Поделиться через

Сбор аналитических сведений о инфраструктуре DNS с помощью предварительного решения службы "Аналитика DNS"

символ аналитики DNS.

В этой статье описывается настройка и использование решения Azure DNS Analytics в Azure Monitor для сбора аналитических сведений о инфраструктуре DNS для обеспечения безопасности, производительности и операций.

Аналитика DNS помогает вам:

  • Определите клиентов, которые пытаются разрешить вредоносные доменные имена.
  • определить устаревшие записи ресурсов;
  • определить часто запрашиваемые доменные имена и "разговорчивые" DNS-клиенты;
  • просмотреть нагрузку запросов на DNS-серверы;
  • Просмотреть ошибки регистрации динамических DNS.

Решение собирает, анализирует и сопоставляет журналы аналитики и аудита Windows и другие связанные данные с DNS-серверов.

Это важно

Агент Log Analytics будет отставлен 31 августа 2024 г.. Если вы используете агент Log Analytics в развертывании Microsoft Sentinel, рекомендуется приступить к планированию миграции в агент Azure Monitor. Подробную информацию см. в статье о переходе агента Azure Monitor для Microsoft Sentinel.

Подключенные источники

В следующей таблице описаны подключенные источники, поддерживаемые этим решением:

Подключенный источник Поддержка Описание
агенты Windows Да Решение собирает данные DNS от агентов Windows.
агенты Linux Нет Решение не собирает данные DNS из прямых агентов Linux.
группа управления System Center Operations Manager Да Решение собирает сведения DNS от агентов в подключенной группе управления Operations Manager. Прямое подключение агента Operations Manager к Azure Monitor не требуется. Данные перенаправываются из группы управления в рабочую область Log Analytics.
учетная запись хранилища Azure Нет Служба хранилища Azure не используется решением.

Сведения о сборе данных

Решение собирает данные инвентаризации DNS и событий DNS с DNS-серверов, на которых установлен агент Log Analytics. Затем эти данные передаются в Azure Monitor и отображаются на панели мониторинга решения. Данные, связанные с инвентаризацией, такие как количество DNS-серверов, зон и записей ресурсов, собираются с помощью командлетов DNS PowerShell. Данные обновляются каждые два дня. Данные, связанные с событиями, собираются практически в реальном времени из журналов аналитики и аудита , предоставляемых расширенным ведением журналов DNS и диагностикой в Windows Server 2012 R2.

Конфигурация

Чтобы настроить решение, используйте следующие сведения:

Чтобы решение начало сбор данных, никакие дополнительные настройки не требуются. Однако для настройки сбора данных можно использовать следующую конфигурацию.

Настройка решения

В рабочей области Log Analytics на портале Azure выберите сводку рабочей области (не рекомендуется). Затем выберите плитку службы "Аналитика DNS". На панели мониторинга решения выберите конфигурации, чтобы открыть страницу конфигурации службы "Аналитика DNS". Существует два типа изменений конфигурации, которые можно внести:

  • доменные имена в белом списке. Решение не обрабатывает все запросы на поиск. Он поддерживает список разрешений суффиксов доменного имени. Запросы на определение доменных имен, разрешающие в доменные имена, соответствующие суффиксам доменного имени в этом списке допустимых, этой системой не обрабатываются. Не обработка разрешенных доменных имен помогает оптимизировать данные, отправляемые в Azure Monitor. Список разрешений по умолчанию включает популярные общедоступные доменные имена, такие как www.google.com и www.facebook.com. Полный список по умолчанию можно просмотреть, прокрутив.

    Вы можете изменить список, чтобы добавить суффикс имени домена, для которого требуется просмотреть аналитические сведения о поиске. Вы также можете удалить суффикс имени домена, для которого вы не хотите просматривать аналитические сведения о поиске.

  • Пороговое значение разговорчивого клиента: DNS-клиенты, превышающие пороговое значение для количества запросов поиска, выделены в области Клиенты DNS. Пороговое значение по умолчанию — 1000. Пороговое значение можно изменить.

    Скриншот, показывающий доменные имена в белом списке.

Пакеты управления

Если вы используете Microsoft Monitoring Agent для подключения к рабочей области Log Analytics, устанавливается следующий пакет управления:

  • Пакет аналитики сборщика данных Microsoft DNS (Microsoft.IntelligencePacks.Dns)

Если группа управления Operations Manager подключена к рабочей области Log Analytics, при добавлении этого решения в Operations Manager устанавливаются следующие пакеты управления. Нет требуемой конфигурации или обслуживания этих пакетов управления:

  • Пакет аналитики сборщика данных Microsoft DNS (Microsoft.IntelligencePacks.Dns)
  • Конфигурация DNS Аналитики Microsoft System Center Advisor (Microsoft.IntelligencePack.Dns.Configuration)

Дополнительные сведения о том, как обновляются пакеты управления решениями, см. в статье Подключение Operations Manager к Log Analytics.

Использование решения аналитики DNS

Данные, собранные этим решением мониторинга, доступны на странице сводки рабочего пространства (не рекомендуется) на портале Azure. Откройте эту страницу из области Log Analytics рабочих областей для рабочей области с вашим решением, а затем выберите Сводка рабочей области (не рекомендуется) в разделе классического меню. Каждое решение представлено плиткой. Выберите плитку для получения более подробных данных, собранных этим решением.

Плитка DNS включает количество DNS-серверов, в которых собираются данные. Он также включает количество запросов, сделанных клиентами для разрешения вредоносных доменов за последние 24 часа. При выборе плитки откроется панель мониторинга решения.

снимок экрана, на котором показана плитка

Панель мониторинга решения

Панель мониторинга решения содержит сводную информацию о различных функциях решения. Она также содержит ссылки на подробный просмотр для криминалистического анализа и диагностики. По умолчанию данные отображаются за последние семь дней. Можно изменить диапазон даты и времени с помощью элемента управления выбора даты и времени , как показано на следующем рисунке:

снимок экрана, на котором показан элемент управления выбора времени.

На панели мониторинга решения показаны следующие разделы:

Безопасность DNS: сообщает о DNS-клиентах, которые пытаются взаимодействовать с вредоносными доменами. Используя веб-каналы аналитики угроз Майкрософт, аналитика DNS может обнаруживать IP-адреса клиентов, которые пытаются получить доступ к вредоносным доменам. Во многих случаях зараженные вредоносными программами устройства "осуществляют связь" с "командным и управляющим центром" вредоносного домена путем разрешения имени домена вредоносных программ.

снимок экрана, на котором показан раздел

При выборе IP-адреса клиента в списке открывается поиск по журналам, показывающий детали соответствующего запроса. В следующем примере служба "Аналитика DNS" обнаружила, что обмен данными был выполнен с IRCbot:

Скриншот, показывающий результаты поиска в журнале с ircbot.

Информация помогает определить:

  • IP-адрес клиента, инициирующий обмен данными.
  • Доменное имя, которое ведет к вредоносному IP-адресу.
  • IP-адреса, на которые разрешаются доменные имена.
  • Вредоносный IP-адрес.
  • Серьезность проблемы.
  • Причина блокировки вредоносного IP-адреса.
  • Время обнаружения.

домены, запрашиваемые: предоставляет наиболее частые доменные имена, запрашиваемые клиентами DNS в вашей среде. Список всех запрашиваемых доменных имен можно просмотреть. Вы также можете детально изучить сведения о запросе на поиск определенного доменного имени в Поиск по журналам.

снимок экрана, на котором показан раздел

DNS-клиенты: сообщает клиентам нарушение порогового значения для количества запросов в выбранный период времени. Вы можете просмотреть список всех DNS-клиентов и подробные сведения о запросах, сделанных ими, в Поиске по журналам.

снимок экрана, на котором показан раздел DNS-клиентов.

динамические регистрации DNS-имён: сообщает об ошибках регистрации имён. Все ошибки регистрации для записей ресурсов адреса (тип A и AAAA) выделены вместе с IP-адресами клиентов, отправивших запросы на регистрацию. Затем эти сведения можно использовать для поиска первопричины сбоя регистрации, выполнив следующие действия.

  1. Найдите зону, которая является авторитетной для имени, которое клиент пытается обновить.

  2. Используйте решение для проверки сведений инвентаризации этой зоны.

  3. Убедитесь, что динамическое обновление для зоны включено.

  4. Проверьте, настроена ли зона для безопасного динамического обновления.

    снимок экрана с разделом

запросы на регистрацию имен: верхняя плитка показывает тенденцию успешных и неудачных запросов динамического обновления DNS. На нижней плитке перечислены первые 10 клиентов, отправляющих неудачные запросы на обновление DNS-серверов, отсортированные по количеству сбоев.

снимок экрана с разделом

Примеры запросов аналитики DDI: содержит список наиболее распространенных поисковых запросов, которые позволяют непосредственно получить необработанные аналитические данные.

снимок экрана, на котором показаны примеры запросов.

Эти запросы можно использовать в качестве отправной точки для создания собственных запросов для настраиваемых отчетов. Запросы ведут на страницу поиска по журналам DNS Analytics, где отображаются результаты:

  • список DNS-серверов: отображает список всех DNS-серверов с их полными доменными именами, именами доменов, именами лесов и IP-адресами серверов.

  • список зон DNS: отображает список всех зон DNS с соответствующим именем зоны, состоянием динамического обновления, серверами имен и состоянием подписи DNSSEC.

  • неиспользуемые записи ресурсов: отображает список всех неиспользуемых или устаревших записей ресурсов. Этот список содержит имя записи ресурса, тип записи ресурсов, связанный DNS-сервер, время создания записей и имя зоны. Этот список можно использовать для идентификации записей ресурсов DNS, которые больше не используются. На основе этих сведений эти записи можно удалить с DNS-серверов.

  • информация о загрузке запросов DNS-серверов: отображает сведения, позволяющие получить представление о нагрузке запросов на ваши DNS-серверы. Эти сведения помогут спланировать емкость серверов. Вы можете перейти на вкладку метрик, чтобы переключить вид на графическую визуализацию. Это представление помогает понять, как нагрузка DNS распределяется по DNS-серверам. В нем показаны тенденции частоты запросов DNS для каждого сервера.

    снимок экрана, на котором показаны результаты поиска по журналам запросов DNS-серверов.

  • Загрузки запросов зон DNS: показывает статистику запросов зоны DNS в секунду для всех зон на DNS-серверах, управляемых этим решением. Перейдите на вкладку метрик, чтобы изменить представление с подробных записей на графическую визуализацию результатов.

  • события конфигурации: отображает все изменения конфигурации DNS и связанные сообщения. Затем эти события можно отфильтровать на основе времени события, идентификатора события, DNS-сервера или категории задач. Эти данные помогают выполнять аудит изменений, внесенных на определенные DNS-серверы в определенное время.

  • журнал аналитики DNS: показывает все аналитические события на всех DNS-серверах, управляемых решением. Затем эти события можно отфильтровать по времени события, идентификатору события, DNS-серверу, IP-адресу клиента, который сделал запрос на разрешение, и категории задач типа запроса. События аналитики DNS-сервера позволяют отслеживать действия на DNS-сервере. Событие аналитики регистрируется каждый раз, когда сервер отправляет или получает сведения DNS.

На странице поиска по журналам можно создать запрос. Вы можете фильтровать результаты поиска, используя фасетные элементы управления. Вы также можете создавать расширенные запросы для преобразования, фильтрации и отчета о результатах. Начните с следующих запросов:

  1. В поле поиска введите DnsEvents, чтобы просмотреть все события DNS, созданные DNS-серверами, управляемыми решением. В результатах перечислены данные журнала для всех событий, связанных с запросами поиска, динамическими регистрациями и изменениями конфигурации.

    Снимок экрана, показывающий поиск в журнале DnsEvents.

    1. Чтобы просмотреть данные журнала для запросов поиска, выберите LookUpQuery в качестве фильтра Подтипа из элемента управления фасетами слева. Появляется таблица, содержащая список всех событий поиска данных за выбранный период времени.

    2. Чтобы просмотреть данные журнала для динамических регистраций, выберите в качестве фильтра подтипа опцию DynamicRegistration в управляющем элементе фасетов слева. Появится таблица, в которую отображаются все события динамической регистрации для выбранного периода времени.

    3. Чтобы просмотреть данные журнала изменений конфигурации, выберите ConfigurationChange в качестве фильтра подтипа из элемента управления аспектов слева. Таблица, в которую отображаются все события изменения конфигурации для выбранного периода времени.

  2. В поле поиска введите DnsInventory, чтобы просмотреть все данные, связанные с инвентаризацией DNS для DNS-серверов, управляемых решением. В результатах перечислены данные журнала для DNS-серверов, зон DNS и записей ресурсов.

    снимок экрана, на котором видно поиск в журнале DnsInventory.

Устранение неполадок

Распространенные действия по устранению неполадок:

  • отсутствующие данные поиска DNS. Чтобы устранить эту проблему, попробуйте сбросить конфигурацию или загрузить страницу настроек ещё раз в портале. Для сброса измените параметр на другое значение, верните его на исходное значение и сохраните настройки.

Предложения

Чтобы оставить отзыв, посетите страницу Log Analytics UserVoice, чтобы разместить идеи для развития возможностей аналитики DNS.

Дальнейшие действия

Просмотрите журналы запросов , чтобы просмотреть подробные записи журналов DNS.