簡介 OMS DNS 分析


摘要:使用 DNS 分析來獲得 DNS 基礎架構的安全性、性能,與操作相關的洞察報告

DNS 分析現在有公開預覽版了。此篇文章會簡介它的一些功能,例如,指出嘗試解析惡意網域名稱的用戶端、指出過時的資源紀錄、指出經常查詢的網域名稱等等,且無須任何預配置。

與惡意網域通訊

利用微軟威脅情報資料,DNS 分析可以偵測嘗試存取惡意網域的用戶端 IP 。在許多情況下,受惡意程式碼感染的裝置會透過解析惡意程式碼網域名稱,「撥出」至惡意網域的「命令與控制項」中心。在下列範例中,DNS 分析偵測到透過 IRCbot 進行的通訊。

此資訊讓您可以識別起始通訊的用戶端 IP、解析微惡意 IP 的網域名稱、網域名稱解析成的 IP 位址、惡意 IP 位址、問題的嚴重性、將惡意 IP 列入黑名單的原因,和偵測時間。

注意:基於隱私原因,圖中 Live IP 位址已被遮住

識別經常查詢的網域名稱和 talkative DNS 用戶端

此解決方案提供您企業環境中 DNS 用戶端最常查詢的網域名稱。您可以檢視查詢過的所有網域名稱清單,並在記錄搜尋中深入了解特定網域名稱的查閱要求詳細資料。

DNS 用戶端分析了違反閾值的用戶端在所選時間周期內的查詢數目。您可以在記錄搜尋中檢視所有 DNS 用戶端的清單,和他們執行查詢的詳細資料

追蹤動態 DNS 註冊

此解決方案能追蹤來自不同客戶端的 DNS 更新要求,和了解這些更新要求是否成功。

接著,您可以依下列步驟,利用此資訊找到註冊失敗的根本原因:尋找對於用戶端嘗試更新之名稱具有權威性的區域、使用此解決方案來檢查該區域的清查資訊、確認已啟用該區域的動態更新、檢查該區域是否已設定安全動態更新。

查明過時的資源記錄

此解決方案提供 Log Search 中所選定的時間段,一個過時資源記錄列表。此列表涵蓋資源記錄名稱、資源記錄類型、相關的 DNS 伺服器、記錄建立的時間,以及區域名稱。基於此資訊,DNS 管理員可以自 DNS 伺服器移除過時的資源。

了解 DNS 伺服器和區域的負載量

了解負載,對於 DNS 基礎架構的容量規劃和性能非常重要。您可以透過觀察每個伺服器和區域的 DNS 查詢速率趨勢,知曉 DNS 負載在您 DNS 伺服器和 DNS 區域的分布狀況。

DNS記錄的集中圖表

在記錄搜尋中可以檢視此解決方案管理的 DNS 伺服器所產生的所有 DNS 事件及所有 DNS 清查相關資料。輸入 Type=DnsEvents 結果會列出與查閱查詢、動態註冊,和設定變更相關之所有事件的紀錄資料。輸入 Type=DnsInventory 結果會列出 DNS 伺服器、DNS 區域和資源記錄的資料。利用 Log Search facet 控制項來篩選搜尋結果,以便分析資料,產生可實現的預測,並建立有意義的報告。

此解決方案如何運作?

此解決方案自安裝了 OMS 代理程式的 DNS 伺服器收集三種類型的數據:DNS 清查、DNS 事件,和 DNS 性能計數器。DNS 清查相關資料 (DNS 伺服器數目、區域和資源記錄等)的收集方式是執行 DNS PowerShell Cmdlet。DNS 事件相關資料(查詢查閱、動態註冊、設定更改)是收集自 Windows Server 2012 R2 及更高版本中,增強的 DNS 記錄和診斷提供之分析與稽核事件記錄

現在就開始使用

您可以在以下這篇文章獲得更詳細的步驟指引:開始使用 DNS 分析

Comments (0)

Skip to main content