DNS Analytics プレビュー ソリューションを使用した DNS インフラストラクチャに関する分析情報の収集

  • [アーティクル]

DNS Analytics のシンボル。

この記事では、Azure Monitor の Azure DNS Analytics ソリューションをセットアップして使用し、DNS インフラストラクチャのセキュリティ、パフォーマンス、操作に関する分析情報を収集する方法について説明します。

DNS 分析により、次のことができます。

  • 悪意のあるドメイン名を解決しようとしているクライアントを特定する。
  • 古いリソース レコードを特定する。
  • クエリ対象になる頻度が高いドメイン名と話好きな DNS クライアントを特定する。
  • DNS サーバーの要求負荷を確認する。
  • 動的 DNS 登録エラーを確認する。

DNS 分析ソリューションは、Windows DNS の分析ログと監査ログおよび他の関連データを DNS サーバーから収集して分析し、関連付けます。

重要

Log Analytics エージェントは、2024 年 8 月 31 日に廃止される予定です。 Microsoft Sentinel のデプロイで Log Analytics エージェントを使用している場合は、Azure Monitor エージェントへの移行の計画を開始することをお勧めします。 詳細については、「Microsoft Sentinel の AMA 移行」を参照してください。

接続先ソース

次の表では、このソリューションでサポートされている接続先ソースについて説明します。

接続先ソース サポート 説明
Windows エージェント はい ソリューションでは、Windows エージェントから DNS 情報を収集します。
Linux エージェント いいえ このソリューションでは、ダイレクト Linux エージェントから DNS 情報は収集しません。
System Center Operations Manager 管理グループ はい ソリューションでは、接続された Operations Manager 管理グループ内のエージェントから DNS 情報が収集されます。 Operations Manager エージェントから Azure Monitor への直接接続は必要ありません。 データは管理グループから Log Analytics ワークスペースに転送されます。
Azure Storage アカウント いいえ ソリューションでは、Azure Storage は使用されません。

データ収集の詳細

DNS 分析ソリューションでは、Log Analytics エージェントがインストールされている DNS サーバーから DNS インベントリと DNS イベント関連データを収集します。 その後このデータが Azure Monitor にアップロードされ、ソリューション ダッシュボードに表示されます。 インベントリ関連データ (DNS サーバーの数、ゾーンの数、リソース レコードの数など) は、DNS PowerShell コマンドレットを実行して収集します。 データは 2 日に 1 回更新されます。 イベント関連データは、Windows Server 2012 R2 の強化された DNS ログと診断機能によって提供される分析ログと監査ログからほぼリアルタイムで収集されます。

構成

次の情報を使用して、ソリューションを構成します。

さらに構成を行わなくても、ソリューションはデータの収集を開始します。 ただし、次の構成を使用してデータ収集をカスタマイズできます。

ソリューションの構成

Azure portal の Log Analytics ワークスペースから [ワークスペースの概要 (非推奨)] を選択します。 次に、[DNS Analytics] タイルを選択します。 ソリューション ダッシュボードで [構成] を選択して、[DNS 分析構成] ページを開きます。 次の 2 種類の構成変更を行うことができます。

  • 許可リストに含まれるドメイン名: ソリューションでは、すべてのルックアップ クエリが処理されるわけではありません。 ドメイン名サフィックスの許可リストが保持されています。 この許可リストのドメイン名のサフィックスと一致するドメイン名に解決されるルックアップ クエリは、ソリューションでは処理されません。 許可リストに含まれるドメイン名を処理しないことで、Azure Monitor に送信されるデータを最適化できます。 既定の許可リストには、よく使用されるパブリック ドメイン名 (www.google.comwww.facebook.com など) が含まれています。 スクロールすると、既定のリスト全体を確認できます。

    このリストを変更して、ルックアップの洞察の対象にするドメイン名のサフィックスを追加できます。 ルックアップの洞察の対象にしないドメイン名のサフィックスを削除することもできます。

  • 話好きなクライアントのしきい値: ルックアップ要求数のしきい値を超えた DNS クライアントは、[DNS クライアント] ペインで強調表示されます。 既定のしきい値は 1,000 です。 しきい値は編集できます。

    許可リストに登録されたドメイン名を示すスクリーンショット。

管理パック

Microsoft Monitoring Agent を使用して Log Analytics ワークスペースに接続すると、次の管理パックがインストールされます。

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)

Operations Manager 管理グループが Log Analytics ワークスペースに接続されている場合は、このソリューションを追加したときに次の管理パックが Operations Manager にインストールされます。 これらの管理パックの構成や保守は必要ありません。

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
  • Microsoft System Center Advisor DNS Analytics Configuration (Microsoft.IntelligencePack.Dns.Configuration)

ソリューション管理パックの更新方法の詳細については、「 Operations Manager を Log Analytics に接続する」を参照してください。

DNS 分析ソリューションを使用する

この監視ソリューションによって収集されたデータは、Azure portal の [ワークスペースの概要 (非推奨)] ページで使用できます。 ワークスペースとソリューションを表示するには [Log Analytics ワークスペース] からこのページを開き、メニューの [クラシック] セクションから [ワークスペースの概要 (非推奨)] を選択します。 各ソリューションは、タイルで表現されます。 そのソリューションによって収集された詳細データについては、タイルを選択してください。

DNS タイルには、データ収集中の DNS サーバーの数が含まれています。 また、過去 24 時間以内の、悪意のあるドメインを解決しようとしているクライアントからの要求の数も示されています。 タイルを選ぶと、ソリューション ダッシュボードが開きます。

DNS Analytics タイルを示すスクリーンショット。

ソリューションのダッシュボード

ソリューション ダッシュボードには、ソリューションのさまざまな機能の集計情報が表示されます。 また、フォレンジック分析と診断の詳細ビューへのリンクも含まれています。 既定では、過去 7 日間のデータが表示されます。 次の図に示すように、日時選択コントロールを使用して日付と時間の範囲を変更できます。

時間選択のコントロールを示すスクリーンショット。

ソリューション ダッシュボードには、以下のシナリオが表示されます。

DNS セキュリティ: 悪意のあるドメインと通信しようとしている DNS クライアントを報告します。 DNS 分析では、Microsoft 脅威インテリジェンス フィードを使用して、悪意のあるドメインにアクセスしようとしているクライアント IP を検出できます。 多くの場合、マルウェアに感染したデバイスは、マルウェア ドメイン名を解決することで、悪意のあるドメインの "コマンド アンド コントロール" センターに "ダイヤル アウト" します。

[DNS セキュリティ] セクションを示すスクリーンショット。

一覧のクライアント IP を選択すると、ログ検索が開き、それぞれのクエリのルックアップの詳細が表示されます。 次の例では、IRCbot との通信が行われたことが DNS 分析によって検出されています。

ircbot を示すログ検索結果を示すスクリーンショット。

この情報により、次のことを確認できます。

  • 通信を開始したクライアント IP。
  • 悪意のある IP を解決しようとしているドメイン名。
  • そのドメイン名の解決先の IP アドレス。
  • 悪意のある IP アドレス。
  • 問題の重大度。
  • 悪意のある IP をブロックリストに含める理由。
  • 検出時刻。

クエリ対象のドメイン: 環境内の DNS クライアントによるクエリの対象になる頻度が最も高いドメイン名が表示されます。 クエリ対象のすべてのドメイン名の一覧を確認できます。 また、ログ検索で特定のドメイン名のルックアップ要求の詳細にドリルダウンできます。

[ドメインクエリ] セクションを示すスクリーンショット。

DNS クライアント: 選択した期間内にクエリ数のしきい値に違反したクライアントを報告します。 すべての DNS クライアントの一覧を表示し、ログ検索で各クライアントによって実行されたクエリの詳細を確認できます。

[DNS クライアント] セクションを示すスクリーンショット。

動的 DNS 登録: 名前登録エラーを報告します。 アドレス リソース レコード (タイプ A および AAAA) のすべての登録エラーが、その登録要求を行ったクライアント IP と共に強調表示されます。 この情報を使用して、次の手順に従って登録エラーの根本原因を見つけることができます。

  1. クライアントが更新しようとしている名前に対して権限のあるゾーンを見つけます。

  2. ソリューションを使用して、そのゾーンのインベントリ情報を確認します。

  3. ゾーンの動的更新が有効になっていることを確認します。

  4. ゾーンがセキュリティで保護された動的更新を使用するように構成されているかどうかを確認します。

    [動的 DNS 登録] セクションを示すスクリーンショット。

名前登録要求: 上のタイルには、成功および失敗した DNS 動的更新要求数の傾向が示されます。 下のタイルには、失敗した DNS 更新要求を DNS サーバーに送信している上位 10 個のクライアントが、失敗の回数で並べ替えられて表示されます。

[名前登録要求] セクションを示すスクリーンショット。

DNS 分析のサンプル クエリ: 生の分析データを直接取得する最も一般的な検索クエリの一覧が表示されます。

サンプル クエリを示すスクリーンショット。

これらのクエリは、カスタム レポート用の独自のクエリを作成するための出発点として使用できます。 クエリは、結果が表示される DNS Analytics のログ検索ページにリンクしています。

  • DNS サーバーの一覧: すべての DNS サーバーの一覧が、関連付けられている FQDN、ドメイン名、フォレスト名、サーバー IP と共に表示されます。

  • DNS ゾーンの一覧: すべての DNS ゾーンの一覧が、関連付けられているゾーン名、動的更新の状態、ネーム サーバー、DNSSEC 署名の状態と共に表示されます。

  • 使用されていないリソース レコード: すべての未使用または古いリソース レコードの一覧が表示されます。 この一覧には、リソース レコード名、リソース レコードの種類、関連付けられている DNS サーバー、レコードの生成時刻、ゾーン名が含まれています。 この一覧を使用して、使用されなくなった DNS リソース レコードを特定できます。 この情報に基づいて、DNS サーバーからこれらのエントリを削除できます。

  • DNS サーバーのクエリ負荷: DNS サーバーの DNS 負荷の全体像を把握できる情報が表示されます。 この情報はサーバーの容量計画に役立ちます。 [メトリック] タブに移動すると、ビューをグラフ表示に変更できます。 このビューは、DNS サーバー間で DNS 負荷がどのように分散されているかを理解する上で役立ちます。 ビューには、各サーバーの DNS クエリ レートの傾向が示されます。

    DNS サーバーのクエリ ログの検索結果を示すスクリーンショット。

  • DNS ゾーンのクエリ負荷: ソリューションによって管理されている DNS サーバーのすべてのゾーンに関する 1 秒あたりの DNS ゾーン クエリ統計情報が表示されます。 [メトリック] タブを選択すると、詳細レコードから結果のグラフ表示にビューが変更されます。

  • 構成イベント: すべての DNS 構成変更イベントと、関連するメッセージが表示されます。 イベントの時刻、イベント ID、DNS サーバー、またはタスク カテゴリに基づいて、これらのイベントをフィルター処理できます。 このデータを使用して、特定の時点で特定の DNS サーバーに加えられた変更を監査できます。

  • DNS 分析ログ: ソリューションによって管理されているすべての DNS サーバーのすべての分析イベントが表示されます。 イベントの時刻、イベント ID、DNS サーバー、ルックアップ クエリを実行したクライアント IP、クエリの種類のタスク カテゴリに基づいて、これらのイベントをフィルター処理できます。 DNS サーバー分析イベントにより、DNS サーバーで動作状況の追跡が可能になります。 サーバーが DNS 情報を送受信するたびに、分析イベントがログに記録されます。

[ログ検索] ページで、クエリを作成できます。 ファセット コントロールを使用して検索結果をフィルター処理できます。 検索結果に対して変換やフィルター処理、レポート作成などを実行する高度なクエリを作成することもできます。 まず、以下のクエリを使用します。

  1. クエリの検索ボックスに「DnsEvents」と入力して、ソリューションによって管理されている DNS サーバーで生成されたすべての DNS イベントを表示します。 結果には、ルックアップ クエリ、動的登録、構成変更に関連するすべてのイベントのログ データが表示されます。

    DnsEvents ログ検索を示すスクリーンショット。

    1. ルックアップ クエリのログ データを表示するには、左側のファセット コントロールから [LookUpQuery] を選択して [サブタイプ] フィルター処理します。 選択した期間のすべてのルックアップ クエリ イベントが一覧になったテーブルが表示されます。

    2. 動的登録のログ データを表示するには、左側のファセット コントロールから [DynamicRegistration] を選択して [サブタイプ] をフィルター処理します。 選択した期間のすべての動的登録イベントが一覧になったテーブルが表示されます。

    3. 構成変更のログ データを表示するには、左側のファセット コントロールから [ConfigurationChange] を選択して [サブタイプ] をフィルター処理します。 選択した期間の構成変更イベントが一覧になったテーブルが表示されます。

  2. クエリ検索ボックスに「DnsInventory」と入力して、ソリューションによって管理されている DNS サーバーのすべての DNS インベントリ関連データを表示します。 結果には、DNS サーバー、DNS ゾーン、リソース レコードのログ データが表示されます。

    DnsInventory ログ検索を示すスクリーンショット。

トラブルシューティング

一般的なトラブルシューティング手順:

  • DNS 参照データが見つからない: この問題のトラブルシューティングを行うには、構成をリセットするか、ポータルで構成ページを 1 回読み込んでください。 リセットの場合は、設定を別の値に変更してから元の値に戻し、構成を保存します。

推奨事項

フィードバックを提供するには、Log Analytics UserVoice ページにアクセスして、改善すべき DNS Analytics 機能のアイデアを投稿してください。

次のステップ

詳細な DNS ログ レコードを表示するためのログのクエリについて確認します。