域和DNS日志记录的有用来源

简介

这最后一篇文章是关于DNS和域日志的其他日志源，在前两篇文章中没有涉及到。这篇文章最后提出了一些需要预测的挑战，以及超越日志记录的下一步的想法。

如果你还没有这样做，看看这个系列之前的帖子:

• DNS和域日志记录:鸟瞰图
• 有针对性的日志收集如何加强客户端和网络防御
• 利用Windows DNS日志最大化您的防御
• 使用日志收集增加您的Linux DNS服务器的可见性

相关日志数据的其他来源

还有其他事件日志源包含有价值的元数据。从IDS/IPS工具到防火墙和邮件交换日志，使用元数据提取IP地址、主机名和其他元数据，进一步为IR和威胁搜索工作提供信息。IP地址可以用于追溯和调查基础设施，或者使用数据进行反向IP到主机名检查，以转向相关的域，并找到威胁配置文件和风险评分。本节的前半部分简要介绍了其他来源，后半部分提供了深入的示例。

托管DNS提供程序

Amazon Route 53 DNS查询日志和CloudWatch

配置Amazon Route 53以记录路由53接收到的公共DNS查询的信息开发人员指南)．可用的元数据类似于DNS查询日志记录的其他来源:被请求的域或子域、日期和时间戳、DNS记录类型、DNS响应码以及响应DNS查询的Route 53边缘位置。如果你使用Amazon CloudWatch日志要监视、存储和访问DNS查询日志文件，还可以将这些日志流到您的LM和SIEM实例。

谷歌云DNS

谷歌云DNS日志跟踪名称服务器解析VPC(虚拟私有云)网络的查询。

还有其他托管DNS提供程序，请查看它们的文档，了解如何设置查询和响应日志记录。

代理服务器日志

代理服务器日志是域元数据的常见信息源。这些日志包含网络中来自用户和应用程序的请求。

DNS报文日志

除了在网络分析工具上捕获和监听数据包之外，还可以设置数据包日志记录，并将其配置为只收集某些协议(如DNS数据包)的数据包日志。但是，包捕获和包日志只提供与dns相关的元数据。例如，不可能获得关于发生该事件的主机的更多详细信息，也不可能获得触发该事件的特定用户或用户操作的详细信息。

IDS/IPS Tools生成的日志

可以收集IDS/IPS工具生成的日志，如规则和警报，并将其转发到LM/SIEM。例子有:

• Zeek(以前的Bro) DNS查询和响应日志记录，收集及获取DNS查询及回应。也用于与域活动表．
• Snort检查DNS查询响应并根据返回的响应采取行动的DNS规则。
• Suricata DNS规则用于记录和收集相关事件，创建基于事件的操作，如将DNS查询匹配到块列表(例如，域活动表)，或写入日志事件来收集DNS查询和响应日志。

邮件交换服务器事件

有几个用例可以利用邮件交换服务器生成的日志:

• 检测已知的网络钓鱼/垃圾邮件基础设施。
  • 由已知的网络钓鱼或不良的基础设施发送。
  • 示例:“打电话给我1-888-382-1222设置您的VPN -马修(技术支持)。”
• 检测邮件正文中已知的钓鱼/垃圾邮件链接。
  • 包含钓鱼链接，但根据后续事件日志执行了用户操作(即用户单击链接，查询的域出现在日志中)。
  • 示例:“点击这里下载您的VPN证书- Matthew(从技术支持)。”
• 进一步调查未知的网络钓鱼迹象。

Exchange日志的事件来源:

• EventLog上的MSExchange管理通道(称为“MSExchange Management”)
• 消息跟踪日志，默认位置为% ExchangeInstallPath % TransportRoles \ Logs \ MessageTracking

的MSExchange消息跟踪日志具有用元数据填充的字段，用于威胁搜索和DomainTools调查。它们包括:

• 客户端ip:提交消息的消息服务器/客户端的IP地址。
• client-hostname:提交消息的消息传递服务器/客户端的主机名/FQDN。
• 服务器ip:源服务器或目的服务器的IP地址。
• 服务器主机:目标服务器的主机名/FQDN。
• 一个源值字段包括DNS作为一个已知的来源。

客户机IP和客户机主机名回答“哪个基础设施发送了此消息”的问题，分析人员使用这些问题来查找有关基础设施的更多信息。

服务器IP和服务器主机名是目标地址。这回答了“这条信息是针对谁的”的问题。

主动防御注意:使用DomainTools API产品或Iris调查平台进一步调查这些字段的元数据捕获。一个与Iris一起工作的例子:

• 从MSExchange日志的client-hostname字段中提取主机名。
• 使用后续的域列表提取域，然后导入Iris。
• 与每个域相关联的域风险评分指示了该域的风险级别。
• 进一步的决策:
  • 客户端主机名和服务器IP之间的关联。
  • 隔离目标服务器IP，甚至设置更多日志记录来查找其他ioc(可能生成的eventid和其他事件，以指示进一步的妥协或横向移动)。
• 添加到黑名单，除了使用域活动表．

Windows防火墙日志记录

保存有价值的IP数据的其他日志数据来源包括来自Windows防火墙EventLog通道的防火墙日志。

主动防御注意:在防火墙网络外围使用域热列表作为屏蔽列表。

”仅用6个Windows EventID查找高级攻击和恶意软件Michael Gough(又名恶意软件考古学家)提供了这些发出攻击信号的eventid生命周期的附加信息。事件ID 5156当Windows过滤平台允许一个程序通过TCP或UDP端口连接到另一个进程(在同一台计算机上或远程计算机上)时触发。此事件源的有价值元数据指示攻击的命令和控制或来源，以及使用什么应用程序与外部或内部IP地址通信。

主动防御注意:使用DomainTools Iris Investigate API、Classic Tools API或Iris调查平台进一步调查该IP。结果包括:查找IP基础设施信息、揭示连接的基础设施、查找此IP地址的连接、反向查找IP地址。

Windows IIS服务器日志记录

<13>Sep 9 17:38:25 IIS-SERVER 2020-09-09 17:38:25 MALICIOUS_CLIENT_IP_HERE GET /welcome.png - 80 -::1 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:69.0)+Gecko/20100101+Firefox/69.0 http://localhost/ 200 00 11

上面的示例包含一个由本地托管的(测试)IIS服务器生成的syslog格式的日志事件。

例如，如果来自客户机IP的请求数量不正常(用MALICIOUS_CLIENT_IP_HERE)，分析人员可能想核实相关的IP是否恶意。

主动防御注意:执行反向DNS检查(也就是执行检查以找到与客户端IP相关的主机名/s)。通过反向DNS检查(查找主机名)，检查Iris上或API上的基础设施或相关的风险评分或威胁概要。

挑战

提高SIEM和LM存储要求和成本

与基础设施问题相关的是存储和许可方面的挑战，因为由于额外的日志记录需求，可能需要增加容量。然而，有一些解决方案可以解决这些问题。乐动体育网址它们包括有针对性的日志记录(有选择地只收集某些eventid或日志通道)、重复数据删除日志、删除日志事件的不必要元数据字段、批处理压缩日志记录等等。

其他可能增加的相关费用包括:

1. 订阅费用．这些是日志代理或LM/SIEM合并以数据摄取为中心的订阅成本的实例。可能有使用Community Edition或自由代理的用户或客户具有事件摄入限制。
2. 人员成本．管理员或其他专门人员可能需要部署在需要基于代理的日志记录的实例或部署场景上。某些端点还需要额外的工作，例如，一个端点需要配置额外的设置来部署日志记录。

日志相关的基础设施问题

由于服务器性能下降(需要额外的处理工作)、存储问题等问题，记录查询和/或请求是有问题的。就处理相关的问题而言，每次发生查询或响应事件时，DNS服务器不仅将遥测事件解释为要收集的日志源，而且还需要将事件写入日志文件(以指定的格式)，然后发送到外部目的地。还需要额外的解析或其他丰富功能，以便在资源上提供更多与性能相关的强制执行。

日志需要结构化和规范化

事件日志需要由SIEM套件摄取，该套件具有自己的SIEM字段和模式。为了正确地摄取和丰富日志，可能需要额外的专门模块和插件(除了日志收集代理提供的模块之外)。例如，消息字段中可能有关于事件本身的有价值的信息，这些信息需要被提取出来。Linux DNS日志可以写成多种格式，这些格式也需要标准化，以便输入到SIEM中。这个规范化过程可能会增加额外的性能负担。

下一步…

.．.就是构建从这些源收集、解析和丰富事件的配置。

虽然本文不讨论如何为无数可用平台设置事件源配置，但有必要重申一些利用这些配置的方法。

工艺西格玛和其他检测规则

有一些规则可用它们已经为检测C2服务器或检测对单个域的大量查询等场景精心设计。Sigma规则驱动威胁检测的一致性，在制定了Sigma规则之后，它将被共享(或转换)，以便任何需要使用该规则的端点(如特定的SIEM平台)都可以这样做。

还提供了用于检测规则的其他资源。还有其他的检测规则在网上被制作和分享，所以下面是一个小列表:

• https://github.com/Azure/Azure-Sentinel/tree/master/Detections/DnsEvents
• https://github.com/Neo23x0/sigma/tree/master/rules
  • https://github.com/Neo23x0/sigma/tree/master/rules/proxy
  • https://github.com/Neo23x0/sigma/tree/master/rules/network
• SOC主要威胁检测市场(封闭，仅限注册，带有社区订阅选项)。TDM包含许多规则检测，如Sigma、Elastic、Azure Sentinel、CrowdStrike、Splunk、QRadar、PowerShell、Regex、RSA NetWitness、ArcSight、Carbon Black、Sysmon等等。

使用DomainTools API产品进行开发

有效的事件源覆盖将意味着调查人员将能够充分利用和利用DomainTools集成所提供的功能。例如，当您还可以从其他事件源中提取有价值的域元数据和其他元数据时，不要仅仅依赖代理日志。此外，DomainTools API产品可以用于开发您自己的集成。开始使用这里是API文档包括免费的示例查询。

在您的SIEM中使用DomainTools集成

除了api，还可以使用DomainTools集成在域元数据中查找威胁情报。

了解更多