Referenční informace o schématu normalizace DNS Advanced Security Information Model (ASIM) (Public Preview)
Informační model DNS slouží k popisu událostí hlášených serverem DNS nebo systémem zabezpečení DNS a používá ho Microsoft Sentinel k povolení analýzy nezávislé na zdroji.
Další informace naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Důležité
Schéma normalizace DNS je aktuálně ve verzi PREVIEW. Tato funkce je poskytována bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy.
Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Přehled schématu
Schéma ASIM DNS představuje aktivitu protokolu DNS. Servery DNS i zařízení, která odesílají požadavky DNS na aktivitu DNS protokolu serveru DNS. Aktivita protokolu DNS zahrnuje dotazy DNS, aktualizace serveru DNS a hromadné přenosy dat DNS. Vzhledem k tomu, že schéma představuje aktivitu protokolu, řídí se seznamy rfc a oficiálně přiřazených parametrů, na které se odkazuje v tomto článku, pokud je to vhodné. Schéma DNS nepředstavuje události auditu serveru DNS.
Nejdůležitější aktivitou hlášenou servery DNS je dotaz DNS, pro který EventType je pole nastavené na Query.
Nejdůležitější pole v události DNS jsou:
DnsQuery, který hlásí název domény, pro kterou byl dotaz vystaven.
SrcIpAddr (aliased to IpAddr), který představuje IP adresu, ze které se požadavek vygeneroval. Servery DNS obvykle poskytují pole SrcIpAddr, ale klienti DNS toto pole někdy neposkytují a poskytují pouze pole SrcHostname .
EventResultDetails, která hlásí, jestli byl požadavek úspěšný, a pokud ne, proč.
Pokud je k dispozici, DnsResponseName, který obsahuje odpověď poskytovanou serverem pro dotaz. ASIM nevyžaduje parsování odpovědi a jeho formát se mezi zdroji liší.
Chcete-li toto pole použít v obsahu nezávislém na zdroji, vyhledejte obsah pomocí
hasoperátorů nebocontainsoperátorů.
Události DNS shromážděné na klientském zařízení můžou obsahovat také informace o uživatelích a procesu .
Pokyny pro shromažďování událostí DNS
DNS je jedinečný protokol, který může překračovat velký počet počítačů. Vzhledem k tomu, že DNS používá UDP, požadavky a odpovědi jsou odpojené a nesouvisí přímo s nimi.
Následující obrázek ukazuje zjednodušený tok požadavků DNS, včetně čtyř segmentů. Žádost z reálného světa může být složitější a s větším zapojením segmentů.
Vzhledem k tomu, že segmenty požadavků a odpovědí nejsou přímo připojené k sobě v toku požadavků DNS, může úplné protokolování vést k významnému duplikování.
Nejdůležitějším segmentem, který se má protokolovat, je odpověď na klienta. Odpověď poskytuje dotazy na název domény, výsledek vyhledávání a IP adresu klienta. Zatímco mnoho systémů DNS protokoluje pouze tento segment, existuje hodnota protokolování ostatních částí. Například útok na otravu mezipamětí DNS často využívá falešné odpovědi z upstreamového serveru.
Pokud váš zdroj dat podporuje úplné protokolování DNS a rozhodli jste se protokolovat více segmentů, upravte dotazy tak, aby se zabránilo duplikaci dat v Microsoft Sentinelu.
Dotaz můžete například upravit pomocí následující normalizace:
_Im_Dns | where SrcIpAddr != "127.0.0.1" and EventSubType == "response"
Analyzátory
Další informace o analyzátorech ASIM najdete v přehledu analyzátorů ASIM.
Předsefinované analyzátory
Pokud chcete použít analyzátory, které sjednocují všechny předem používané analyzátory ASIM a zajišťují, aby se vaše analýza spouštěla ve všech nakonfigurovaných zdrojích, použijte sjednocení analyzátoru _Im_Dns jako název tabulky v dotazu.
Seznam analyzátorů DNS, které Microsoft Sentinel nabízí, najdete v seznamu analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při implementaci vlastních analyzátorů pro informační model Dns pojmenujte funkce KQL pomocí formátu vimDns<vendor><Product>. Informace o přidání vlastních analyzátorů do analyzátoru DNS najdete v článku Správa analyzátorů ASIM.
Filtrování parametrů analyzátoru
Analyzátory DNS podporují parametry filtrování. I když jsou tyto parametry volitelné, můžou zlepšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Name | Typ | Popis |
|---|---|---|
| čas zahájení | datetime | Vyfiltrujte pouze dotazy DNS, které se v tuto chvíli spustily nebo po této době. |
| endtime | datetime | Vyfiltrujte pouze dotazy DNS, které byly v tuto chvíli spuštěny nebo dříve. |
| srcipaddr | string | Vyfiltrujte pouze dotazy DNS z této zdrojové IP adresy. |
| domain_has_any | dynamic/string | Vyfiltrujte pouze dotazy DNS, ve kterých domain (nebo query) mají některý z uvedených názvů domén, včetně v rámci domény události. Délka seznamu je omezená na 10 000 položek. |
| responsecodename | string | Vyfiltrujte pouze dotazy DNS, pro které název kódu odpovědi odpovídá zadané hodnotě. Příklad: NXDOMAIN |
| response_has_ipv4 | string | Vyfiltrujte pouze dotazy DNS, ve kterých pole odpovědi obsahuje zadanou IP adresu nebo předponu IP adresy. Tento parametr použijte, pokud chcete filtrovat jednu IP adresu nebo předponu. Výsledky se nevrácejí pro zdroje, které neposkytují odpověď. |
| response_has_any_prefix | dynamic | Vyfiltrujte pouze dotazy DNS, ve kterých pole odpovědi obsahuje všechny uvedené IP adresy nebo předpony IP adres. Předpony by měly končit například : .10.0.. Tento parametr použijte, pokud chcete filtrovat seznam IP adres nebo předpon. Výsledky se nevrácejí pro zdroje, které neposkytují odpověď. Délka seznamu je omezená na 10 000 položek. |
| eventtype | string | Vyfiltrujte pouze dotazy DNS zadaného typu. Pokud není zadaná žádná hodnota, vrátí se pouze vyhledávací dotazy. |
Pokud například chcete filtrovat pouze dotazy DNS z posledního dne, které se nepovedlo přeložit název domény, použijte:
_Im_Dns (responsecodename = 'NXDOMAIN', starttime = ago(1d), endtime=now())
Pokud chcete filtrovat jenom dotazy DNS pro zadaný seznam názvů domén, použijte:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_Dns (domain_has_any = torProxies)
Některý parametr může přijmout oba seznamy hodnot typu dynamic nebo jednu řetězcovou hodnotu. Pokud chcete předat literálový seznam parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Příklad: dynamic(['192.168.','10.'])
Normalizovaný obsah
Úplný seznam analytických pravidel, která používají normalizované události DNS, najdete v tématu Obsah zabezpečení dotazů DNS.
Podrobnosti schématu
Informační model DNS je v souladu se schématem entity DNS OSSEM.
Další informace najdete v referenčních informacích k parametru DNS IANA (Internet Assigned Numbers Authority).
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.
Běžná pole s konkrétními pokyny
Následující seznam uvádí pole, která mají specifické pokyny pro události DNS:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Typ události | Povinné | Enumerated | Označuje operaci hlášenou záznamem. U záznamů DNS by tato hodnota byla provozním kódem DNS. Příklad: Query |
| EventSubType | Volitelné | Enumerated | Buďto request nebo response. U většiny zdrojů se protokolují pouze odpovědi, a proto je hodnota často odpovědí. |
| EventResultDetails | Povinné | Enumerated | V případě událostí DNS toto pole poskytuje kód odpovědi DNS. Poznámky: - IANA nedefinuje případ pro hodnoty, takže analýza musí normalizovat případ. – Pokud zdroj poskytuje pouze číselný kód odpovědi, nikoli název kódu odpovědi, musí analyzátor obsahovat vyhledávací tabulku, která tuto hodnotu rozšiřuje. – Pokud tento záznam představuje požadavek, nikoli odpověď, nastavte na NA. Příklad: NXDOMAIN |
| EventSchemaVersion | Povinné | String | Verze schématu popsané zde je 0.1.7. |
| EventSchema | Povinné | String | Název schématu popsaného tady je Dns. |
| Pole Dvc | - | - | V případě událostí DNS pole zařízení odkazují na systém, který hlásí událost DNS. |
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku O společných polích ASIM.
| Třída | Pole |
|---|---|
| Povinné | - EventCount - EventStartTime - EventEndTime - Typ události - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené | - EventResultDetails - EventSeverity - Id události - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Volitelné | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - UdálostOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole zdrojového systému
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Src | Alias | String | Jedinečný identifikátor zdrojového zařízení. Toto pole může aliasovat pole SrcDvcId, SrcHostname nebo SrcIpAddr . Příklad: 192.168.12.1 |
| SrcIpAddr | Doporučené | IP adresa | IP adresa klienta, který odeslal požadavek DNS. U rekurzivního požadavku DNS by tato hodnota obvykle byla zařízení pro generování sestav a ve většině případů nastaveno na 127.0.0.1. Příklad: 192.168.12.1 |
| SrcPortNumber | Volitelné | Celé číslo | Zdrojový port dotazu DNS. Příklad: 54312 |
| IpAddr | Alias | Alias pro SrcIpAddr | |
| SrcGeoCountry | Volitelné | Země | Země přidružená ke zdrojové IP adrese. Příklad: USA |
| SrcGeoRegion | Volitelné | Oblast | Oblast přidružená ke zdrojové IP adrese. Příklad: Vermont |
| SrcGeoCity | Volitelné | City | Město přidružené ke zdrojové IP adrese. Příklad: Burlington |
| SrcGeoLatitude | Volitelné | Zeměpisná šířka | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 44.475833 |
| SrcGeoLongitude | Volitelné | Longitude | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 73.211944 |
| SrcRiskLevel | Volitelné | Celé číslo | Úroveň rizika přidružená ke zdroji Hodnota by měla být upravena na rozsah 0 100, s 0 neškodným a 100 vysokým rizikem.Příklad: 90 |
| SrcOriginalRiskLevel | Volitelné | Celé číslo | Úroveň rizika přidružená ke zdroji, jak je hlášeno zařízením pro generování sestav. Příklad: Suspicious |
| SrcHostname | Doporučené | String | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Příklad: DESKTOP-1282V4D |
| Název hostitele | Alias | Alias pro SrcHostname | |
| SrcDomain | Doporučené | String | Doména zdrojového zařízení. Příklad: Contoso |
| SrcDomainType | Podmíněné | Enumerated | Typ SrcDomain, pokud je znám. Možné hodnoty zahrnují: - Windows (například: contoso)- FQDN (například: microsoft.com)Vyžaduje se, pokud se používá doména SrcDomain . |
| SrcFQDN | Volitelné | String | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud je k dispozici. Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. Pole SrcDomainType odráží použitý formát. Příklad: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Volitelné | String | ID zdrojového zařízení hlášené v záznamu. Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Volitelné | String | ID oboru cloudové platformy, do které zařízení patří. SrcDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcScope | Volitelné | String | Rozsah cloudové platformy, do které zařízení patří. SrcDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcIdType | Podmíněné | Enumerated | Typ SrcDvcId, pokud je známý. Možné hodnoty zahrnují: - AzureResourceId- MDEidPokud je k dispozici více ID, použijte první id ze seznamu a uložte ostatní do SrcDvcAzureResourceId a SrcDvcMDDEid. Poznámka: Toto pole se vyžaduje, pokud se použije SrcDvcId . |
| SrcDeviceType | Volitelné | Enumerated | Typ zdrojového zařízení. Možné hodnoty zahrnují: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Volitelné | String | Popisný text přidružený k zařízení Například: Primary Domain Controller. |
Pole zdrojového uživatele
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| SrcUserId | Volitelné | String | Strojově čitelná alfanumerická, jedinečná reprezentace zdrojového uživatele. Další informace a alternativní pole pro další ID naleznete v tématu Entita Uživatel. Příklad: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserScope | Volitelné | String | Obor, například tenant Microsoft Entra, ve kterém jsou definovány SrcUserId a SrcUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
| SrcUserScopeId | Volitelné | String | ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definovány SrcUserId a SrcUsername . Další informace a seznam povolených hodnot naleznete v tématu UserScopeId v článku Přehled schématu. |
| SrcUserIdType | Podmíněné | UserIdType | Typ ID uloženého v poli SrcUserId . Další informace a seznam povolených hodnot naleznete v části UserIdType v článku Přehled schématu. |
| SrcUsername | Volitelné | Username | Zdrojové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. Další informace naleznete v tématu Entita Uživatel. Příklad: AlbertE |
| SrcUsernameType | Podmíněné | UsernameType | Určuje typ uživatelského jména uloženého v poli SrcUsername . Další informace a seznam povolených hodnot naleznete v části UsernameType v článku Přehled schématu. Příklad: Windows |
| Uživatel | Alias | Alias pro SrcUsername | |
| SrcUserType | Volitelné | UserType | Typ zdrojového uživatele. Další informace a seznam povolených hodnot naleznete v části UserType v článku Přehled schématu. Příklad: Guest |
| SrcUserSessionId | Volitelné | String | Jedinečné ID přihlašovací relace objektu Actor. Příklad: 102pTUgC3p8RIqHvzxLCHnFlg |
| SrcOriginalUserType | Volitelné | String | Původní typ uživatele zdroje, pokud zdroj poskytuje. |
Pole zdrojového procesu
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| SrcProcessName | Volitelné | String | Název souboru procesu, který inicioval požadavek DNS. Tento název se obvykle považuje za název procesu. Příklad: C:\Windows\explorer.exe |
| Proces | Alias | Alias pro SrcProcessName Příklad: C:\Windows\System32\rundll32.exe |
|
| SrcProcessId | Volitelné | String | ID procesu (PID) procesu, který inicioval požadavek DNS. Příklad: 48610176 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows a Linux musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linuxem a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| SrcProcessGuid | Volitelné | String | Vygenerovaný jedinečný identifikátor (GUID) procesu, který inicioval požadavek DNS. Příklad: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Cílová systémová pole
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Dst | Alias | String | Jedinečný identifikátor serveru, který obdržel požadavek DNS. Toto pole může aliasovat pole DstDvcId, DstHostname nebo DstIpAddr . Příklad: 192.168.12.1 |
| DstIpAddr | Volitelné | IP adresa | IP adresa serveru, který obdržel požadavek DNS. U pravidelného požadavku DNS by tato hodnota obvykle byla zařízení pro vytváření sestav a ve většině případů nastaveno na 127.0.0.1.Příklad: 127.0.0.1 |
| DstGeoCountry | Volitelné | Země | Země přidružená k cílové IP adrese. Další informace naleznete v tématu Logické typy. Příklad: USA |
| Oblast DstGeoRegion | Volitelné | Oblast | Oblast nebo stav přidružený k cílové IP adrese. Další informace naleznete v tématu Logické typy. Příklad: Vermont |
| DstGeoCity | Volitelné | City | Město přidružené k cílové IP adrese. Další informace naleznete v tématu Logické typy. Příklad: Burlington |
| DstGeoLatitude | Volitelné | Zeměpisná šířka | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. Další informace naleznete v tématu Logické typy. Příklad: 44.475833 |
| DstGeoLongitude | Volitelné | Longitude | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. Další informace naleznete v tématu Logické typy. Příklad: 73.211944 |
| DstRiskLevel | Volitelné | Celé číslo | Úroveň rizika přidružená k cíli. Hodnota by měla být upravena na rozsah 0 až 100, což 0 je neškodné a 100 představuje vysoké riziko. Příklad: 90 |
| DstOriginalRiskLevel | Volitelné | Celé číslo | Úroveň rizika přidružená k cíli, jak je hlášeno zařízením pro generování sestav. Příklad: Malicious |
| DstPortNumber | Volitelné | Celé číslo | Číslo cílového portu. Příklad: 53 |
| DstHostname | Volitelné | String | Název hostitele cílového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte do tohoto pole příslušnou IP adresu. Příklad: DESKTOP-1282V4DPoznámka: Tato hodnota je povinná, pokud je zadán DstIpAddr . |
| DstDomain | Volitelné | String | Doména cílového zařízení. Příklad: Contoso |
| DstDomainType | Podmíněné | Enumerated | Typ DstDomain, pokud je znám. Možné hodnoty zahrnují: - Windows (contoso\mypc)- FQDN (video2.skills-academy.com)Vyžaduje se, pokud se používá DstDomain . |
| DstFQDN | Volitelné | String | Název hostitele cílového zařízení, včetně informací o doméně, pokud je k dispozici. Příklad: Contoso\DESKTOP-1282V4D Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. DstDomainType odráží použitý formát. |
| DstDvcId | Volitelné | String | ID cílového zařízení hlášené v záznamu. Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Volitelné | String | ID oboru cloudové platformy, do které zařízení patří. DstDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DstDvcScope | Volitelné | String | Rozsah cloudové platformy, do které zařízení patří. DstDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DstDvcIdType | Podmíněné | Enumerated | Typ DstDvcId, pokud je známý. Možné hodnoty zahrnují: - AzureResourceId- MDEidIfPokud je k dispozici více ID, použijte první z výše uvedeného seznamu a uložte ostatní do polí DstDvcAzureResourceId nebo DstDvcMDDDEid . Vyžaduje se, pokud se použije DstDeviceId . |
| DstDeviceType | Volitelné | Enumerated | Typ cílového zařízení. Možné hodnoty zahrnují: - Computer- Mobile Device- IOT Device- Other |
| DstDescription | Volitelné | String | Popisný text přidružený k zařízení Například: Primary Domain Controller. |
Pole specifická pro DNS
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| DnsQuery | Povinné | String | Doména, kterou se požadavek pokusí přeložit. Poznámky: – Některé zdroje odesílají platné dotazy plně kvalifikovaného názvu domény v jiném formátu. Například v samotném protokolu DNS dotaz obsahuje tečku (.) na konci, která se musí odebrat. – Zatímco protokol DNS omezuje typ hodnoty v tomto poli na plně kvalifikovaný název domény, většina serverů DNS povoluje libovolnou hodnotu a toto pole proto není omezeno pouze na hodnoty plně kvalifikovaného názvu domény. Nejvýraznější je, že útoky na tunelování DNS můžou v poli dotazu používat neplatné hodnoty plně kvalifikovaného názvu domény. – I když protokol DNS umožňuje v jednom požadavku více dotazů, tento scénář je výjimečný, pokud se vůbec najde. Pokud má požadavek více dotazů, uložte první dotaz do tohoto pole a potom zbytek ponechte v poli AdditionalFields . Příklad: www.malicious.com |
| Doména | Alias | Alias pro DnsQuery | |
| DnsQueryType | Volitelné | Celé číslo | Kódy typu záznamu prostředku DNS. Příklad: 28 |
| DnsQueryTypeName | Doporučené | Enumerated | Názvy typů záznamů o prostředku DNS. Poznámky: - IANA nedefinuje případ pro hodnoty, takže analýza musí podle potřeby normalizovat případ. – Hodnota ANY je podporována pro kód odpovědi 255.- Hodnota TYPExxxx je podporována pro nemapované kódy odpovědí, kde xxxx je číselná hodnota kódu odpovědi, jak hlásí server BIND DNS.-Pokud zdroj poskytuje pouze kód typu číselného dotazu, a ne název typu dotazu, analyzátor musí obsahovat vyhledávací tabulku, která tuto hodnotu rozšiřuje. Příklad: AAAA |
| DnsResponseName | Volitelné | String | Obsah odpovědi, jak je součástí záznamu. Data odpovědí DNS jsou v různých zařízeních generování sestav nekonzistentní, jsou složitá k analýze a mají menší hodnotu pro analýzu nezávislou na zdroji. Proto informační model nevyžaduje parsování a normalizaci a Microsoft Sentinel k poskytování informací o odpovědích používá pomocnou funkci. Další informace najdete v tématu Zpracování odpovědi DNS. |
| DnsResponseCodeName | Alias | Alias pro EventResultDetails | |
| DnsResponseCode | Volitelné | Celé číslo | Číselný kód odpovědi DNS. Příklad: 3 |
| TransactionIdHex | Doporučené | String | Jedinečný identifikátor dotazu DNS přiřazený klientem DNS v šestnáctkovém formátu. Všimněte si, že tato hodnota je součástí protokolu DNS a liší se od DNSSessionId, ID relace síťové vrstvy, obvykle přiřazené zařízením pro generování sestav. |
| NetworkProtocol | Volitelné | Enumerated | Přenosový protokol používaný událostí překladu sítě. Hodnota může být UDP nebo TCP a je nejčastěji nastavená na UDP pro DNS. Příklad: UDP |
| NetworkProtocolVersion | Volitelné | Enumerated | Verze NetworkProtocol. Při použití k rozlišení mezi verzí PROTOKOLU IP použijte hodnoty IPv4 a IPv6. |
| DnsQueryClass | Volitelné | Celé číslo | ID třídy DNS. V praxi se používá pouze třída IN (ID 1), a proto je toto pole méně cenné. |
| DnsQueryClassName | Volitelné | String | Název třídy DNS. V praxi se používá pouze třída IN (ID 1), a proto je toto pole méně cenné. Příklad: IN |
| DnsFlags | Volitelné | String | Pole příznaky, které poskytuje zařízení pro vytváření sestav. Pokud jsou informace o příznaku uvedeny ve více polích, zřetěďte je čárkou jako oddělovač. Vzhledem k tomu, že příznaky DNS jsou složité k analýze a jsou méně často používány analýzou, analýzou a normalizací, nejsou vyžadovány. Microsoft Sentinel může k poskytování informací o příznakech použít pomocnou funkci. Další informace najdete v tématu Zpracování odpovědi DNS. Příklad: ["DR"] |
| DnsNetworkDuration | Volitelné | Celé číslo | Doba dokončení požadavku DNS v milisekundách. Příklad: 1500 |
| Doba trvání | Alias | Alias pro DnsNetworkDuration | |
| DnsFlagsAuthenticated | Volitelné | Logická hodnota | Příznak DNS AD , který souvisí s DNSSEC, označuje v odpovědi, že všechna data zahrnutá v částech odpovědi a autority odpovědi server ověřil podle zásad tohoto serveru. Další informace najdete v dokumentu RFC 3655 Oddíl 6.1 . |
| DnsFlagsAuthoritative | Volitelné | Logická hodnota | Příznak DNS AA označuje, jestli byla odpověď ze serveru autoritativní. |
| DnsFlagsCheckingDisabled | Volitelné | Logická hodnota | Příznak DNS, který souvisí se službou DNSSEC CD , označuje v dotazu, že neověrná data jsou pro systém odesílající dotaz přijatelná. Další informace najdete v dokumentu RFC 3655 Oddíl 6.1 . |
| DnsFlagsRecursionAvailable | Volitelné | Logická hodnota | Příznak DNS RA označuje v odpovědi, že server podporuje rekurzivní dotazy. |
| DnsFlagsRecursionDesired | Volitelné | Logická hodnota | Příznak DNS RD označuje v požadavku, že klient chce, aby server používal rekurzivní dotazy. |
| DnsFlagsTruncated | Volitelné | Logická hodnota | Příznak DNS TC označuje, že odpověď byla zkrácena, protože překročila maximální velikost odpovědi. |
| DnsFlagsZ | Volitelné | Logická hodnota | Příznak DNS Z je zastaralý příznak DNS, který může hlásit starší systémy DNS. |
| DnsSessionId | Volitelné | string | Identifikátor relace DNS hlášený zařízením pro generování sestav. Tato hodnota se liší od TransactionIdHex, jedinečné ID dotazu DNS přiřazené klientem DNS. Příklad: EB4BFA28-2EAD-4EF7-BC8A-51DF4FDF5B55 |
| Id relace | Alias | Alias pro DnsSessionId | |
| DnsResponseIpCountry | Volitelné | Země | Země přidružená k jedné z IP adres v odpovědi DNS. Další informace naleznete v tématu Logické typy. Příklad: USA |
| DnsResponseIpRegion | Volitelné | Oblast | Oblast nebo stav přidružený k jedné z IP adres v odpovědi DNS. Další informace naleznete v tématu Logické typy. Příklad: Vermont |
| DnsResponseIpCity | Volitelné | City | Město přidružené k jedné z IP adres v odpovědi DNS. Další informace naleznete v tématu Logické typy. Příklad: Burlington |
| DnsResponseIpLatitude | Volitelné | Zeměpisná šířka | Zeměpisná šířka zeměpisné souřadnice přidružené k jedné z IP adres v odpovědi DNS. Další informace naleznete v tématu Logické typy. Příklad: 44.475833 |
| DnsResponseIpLongitude | Volitelné | Longitude | Zeměpisná délka zeměpisné souřadnice přidružené k jedné z IP adres v odpovědi DNS. Další informace naleznete v tématu Logické typy. Příklad: 73.211944 |
Kontrolní pole
Následující pole slouží k reprezentaci kontroly, kterou provedlo bezpečnostní zařízení DNS. Pole související s hrozbami představují jednu hrozbu, která je přidružená buď ke zdrojové adrese, cílové adrese, jedné z IP adres v odpovědi nebo doméně dotazu DNS. Pokud byla jako hrozba identifikována více než jedna hrozba, mohou být informace o jiných IP adresách uloženy v poli AdditionalFields.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| UrlCategory | Volitelné | String | Zdroj událostí DNS může také vyhledat kategorii požadovaných domén. Pole se nazývá UrlCategory , aby odpovídalo schématu sítě Microsoft Sentinelu. DomainCategory se přidá jako alias, který se hodí k DNS. Příklad: Educational \\ Phishing |
| DomainCategory | Alias | Alias pro UrlCategory. | |
| NetworkRuleName | Volitelné | String | Název nebo ID pravidla, které hrozbu identifikovalo. Příklad: AnyAnyDrop |
| NetworkRuleNumber | Volitelné | Celé číslo | Číslo pravidla, které hrozbu identifikovalo Příklad: 23 |
| Pravidlo | Alias | String | Buď hodnota NetworkRuleName , nebo hodnota NetworkRuleNumber. Pokud je použita hodnota NetworkRuleNumber , typ by měl být převeden na řetězec. |
| ThreatId | Volitelné | String | ID hrozby nebo malwaru zjištěného v síťové relaci. Příklad: Tr.124 |
| ThreatCategory | Volitelné | String | Pokud zdroj událostí DNS také poskytuje zabezpečení DNS, může také vyhodnotit událost DNS. Může například vyhledat IP adresu nebo doménu v databázi analýzy hrozeb a přiřadit doménu nebo IP adresu s kategorií hrozeb. |
| ThreatIpAddr | Volitelné | IP adresa | IP adresa, pro kterou byla zjištěna hrozba. Pole ThreatField obsahuje název pole ThreatIpAddr představuje. Pokud je v poli Doména identifikována hrozba, mělo by být toto pole prázdné. |
| ThreatField | Podmíněné | Enumerated | Pole, pro které byla zjištěna hrozba. Hodnota je buď SrcIpAddr, , DstIpAddrDomainnebo DnsResponseName. |
| ThreatName | Volitelné | String | Název zjištěné hrozby, jak hlásí zařízení pro hlášení. |
| ThreatConfidence | Volitelné | Celé číslo | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Volitelné | String | Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
| ThreatRiskLevel | Volitelné | Celé číslo | Úroveň rizika spojená s identifikovanou hrozbou normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalRiskLevel | Volitelné | String | Původní úroveň rizika spojená s identifikovanou hrozbou, jak je hlášeno zařízením pro hlášení. |
| ThreatIsActive | Volitelné | Logická hodnota | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| ThreatFirstReportedTime | Volitelné | datetime | Při prvním zjištění IP adresy nebo domény jako hrozby. |
| ThreatLastReportedTime | Volitelné | datetime | Čas posledního zjištění IP adresy nebo domény jako hrozby |
Zastaralé aliasy a pole
Následující pole jsou aliasy, které se zachovají kvůli zpětné kompatibilitě. Byly odebrány ze schématu 31. prosince 2021.
Query(alias naDnsQuery)QueryType(alias naDnsQueryType)QueryTypeName(alias naDnsQueryTypeName)ResponseName(alias naDnsReasponseName)ResponseCodeName(alias naDnsResponseCodeName)ResponseCode(alias naDnsResponseCode)QueryClass(alias naDnsQueryClass)QueryClassName(alias naDnsQueryClassName)Flags(alias naDnsFlags)SrcUserDomain
Aktualizace schématu
Změny ve verzi 0.1.2 schématu jsou:
- Bylo přidáno pole
EventSchema. - Přidání vyhrazeného pole příznaku, které rozšiřuje kombinované pole Příznaky :
DnsFlagsAuthoritative,DnsFlagsCheckingDisabled,DnsFlagsRecursionAvailable,DnsFlagsRecursionDesired, ,DnsFlagsTruncatedaDnsFlagsZ.
Změny ve verzi 0.1.3 schématu jsou:
- Schéma teď explicitně dokumentuje
Src*,Process*Dst*aUser*pole. - Přidali jsme další
Dvc*pole, která odpovídají nejnovější definici běžných polí. - Přidání
SrcaDstpřidání aliasů do počátečního identifikátoru pro zdrojové a cílové systémy - Přidání volitelného
DnsNetworkDurationaDurationaliasu do něj. - Přidání volitelných polí Geografické umístění a Úroveň rizika
Změny ve verzi 0.1.4 schématu jsou:
- Přidání volitelných polí
ThreatIpAddr, ,ThreatNameThreatOriginalRiskLevelThreatFieldThreatOriginalConfidenceThreatIsActiveThreatConfidenceThreatFirstReportedTime, a .ThreatLastReportedTime
Změny ve verzi 0.1.5 schématu jsou:
- Přidání polí
SrcUserScope, ,SrcUserSessionIdSrcDvcScopeId,DstDvcScopeDvcScopeIdSrcDvcScopeDstDvcScopeId, a .DvcScope
Změny ve verzi 0.1.6 schématu jsou:
- Přidání polí
DnsResponseIpCountry, ,DnsResponseIpRegionDnsResponseIpCity,DnsResponseIpLatitudeaDnsResponseIpLongitude.
Změny ve verzi 0.1.7 schématu jsou:
- Přidání polí
SrcDescription, , ,DstDescription,DstOriginalRiskLevelNetworkProtocolVersionSrcUserScopeIdRule,RuleName,RuleNumber, a .ThreatIdSrcOriginalRiskLevel
Nesrovnalosti specifické pro zdroj
Cílem normalizace je zajistit, aby všechny zdroje poskytovaly konzistentní telemetrii. Zdroj, který neposkytuje požadovanou telemetrii, například povinná pole schématu, nelze normalizovat. Zdroje, které obvykle poskytují veškerou povinnou telemetrii, i když existují určité nesrovnalosti, je však možné normalizovat. Nesrovnalosti můžou ovlivnit úplnost výsledků dotazu.
V následující tabulce jsou uvedené známé nesrovnalosti:
| Zdroj | Nesrovnalosti |
|---|---|
| Microsoft DNS Server shromažďovaný pomocí konektoru DNS a agenta Log Analytics | Konektor neposkytuje povinné pole DnsQuery pro původní ID události 264 (odpověď na dynamickou aktualizaci). Data jsou k dispozici ve zdroji, ale konektor je nepřesměrovávat. |
| Corelight Zeek | Corelight Zeek nemusí poskytnout povinné pole DnsQuery. Takové chování jsme zaznamenali v určitých případech, kdy je NXDOMAINnázev kódu odpovědi DNS . |
Zpracování odpovědi DNS
Ve většině případů protokolované události DNS nezahrnují informace o odpovědích, které můžou být velké a podrobné. Pokud váš záznam obsahuje další informace o odpovědi, uložte ho do pole ResponseName , jak se zobrazí v záznamu.
Můžete také poskytnout další funkci KQL volané _imDNS<vendor>Response_, která přebírá neparsovanou odpověď jako vstup a vrací dynamickou hodnotu s následující strukturou:
[
{
"part": "answer"
"query": "yahoo.com."
"TTL": 1782
"Class": "IN"
"Type": "A"
"Response": "74.6.231.21"
}
{
"part": "authority"
"query": "yahoo.com."
"TTL": 113066
"Class": "IN"
"Type": "NS"
"Response": "ns5.yahoo.com"
}
...
]
Pole v každém slovníku v dynamické hodnotě odpovídají polím v každé odpovědi DNS. Položka part by měla obsahovat buď answer, authoritynebo additional odrážet část v odpovědi, do které slovník patří.
Tip
Pokud chcete zajistit optimální výkon, zavolejte imDNS<vendor>Response funkci pouze v případě potřeby a teprve po počátečním filtrování, abyste zajistili lepší výkon.
Zpracování příznaků DNS
Analýza a normalizace nejsou vyžadovány pro data příznaku. Místo toho uložte data příznaku poskytnutá zařízením pro generování sestav do pole Příznaky . Pokud je určení hodnoty jednotlivých příznaků rovnou vpřed, můžete také použít vyhrazená pole příznaků.
Můžete také zadat další funkci KQL s názvem _imDNS<vendor>Flags_, která přebírá neparsedovanou odpověď nebo vyhrazená pole příznaku jako vstup a vrací dynamický seznam s logickými hodnotami, které představují každý příznak v následujícím pořadí:
- Ověřeno (AD)
- Autoritativní (AA)
- Kontrola zakázaného disku (CD)
- Rekurze dostupná (RA)
- Rekurze Desired (RD)
- Zkráceno (TC)
- Z
Další kroky
Další informace naleznete v tématu: