このコネクタを使用すると、可視性と脅威検出を強化するために、MICROSOFT Sentinel に AWS Route 53 DNS ログを取り込むことができます。 AWS S3 バケットから直接取り込まれた DNS リゾルバー クエリ ログがサポートされていますが、パブリック DNS クエリ ログと Route 53 監査ログは、Microsoft Sentinel の AWS CloudWatch コネクタと CloudTrail コネクタを使用して取り込むことができます。 各ログの種類のセットアップをガイドする包括的な手順が用意されています。 このコネクタを利用して、DNS アクティビティを監視し、潜在的な脅威を検出し、クラウド環境でのセキュリティ体制を改善します。
テーブル属性
| 特性 |
価値 |
| リソースの種類 |
- |
| カテゴリ |
安全 |
| ソリューション |
セキュリティインサイト |
| 基本的なログ |
イエス |
| データ取り込み時タイムトランスフォーメーション |
いいえ |
| サンプル クエリ |
- |
列
| コラム |
タイプ |
説明 |
| AccountId |
ひも |
クエリを送信した VPC を所有する AWS アカウント ID。 |
| 答え |
ダイナミック |
解決された IP アドレスやその他のクエリ関連の情報を含む、DNS 応答レコードの配列。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| FirewallDomainListId |
ひも |
クエリ ドメインと一致したドメイン リストの ID。 |
| ファイアウォールルールアクション |
ひも |
一致するファイアウォール規則からのルール アクション。 |
| FirewallRuleGroupId |
ひも |
クエリに適用されたファイアウォール規則グループの ID。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データの取り込みが料金の対象になるかどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| LogType |
ひも |
DNS ログの種類 (ResolverQueryLogs など) を示します。 |
| クエリクラス |
ひも |
DNS クエリ クラス。 通常は IN (インターネット)。 |
| クエリ名 |
ひも |
クエリが実行されたドメイン名。 |
| クエリの種類 |
ひも |
要求された DNS レコードの種類 (A、AAAA、MX など)。 |
| Rcode |
ひも |
テキスト DNS 応答コード (例: NOERROR、NXDOMAIN)。 |
| リージョン |
ひも |
ログが生成された AWS リージョン。 |
| SourceSystem |
ひも |
イベントを収集したエージェントの種類を示す。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| SrcAddr |
ひも |
クエリを実行したインスタンスのソース IP アドレス。 |
| SrcIds |
ダイナミック |
DNS クエリの送信元または通過元のソース インスタンスに関連する識別子。 |
| SrcPort |
ひも |
クエリを実行したインスタンスのソース ポート。 |
| テナント識別子 |
ひも |
Log AnalyticsのワークスペースID |
| タイムジェネレイテッド |
datetime |
ルート 53 リゾルバーが DNS クエリを受信した時刻。 |
| トランスポート |
ひも |
クエリの送信に使用されるプロトコル (UDP、TCP、TLS など)。 |
| タイプ |
ひも |
テーブルの名前 |
| バージョン |
ひも |
ログ形式のバージョン。 |
| VpcId |
ひも |
DNS クエリが発生した VPC の ID。 |