微软DNS.
Microsoft域名服务器(DNS)产生审核日志,该日志识别连接到Internet或私有网络的公司的资源,并将域名翻译为IP地址。
DNS以及防火墙,Web代理和其他基于外出的流量的事件源,有助于InsightIdr识别组织使用的云服务,并在出站流量和网络活动周围提供其他上下文。
配置事件源有两种方式:
使用域帐户配置
Microsoft DNS将把它的审计日志写到网络上的一个特定文件夹中。确保此文件夹可作为网络共享使用,并具有只读凭据。
为了从Microsoft DNS收集审计日志,您必须:
步骤1:收集DNS服务器日志
要收集服务器日志,必须使用日志记录能力配置目标文件夹和日志文件。Rapid7建议DNS日志记录的文件夹驻留在托管DNS的服务器的根(C)驱动器上。例如,C:\ DNSLOGS
允许InsightIDR收集器合并来自DNS的日志:
- 导航到DNS服务器管理器并为DNS日志创建一个文件夹。
C:\ DNSLOGS
为DNS日志的推荐存放目录。
- 右键单击文件夹并选择属性从下拉菜单。
- 在“属性”窗口中,选择共享选项卡然后点击高级共享按钮。
- 在“高级共享”窗口中,选择共享此文件夹框然后点击权限按钮。
- 在“共享权限”窗口中,单击“添加按钮并提供访问此文件的凭据。
请记录该用户名和证书,以便在InsightIDR中配置DNS时使用。
- 要启用登录到DNS服务器,右击您的DNS服务器在DNS管理器中选择属性下拉菜单中的选项。
- 选择调试日志标签并检查调试日志报文盒子。其余的复选框可以保持它们的默认值。
- 在“Log file”部分中,输入您在前面的步骤中创建的共享目录。例如,
\\ dns1.mycompany.cpm \ dnslogs \ dns.log
- 单击申请按钮保存配置,然后单击好吧按钮来完成。
步骤2:选择收集方式
在网络共享配置DNS日志后,您可以使用InsightIdr中的两种方式中的之一收集审核日志:
Rapid7推荐Watch Directory或NXLog
建议使用“监视目录”方法收集日志,或者使用日志文件轮换的NXLog方法收集日志。在大多数环境中,Watch Directory和NXLog方法更可靠。当使用Tail File收集日志时,Microsoft DNS Server创建一个单独的文件。当该文件达到配置的最大大小时,DNS服务器清空该文件。当InsightIDR读取文件时,这可能会导致问题。
看目录
在您完成指示后收集DNS服务器日志,您可以启用日志文件轮换和日志保留,以及使用Watch Directory收集日志。要做到这一点,您必须完成以下任务:
启用日志文件旋转
在DNS服务器上启用日志文件轮换:
- 在DNS服务器上以管理员身份打开PowerShell命令提示符。
- 运行以下命令:
Set-DNSServerDiagnostics -EnableLogFileRollover真正的美元
- 使用命令验证DNS日志设置是否正确:
Get-DnsServerDiagnostics
与原来位置中的单个DNS .log文件不同,您将看到一个新的DNS日志文件,名称中插入了时间戳。
如果日志设置了保留,并且设置为正确滚动,那么您应该会看到在前面步骤中创建的共享目录中生成的DNS logs。
最终的配置应该如下所示:
启用日志文件删除功能(可选)
您可能还想启用删除旧的DNS日志,这样它们就不会填满DNS服务器的硬盘驱动器。需要将此命令设置为定时运行的计划任务或Cron作业,因为这是必须按计划运行的单个任务命令。下面的命令将删除目录中两天或更早的内容:Get-ChildItem C:\locallogs\dnslogs | where LastWriteTime -lt ((Get-Date).AddDays(-2))
在Insutigridr中配置DNS
通过InsightIDR中的“Watch Directory”收集方式收集DNS审计日志:
- 从您的仪表板,选择数据采集从左边的菜单。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源。
- 从“安全数据”部分,单击DNS.图标。出现“添加事件源”面板。
- 选择收藏家并选择微软DNS.从下拉。如果需要,还可以命名事件源。
- 选择时区匹配事件源日志的位置。
- 选择发送未经过滤的日志。
- 选择看目录作为您的收集方法。
- 为您配置的网络共享提供文件夹路径。
- 以秒为单位输入扫描间隔。
- (可选)为InsightIdr指定要观看的文件模式。文件模式
dns * . log
应该足够了,或者您可以将文件模式框留空,以便完全可见。 - 单击保存按钮。
尾部文件
您可以在DNS服务器上完成配置后,配置InsightIDR以Tail File方式收集DNS审计日志。
这样做:
- 从您的仪表板,选择数据采集从左边的菜单。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源。
- 从“安全数据”部分,单击DNS.图标。出现“添加事件源”面板。
- 选择收藏家并选择微软DNS.从下拉。如果需要,还可以命名事件源。
- 选择时区匹配事件源日志的位置。
- 选择发送未经过滤的日志。
- 选择尾部文件作为您的收集方法。
- 将文件夹路径提供给使用UNC符号配置的网络共享,并包括尾文件的文件名,例如
\\ dns1.mycompany.cpm \ dnslogs \ dns.log
- 单击保存按钮。
配置与NXLog
如果您不希望在DNS服务器上创建文件共享,可以使用NXLog收集和发送日志。NXLog需要安装在DNS服务器上。NXLog会读取DHCP日志,并通过Syslog发送到您的InsightIDR Collector。配置NXLog:
- 下载并安装NXLog。有关如何操作的说明,请参阅NXLog页。
- 在DNS服务器上启用日志文件旋转。有关如何操作的说明,请参阅启用日志文件旋转部分微软DNS.页。
- 从InsightIDR仪表板中选择数据采集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源。
- 从安全数据部分,单击DNS.图标。将出现“添加事件源”面板。
- 选择你的收集器。
- 选择微软DNS.作为事件源,并给它一个描述性名称。
- 选择时区匹配事件源日志的位置。
- 单击聆听网络端口按钮。
- 在港口字段,输入您希望用于此事件源的端口。不能将已用于其他事件源的端口使用。
- 对于协议,请使用UDP或TCP。虽然此事件源支持这两个协议,但请注意,必须将NXLOG配置为使用您选择的协议发送日志。
- 点击保存。
- 按照手册中的说明去做微软DNS.部分NXLog页来编辑
nxlog.conf
收集安全日志并转发给InsightIDR。