你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
此连接器允许将 AWS Route 53 DNS 日志引入到 Microsoft Sentinel 中,以提高可见性和威胁检测。 它支持直接从 AWS S3 存储桶引入的 DNS 解析程序查询日志,而公共 DNS 查询日志和 Route 53 审核日志可以使用 sentinel 的 AWS CloudWatch 和 CloudTrail 连接器Microsoft引入。 提供了全面的说明,指导你完成每种日志类型的设置。 利用此连接器监视 DNS 活动、检测潜在威胁以及改善云环境中的安全状况。
数据表属性
| 特征 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是的 |
| 引入时转换 | 否 |
| 示例查询 | - |
列
| 列 | 类型 | DESCRIPTION |
|---|---|---|
| AccountId | 字符串 | AWS 帐户 ID,它拥有发送查询的 VPC。 |
| 答案 | 动态的 | DNS 响应记录的数组,包括解析的 IP 地址和其他查询相关信息。 |
| _BilledSize(账单大小) | real | 记录大小(字节) |
| FirewallDomainListId | 字符串 | 与查询域匹配的域列表的 ID。 |
| FirewallRuleAction | 字符串 | 匹配的防火墙规则中的规则操作。 |
| FirewallRuleGroupId | 字符串 | 应用于查询的防火墙规则组的 ID。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 日志类型 | 字符串 | 指示 DNS 日志的类型(例如 ResolverQueryLogs)。 |
| QueryClass | 字符串 | DNS 查询类。 通常为 IN (Internet)。 |
| 查询名称 | 字符串 | 已查询的域名。 |
| 查询类型 | 字符串 | 请求的 DNS 记录类型(例如 A、AAAA、MX)。 |
| Rcode | 字符串 | 文本 DNS 响应代码(例如 NOERROR、NXDOMAIN)。 |
| 区域 | 字符串 | 生成日志的 AWS 区域。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| SrcAddr | 字符串 | 发出查询的实例的源 IP 地址。 |
| SrcIds | 动态的 | 与 DNS 查询源自或传递的源实例相关的标识符。 |
| SrcPort | 字符串 | 发出查询的实例上的源端口。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 路由 53 解析程序收到 DNS 查询的时间。 |
| 运输 | 字符串 | 用于发送查询的协议(例如 UDP、TCP、TLS)。 |
| 类型 | 字符串 | 表的名称 |
| 版本 | 字符串 | 日志格式的版本。 |
| VpcId | 字符串 | 发起 DNS 查询的 VPC 的 ID。 |