Microsoft Sentinel WINDOWS DNS(Domain Name System) 서버 로그에서 정규화된 스키마 테이블로 이벤트를 스트리밍하고 필터링할 ASimDnsActivityLog 수 있습니다. 이 문서에서는 데이터를 필터링하는 데 사용되는 필드와 Windows DNS 서버 필드의 정규화 스키마에 대해 설명합니다.
Azure AMA(Monitor Agent) 및 해당 DNS 확장은 DNS 분석 로그에서 Microsoft Sentinel 작업 영역으로 데이터를 업로드하기 위해 Windows Server 설치됩니다. AMA 커넥터를 통해 Windows DNS 이벤트를 사용하여 데이터를 스트리밍하고 필터링합니다.
필터링에 사용 가능한 필드
이 표에는 사용 가능한 필드가 표시됩니다. 필드 이름은 DNS 스키마를 사용하여 정규화됩니다.
| 필드 이름 | 값 | 설명 |
|---|---|---|
| EventOriginalType | 256에서 280 사이의 숫자 | DNS 프로토콜 이벤트의 형식을 나타내는 Windows DNS eventID입니다. |
| EventResultDetails | • NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP •거부 • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE |
IANA(Internet Assigned Numbers Authority)에 정의된 작업의 DNS 결과 문자열입니다. |
| DvcIpAdrr | IP 주소 | 이벤트를 보고하는 서버의 IP 주소입니다. 이 필드에는 지리적 위치 및 악의적인 IP 정보도 포함됩니다. |
| DnsQuery | 도메인 이름(FQDN) | 확인할 도메인 이름을 나타내는 문자열입니다. • 쉼표로 구분된 목록과 와일드카드에서 여러 값을 허용할 수 있습니다. 예시: *.microsoft.com,google.com,facebook.com• 와일드카드 사용에 대한 이러한 고려 사항을 검토합니다. |
| DnsQueryTypeName | • A •Ns •메릴랜드 •Mf •Cname •Soa •Mb •Mg •씨 •Null •Wks •Ptr • HINFO • MINFO •Mx •Txt •Rp • AFSDB • X25 •Isdn •Rt •Nsap • NSAP-PTR •시그마 •키 •픽셀 •Gpo •Aaaa •Loc •Nxt •아이드 • NIMLOC •Srv |
요청된 DNS 특성입니다. IANA에 정의된 DNS 리소스 레코드 형식 이름입니다. |
ASIM 정규화된 DNS 스키마
이 표에서는 WINDOWS DNS 서버 필드를 DNS 정규화 스키마에 표시할 때 정규화된 필드 이름으로 설명하고 변환합니다.
| Windows DNS 필드 이름 | 정규화된 필드 이름 | 유형 | 설명 |
|---|---|---|---|
| Eventid | EventOriginalType | String | 원래 이벤트 유형 또는 ID입니다. |
| RCODE | EventResult | String | 이벤트의 결과(성공, 부분, 실패, NA)입니다. |
| RCODE 구문 분석 | EventResultDetails | String | IANA에서 정의한 DNS 응답 코드입니다. |
| InterfaceIP | DvcIpAdrr | String | 이벤트 보고 디바이스 또는 인터페이스의 IP 주소입니다. |
| Aa | DnsFlagsAuthoritative | 정수 | 서버의 응답이 신뢰할 수 있는지 여부를 나타냅니다. |
| 광고 | DnsFlagsAuthenticated | 정수 | 서버 정책에서 응답의 모든 데이터와 응답 권한을 확인했음을 나타냅니다. |
| RQNAME | DnsQuery | String | 도메인을 확인해야 합니다. |
| QTYPE | DnsQueryType | 정수 | IANA에서 정의한 DNS 리소스 레코드 형식입니다. |
| 포트 | SrcPortNumber | 정수 | 쿼리를 보내는 원본 포트입니다. |
| 원본 | SrcIpAddr | IP 주소 | DNS 요청을 보내는 클라이언트의 IP 주소입니다. 재귀 DNS 요청의 경우 이 값은 일반적으로 보고 디바이스의 IP(대부분의 경우) 127.0.0.1입니다. |
| ElapsedTime | DnsNetworkDuration | 정수 | DNS 요청을 완료하는 데 걸린 시간입니다. |
| GUID | DnsSessionId | String | 보고 디바이스에서 보고한 DNS 세션 식별자입니다. |
다음 단계
이 문서에서는 AMA 커넥터를 통해 Windows DNS 이벤트를 사용하여 DNS 로그 데이터를 필터링하는 데 사용되는 필드에 대해 알아보았습니다. Microsoft Sentinel 대한 자세한 내용은 다음 문서를 참조하세요.
- 데이터에 대한 가시성과 잠재적 위협을 파악하는 방법을 알아봅니다.
- Microsoft Sentinel 사용하여 위협 검색을 시작합니다.
- 통합 문서를 사용하여 데이터를 모니터링합니다.