ASIM (Advanced Security Information Model) DNS -normalisoinnin rakenneviittaus

DNS-tietomallia käytetään kuvaamaan DNS-palvelimen tai DNS-suojausjärjestelmän raportoimia tapahtumia, ja Microsoft Sentinel käyttää sitä lähdeagnostisen analytiikan käyttöönottoon.

Lisätietoja on kohdassa Normalisointi ja asim-malli (Advanced Security Information Model).

Rakenteen yleiskatsaus

ASIM DNS -rakenne edustaa DNS-protokollan toimintaa. Sekä DNS-palvelimet että laitteet, jotka lähettävät DNS-pyyntöjä DNS-palvelimen lokin DNS-toimintoon. DNS-protokollan toiminto sisältää DNS-kyselyt, DNS-palvelimen päivitykset ja DNS-joukkotietojen siirrot. Koska rakenne edustaa protokollan toimintaa, siihen sovelletaan RFC-kutsuja ja virallisesti määritettyjä parametriluetteloita, joihin viitataan tässä artikkelissa tarvittaessa. DNS-rakenne ei vastaa DNS-palvelimen valvontatapahtumia.

DNS-palvelimien ilmoittama tärkein toiminto on DNS-kysely, jonka EventType kentäksi Queryon määritetty .

DNS-tapahtuman tärkeimmät kentät ovat seuraavat:

DnsQuery, joka raportoi toimialuenimen, jolle kysely tehtiin.
SrcIpAddr (alias IpAddr), joka edustaa IP-osoitetta, josta pyyntö luotiin. DNS-palvelimet tarjoavat yleensä SrcIpAddr-kentän, mutta DNS-asiakkaat eivät aina tarjoa tätä kenttää ja antavat vain SrcHostname-kentän .
EventResultDetails, joka raportoi, onnistuiko pyyntö, ja jos ei, miksi.
Kun se on käytettävissä, dnsResponseName, joka sisältää palvelimen kyselyyn antaman vastauksen. ASIM ei edellytä vastauksen jäsentämistä, ja sen muoto vaihtelee lähteiden välillä.

Jos haluat käyttää tätä kenttää lähdeagnostisessa sisällössä, hae sisältöä - tai contains -operaattoreillahas.

Asiakaslaitteessa kerätyt DNS-tapahtumat voivat sisältää myös käyttäjä - ja prosessitietoja .

DNS-tapahtumien keräämistä koskevat ohjeet

DNS on ainutlaatuinen protokolla siinä mielessä, että se saattaa ylittää suuren määrän tietokoneita. Koska DNS käyttää UDP:tä, pyynnöt ja vastaukset poistetaan ja ne eivät liity toisiinsa suoraan.

Seuraavassa kuvassa näkyy yksinkertaistettu DNS-pyynnön työnkulku, joka sisältää neljä segmenttiä. Reaalimaailman pyyntö voi olla monimutkaisempi, ja siihen liittyy enemmän segmenttejä.

Yksinkertaistettu DNS-pyynnön työnkulku.

Koska pyyntö- ja vastaussegmentit eivät ole suoraan yhteydessä toisiinsa DNS-pyynnön työnkulussa, täydellinen kirjaaminen voi aiheuttaa merkittäviä päällekkäisyyksiä.

Arvokkain lokiin kirjattava segmentti on asiakkaan vastaus. Vastaus tarjoaa toimialuenimikyselyt, hakutuloksen ja asiakkaan IP-osoitteen. Vaikka monet DNS-järjestelmät kirjaavat vain tämän segmentin, muiden osien kirjaamisessa on arvoa. Esimerkiksi DNS-välimuistin myrkytyshyökkäys hyödyntää usein valevastauksia ylätason palvelimelta.

Jos tietolähteesi tukee täyttä DNS-kirjausta ja olet päättänyt kirjata useita segmenttejä, muokkaa kyselyitäsi siten, että tietojen päällekkäisyys estetään Microsoft Sentinel.

Voit esimerkiksi muokata kyselyäsi normalisoimalla sen seuraavasti:

_Im_Dns | where SrcIpAddr != "127.0.0.1" and EventSubType == "response"

Jäsentimet

Lisätietoja ASIM-jäsennyksistä on ASIM-jäsennysten yleiskatsauksessa.

Käyttövalmiit jäsennykset

Jos haluat käyttää jäsennystä, joka yhdistää kaikki valmiit ASIM-jäsennykset, ja varmista, että analyysisi suoritetaan kaikissa määritetyissä lähteissä, käytä yhdistävää jäsennintä _Im_Dns kyselyn taulukon nimenä.

Dns-jäsennysten luettelo, jonka Microsoft Sentinel tarjoaa, on ASIM-jäsennysluettelossa.

Omien normalisoitujen jäsennysten lisääminen

Kun otat dns-tietomallin mukautettuja jäsennystoimintoja käyttöön, anna KQL-funktioille nimeksi muoto vimDns<vendor><Product>. Katso artikkelista ASIM-jäsennysten hallinta ohjeet mukautettujen jäsennysten lisäämiseen DNS-yhtenäistämisen jäsennykseen.

Jäsennysparametrien suodattaminen

DNS-jäsentimet tukevat suodatusparametreja. Vaikka nämä parametrit ovat valinnaisia, ne voivat parantaa kyselyn suorituskykyä.

Seuraavat suodatusparametrit ovat käytettävissä:

Nimi	Kirjoita	Kuvaus
aloitusaika	Datetime	Suodata vain DNS-kyselyt, jotka suoritettiin tällä hetkellä tai sen jälkeen. Tämä parametri suodattaa `TimeGenerated` kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä.
päättymisaika	Datetime	Suodata vain DNS-kyselyt, jotka on suoritettu loppuun tähän aikaan tai sitä ennen. Tämä parametri suodattaa `TimeGenerated` kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä.
srcipaddr	Merkkijono	Suodata vain DNS-kyselyt tästä IP-lähdeosoitteesta.
domain_has_any	dynaaminen/merkkijono	Suodata vain DNS-kyselyt, joissa `domain` (tai `query`) on jokin luetelluista toimialuenimistä, mukaan lukien osana tapahtumatoimialuetta. Luettelon pituus on rajoitettu 10 000 kohteeseen.
responsecodename	Merkkijono	Suodata vain DNS-kyselyt, joiden vastauskoodin nimi vastaa annettua arvoa. Esimerkiksi: `NXDOMAIN`
response_has_ipv4	Merkkijono	Suodata vain DNS-kyselyt, joissa vastauskenttä sisältää annetun IP-osoitteen tai IP-osoitteen etuliitteen. Käytä tätä parametria, kun haluat suodattaa yksittäisen IP-osoitteen tai etuliitteen. Tuloksia ei palauteta lähteistä, jotka eivät anna vastausta.
response_has_any_prefix	Dynaaminen	Suodata vain DNS-kyselyt, joissa vastauskenttä sisältää minkä tahansa luetelluista IP-osoitteista tai IP-osoitteen etuliitteet. Etuliitteiden lopussa `.`tulee olla esimerkiksi : `10.0.`. Käytä tätä parametria, kun haluat suodattaa IP-osoitteiden tai etuliitteiden luettelon. Tuloksia ei palauteta lähteistä, jotka eivät anna vastausta. Luettelon pituus on rajoitettu 10 000 kohteeseen.
eventtype	Merkkijono	Suodata vain määritettyä tyyppiä olevat DNS-kyselyt. Jos arvoa ei määritetä, vain hakukyselyt palautetaan.

Jos esimerkiksi haluat suodattaa vain viimeisen päivän DNS-kyselyt, jotka eivät pystyneet ratkaisemaan toimialuenimeä, käytä seuraavaa:

_Im_Dns (responsecodename = 'NXDOMAIN', starttime = ago(1d), endtime=now())

Jos haluat suodattaa vain tietyn toimialuenimien luettelon DNS-kyselyt, käytä seuraavaa:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_Dns (domain_has_any = torProxies)

Jotkin parametrit voivat hyväksyä sekä tyyppiarvojen dynamic luettelon että yksittäisen merkkijonoarvon. Jos haluat välittää literaaliluettelon parametreihin, jotka odottavat dynaamista arvoa, käytä eksplisiittisesti dynaamista literaalia. Esimerkiksi: dynamic(['192.168.','10.'])

Normalisoitu sisältö

Täydellinen luettelo normalisoituja DNS-tapahtumia käyttävistä analytiikkasäännöistä on artikkelissa DNS-kyselyn suojaussisältö.

Rakenteen tiedot

DNS-tietomalli on tasattu OSSEM DNS -entiteettirakenteen kanssa.

Lisätietoja on kohdassa Internet Assigned Numbers Authorityn (IANA) DNS-parametriviittaus.

Yleiset ASIM-kentät

Tärkeää

Kaikille rakenteille yhteiset kentät on kuvattu yksityiskohtaisesti ASIM:n yleiset kentät - artikkelissa.

Yleiset kentät, joissa on tarkat ohjeet

Seuraavassa luettelossa mainitaan kentät, joissa on dns-tapahtumien tarkat ohjeet:

Kenttä	Luokan	Tyyppi	Kuvaus
Tapahtuman tyyppi	Pakollinen	Lueteltu	Ilmaisee tietueen raportoiman toiminnon. DNS-tietueiden kohdalla tämä arvo on DNS-op-koodi. Esimerkki`Query`
EventSubType	Valinnainen	Lueteltu	Joko `request` tai `response`. Useimmissa lähteissa vain vastaukset kirjataan, joten arvo on usein vastaus.
EventResultDetails	Pakollinen	Lueteltu	DNS-tapahtumille tämä kenttä sisältää DNS-vastauskoodin. Huomautukset: - IANA ei määritä arvojen kirjainkokoa, joten analytiikan on normalisoitava tapaus. - Jos lähde antaa vain numeerisen vastauskoodin eikä vastauskoodin nimeä, jäsentimen on sisällettävä hakutaulukko, jotta sitä voidaan rikastaa tällä arvolla. - Jos tämä tietue edustaa pyyntöä eikä vastausta, aseta arvoksi NA. Esimerkki`NXDOMAIN`
EventSchemaVersion	Pakollinen	SchemaVersion (merkkijono)	Tässä dokumentoitu rakenteen versio on 0.1.7.
EventSchema	Pakollinen	Lueteltu	Tässä dokumentoitun rakenteen nimi on Dns.
Dvc-kentät	-	-	DNS-tapahtumien osalta laitekentät viittaavat järjestelmään, joka raportoi DNS-tapahtuman.

Kaikki yleiset kentät

Alla olevassa taulukossa näkyvät kentät ovat yhteisiä kaikille ASIM-rakenteille. Kaikki edellä määritetyt ohjeet ohittavat kentän yleiset ohjeet. Kenttä voi olla esimerkiksi yleisesti valinnainen, mutta tietyn rakenteen pakollinen. Lisätietoja kustakin kentästä on ASIM Common Fields -artikkelissa.

Luokan	Kentät
Pakollinen	- Tapahtumien määrä - Tapahtuman alkamisaika - Tapahtuman aika - Tapahtuman tyyppi - Tapahtuman tulos - Tapahtuman tuote - EventVendor - EventSchema - EventSchemaVersion - Dvc
Suositellut	- EventResultDetails - Tapahtumankaltaisuus - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Valinnainen	- Tapahtuman viesti - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Tapahtuman omistajan nimi - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Lisäkentät - DvcDescription - DvcScopeId - DvcScope

Lähdejärjestelmäkentät

Kenttä	Luokan	Kirjoita	Kuvaus
Src	Alias	Merkkijono	Lähdelaitteen yksilöllinen tunnus. Tämä kenttä voi olla alias SrcDvcId-, SrcHostname- tai SrcIpAddr-kentille . Esimerkki`192.168.12.1`
SrcIpAddr	Suositellut	IP-osoite	DNS-pyynnön lähettäneen asiakkaan IP-osoite. Rekursiivisessa DNS-pyynnössä tämä arvo on yleensä raportointilaite, ja useimmissa tapauksissa sen asetuksena on `127.0.0.1`. Esimerkki`192.168.12.1`
SrcPortNumber	Valinnainen	Kokonaisluku	DNS-kyselyn lähdeportti. Esimerkki`54312`
IpAddr	Alias		Alias kohteeseen SrcIpAddr
SrcGeoCountry	Valinnainen	Maa	Lähde-IP-osoitteeseen liittyvä maa tai alue. Esimerkki`USA`
SrcGeoRegion	Valinnainen	Alue	Lähde-IP-osoitteeseen liittyvä alue. Esimerkki`Vermont`
SrcGeoCity	Valinnainen	Kaupunki	Lähde-IP-osoitteeseen liitetty kaupunki. Esimerkki`Burlington`
SrcGeoLatitude	Valinnainen	Latitude	Lähde-IP-osoitteeseen liittyvän maantieteellisen koordinaatin leveysaste. Esimerkki`44.475833`
SrcGeoLongitude	Valinnainen	Pituusaste	Lähde-IP-osoitteeseen liittyvän maantieteellisen koordinaatin pituusaste. Esimerkki`73.211944`
SrcRiskLevel	Valinnainen	Kokonaisluku	Lähteeseen liittyvä riskitaso. Arvo tulee säätää arvoalueeseen `0100`, jolla `0` on hyvänlaatuinen ja `100` suuri riski. Esimerkki`90`
SrcOriginalRiskLevel	Valinnainen	Merkkijono	Lähteeseen liittyvä riskitaso raportointilaitteen raportoimana. Esimerkki`Suspicious`
SrcHostname	Suositellut	Isäntänimi (merkkijono)	Lähdelaitteen isäntänimi ilman toimialuetietoja. Esimerkki`DESKTOP-1282V4D`
Hostname (Isäntänimi)	Alias		Alias SrcHostname-nimeen
SrcDomain	Suositellut	Toimialue (merkkijono)	Lähdelaitteen toimialue. Esimerkki`Contoso`
SrcDomainType	Ehdollinen	Lueteltu	SrcDomain-tyyppi, jos tiedossa. Mahdollisia arvoja ovat esimerkiksi seuraavat: - `Windows` (kuten: `contoso`) - `FQDN` (kuten: `microsoft.com`) Pakollinen, jos SrcDomain on käytössä.
SrcFQDN	Valinnainen	FQDN (merkkijono)	Lähdelaitteen isäntänimi, mukaan lukien toimialueen tiedot, kun ne ovat käytettävissä. Huomautus: Tämä kenttä tukee sekä perinteistä FQDN-muotoa että Windowsin toimialue\isäntänimi-muotoa. SrcDomainType-kenttä kuvastaa käytettyä muotoa. Esimerkki`Contoso\DESKTOP-1282V4D`
SrcDvcId	Valinnainen	Merkkijono	Lähdelaitteen tunnus tietueessa ilmoitettuna. Esimerkiksi: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Valinnainen	Merkkijono	Pilviympäristön vaikutusalueen tunnus, jolle laite kuuluu. SrcDvcScopeId-kartta tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä.
SrcDvcScope	Valinnainen	Merkkijono	Pilviympäristön laajuus, jolle laite kuuluu. SrcDvcScope karttaa tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä.
SrcDvcIdType	Ehdollinen	Lueteltu	SrcDvcId-tyyppi, jos tiedossa. Mahdollisia arvoja ovat esimerkiksi seuraavat: - `AzureResourceId` - `MDEid` Jos saatavilla on useita tunnuksia, käytä luettelon ensimmäistä tunnusta ja tallenna muut SrcDvcAzureResourceId - ja SrcDvcMDEid-suodattimiin. Huomautus: Tämä kenttä on pakollinen, jos käytetään SrcDvcId :tä.
SrcDeviceType	Valinnainen	Lueteltu	Lähdelaitteen tyyppi. Mahdollisia arvoja ovat esimerkiksi seuraavat: - `Computer` - `Mobile Device` - `IOT Device` - `Other`
SrcDescription	Valinnainen	Merkkijono	Laitteeseen liittyvä kuvaava teksti. Esimerkki: `Primary Domain Controller`.

Lähdekäyttäjän kentät

Kenttä	Luokan	Kirjoita	Kuvaus
SrcUserId	Valinnainen	Merkkijono	Koneluettava, aakkosnumeerinen, yksilöivä esitys lähdekäyttäjästä. Lisätietoja ja vaihtoehtoisia kenttiä lisätunnuksille on kohdassa Käyttäjä-entiteetti. Esimerkki`S-1-12-1-4141952679-1282074057-627758481-2916039507`
SrcUserScope	Valinnainen	Merkkijono	Laajuus, kuten Microsoft Entra vuokraaja, jossa SrcUserId ja SrcUsername on määritetty. jos haluat lisätietoja ja luettelon sallitut arvot, tutustu UserScope-artikkeliin Rakenteen yleiskatsaus -artikkelissa.
SrcUserScopeId	Valinnainen	Merkkijono	Vaikutusalueen tunnus, kuten Microsoft Entra-hakemistotunnus, jossa SrcUserId ja SrcUsername on määritetty. Lisätietoja ja luettelo sallitut arvot on userscopeid-tunnuksen kohdassa Rakenteen yleiskatsaus -artikkelissa.
SrcUserIdType	Ehdollinen	UserIdType	SrcUserId-kenttään tallennetun tunnuksen tyyppi. Lisätietoja ja luettelo sallitut arvot on kohdassa UserIdType Rakenteen yleiskatsaus -artikkelissa.
SrcUsername	Valinnainen	Käyttäjänimi (merkkijono)	Lähdekäyttäjänimi, mukaan lukien toimialuetiedot, kun se on käytettävissä. Lisätietoja on kohdassa Käyttäjä-entiteetti. Esimerkki`AlbertE`
SrcUsernameType	Ehdollinen	Käyttäjänimityyppi	Määrittää SrcUsername-kenttään tallennetun käyttäjänimen tyypin. Lisätietoja ja sallittujen arvojen luettelo on kohdassa Käyttäjänimityyppi Rakenteen yleiskatsaus -artikkelissa. Esimerkki`Windows`
Käyttäjä	Alias		Alias SrcUsername-nimeen
SrcUserType	Valinnainen	Käyttäjätyyppi	Lähdekäyttäjän tyyppi. Lisätietoja ja sallittujen arvojen luettelo on kohdassa Käyttäjätyyppi Rakenteen yleiskatsaus -artikkelissa. Esimerkiksi: `Guest`
SrcUserSessionId	Valinnainen	Merkkijono	Toimijan kirjautumisistunnon yksilöivä tunnus. Esimerkki`102pTUgC3p8RIqHvzxLCHnFlg`
SrcOriginalUserType	Valinnainen	Merkkijono	Alkuperäinen lähteen käyttäjätyyppi, jos lähde on annettu.

Lähdeprosessin kentät

Kenttä	Luokan	Kirjoita	Kuvaus
SrcProcessName	Valinnainen	Merkkijono	DNS-pyynnön aloittaneen prosessin tiedostonimi. Tätä nimeä pidetään yleensä prosessin nimenä. Esimerkki`C:\Windows\explorer.exe`
Prosessi	Alias		Alias SrcProcessName-nimeen Esimerkki`C:\Windows\System32\rundll32.exe`
SrcProcessId	Valinnainen	Merkkijono	DNS-pyynnön aloittaneen prosessin prosessitunnus (PID). Esimerkki`48610176` Huomautus: Tyyppi on määritetty merkkijonoksi, joka tukee vaihtelevia järjestelmiä, mutta Windowsissa ja Linux tämän arvon on oltava numeerinen. Jos käytät Windows- tai Linux konetta ja käytät eri tyyppiä, muista muuntaa arvot. Jos käytit esimerkiksi heksadesimaaliarvoa, muunna se desimaaliarvoksi.
SrcProcessGuid	Valinnainen	GUID (merkkijono)	DNS-pyynnön aloittaneen prosessin luotu yksilöllinen GUID-tunnus. Esimerkki`EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Kohdejärjestelmäkentät

Kenttä	Luokan	Kirjoita	Kuvaus
Dst	Alias	Merkkijono	DNS-pyynnön vastaanottaneen palvelimen yksilöllinen tunnus. Tämän kentän tunnuksena voi olla DstDvcId-, DstHostname- tai DstIpAddr-kentät . Esimerkki`192.168.12.1`
DstIpAddr	Valinnainen	IP-osoite	DNS-pyynnön vastaanottaneen palvelimen IP-osoite. Tavallisessa DNS-pyynnössä tämä arvo on yleensä raportointilaite, ja useimmissa tapauksissa sen asetuksena on `127.0.0.1`. Esimerkki`127.0.0.1`
DstGeoCountry	Valinnainen	Maa	Kohde-IP-osoitteeseen liittyvä maa tai alue. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki`USA`
DstGeoRegion	Valinnainen	Alue	Kohde-IP-osoitteeseen liittyvä alue tai tila. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki`Vermont`
DstGeoCity	Valinnainen	Kaupunki	Kohde-IP-osoitteeseen liitetty kaupunki. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki`Burlington`
DstGeoLatitude	Valinnainen	Latitude	KOHDE-IP-osoitteeseen liittyvän maantieteellisen koordinaatin leveysaste. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki`44.475833`
DstGeoLongitude	Valinnainen	Pituusaste	IP-kohdeosoitteeseen liittyvän maantieteellisen koordinaatin pituusaste. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki`73.211944`
DstRiskLevel	Valinnainen	Kokonaisluku	Kohteeseen liittyvä riskitaso. Arvo tulee säätää 0-100-arvoon, joka on hyvänlaatuinen ja 100 suuri riski. Esimerkki`90`
DstOriginalRiskLevel	Valinnainen	Merkkijono	Raportointilaitteen ilmoittama kohdesijaintiin liittyvä riskitaso. Esimerkki`Malicious`
DstPortNumber	Valinnainen	Kokonaisluku	Kohdeportin numero. Esimerkki`53`
DstHostname	Valinnainen	Isäntänimi (merkkijono)	Kohdelaitteen isäntänimi ilman toimialuetietoja. Jos laitteen nimeä ei ole käytettävissä, tallenna asianmukainen IP-osoite tähän kenttään. Esimerkki`DESKTOP-1282V4D` Huomautus: Tämä arvo on pakollinen, jos DstIpAddr on määritetty.
DstDomain	Valinnainen	Toimialue (merkkijono)	Kohdelaitteen toimialue. Esimerkki`Contoso`
DstDomainType	Ehdollinen	Lueteltu	DstDomain-tyyppi, jos tiedossa. Mahdollisia arvoja ovat esimerkiksi seuraavat: - `Windows (contoso\mypc)` - `FQDN (learn.microsoft.com)` Pakollinen, jos DstDomain on käytössä.
DstFQDN	Valinnainen	FQDN (merkkijono)	Kohdelaitteen isäntänimi, mukaan lukien toimialuetiedot, kun ne ovat käytettävissä. Esimerkki`Contoso\DESKTOP-1282V4D` Huomautus: Tämä kenttä tukee sekä perinteistä FQDN-muotoa että Windowsin toimialue\isäntänimi-muotoa. DstDomainType kuvastaa käytettyä muotoa.
DstDvcId	Valinnainen	Merkkijono	Kohdelaitteen tunnus tietueessa ilmoitettuna. Esimerkki`ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
DstDvcScopeId	Valinnainen	Merkkijono	Pilviympäristön vaikutusalueen tunnus, jolle laite kuuluu. DstDvcScopeId-kartta tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä.
DstDvcScope	Valinnainen	Merkkijono	Pilviympäristön laajuus, jolle laite kuuluu. DstDvcScope-kartta tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä.
DstDvcIdType	Ehdollinen	Lueteltu	DstDvcId-tyyppi, jos tiedossa. Mahdollisia arvoja ovat esimerkiksi seuraavat: - `AzureResourceId` - `MDEidIf` Jos saatavilla on useita tunnuksia, käytä ensimmäistä yllä olevasta luettelosta ja tallenna muut DstDvcAzureResourceId - tai DstDvcMDEid-kenttiin . Pakollinen, jos DstDeviceId on käytössä.
DstDeviceType	Valinnainen	Lueteltu	Kohdelaitteen tyyppi. Mahdollisia arvoja ovat esimerkiksi seuraavat: - `Computer` - `Mobile Device` - `IOT Device` - `Other`
DstDescription	Valinnainen	Merkkijono	Laitteeseen liittyvä kuvaava teksti. Esimerkki: `Primary Domain Controller`.

DNS-kentät

Kenttä	Luokan	Kirjoita	Kuvaus
DnsQuery	Pakollinen	Merkkijono	Toimialue, jota pyyntö yrittää ratkaista. Huomautukset: - Jotkin lähteet lähettävät kelvollisia FQDN-kyselyitä eri muodossa. Esimerkiksi itse DNS-protokollassa kysely sisältää lopussa pisteen (.), joka on poistettava. - Vaikka DNS-protokolla rajoittaa tämän kentän arvon tyypiksi FQDN: n, useimmat DNS-palvelimet sallivat minkä tahansa arvon, joten tämä kenttä ei rajoitu vain FQDN-arvoihin. ERITYISESTI DNS-tunnelointihyökkäykset saattavat käyttää virheellisiä FQDN-arvoja kyselykentässä. – Vaikka DNS-protokolla sallii useita kyselyitä yhdessä pyynnössä, tämä skenaario on harvinainen, jos sitä löytyy lainkaan. Jos pyynnössä on useita kyselyitä, tallenna ensimmäinen tähän kenttään ja säilytä loput Lisäkentät-kentässä . Esimerkki`www.malicious.com`
Toimialueen	Alias		DnsQuery-tunnus.
DnsQueryType	Valinnainen	Kokonaisluku	DNS-resurssin tietuetyyppikoodit. Esimerkki`28`
DnsQueryTypeName	Suositellut	Lueteltu	DNS-resurssin tietuetyyppien nimet. Huomautukset: - IANA ei määritä arvojen kirjainkokoa, joten analytiikan on normalisoitava tapaus tarpeen mukaan. - -Arvoa `ANY` tuetaan vastauskoodille 255. - Arvoa `TYPExxxx` tuetaan yhdistämättömissä vastauskoodeissa, joissa `xxxx` on vastauskoodin numeerinen arvo BIND DNS -palvelimen ilmoittamana. -Jos lähde antaa vain numeerisen kyselytyypin koodin eikä kyselytyypin nimeä, jäsentimen on sisällettävä hakutaulukko, jotta sitä voidaan rikastaa tällä arvolla. Esimerkki`AAAA`
DnsResponseName	Valinnainen	Merkkijono	Vastauksen sisältö tietueeseen sisältyvänä. DNS-vastaustiedot ovat epäyhtenäisiä raportointilaitteissa, niiden jäsentäminen on monimutkaista ja niiden lähdeagnostiselle analytiikalle on vähemmän arvoa. Siksi tietomalli ei edellytä jäsentämistä ja normalisointia, ja Microsoft Sentinel käyttää apufunktiota vastaustietojen antamiseen. Lisätietoja on artikkelissa DNS-vastauksen käsittely.
DnsResponseCodeName	Alias		EventResultDetails-tunnus
DnsResponseCode	Valinnainen	Kokonaisluku	DNS-numeerinen vastauskoodi. Esimerkki`3`
TransactionIdHex	Suositellut	Heksadesimaali (merkkijono)	DNS-kyselyn yksilöivä tunnus, jonka DNS-asiakas on määrittänyt heksadesimaalimuodossa. Huomaa, että tämä arvo on osa DNS-protokollaa ja erilainen kuin DnsSessionId, verkkotason istuntotunnus, jonka yleensä raportointilaite määrittää.
NetworkProtocol	Valinnainen	Lueteltu	Verkon selvitystapahtuman käyttämä siirtoprotokolla. Arvo voi olla UDP tai TCP, ja se on yleisimmin määritetty DNS:n UDP-arvoksi . Esimerkki`UDP`
NetworkProtocolVersion	Valinnainen	Lueteltu	NetworkProtocol-versio. Kun käytät sitä IP-version erottamiseen toisistaan, käytä arvoja `IPv4` ja `IPv6`.
DnsQueryClass	Valinnainen	Kokonaisluku	DNS-luokan tunnus. Käytännössä käytetään vain IN-luokkaa (tunnus 1), joten tämä kenttä on vähemmän arvokas.
DnsQueryClassName	Suositellut	DnsQueryClassName (merkkijono)	DNS-luokan nimi. Käytännössä käytetään vain IN-luokkaa (tunnus 1), joten tämä kenttä on vähemmän arvokas. Esimerkki`IN`
DnsFlags	Valinnainen	Merkkijono	Raportointilaitteen toimittama merkintäkenttä. Jos merkintätietoja annetaan useissa kentissä, yhdistä ne pilkulla erottimena. DNS-merkinnät ovat monimutkaisia jäsennystä varten ja niitä käytetään harvemmin analytiikassa, jäsennyksissä ja normalisoinnissa. Microsoft Sentinel voi käyttää apufunktiota merkintätietojen antamiseen. Lisätietoja on artikkelissa DNS-vastauksen käsittely. Esimerkki`["DR"]`
DnsNetworkDuration	Valinnainen	Kokonaisluku	DNS-pyynnön valmistumiseen kuluva aika millisekunteina. Esimerkki`1500`
Kesto	Alias		DnsNetworkDuration-tunnus
DnsFlagsAuthenticated	Valinnainen	Totuusarvo	DNSSECiin liittyvä DNS-merkintä `AD` ilmaisee vastauksessa, että palvelin on varmentanut kaikki vastauksen vastaus- ja myöntäjäosioihin sisältyvät tiedot kyseisen palvelimen käytäntöjen mukaisesti. Lisätietoja on kohdassa RFC 3655, kohta 6.1 .
DnsFlagsAuthoritative	Valinnainen	Totuusarvo	DNS-merkintä `AA` ilmaisee, oliko palvelimen vastaus tärkeä
DnsFlagsCheckingDisabled	Valinnainen	Totuusarvo	DNSSECiin liittyvä DNS-merkintä `CD` ilmaisee kyselyssä, että tarkistamattomat tiedot ovat kyselyn lähettävän järjestelmän hyväksyttäviä. Lisätietoja on kohdassa RFC 3655, kohta 6.1 .
DnsFlagsRecursionAvailable	Valinnainen	Totuusarvo	DNS-merkintä `RA` ilmaisee vastauksessa, että palvelin tukee rekursiivisia kyselyitä.
DnsFlagsRecursionDesired	Valinnainen	Totuusarvo	DNS-merkintä `RD` ilmaisee pyynnössä, että asiakas haluaa palvelimen käyttävän rekursiivisia kyselyitä.
DnsFlagsTruncated	Valinnainen	Totuusarvo	DNS-merkintä `TC` ilmaisee, että vastaus katkaistiin, koska se ylitti vastauksen enimmäiskoon.
DnsFlagsZ	Valinnainen	Totuusarvo	DNS-merkintä `Z` on vanhentunut DNS-merkintä, jonka vanhemmat DNS-järjestelmät saattavat raportoida.
DnsSessionId	Valinnainen	Merkkijono	Raportointilaitteen ilmoittama DNS-istunnon tunnus. Tämä arvo eroaa TransactionIdHex-arvosta, joka on DNS-asiakkaan määrittämä DNS-kyselyn yksilöivä tunnus. Esimerkki`EB4BFA28-2EAD-4EF7-BC8A-51DF4FDF5B55`
Sessionid	Alias		DnsSessionId-tunnus
DnsResponseIpCountry	Valinnainen	Maa	Maa tai alue, joka liittyy yhteen DNS-vastauksessa olevista IP-osoitteista. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki`USA`
DnsResponseIpRegion	Valinnainen	Alue	Alue tai tila, joka on liitetty johonkin DNS-vastauksessa olevaan IP-osoitteeseen. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki`Vermont`
DnsResponseIpCity	Valinnainen	Kaupunki	Yhteen DNS-vastauksessa määritettyyn IP-osoitteeseen liittyvä kaupunki. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki`Burlington`
DnsResponseIpLatitude	Valinnainen	Latitude	DNS-vastauksessa johonkin IP-osoitteeseen liittyvän maantieteellisen koordinaatin leveysaste. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki`44.475833`
DnsResponseIpLongitude	Valinnainen	Pituusaste	YHTEEN DNS-vastauksessa olevaan IP-osoitteeseen liittyvän maantieteellisen koordinaatin pituusaste. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki`73.211944`

Tarkastuskentät

Seuraavia kenttiä käytetään edustamaan tarkastusta, jonka DNS-suojauslaite suoritti. Uhkaan liittyvät kentät ovat yksittäinen uhka, joka liittyy joko lähdeosoitteeseen, kohdeosoitteeseen, yhteen vastauksessa olevista IP-osoitteista tai DNS-kyselytoimialueeseen. Jos uhaksi tunnistettiin useampi kuin yksi uhka, muihin IP-osoitteisiin liittyviä tietoja voidaan tallentaa kenttään AdditionalFields.

Kenttä	Luokan	Kirjoita	Kuvaus
Url-luokka	Valinnainen	Merkkijono	DNS-tapahtumalähde voi myös etsiä pyydettyjen toimialueiden luokan. Kentän nimi on UrlCategory, jotta se vastaa Microsoft Sentinel verkkorakennetta. DomainCategory lisätään DNS:ään sopivana aliaksena. Esimerkki`Educational \\ Phishing`
Toimialueluokka	Alias		UrlCategory-alias.
Säännön nimi	Valinnainen	Merkkijono	Uhan tunnistaneen säännön nimi tai tunnus. Esimerkki`AnyAnyDrop`
Säännön numero	Valinnainen	Kokonaisluku	Uhan tunnistaneen säännön numero. Esimerkki`23`
Sääntö	Alias	Merkkijono	Joko RuleName-arvo tai RuleNumber-arvo. Jos rulenumber-arvoa käytetään, tyyppi tulee muuntaa merkkijonoksi.
Säännön numero	Valinnainen	Int	Ilmoituksiin liittyvän säännön numero. Esim. `123456`
Säännön nimi	Valinnainen	Merkkijono	Ilmoitukseen liittyvän säännön nimi tai tunnus. Esim. `Server PSEXEC Execution via Remote Access`
ThreatId	Valinnainen	Merkkijono	Verkkoistunnossa tunnistetun uhan tai haittaohjelmiston tunnus. Esimerkki`Tr.124`
Uhkien luokka	Valinnainen	Merkkijono	Jos DNS-tapahtumalähde tarjoaa myös DNS-suojauksen, se voi myös arvioida DNS-tapahtumaa. Se voi esimerkiksi hakea IP-osoitetta tai toimialuetta uhkatietotietokannasta ja määrittää toimialueelle tai IP-osoitteelle uhkaluokan.
ThreatIpAddr	Valinnainen	IP-osoite	IP-osoite, josta tunnistettiin uhka. ThreatField-kenttä sisältää ThreatIpAddr-kentän nimen. Jos Uhka tunnistetaan Toimialue-kentässä , tämän kentän pitäisi olla tyhjä.
Uhkakenttä	Ehdollinen	Lueteltu	Kenttä, josta uhka tunnistettiin. Arvo on joko `SrcIpAddr`, `DstIpAddr`, `Domain`tai `DnsResponseName`.
ThreatName	Valinnainen	Merkkijono	Tunnistetun uhan nimi raportointilaitteen raportoimana.
ThreatConfidence	Valinnainen	ConfidenceLevel (kokonaisluku)	Tunnistetun uhan luottamustaso normalisoituna arvoon 0 - 100.
ThreatOriginalConfidence	Valinnainen	Merkkijono	Raportoijalaitteen ilmoittama tunnistaman uhan alkuperäinen luotettavuustaso.
ThreatRiskLevel	Valinnainen	RiskLevel (kokonaisluku)	Tunnistettuun uhkaan liittyvä riskitaso normalisoituna arvoon 0 -100.
ThreatOriginalRiskLevel	Valinnainen	Merkkijono	Raportointilaitteen ilmoittama alkuperäinen riskitaso, joka liittyy tunnistettuun uhkaan.
ThreatIsActive	Valinnainen	Totuusarvo	Tosi, jos tunnistettua uhkaa pidetään aktiivisena uhkana.
ThreatFirstReportedTime	Valinnainen	Datetime	Ensimmäinen kerta, kun IP-osoite tai toimialue tunnistettiin uhaksi.
ThreatLastReportedTime	Valinnainen	Datetime	Edellisen kerran IP-osoite tai toimialue tunnistettiin uhaksi.

Vanhentuneet tunnukset ja kentät

Seuraavat kentät ovat aliaksia, joita ylläpidetään yhteensopivuuden vuoksi. Ne poistettiin rakenteesta 31.12.2021.

Query (alias kohteeseen DnsQuery)
QueryType (alias kohteeseen DnsQueryType)
QueryTypeName (alias kohteeseen DnsQueryTypeName)
ResponseName (alias kohteeseen DnsResponseName)
ResponseCodeName (alias kohteeseen DnsResponseCodeName)
ResponseCode (alias kohteeseen DnsResponseCode)
QueryClass (alias kohteeseen DnsQueryClass)
QueryClassName (alias kohteeseen DnsQueryClassName)
Flags (alias kohteeseen DnsFlags)
SrcUserDomain

Rakennepäivitykset

Rakenteen versioon 0.1.2 tehdyt muutokset ovat seuraavat:

Lisätty kenttä EventSchema.
Lisätty varattu merkintäkenttä, joka laajentaa yhdistettyä Merkintä-kenttää : DnsFlagsAuthoritative, , DnsFlagsCheckingDisabled, DnsFlagsRecursionAvailable, DnsFlagsRecursionDesired, DnsFlagsTruncatedja DnsFlagsZ.

Rakenteen versioon 0.1.3 tehdyt muutokset ovat:

Rakenne dokumentoi nyt eksplisiittisesti - Src*, Dst*- Process* ja User* -kentät.
Dvc* Lisätty kenttiä vastaamaan uusimpia yleisiä kenttien määrityksiä.
Lisätty Src ja Dst aliaksina lähde- ja kohdejärjestelmien johtavaan tunnukseen.
Lisätty valinnainen DnsNetworkDuration ja Duration, -alias siihen.
Lisätty valinnaiset Sijainti- ja Riskitaso-kentät.

Rakenteen versioon 0.1.4 tehdyt muutokset ovat seuraavat:

Lisätty valinnaiset kentät ThreatIpAddr, , ThreatNameThreatField, ThreatConfidence, , ThreatOriginalRiskLevelThreatOriginalConfidence, , ThreatIsActive, ThreatFirstReportedTimeja ThreatLastReportedTime.

Rakenteen versioon 0.1.5 tehdyt muutokset ovat seuraavat:

Lisätty kentät SrcUserScope, , SrcUserSessionIdSrcDvcScopeId, SrcDvcScope, DstDvcScopeId, , DstDvcScope, DvcScopeIdja DvcScope.

Rakenteen versioon 0.1.6 tehdyt muutokset ovat seuraavat:

Kentät DnsResponseIpCountry, , DnsResponseIpRegionDnsResponseIpCity, DnsResponseIpLatitudeja DnsResponseIpLongitudeon lisätty.

Rakenteen versioon 0.1.7 tehdyt muutokset ovat seuraavat:

Lisätty kentät SrcDescription, , SrcOriginalRiskLevel, DstDescriptionDstOriginalRiskLevel, SrcUserScopeId, , NetworkProtocolVersion, Rule, RuleName, , RuleNumberja ThreatId.

Lähdekohtaiset ristiriidat

Normalisoinnin tavoitteena on varmistaa, että kaikki lähteet tarjoavat yhdenmukaisia telemetriatietoja. Lähdettä, joka ei tarjoa vaadittuja telemetriatietoja, kuten pakollisia rakennekenttiä, ei voi normalisoida. Kuitenkin lähteet, jotka yleensä tarjoavat kaikki vaaditut telemetriatiedot, vaikka joitain eroja olisikin, voidaan normalisoida. Ristiriidat voivat vaikuttaa kyselytulosten täydellisyyteen.

Seuraavassa taulukossa luetellaan tunnetut ristiriidat:

Lähde	Eroja
Microsoft DNS Server kerätty DNS-liittimen ja Log Analytics Agentin avulla	Liitin ei sisällä pakollista DnsQuery-kenttää alkuperäiselle tapahtumatunnukselle 264 (Vastaus dynaamiseen päivitykseen). Tiedot ovat käytettävissä lähteessä, mutta liitin ei lähetä niitä edelleen.
Corelight Zeek	Corelight Zeek ei ehkä tarjoa pakollista DnsQuery-kenttää. Olemme havainneet tällaisen toiminnan tietyissä tapauksissa, joissa DNS-vastauskoodin nimi on `NXDOMAIN`.

DNS-vastauksen käsittely

Useimmissa tapauksissa kirjatut DNS-tapahtumat eivät sisällä vastaustietoja, jotka voivat olla suuria ja yksityiskohtaisia. Jos tietue sisältää enemmän vastaustietoja, tallenna se ResponseName-kenttään sellaisena kuin se näkyy tietueessa.

Voit myös antaa ylimääräisen KQL-funktion nimeltä _imDNS<vendor>Response_, joka ottaa jäsentämättömän vastauksen syötteeksi ja palauttaa dynaamisen arvon, jolla on seuraava rakenne:

[
    {
        "part": "answer"
        "query": "yahoo.com."
        "TTL": 1782
        "Class": "IN"
        "Type": "A"
        "Response": "74.6.231.21"
    }
    {
        "part": "authority"
        "query": "yahoo.com."
        "TTL": 113066
        "Class": "IN"
        "Type": "NS"
        "Response": "ns5.yahoo.com"
    }
    ...
]

Dynaamisen arvon kunkin sanaston kentät vastaavat kunkin DNS-vastauksen kenttiä. Merkinnän part tulee sisältää joko answer, authoritytai , tai additional sen osan tulee näkyä vastauksessa, johon sanasto kuuluu.

Vihje

Jos haluat varmistaa optimaalisen suorituskyvyn, kutsu funktiota imDNS<vendor>Response vain tarvittaessa ja vasta ensimmäisen suodatuksen jälkeen paremman suorituskyvyn varmistamiseksi.

DNS-merkintöjen käsittely

Merkintätietojen jäsentämistä ja normalisointia ei tarvita. Tallenna sen sijaan raportointilaitteen toimittamat merkintätiedot Merkinnät-kenttään . Jos yksittäisten merkintöjen arvoa määritetään suoraan eteenpäin, voit käyttää myös varattuja merkintäkenttiä.

Voit myös antaa ylimääräisen KQL-funktion nimeltä _imDNS<vendor>Flags_, joka ottaa jäsentämättömän vastauksen tai varatut merkintäkentät syötteeksi ja palauttaa dynaamisen luettelon, jossa on totuusarvot, jotka edustavat kutakin merkintää seuraavassa järjestyksessä:

Todennettu (AD)
Tärkeä (AA)
Tarkistus on poistettu käytöstä (CD)
Rekursio käytettävissä (RA)
Rekursio haluttu (RD)
Katkaistu (TC)
Z

Seuraavat vaiheet

Lisätietoja on seuraavissa artikkeleissa:

Palaute

Onko tästä sivusta apua?

Last updated on 2026-04-23