Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este conector permite la ingesta de registros DNS de AWS Route 53 en Microsoft Sentinel para mejorar la visibilidad y la detección de amenazas. Admite los registros de consulta de resolución dns ingeridos directamente desde cubos de AWS S3, mientras que los registros de consulta dns público y los registros de auditoría de Route 53 se pueden ingerir mediante los conectores AWS CloudWatch y CloudTrail de Microsoft Sentinel. Se proporcionan instrucciones completas para guiarle a través de la configuración de cada tipo de registro. Aproveche este conector para supervisar la actividad de DNS, detectar posibles amenazas y mejorar la posición de seguridad en entornos en la nube.
Atributos de tabla
| Atributo | Importancia |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | Información de seguridad |
| Registro básico | Sí |
| Transformación durante la ingesta | No |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| AccountId | cuerda / cadena | El identificador de cuenta de AWS que posee la VPC que envió la consulta. |
| Respuestas | dinámico | Matriz de registros de respuesta DNS, incluidas las direcciones IP resueltas y otra información relacionada con consultas. |
| _BilledSize | verdadero | Tamaño del registro en bytes |
| FirewallDomainListId | cuerda / cadena | Identificador de la lista de dominios que coincide con el dominio de consulta. |
| FirewallRuleAction | cuerda / cadena | Acción de regla de la regla de firewall coincidente. |
| FirewallRuleGroupId (Identificador de Grupo de Reglas de Firewall) | cuerda / cadena | Identificador del grupo de reglas de firewall que se aplicó a la consulta. |
| _IsBillable | cuerda / cadena | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable esté establecido como false, la ingesta no se facturará a su cuenta de Azure |
| Tipo de registro | cuerda / cadena | Indica el tipo de registro DNS (por ejemplo, ResolverQueryLogs). |
| QueryClass | cuerda / cadena | La clase de consulta DNS. Normalmente IN (Internet). |
| QueryName | cuerda / cadena | Nombre de dominio que se ha consultado. |
| TipoDeConsulta | cuerda / cadena | Tipo de registro DNS solicitado (por ejemplo, A, AAAA, MX). |
| Rcode | cuerda / cadena | Código de respuesta DNS textual (por ejemplo, NOERROR, NXDOMAIN). |
| Región | cuerda / cadena | Región de AWS donde se generó el registro. |
| SourceSystem | cuerda / cadena | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| SrcAddr | cuerda / cadena | Dirección IP de origen de la instancia que realizó la consulta. |
| SrcIds | dinámico | Identificadores relacionados con la instancia de origen en la que se originó o pasó la consulta DNS. |
| SrcPort | cuerda / cadena | Puerto de origen en la instancia que realizó la consulta. |
| Id del inquilino | cuerda / cadena | El ID del espacio de trabajo de Log Analytics |
| TimeGenerated | fecha y hora | La hora en que el resolver de Route 53 recibió la consulta DNS. |
| Transporte | cuerda / cadena | Protocolo usado para enviar la consulta (por ejemplo, UDP, TCP, TLS). |
| Tipo | cuerda / cadena | Nombre de la tabla. |
| Versión | cuerda / cadena | Versión del formato de registro. |
| VpcId | cuerda / cadena | Identificador de la VPC donde se originó la consulta DNS. |