微软DNS.

Microsoft域名服务器(DNS)产生审核日志,该日志识别连接到Internet或私有网络的公司的资源,并将域名翻译为IP地址。

DNS以及防火墙,Web代理和其他基于外出的流量的事件源,有助于InsightIdr识别组织使用的云服务,并在出站流量和网络活动周围提供其他上下文。

配置事件源有两种方式:

  • 使用域帐户配置:如果您想在远程共享上使用具有读权限的域帐户收集日志,则使用此方法。
  • 配置与NXLog:如果您不想使用Domain Admin帐户收集日志,请使用此配置方法。

使用域帐户配置

Microsoft DNS将把它的审计日志写到网络上的一个特定文件夹中。确保此文件夹可作为网络共享使用,并具有只读凭据。

为了从Microsoft DNS收集审计日志,您必须:

  1. 收集DNS服务器日志
  2. 选择收集方法

步骤1:收集DNS服务器日志

要收集服务器日志,必须使用日志记录能力配置目标文件夹和日志文件。Rapid7建议DNS日志记录的文件夹驻留在托管DNS的服务器的根(C)驱动器上。例如,C:\ DNSLOGS

允许InsightIDR收集器合并来自DNS的日志:

  1. 导航到DNS服务器管理器并为DNS日志创建一个文件夹。

C:\ DNSLOGS为DNS日志的推荐存放目录。

  1. 右键单击文件夹并选择属性从下拉菜单。
  2. 在“属性”窗口中,选择共享选项卡然后点击高级共享按钮。
  1. 在“高级共享”窗口中,选择共享此文件夹框然后点击权限按钮。
  1. 在“共享权限”窗口中,单击“添加按钮并提供访问此文件的凭据。

请记录该用户名和证书,以便在InsightIDR中配置DNS时使用。

  1. 要启用登录到DNS服务器,右击您的DNS服务器在DNS管理器中选择属性下拉菜单中的选项。
  1. 选择调试日志标签并检查调试日志报文盒子。其余的复选框可以保持它们的默认值。
  1. 在“Log file”部分中,输入您在前面的步骤中创建的共享目录。例如,\\ dns1.mycompany.cpm \ dnslogs \ dns.log
  2. 单击申请按钮保存配置,然后单击好吧按钮来完成。

步骤2:选择收集方式

在网络共享配置DNS日志后,您可以使用InsightIdr中的两种方式中的之一收集审核日志:

Rapid7推荐Watch Directory或NXLog

建议使用“监视目录”方法收集日志,或者使用日志文件轮换的NXLog方法收集日志。在大多数环境中,Watch Directory和NXLog方法更可靠。当使用Tail File收集日志时,Microsoft DNS Server创建一个单独的文件。当该文件达到配置的最大大小时,DNS服务器清空该文件。当InsightIDR读取文件时,这可能会导致问题。

看目录

在您完成指示后收集DNS服务器日志,您可以启用日志文件轮换和日志保留,以及使用Watch Directory收集日志。要做到这一点,您必须完成以下任务:

  1. 启用日志文件旋转
  2. 在Insutigridr中配置DNS

启用日志文件旋转

在DNS服务器上启用日志文件轮换:

  1. 在DNS服务器上以管理员身份打开PowerShell命令提示符。
  2. 运行以下命令:Set-DNSServerDiagnostics -EnableLogFileRollover真正的美元
  3. 使用命令验证DNS日志设置是否正确:Get-DnsServerDiagnostics

与原来位置中的单个DNS .log文件不同,您将看到一个新的DNS日志文件,名称中插入了时间戳。

如果日志设置了保留,并且设置为正确滚动,那么您应该会看到在前面步骤中创建的共享目录中生成的DNS logs。

最终的配置应该如下所示:

启用日志文件删除功能(可选)

您可能还想启用删除旧的DNS日志,这样它们就不会填满DNS服务器的硬盘驱动器。需要将此命令设置为定时运行的计划任务或Cron作业,因为这是必须按计划运行的单个任务命令。下面的命令将删除目录中两天或更早的内容:Get-ChildItem C:\locallogs\dnslogs | where LastWriteTime -lt ((Get-Date).AddDays(-2))

在Insutigridr中配置DNS

通过InsightIDR中的“Watch Directory”收集方式收集DNS审计日志:

  1. 从您的仪表板,选择数据采集从左边的菜单。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击DNS.图标。出现“添加事件源”面板。
  4. 选择收藏家并选择微软DNS.从下拉。如果需要,还可以命名事件源。
  5. 选择时区匹配事件源日志的位置。
  6. 选择发送未经过滤的日志
  7. 选择看目录作为您的收集方法。
  8. 为您配置的网络共享提供文件夹路径。
  9. 以秒为单位输入扫描间隔。
  10. (可选)为InsightIdr指定要观看的文件模式。文件模式dns * . log应该足够了,或者您可以将文件模式框留空,以便完全可见。
  11. 单击保存按钮。

尾部文件

您可以在DNS服务器上完成配置后,配置InsightIDR以Tail File方式收集DNS审计日志。

这样做:

  1. 从您的仪表板,选择数据采集从左边的菜单。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击DNS.图标。出现“添加事件源”面板。
  4. 选择收藏家并选择微软DNS.从下拉。如果需要,还可以命名事件源。
  5. 选择时区匹配事件源日志的位置。
  6. 选择发送未经过滤的日志
  7. 选择尾部文件作为您的收集方法。
  8. 将文件夹路径提供给使用UNC符号配置的网络共享,并包括尾文件的文件名,例如\\ dns1.mycompany.cpm \ dnslogs \ dns.log
  9. 单击保存按钮。

配置与NXLog

如果您不希望在DNS服务器上创建文件共享,可以使用NXLog收集和发送日志。NXLog需要安装在DNS服务器上。NXLog会读取DHCP日志,并通过Syslog发送到您的InsightIDR Collector。配置NXLog:

  1. 下载并安装NXLog。有关如何操作的说明,请参阅NXLog页。
  2. 在DNS服务器上启用日志文件旋转。有关如何操作的说明,请参阅启用日志文件旋转部分微软DNS.页。
  3. 从InsightIDR仪表板中选择数据采集在左边的菜单上。
  4. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  5. 从安全数据部分,单击DNS.图标。将出现“添加事件源”面板。
  6. 选择你的收集器。
  7. 选择微软DNS.作为事件源,并给它一个描述性名称。
  8. 选择时区匹配事件源日志的位置。
  9. 单击聆听网络端口按钮。
  10. 港口字段,输入您希望用于此事件源的端口。不能将已用于其他事件源的端口使用。
  11. 对于协议,请使用UDP或TCP。虽然此事件源支持这两个协议,但请注意,必须将NXLOG配置为使用您选择的协议发送日志。
  12. 点击保存
  13. 按照手册中的说明去做微软DNS.部分NXLog页来编辑nxlog.conf收集安全日志并转发给InsightIDR。