Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
- Konfigurace analýzy DNS služby Microsoft System Center Advisor (Microsoft.IntelligencePack.Dns.Configuration)
Další informace o způsobu, jakým se aktualizují sady pro správu řešení, najdete v tématu Připojení Operations Manageru ke službě Log Analytics.
Použití řešení DNS Analytics
Data shromážděná tímto řešením monitorování jsou k dispozici na stránce Souhrn pracovního prostoru (zastaralé) v Azure Portal. Otevřete tuto stránku z pracovních prostorů služby Log Analytics pro pracovní prostor s vaším řešením a pak v části Klasické nabídky vyberte Souhrn pracovního prostoru (zastaralé). Každé řešení je reprezentováno dlaždicí. Vyberte dlaždici, abyste získali podrobnější data shromážděná tímto řešením.
Dlaždice DNS obsahuje počet serverů DNS, kde se data shromažďují. Zahrnuje také počet žádostí klientů o překlad škodlivých domén za posledních 24 hodin. Když vyberete dlaždici, otevře se řídicí panel řešení.
Řídicí panel řešení
Řídicí panel řešení zobrazuje souhrnné informace o různých funkcích řešení. Obsahuje také odkazy na podrobné zobrazení forenzní analýzy a diagnostiky. Ve výchozím nastavení se zobrazují data za posledních sedm dnů. Rozsah data a času můžete změnit pomocí ovládacího prvku pro výběr data a času, jak je znázorněno na následujícím obrázku:
Na řídicím panelu řešení se zobrazí následující části:
Zabezpečení DNS: Nahlásí klienty DNS, kteří se pokoušejí komunikovat se škodlivými doménami. Pomocí informačních kanálů Analýzy hrozeb Od Microsoftu může DNS Analytics detekovat IP adresy klientů, kteří se pokoušejí získat přístup k škodlivým doménám. V mnoha případech se zařízení napadená malwarem "vytočí" do centra "příkazů a řízení" škodlivé domény překladem názvu domény malwaru.
Když v seznamu vyberete IP adresu klienta, otevře se prohledávání protokolu s podrobnostmi o vyhledávání příslušného dotazu. V následujícím příkladu služba DNS Analytics zjistila, že se komunikace provedla pomocí modulu IRCbot:
Informace vám pomůžou identifikovat:
- IP adresa klienta, která iniciovala komunikaci.
- Název domény, který se překládá na škodlivou IP adresu.
- IP adresy, na které se název domény překládá.
- Škodlivá IP adresa.
- Závažnost problému
- Důvod pro zařazení škodlivé IP adresy na seznam blokovaných.
- Doba detekce.
Dotazované domény: Poskytuje nejčastější názvy domén dotazovaných klienty DNS ve vašem prostředí. Můžete zobrazit seznam všech dotazovaných názvů domén. Můžete také přejít k podrobnostem žádosti o vyhledání konkrétního názvu domény ve vyhledávání protokolu.
Klienti DNS: Nahlásí klienty , kteří překročili prahovou hodnotu počtu dotazů ve zvoleném časovém období. V části Prohledávání protokolu můžete zobrazit seznam všech klientů DNS a podrobnosti o dotazech, které vytvořili.
Dynamické registrace DNS: Hlásí selhání registrace názvů. Všechna selhání registrace záznamů prostředků adres (typ A a AAAA) se zvýrazní spolu s IP adresami klienta, které vytvořily žádosti o registraci. Tyto informace pak můžete použít k vyhledání původní příčiny selhání registrace pomocí následujícího postupu:
Vyhledejte zónu, která je autoritativní pro název, který se klient pokouší aktualizovat.
Pomocí řešení zkontrolujte informace o inventáři dané zóny.
Ověřte, že je povolená dynamická aktualizace zóny.
Zkontrolujte, jestli je zóna nakonfigurovaná pro zabezpečenou dynamickou aktualizaci.
Žádosti o registraci názvů: Na horní dlaždici se zobrazuje spojnice trendu úspěšných a neúspěšných požadavků na dynamickou aktualizaci DNS. Na dolní dlaždici je seznam 10 nejlepších klientů, kteří odesílají neúspěšné žádosti o aktualizaci DNS serverům DNS seřazené podle počtu selhání.
Ukázkové analytické dotazy DDI: Obsahuje seznam nejběžnějších vyhledávacích dotazů, které přímo načítají nezpracovaná analytická data.
Tyto dotazy můžete použít jako výchozí bod pro vytváření vlastních dotazů pro přizpůsobené vytváření sestav. Dotazy odkazují na stránku Prohledávání protokolů DNS Analytics , kde se zobrazují výsledky:
Seznam serverů DNS: Zobrazuje seznam všech serverů DNS s přidruženým plně kvalifikovaným názvem domény, názvem domény, názvem doménové struktury a IP adresami serverů.
Seznam zón DNS: Zobrazuje seznam všech zón DNS s názvem přidružené zóny, stavem dynamické aktualizace, názvovými servery a stavem podepisování DNSSEC.
Záznamy nepoužívaných prostředků: Zobrazuje seznam všech nepoužívaných nebo zastaralých záznamů o prostředcích. Tento seznam obsahuje název záznamu o prostředku, typ záznamu prostředku, přidružený server DNS, čas generování záznamů a název zóny. Tento seznam můžete použít k identifikaci záznamů prostředků DNS, které se už nepoužívají. Na základě těchto informací pak můžete tyto položky ze serverů DNS odebrat.
Načtení dotazů serverů DNS: Zobrazuje informace, abyste mohli získat přehled o zatížení DNS na vašich serverech DNS. Tyto informace vám můžou pomoct s plánováním kapacity pro servery. Můžete přejít na kartu Metriky a změnit zobrazení na grafickou vizualizaci. Toto zobrazení vám pomůže pochopit, jak se zatížení DNS distribuuje mezi servery DNS. Zobrazuje trendy rychlosti dotazů DNS pro každý server.
Načtení dotazu na zóny DNS: Zobrazuje statistiku DNS zone-query-per-second pro všechny zóny na serverech DNS spravovaných řešením. Vyberte kartu Metriky a změňte zobrazení z podrobných záznamů na grafickou vizualizaci výsledků.
Události konfigurace: Zobrazí všechny události změn konfigurace DNS a související zprávy. Tyto události pak můžete filtrovat podle času události, ID události, serveru DNS nebo kategorie úkolu. Data vám můžou pomoct auditovat změny provedené na konkrétních serverech DNS v určitých časech.
Analytický protokol DNS: Zobrazuje všechny analytické události na všech serverech DNS spravovaných řešením. Tyto události pak můžete filtrovat podle času události, ID události, serveru DNS, IP adresy klienta, který vytvořil vyhledávací dotaz, a kategorie úlohy typu dotazu. Analytické události serveru DNS umožňují sledování aktivit na serveru DNS. Analytická událost se protokoluje pokaždé, když server odešle nebo přijme informace DNS.
Hledání pomocí prohledávání protokolu DNS Analytics
Na stránce Prohledávání protokolu můžete vytvořit dotaz. Výsledky hledání můžete filtrovat pomocí ovládacích prvků omezující vlastnosti. Můžete také vytvářet pokročilé dotazy pro transformaci, filtrování a vytváření sestav výsledků. Začněte pomocí následujících dotazů:
Do pole vyhledávacího dotazu zadejte
DnsEvents
, aby se zobrazily všechny události DNS vygenerované servery DNS spravované řešením. Výsledky uvádějí data protokolu pro všechny události související s vyhledávacími dotazy, dynamickými registracemi a změnami konfigurace.Pokud chcete zobrazit data protokolu pro vyhledávací dotazy, vyberte LookUpQuery jako filtr podtypu z ovládacího prvku omezující vlastnosti na levé straně. Zobrazí se tabulka se seznamem všech událostí vyhledávacího dotazu pro vybrané časové období.
Pokud chcete zobrazit data protokolu pro dynamické registrace, vyberte DynamicRegistration jako filtr podtypu z ovládacího prvku omezující vlastnosti na levé straně. Zobrazí se tabulka se seznamem všech událostí dynamické registrace pro vybrané časové období.
Pokud chcete zobrazit data protokolu pro změny konfigurace, vyberte KonfiguraceZměna jako filtr podtypu z ovládacího prvku omezující vlastnosti na levé straně. Zobrazí se tabulka se seznamem všech událostí změn konfigurace pro vybrané časové období.
Do pole vyhledávacího dotazu zadejte
DnsInventory
, aby se zobrazila všechna data týkající se inventáře DNS pro servery DNS spravované řešením. Výsledky uvádějí data protokolů pro servery DNS, zóny DNS a záznamy prostředků.
Řešení potíží
Běžné kroky při řešení potíží:
- Chybějící data vyhledávání DNS: Pokud chcete tento problém vyřešit, zkuste resetovat konfiguraci nebo načíst stránku konfigurace jednou na portálu. Pokud chcete resetovat, změňte nastavení na jinou hodnotu, změňte ji zpět na původní hodnotu a uložte konfiguraci.
Návrhy
Pokud chcete poskytnout zpětnou vazbu, podívejte se na stránku Log Analytics UserVoice , kde můžete publikovat nápady, na které mají funkce DNS Analytics pracovat.
Další kroky
Podrobné záznamy protokolů DNS najdete v protokolech dotazů .