Coletar dados de DNS do Microsoft Windows

Este documento:

  • Descreve a arquitetura de implantação e as etapas de instalação, além de qualquer configuração necessária que produz registros compatíveis com o Chronicle Parser para eventos DNS do Microsoft Windows. Para uma visão geral da ingestão de dados do Chronicle, consulte Ingestão de dados do Chronicle.
  • Inclui informações sobre como o analisador mapeia os campos no registro original para os campos do modelo de dados unificado do Chronicle.

As informações neste documento se aplicam ao analisador com o rótulo de processamento WINDOWS_DNS. O rótulo de processamento identifica qual analisador normaliza os dados brutos de registro para o formato UDM estruturado.

Antes de começar

  • Analise a arquitetura de implantação recomendada.

    O diagrama a seguir ilustra os principais componentes recomendados em uma arquitetura de implantação para coletar e enviar eventos de DNS do Microsoft Windows para o Chronicle. Compare essas informações com o ambiente para garantir a instalação desses componentes. Cada implantação de cliente é diferente dessa representação e pode ser mais complexa. Os itens a seguir são obrigatórios:

    • Microsoft Windows DNS Server com registro de diagnóstico DNS ativado.
    • Todos os sistemas configurados com o fuso horário UTC
    • O NXLog foi instalado em servidores Microsoft Windows em cluster para coletar e encaminhar registros para o servidor central do Microsoft Windows ou Linux.
    • Encaminhador do Chronicle instalado no Microsoft Windows ou Linux Server central.

    Arquitetura de implantação

  • Verifique os dispositivos e as versões compatíveis.

    O analisador Chronicle é compatível com registros das seguintes versões do Microsoft Windows Server. O Microsoft Windows Server foi lançado com as seguintes edições: Foundation, Essentials, Standard e Datacenter. O esquema de eventos dos registros gerados por cada edição não é diferente.

    • Microsoft Windows Server 2019
    • Microsoft Windows Server 2016
    • Microsoft Windows Server 2012 R2

    O analisador Chronicle é compatível com registros coletados pelo NXLog Enterprise Edition.

  • Revise os tipos de registro compatíveis. O analisador Chronicle é compatível com os seguintes tipos de registro gerados por servidores DNS do Microsoft Windows. Para mais informações sobre esses tipos de registro, consulte a documentação Geração de registros e diagnóstico do DNS do Microsoft Windows. Ele é compatível com registros gerados com textos em inglês e com registros gerados em outros idiomas.

    • Registros de auditoria: para uma descrição desse tipo de registro, consulte a documentação Registros de auditoria do Microsoft Windows.
    • Registros do Analytics: para uma descrição desse tipo de registro, consulte a documentação Registros do Analytics do Microsoft Windows.
  • Configure os servidores DNS do Microsoft Windows. Consulte a documentação do Microsoft Windows para saber como instalar e ativar o registro de diagnóstico DNS.

  • Instale e configure o servidor Windows ou Linux central.

  • Configure todos os sistemas com o fuso horário UTC.

Configurar o encaminhador NXLog e Chronicle

  1. Instale o NXLog em cada servidor DNS do Microsoft Windows. Siga a documentação do NXLog.
  2. Crie um arquivo de configuração para cada instância do NXLog. Use o módulo de entrada im_etw para extrair registros analíticos de DNS e o módulo de entrada im_msvistalog para registros de auditoria.

    Veja um exemplo de configuração do NXLog. Substitua os valores <hostname> e <port> por informações sobre o servidor Microsoft Windows ou Linux. Para converter e analisar registros em JSON, em vez de XML, altere a linha Exec to_xml(); para Exec to_json();. Para mais informações, consulte a documentação do NXLog sobre o módulo om_tcp.

    define ROOT C:\Program Files\nxlog
    define WINDNS_OUTPUT_DESTINATION_ADDRESS <hostname>
    define WINDNS_OUTPUT_DESTINATION_PORT <port>
    
    Moduledir   %ROOT%\modules
    CacheDir    %ROOT%\data
    Pidfile     %ROOT%\data\nxlog.pid
    SpoolDir    %ROOT%\data
    LogFile     %ROOT%\data\nxlog.log
    
    <Extension syslog>
        Module      xm_syslog
    </Extension>
    
    # To collect XML logs, use the below NXLog module
    <Extension xml>
        Module      xm_xml
    </Extension>
    
    # To collect JSON logs, use the below NXLog module
    <Extension json>
        Module      xm_json
    </Extension>
    
    <Input eventlog>
        Module      im_etw
        Provider    Microsoft-Windows-DNSServer
    </Input>
    
    <Input auditeventlog>
        Module      im_msvistalog
        <QueryXML>
            <QueryList>
                <Query Id="0" Path="Microsoft-Windows-DNSServer/Audit">
                    <Select Path="Microsoft-Windows-DNSServer/Audit">*</Select>
                </Query>
            </QueryList>
        </QueryXML>
    </Input>
    
    <Output out_chronicle_windns>
        Module      om_tcp
        Host        %WINDNS_OUTPUT_DESTINATION_ADDRESS%
        Port        %WINDNS_OUTPUT_DESTINATION_PORT%
        Exec        $EventTime = integer($EventTime) / 1000;
        Exec        $EventReceivedTime = integer($EventReceivedTime) / 1000;
        Exec        to_xml(); # To collect JSON, use to_json()
    </Output>
    
    <Route analytical_windns_to_chronicle>
        Path    eventlog => out_chronicle_windns
    </Route>
    
    <Route audit_windns_to_chronicle>
        Path    auditeventlog => out_chronicle_windns
    </Route>
    
  3. Instale o encaminhador Chronicle no servidor Microsoft Windows ou Linux. Consulte Como instalar e configurar o encaminhador no Linux ou Como instalar e configurar o encaminhador no Microsoft Windows para mais informações sobre como instalar e configurar o encaminhador.

  4. Configure o encaminhador do Chronicle para enviar registros ao Chronicle. Veja um exemplo de configuração de encaminhador.

      - syslog:
          common:
            enabled: true
            data_type: WINDOWS_DNS
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

Referência de mapeamento de campo: campos de registro de dispositivo para campos UDM

Esta seção descreve como o analisador mapeia os campos de registro de dispositivo originais para os campos do Modelo de dados unificado (UDM, na sigla em inglês).

Campos comuns

Campo NXLog Campo UDM Comentar
SourceName metadata.vendor_name = "Microsoft"

metadata.product_name = "Windows DNS Server"
Código do evento nome_da_regra_de_segurança Armazenado como "EventID: %{EventID}". Em eventos com nível de erro e aviso, o campo is_alert é definido como verdadeiro.
Gravidade segurança_resultado.gravidade Os valores são mapeados para a enumeração de campos UDM da seguinte maneira:
0 (Nenhum) - UNKNOWN_SEVERITY
1 (Crítico) - INFORMATIONAL
2 (Erro) - ERRO
3 (Aviso) - ERRO
4 (Informal) - INFORMATIONAL
5 (Verbose) - INFORMATIONAL
Horário do evento metadata.event_timestamp
Código de execução principal.process.pid / target.process.pid Valor armazenado em target.process.pid para os seguintes IDs de evento 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280.
Valor armazenado em principal.process.pid para todos os outros IDs de eventos.
Canal Metadados.product_event_type
Nome do host principal.hostname / target.hostname Valor armazenado em target.hostname para os seguintes IDs de evento: 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280.

Valor armazenado em principal.hostname de todos os outros IDs de evento.
ID do usuário principal.user.windows_sid / target.user.windows_sid Armazenado em target.user.windows_sid para os seguintes IDs de evento: 256, 259, 261, 263, 266, 268, 270, 272,273, 275, 278, 279, 280.

Armazenado em principal.user.windows_sid para todos os outros IDs de evento

Registros analíticos

Campo de registro original Campo UDM Comentar
AA network.dns.authoritative
Destino target.ip / principal.ip Preenchido como principal e de destino.
IP da interface target.ip / principal.ip Armazena o endereço IP do servidor DNS no target.ip para os seguintes IDs de evento, 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280.
Armazenado em principal.ip para todos os outros IDs de evento (resposta de DNS).
Dados de pacote network.dns.answers.binary_data
Porta target.port / principal.port
QNAME network.dns.questions.name
TIPO network.dns.questions.type
RCODE network.dns.response_code
Rd network.dns.recursion_allowed
Motivo segurança_resultado.resumo
Origem principal.ip / target.ip Endereço IPv4/IPv6 de origem da máquina que iniciou a solicitação DNS.
Armazenado em target.ip para o ID de evento 274. Armazenado em target.ip para os IDs de evento 265 e 269. InterfaceIP contém o endereço IP do servidor secundário (principal) e a origem (destino) é o endereço IP do servidor principal.
TCP network.ip_protocol
Xid network.dns.id

Registros de auditoria

Campo de registro original Campo UDM Observação
Nome target.resource.name O valor é coletado de eventos com o código de evento 512.
Política target.resource.name O valor é coletado de eventos com os IDs de evento 577, 578, 579, 580, 581 e 582, que são mapeados para os tipos de evento Setting_*.
QNAME network.dns.questions.name
TIPO network.dns.questions.type
RecursionScope target.resource.name O valor é coletado de eventos com os IDs de evento mapeados aos tipos de evento Setting_*.
Escopo target.resource.name O valor é coletado de eventos com os IDs de evento mapeados aos tipos de evento Setting_*.
Configuração target.resource.name O valor é coletado de eventos com os IDs de evento mapeados aos tipos de evento Setting_*.
Origem principal.ip
Zona target.resource.name O valor é coletado de eventos com os IDs de evento mapeados aos tipos de evento Setting_*.
Escopo da zona target.resource.name O valor é coletado de eventos com os IDs de evento mapeados aos tipos de evento Setting_*.

Referência de mapeamento de campo: ID do evento para o tipo de evento UDM

Esta seção descreve como o analisador mapeia os IDs de evento para os event_types de UDM. Em geral, os eventos são mapeados para os metadados NETWORK_DNS.event_type, exceto os IDs de evento na seção a seguir.

Código do evento Texto de eventos Tipo de evento do UDM Observações
275 XFR_NOTIFY_ACK_IN: origem=%1; InterfaceIP=%2; PacketData=%4 GENERIC_EVENT
276 IXFR_RESP_OUT: TCP=%1; InterfaceIP=%2; Destination=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; RCODE=%8; PacketData=%10 GENERIC_EVENT
512 CONFIGURAO_CRIAO
513 A zona %1 foi excluída. CONFIGURAO_DELEO
514 A zona %1 foi atualizada. A configuração %2 foi definida como %3. CONFIGURAO_MODIFICAO
515 Um registro de recurso do tipo %1, nome %2, TTL %3 e RDATA %5 foi criado no escopo %7 da zona %6. SYSTEM_AUDIT_LOG_UNCATEGORIZED
516 Um registro de recurso do tipo %1, nome %2 e RDATA %5 foi excluído do escopo % 7 da zona %6. SYSTEM_AUDIT_LOG_UNCATEGORIZED
517 Todos os registros de recurso do tipo %1, nome %2 foram excluídos do escopo %4 da zona %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
518 Todos os registros de recurso no nome do nó %1 foram excluídos do escopo %3 da zona %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
519 Um registro de recurso do tipo %1, nome %2, TTL %3 e RDATA %5 foi criado no escopo %7 da zona %6 por meio de atualização dinâmica do endereço IP %8. SYSTEM_AUDIT_LOG_UNCATEGORIZED
520 Um registro de recurso do tipo %1, nome %2 e RDATA %5 foi excluído do escopo %7 da zona %6 por meio da atualização dinâmica do endereço IP %8. SYSTEM_AUDIT_LOG_UNCATEGORIZED
521 Um registro de recurso do tipo %1, nome %2, TTL %3 e RDATA %5 foi removido do escopo %7 da zona %6. SYSTEM_AUDIT_LOG_UNCATEGORIZED
522 O escopo %1 foi criado na zona %2. CONFIGURAO_CRIAO
523 O escopo %1 foi excluído na zona %2. CONFIGURAO_DELEO
525 O fuso ;Caso; SYSTEM_AUDIT_LOG_UNCATEGORIZED
526 A assinatura da zona %1 foi cancelada. SYSTEM_AUDIT_LOG_UNCATEGORIZED
527 A zona %1; sal SYSTEM_AUDIT_LOG_UNCATEGORIZED
528 O rollover foi iniciado no tipo %1 com GUID %2 da zona %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
529 O rollover foi concluído no tipo %1 com GUID %2 da zona %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
530 O tipo %1 com GUID %2 da zona %3 foi marcado para aposentadoria. A chave será removida após a conclusão do rollover. SYSTEM_AUDIT_LOG_UNCATEGORIZED
531 O rollover manual foi acionado no tipo %1 com o GUID %2 da zona %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
533 A chave de assinatura de chaves com o GUID %1 na zona %2 que estava aguardando uma atualização do signatário de delegação(DS) no pai foi forçada a migrar para conclusão de rollover. SYSTEM_AUDIT_LOG_UNCATEGORIZED
534 Os metadados da configuração do DNSSEC foram exportados para a chave de assinatura de chave %1 da zona %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
535 Os metadados da configuração de DNSSEC foram importados na zona %1. SYSTEM_AUDIT_LOG_UNCATEGORIZED
536 Um registro do tipo %1, QNAME %2 foi removido do escopo %3 em cache. SYSTEM_AUDIT_LOG_UNCATEGORIZED
537 A lista de encaminhadores no escopo %2 foi redefinida para %1. CONFIGURAO_MODIFICAO target.resource.name está definido como "Forwarder list on scope: %{scope_name}"
540 As dicas raiz foram modificadas. CONFIGURAO_MODIFICAO target.resource.name preenchido com texto "Root hints"
541 A configuração %1 no escopo %2 foi definida como %3. CONFIGURAO_MODIFICAO
542 O escopo %1 do servidor DNS foi criado. CONFIGURAO_CRIAO
543 O escopo %1 do servidor DNS foi excluído. CONFIGURAO_DELEO
544 O DNSKEY com o protocolo de chave %2, os dados Base64 %4 e o algoritmo de criptografia %5 foram adicionados no ponto de confiança %1. SYSTEM_AUDIT_LOG_UNCATEGORIZED
545 O DS com a tag-chave: %2, Digest Type: %3, Digest: %5 e algoritmo de criptografia: %6 foi adicionado no ponto de confiança %1. SYSTEM_AUDIT_LOG_UNCATEGORIZED
546 O ponto de confiança em %1 do tipo %2 foi removido. SYSTEM_AUDIT_LOG_UNCATEGORIZED
547 Adição da âncora de confiança à zona raiz. SYSTEM_AUDIT_LOG_UNCATEGORIZED
548 Uma solicitação para reiniciar o serviço do servidor DNS foi recebida. SYSTEM_AUDIT_LOG_UNCATEGORIZED
549 Os registros de depuração foram apagados de %1 no servidor DNS. SYSTEM_AUDIT_LOG_WIPE.
550 O conteúdo na memória de todas as zonas no servidor DNS foi liberado para os respectivos arquivos. SYSTEM_AUDIT_LOG_UNCATEGORIZED
551 Todos os dados estatísticos do servidor DNS foram apagados. SYSTEM_AUDIT_LOG_WIPE.
552 Um ciclo de limpeza de registro de recurso foi iniciado no servidor DNS. SYSTEM_AUDIT_LOG_UNCATEGORIZED
553 %1 SYSTEM_AUDIT_LOG_UNCATEGORIZED
554 O ciclo de limpeza do registro de recursos foi encerrado no servidor DNS. SYSTEM_AUDIT_LOG_UNCATEGORIZED
555 O servidor DNS foi preparado para rebaixamento removendo referências a ele de todas as zonas armazenadas no Active Directory. SYSTEM_AUDIT_LOG_UNCATEGORIZED
556 As informações sobre as dicas raiz no servidor DNS foram gravadas novamente no armazenamento permanente. SYSTEM_AUDIT_LOG_UNCATEGORIZED
557 Os endereços em que o servidor DNS detectará foram alterados para %1. CONFIGURAO_MODIFICAO target.resource.name preenchido com texto "Listen Addresses"
558 Uma atualização ativa RFC 5011 ativa foi programada para todos os pontos de confiança. SYSTEM_AUDIT_LOG_UNCATEGORIZED
559 A zona %1 está pausada. SYSTEM_AUDIT_LOG_UNCATEGORIZED
560 A zona %1 foi retomada. SYSTEM_AUDIT_LOG_UNCATEGORIZED
561 Os dados da zona %1 foram recarregados da %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
562 Os dados da zona %1 foram atualizados a partir do servidor mestre %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
563 A zona secundária %1 expirou e novos dados foram solicitados do servidor mestre %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
564 A zona %1 foi recarregada a partir do Active Directory. SYSTEM_AUDIT_LOG_UNCATEGORIZED
565 O conteúdo da zona %1 foi gravado no disco, e a notificação foi enviada a todos os servidores de notificação. CONFIGURAO_MODIFICAO
566 Todos os registros DNS no nó %1 na zona %2 terão o carimbo de data/hora definido como o horário atual.%3 SYSTEM_AUDIT_LOG_UNCATEGORIZED
567 A zona integrada ao Active Directory %1 foi atualizada. Apenas %2 pode executar a limpeza. SYSTEM_AUDIT_LOG_UNCATEGORIZED
568 O papel principal da zona para a zona %1 foi %2.%3 SYSTEM_AUDIT_LOG_UNCATEGORIZED
569 Uma chave de comentário %1; %2; smartphones; numa categoria. A zona será reatribuída com a %2 gerada com essas propriedades. SYSTEM_AUDIT_LOG_UNCATEGORIZED
570 Um descritor de chave musical %1 (%2) com o GUID %3 foi atualizado na zona %4. As propriedades deste descritor %2 foram definidas como: KeyId=%5; KeyType=%6; CurrentState=%7; KeyStorageProvider=%8; StoreKeysInAD=%9; CryptoAlgorithm=%10; KeyLength=%11; DnsKeySignatureValidityPeriod=%12; ZoneSignatureValidSol%1%11%121%21%3 observar;%1%11% correspondente A zona será reatribuída com %2 gerada com essas propriedades. SYSTEM_AUDIT_LOG_UNCATEGORIZED
571 Um descritor %1 de chave %1 (%2) %4 foi removido da zona %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
572 O estado da chave de assinatura %1 (%2) %3 foi modificado na zona %4. A nova chave ativa é %5, a chave de espera é %6 e a próxima chave é %7. SYSTEM_AUDIT_LOG_UNCATEGORIZED
573 Uma delegação para %1 no escopo %2 da zona %3 com o servidor de nomes %4 foi adicionada. SYSTEM_AUDIT_LOG_UNCATEGORIZED
574 O registro de sub-rede do cliente com o nome %1, valor %2, foi adicionado ao mapa de sub-rede do cliente. SYSTEM_AUDIT_LOG_UNCATEGORIZED
575 O registro de sub-rede do cliente com o nome %1 foi excluído do mapa de sub-rede do cliente. SYSTEM_AUDIT_LOG_UNCATEGORIZED
576 O registro de sub-rede do cliente com o nome %1 foi atualizado a partir do mapa de sub-redes do cliente. As novas sub-redes clientes que se referem são %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
577 Uma política de nível de servidor %6 para %1 foi criada no servidor %2 com as seguintes propriedades: ProcessingOrder:%3; Criteria:%4; Action:%5. CONFIGURAO_CRIAO
578 Uma política de nível de zona %8 para %1 foi criada na zona %6 no servidor %2 com as seguintes propriedades: ProcessingOrder:%3; Criteria:%4; Action:%5; Scopes:%7. CONFIGURAO_CRIAO
579 Uma política de encaminhamento %6 foi criada no servidor %2 com as seguintes propriedades: ProcessingOrder:%3; Criteria:%4; Action:%5; Scope:%1. CONFIGURAO_CRIAO
580 A política de nível de servidor %1 foi excluída do servidor %2. CONFIGURAO_DELEO
581 A política de nível de zona %1 foi excluída da zona %3 no servidor %2. CONFIGURAO_DELEO
582 A política de encaminhamento %1 foi excluída do servidor %2. CONFIGURAO_DELEO