Поделиться через


Соединитель журналов DNS NXLog для Microsoft Sentinel

Соединитель данных журналов DNS NXLog использует трассировку событий для Windows (ETW) для сбора событий аудита и аналитического DNS-сервера. Модуль NXLog im_etw считывает данные трассировки событий непосредственно для максимальной эффективности без необходимости записывать трассировку событий в ETL-файл. Этот соединитель REST API может пересылать события DNS-сервера в Microsoft Sentinel в режиме реального времени.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics NXLog_DNS_Server_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается NXLog

Примеры запросов

DNS-сервер top 5 hostlookups

ASimDnsMicrosoftNXLog 

| summarize count() by Domain

| take 5

| render piechart title='Top 5 host lookups'

DNS-сервер top 5 EventOriginalTypes (идентификаторы событий)

ASimDnsMicrosoftNXLog 

| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))

| summarize CountByEventID=count() by EventID

| sort by CountByEventID

| take 5

| render piechart title='Top 5 EventOriginalTypes (Event IDs)'

Аналитические события DNS-сервера в секунду (EPS)

ASimDnsMicrosoftNXLog 

| where EventEndTime >= todatetime('2021-09-17 03:07')

| where EventEndTime <  todatetime('2021-09-18 03:14')

| summarize EPS=count() by bin(EventEndTime, 1s)

| render timechart title='DNS analytical events per second (EPS) - All event types'

Инструкции по установке поставщика

Примечание.

Этот соединитель данных зависит от синтаксического анализа на основе функций Kusto, развернутых с помощью решения Microsoft Sentinel для работы должным образом. Функция **ASimDnsMicrosoftNXLog ** предназначена для использования встроенных возможностей аналитики, связанных с DNS, в Microsoft Sentinel.

Чтобы настроить этот соединитель, следуйте пошаговые инструкции в разделе интеграции с руководством пользователя NXLog в Microsoft Sentinel.