Microsoft DNS インテグレーションガイド🔗
このガイドでは、Microsoft Windows Domain Name Server (DNS) のログをセキュリティ監視のために他のエージェントで送信できるようにするための設定手順を説明します。対応エージェントについては、Microsoft Windows Event Log との接続をご参照ください。
Secureworks® Taegis™ XDR On-Premises Data Collector は、Snare over Syslog フォーマットのログを受け付けます。
注意
XDR は、Snare または NXLog CE で収集可能な Microsoft DNS デバッグフォーマットをパースします。
Microsoft DNS Analytics トレースイベントは、現時点では XDR でサポートされていません。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Windows server | Taegis™ XDR Collector (mgmt IP) | UDP/514 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Microsoft DNS | DNS |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
ログ設定手順🔗
ログ設定は、ご利用中の Windows DNS のバージョンによって異なります。
重要
データソースは、XDRが正しいタイムゾーンを報告できるように、タイムスタンプをUTCで報告するように設定する必要があります。
注意
NXLog CEはタイムスタンプをUTCに変更することをサポートしていません。これが必要な場合は、NXLog Enterprise Editionなどの別製品が必要です。
Windows DNS 2008以降のデバッグログの設定🔗
注意
これらの手順は、Microsoft Windows DNS バージョン 2008 以降をサポートしています。
重要
多くの診断機能と同様に、DNS デバッグを有効にするとパフォーマンスに影響が出る場合があります。Microsoft DNS デバッグログを有効にすることでシステムにどのような影響があるか不明な場合は、まず重要でないシステムで有効化し、影響を確認することをSecureworksは推奨します。
XDR がサポートする Endpoint Detection and Response (EDR) ソリューションを統合しているお客様は、Microsoft DNS デバッグログを省略することも可能です。EDR ソリューションが、該当システムの XDR 検知機に十分な DNS テレメトリーを提供するためです。ただし、インフラ内の他の非EDRシステムで Microsoft DNS デバッグログの監視が有効となる場合もご検討ください。
- Windows マシンから、スタート > プログラム > 管理ツール > DNS を開きます。
-
DNS 管理コンソール内で、設定する DNS サーバーを右クリックし、プロパティ を選択します。
DNSサーバープロパティを開く。 -
デバッグ ログ タブを選択します。
デバッグログタブを選択。 -
以下の項目を選択します。
- パケットの方向 — 送信および受信
- トランスポートプロトコル — UDP および TCP
- パケット内容 — クエリ/転送および更新
- パケットタイプ — リクエストおよびレスポンス
該当項目を選択。 -
ログファイルの下で、ログファイルのデフォルトディレクトリパスは C:\WINDOWS\system32\dns\dns.log です。
注意
ログファイルパスがデフォルトと異なる場合は、ログエージェントの設定時に必要となるためご注意ください。
-
OK を選択して変更を保存します。これでログエージェントの設定が可能です。