Informations de référence sur le connecteur DNS sur AMA – Champs disponibles et schéma de normalisation

Microsoft Sentinel vous permet de transmettre en continu et de filtrer les événements de vos journaux du serveur DNS (Domain Name System) Windows dans la table de schéma normalisée ASimDnsActivityLog. Cet article décrit les champs utilisés pour filtrer les données et le schéma de normalisation des champs du serveur DNS Windows.

L’agent Azure Monitor (AMA) et son extension DNS sont installés sur votre serveur Windows Server pour charger des données à partir de vos journaux analytiques DNS vers l’espace de travail Microsoft Sentinel. Vous transmettez en continu et filtrez les données à l’aide des Événements DNS Windows via le connecteur AMA.

Champs de filtre disponibles

Ce tableau présente les champs disponibles. Les noms de champs sont normalisés à l’aide du schéma DNS.

Nom du champ Valeurs Description
EventOriginalType Nombres compris entre 256 et 280 Identifiant EventID DNS Windows, qui indique le type de l’événement de protocole DNS.
EventResultDetails • NOERROR
• FORMERR
• SERVFAIL
• NXDOMAIN
• NOTIMP
• REFUSED
• YXDOMAIN
• YXRRSET
• NXRRSET
• NOTAUTH
• NOTZONE
• DSOTYPENI
• BADVERS
• BADSIG
• BADKEY
• BADTIME
• BADALG
• BADTRUNC
• BADCOOKIE
Chaîne de résultat DNS de l’opération comme défini par l’IANA (Internet Assigned Numbers Authority).
DvcIpAdrr Adresses IP Adresse IP du serveur qui signale l’événement. Ce champ inclut également des informations de géolocalisation et d’adresses IP malveillantes.
DnsQuery Noms de domaine (FQDN) Chaîne représentant le nom de domaine à résoudre.
• Peut accepter des valeurs multiples dans une liste séparée par des virgules et des caractères génériques. Par exemple :
*.microsoft.com,google.com,facebook.com
• Passez en revue ces considérations concernant l’utilisation des caractères génériques.
DnsQueryTypeName • A
• NS
• MD
• MF
• CNAME
• SOA
• MB
• MG
• MR
• NULL
• WKS
• PTR
• HINFO
• MINFO
• MX
• TXT
• RP
• AFSDB
• X25
• ISDN
• RT
• NSAP
• NSAP-PTR
• SIG
• KEY
• PX
• GPOS
• AAAA
• LOC
• NXT
• EID
• NIMLOC
• SRV
Attribut DNS demandé. Nom du type d’enregistrement de ressource DNS comme défini par l’IANA.

Schéma DNS normalisé ASIM

Ce tableau décrit et traduit les champs du serveur DNS Windows en noms de champs normalisés, car ils apparaissent dans le schéma de normalisation DNS.

Nom du champ DNS Windows Nom du champ normalisé Type Description
EventID EventOriginalType String Type ou ID d’événement d’origine.
RCODE EventResult String Résultat de l’événement (réussite, partiel, échec, NA).
RCODE analysé EventResultDetails String Code de réponse DNS comme défini par l’IANA.
InterfaceIP DvcIpAdrr String Adresse IP de l’appareil ou de l’interface qui signale l’événement.
AA DnsFlagsAuthoritative Integer Indique si la réponse du serveur faisait autorité.
AD DnsFlagsAuthenticated Integer Indique que le serveur a vérifié toutes les données dans la réponse et l’autorité de la réponse, conformément aux stratégies du serveur.
RQNAME DnsQuery String Le domaine doit être résolu.
QTYPE DnsQueryType Integer Type d’enregistrement de ressource DNS comme défini par l’IANA.
Port SrcPortNumber Integer Port source envoyant la requête.
Source SrcIpAddr Adresse IP L’adresse IP du client qui envoie la requête DNS. Pour une requête DNS récursive, cette valeur correspond généralement à l’adresse IP de l’appareil de création de rapports. Dans la plupart des cas, il s’agit de 127.0.0.1.
ElapsedTime DnsNetworkDuration Integer Temps nécessaire pour effectuer la requête DNS.
GUID DnsSessionId String Identificateur de session DNS signalé par le périphérique de création de rapport.

Étapes suivantes

Dans cet article, vous avez découvert les champs utilisés pour filtrer les données de journal DNS à l’aide des Événements DNS Windows via le connecteur AMA. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :