Coletar insights sobre sua infraestrutura de DNS com a solução Análise de DNS em versão prévia
Este artigo descreve como configurar e usar a solução Análise de DNS do Azure no Azure Monitor para obter insights relacionados à segurança, ao desempenho e às operações na infraestrutura DNS.
A Análise de DNS ajuda você a:
- Identificar clientes que tentam resolver nomes de domínio mal-intencionados.
- Identificar registros de recursos obsoletos.
- Identificar os nomes de domínio consultados com frequência e clientes DNS comunicativos.
- Exibir a carga de solicitação em servidores DNS.
- Exibir falhas de registro de DNS dinâmico.
A solução coleta, analisa e correlaciona logs de auditoria e analíticos de DNS do Windows, bem como outros dados relacionados de seus servidores DNS.
Importante
O agente do Log Analytics será desativado em 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics na implantação do Microsoft Sentinel, recomendamos que você comece a planejar a migração para o Agente do Azure Monitor. Para obter mais informações, consulte Migração para o Agente do Azure Monitor no Microsoft Sentinel.
Fontes conectadas
A seguinte tabela descreve as fontes conectadas que têm suporte nessa solução:
Fonte conectada | Suporte | Descrição |
---|---|---|
Agentes do Windows | Sim | A solução coleta informações de DNS dos agentes do Windows. |
Agentes do Linux | Não | A solução não coleta informações de DNS dos agentes diretos do Linux. |
Grupo de gerenciamento do System Center Operations Manager | Yes | A solução coleta informações de DNS dos agentes em um grupo de gerenciamento conectado do Operations Manager. Não é necessária uma conexão direta entre o agente do Operations Manager e o Azure Monitor. Os dados são encaminhados do grupo de gerenciamento para o espaço de trabalho do Log Analytics. |
Conta do Armazenamento do Azure | Não | O Armazenamento do Azure não é usado pela solução. |
Detalhes da coleta de dados
A solução coleta dados relacionados a eventos e ao inventário DNS dos servidores DNS, onde um agente do Log Analytics está instalado. Esses dados são carregados no Azure Monitor e exibidos no painel da solução. Os dados relacionados ao inventário, como número de servidores DNS, zonas e registros de recursos, são coletados pela execução de cmdlets do PowerShell do DNS. Os dados são atualizados uma vez a cada dois dias. Os dados relacionados a eventos são coletados quase em tempo real dos logs de análise e auditoria fornecidos pelo log e diagnóstico avançado de DNS no Windows Server 2012 R2.
Configuração
Use as seguintes informações para configurar a solução:
- É necessário ter um agente do Windows ou do Operations Manager em cada servidor DNS que você deseja monitorar.
- Você pode adicionar a solução Análise de DNS ao workspace do Log Analytics por meio do Azure Marketplace. Você também pode usar o processo descrito em Adicionar soluções do Azure Monitor por meio da Galeria de Soluções.
A solução inicia a coleta de dados sem a necessidade de configuração adicional. No entanto, você pode usar a configuração a seguir para personalizar a coleta de dados.
Configurar a solução
No workspace do Log Analytics no portal do Azure, selecione Resumo do workspace (preterido). Em seguida, selecione o bloco Análise de DNS. No painel da solução, clique em Configuração para abrir a página Configuração de Análise de DNS. Há dois tipos de alteração de configuração que podem ser feitos:
Nomes de Domínio na Lista de Permitidos: a solução não processa todas as consultas de pesquisa. Ela mantém uma lista de permitidos de sufixos de nome de domínio. As consultas de pesquisa que são resolvidas nos nomes de domínio e que correspondem aos sufixos de nome de domínio na lista de permitidos, não são processadas pela solução. O não processamento de nomes de domínio da lista de permitidos ajuda a otimizar os dados enviados ao Azure Monitor. A lista de permitidos padrão inclui nomes de domínio público populares, como www.google.com e www.facebook.com. Você pode exibir a lista padrão completa com a barra de rolagem.
É possível modificar a lista para adicionar qualquer sufixo de nome de domínio do qual você deseja exibir informações de pesquisa. Você também pode remover qualquer sufixo de nome de domínio do qual você não deseja exibir informações de pesquisa.
Limite de Cliente Comunicativo: os clientes DNS que excedem o limite do número de solicitações de pesquisa, são destacados na folha Clientes DNS. O limite padrão é 1.000. Você pode editar o limite.
Pacotes de gerenciamento
Se você estiver usando o Microsoft Monitoring Agent para se conectar ao seu workspace do Log Analytics, o seguinte pacote de gerenciamento será instalado:
- Pacote de Inteligência do Coletor de Dados DNS da Microsoft (Microsoft.IntelligencePacks.Dns)
Se o grupo de gerenciamento do Operations Manager estiver conectado ao espaço de trabalho do Log Analytics, os pacotes de gerenciamento a seguir serão instalados no Operations Manager quando você adicionar essa solução. Não há nenhuma manutenção nem configuração obrigatória para estes pacotes de gerenciamento:
- Pacote de Inteligência do Coletor de Dados DNS da Microsoft (Microsoft.IntelligencePacks.Dns)
- Configuração da Análise de DNS do Microsoft System Center Advisor (Microsoft.IntelligencePack.Dns.Configuration)
Para obter mais informações sobre como os pacotes de gerenciamento da solução são atualizados, veja Conectar o Operations Manager ao Log Analytics.
Usar a solução Análise de DNS
Os dados coletados por essa solução de monitoramento estão disponíveis na página Resumo do workspace (preterido) no portal do Azure. Abra esta página nos Workspaces do Log Analytics referentes ao workspace da sua solução e selecione Resumo do Workspace (preterido) na seção Clássico do menu. Cada solução é representada por uma peça. Selecione um bloco para ver dados mais detalhados coletados pela solução.
O bloco DNS inclui o número de servidores DNS dos quais os dados estão sendo coletados. Também inclui o número de solicitações feitas pelos clientes para resolver domínios mal-intencionados nas últimas 24 horas. Quando você selecione um bloco, o painel da solução é aberto.
Painel da solução
O painel da solução mostra informações resumidas para os vários recursos da solução. Ele também inclui links para a exibição detalhada de diagnóstico e análise investigativa. Por padrão, os dados são mostrados para os últimos sete dias. Você pode alterar o intervalo de data e hora usando o controle de seleção de data/hora, conforme mostrado na seguinte imagem:
O painel da solução mostra as seguintes seções:
Segurança de DNS: relata os clientes DNS que estão tentando se comunicar com domínios mal-intencionados. Ao usar os feeds de inteligência em ameaças da Microsoft, a Análise de DNS pode detectar IPs do cliente que estão tentando acessar domínios mal-intencionados. Em muitos casos, os dispositivos infectados por malware “discam” para o centro de “comando e controle” do domínio mal-intencionado resolvendo o nome de domínio do malware.
Quando você seleciona um IP do cliente na lista, a Pesquisa de Logs é aberta e mostra os detalhes da pesquisa da respectiva consulta. No seguinte exemplo, a Análise de DNS detectou que a comunicação foi feita com um IRCbot:
As informações ajudam você a identificar:
- o IP do cliente que iniciou a comunicação.
- O nome de domínio que é resolvido para o IP mal-intencionado.
- Os endereços IP para os quais o nome de domínio é resolvido.
- O endereço IP mal-intencionado.
- A gravidade do problema.
- Motivo para inclusão na lista o IP mal-intencionado.
- O tempo de detecção.
Domínios Consultados: fornece os nomes de domínio consultados com mais frequência pelos clientes DNS no seu ambiente. É possível exibir a lista de todos os nomes de domínio consultados. Você também pode analisar os detalhes da solicitação de pesquisa de um nome de domínio específico na Pesquisa de Logs.
Clientes DNS: relata os clientes que violam os limites do número de consultas no período escolhido. Você pode ver a lista de todos os clientes DNS e os detalhes das consultas feitas por eles na Pesquisa de Logs.
Registros DNS Dinâmicos: relata as falhas de registro de nome. Todas as falhas de registros de recursos do endereço (Tipo A e AAAA) são destacadas com os IPs do cliente que fizeram as solicitações de registro. Em seguida, é possível usar essas informações para encontrar a causa raiz da falha de registro seguindo estas etapas:
Encontre a zona autoritativa do nome que o cliente está tentando atualizar.
Use a solução para verificar as informações de inventário dessa zona.
Verifique se a atualização dinâmica para a zona está habilitada.
Verifique se a zona está configurada para atualização dinâmica segura ou não.
Solicitações de registro de nome: o bloco superior mostra uma linha de tendência de solicitações de atualização dinâmica de DNS com êxito ou falha. O bloco inferior lista os 10 principais clientes que enviam solicitações de atualização DNS com falha aos servidores DNS, classificados pelo número de falhas.
Exemplo de Consultas de Análise de DDI: contém uma lista de consultas de pesquisa mais comuns que buscam dados analíticos brutos diretamente.
Você pode usar essas consultas como um ponto de partida para criar suas próprias consultas para relatórios personalizados. As consultas são vinculadas à página Pesquisa de Logs da Análise de DNS na qual os resultados são exibidos:
Lista de Servidores DNS: mostra uma lista de todos os servidores DNS com os FQDNs, nomes de domínio, nomes da floresta e IPs de servidor associados.
Lista de Zonas DNS: mostra uma lista de todas as zonas DNS com o nome da zona, o status de atualização dinâmica, os servidores de nome e os status de autenticação do DNSSEC associados.
Registros de Recurso Não utilizados: mostra uma lista de todos os registros de recursos não utilizados/obsoletos. Essa lista contém o nome do registro de recurso, o tipo de registro de recurso, o servidor DNS associado, o tempo de geração de registro e o nome da zona. Você pode usar essa lista para identificar os registros de recursos DNS que não estão mais em uso. Com base nessas informações, é possível então remover essas entradas dos servidores DNS.
Carga de consulta de Servidores DNS: mostra informações para que você possa ter uma perspectiva da carga DNS nos servidores DNS. Essas informações podem ajudá-lo a planejar a capacidade dos servidores. Acesse a guia Métricas para alterar a exibição para uma visualização gráfica. Essa exibição ajuda a entender como a carga DNS é distribuída nos servidores DNS. Ela mostra as tendências da taxa de consulta DNS para cada servidor.
Carga de consulta das zonas DNS: mostra as estatísticas de consulta de zona DNS por segundo de todas as zonas nos servidores DNS que estão sendo gerenciados pela solução. Selecione a guia Métricas para alterar a exibição de registros detalhados para uma visualização gráfica dos resultados.
Eventos de configuração: mostra todos os eventos de alteração de configuração de DNS e as mensagens associadas. Você pode filtrar esses eventos com base no horário do evento, na ID do evento, no servidor DNS ou na categoria da tarefa. Os dados podem ajudá-lo a auditar as alterações feitas em servidores DNS específicos em horários específicos.
Log analítico de DNS: mostra todos os eventos analíticos em todos os servidores DNS gerenciados pela solução. Em seguida, é possível filtrar esses eventos com base na hora do evento, na ID do evento, no servidor DNS, no IP do cliente que faz a consulta de pesquisa e na categoria da tarefa do tipo de consulta. Os eventos analíticos do servidor DNS permitem o rastreamento da atividade no servidor DNS. Um evento analítico é registrado em log sempre que o servidor envia ou recebe informações DNS.
Pesquisar usando a Pesquisa de Logs da Análise de DNS
Na página Pesquisa de Logs, é possível criar uma consulta. Você pode filtrar os resultados da pesquisa usando controles de faceta. Você também pode criar consultas avançadas para transformar, filtrar e relatar sobre seus resultados. Comece usando as seguintes consultas:
Na caixa de consulta de pesquisa, insira
DnsEvents
para ver todos os eventos DNS gerados pelos servidores DNS gerenciados pela solução. Os resultados listam os dados de logs de todos os eventos relacionados às consultas de pesquisa, aos registros dinâmicos e às alterações de configuração.Para exibir os dados de logs das consultas de pesquisa, selecione LookUpQuery como o filtro Subtipo no controle de faceta à esquerda. Uma tabela que lista os eventos de consulta de pesquisa do período selecionado aparece.
Para exibir os dados de logs dos registros dinâmicos, selecione DynamicRegistration como o filtro Subtipo no controle de faceta à esquerda. Uma tabela que lista os eventos de registro dinâmico do período selecionado aparece.
Para exibir os dados de logs das alterações de configuração, selecione ConfigurationChange como o filtro Subtipo no controle de faceta à esquerda. Uma tabela que lista os eventos de alteração de configuração do período selecionado aparece.
Na caixa de consulta de pesquisa, insira
DnsInventory
para exibir todos os dados relacionados ao inventário de DNS dos servidores DNS gerenciados pela solução. Os resultados listam os dados de log dos servidores DNS, das zonas DNS e dos registros de recursos.
Solução de problemas
Etapas de solução de problemas comuns:
- Dados de pesquisas de DNS ausentes: para solucionar esse problema, tente redefinir a configuração ou carregar a vez a página de configuração uma vez no portal. Para redefinir, altere uma configuração para outro valor e altere-a de volta para o valor original e salve a configuração.
Sugestões
Para fornecer comentários, veja a página UserVoice do Log Analytics e poste suas ideias para que possamos trabalhar nos recursos da Análise de DNS.
Próximas etapas
Examine Logs de consulta para ver registros de log DNS detalhados.