Detalles de Registro de Datos<\/b><\/h4>\n
El tipo de registro anal\u00edtico<\/b> aplicado a trav\u00e9s de esta funci\u00f3n contiene gran parte del d\u00eda a d\u00eda los detalles operativos del servidor DNS, y aunque se registran muchos tipos de datos, incluidas las solicitudes de transferencia de zona, las respuestas y las actualizaciones din\u00e1micas, de los forenses y de an\u00e1lisis de amenazas nos centraremos en tipos de datos QUERY_RECEIVED y RESPONSE_SUCCESS en este ejemplo. Estos forman el n\u00facleo de la colecci\u00f3n interna actual y representan el mayor reto en la colecci\u00f3n debido a los vol\u00famenes de datos.<\/p>\n
QUEY_RECEIVED and RESPONSE_SUCCESS events that are logged contain a number of the fields that make up a query and response, but crucially also contain the full packet data received enabling the processing of any aspect of one of these objects. Eventos <\/p>\n
QUEY_RECEIVED y RESPONSE_SUCCESS que se registran contienen un n\u00famero de los campos que componen una consulta y la respuesta, pero fundamentalmente tambi\u00e9n contienen los datos de paquete completo recibido permitiendo el procesamiento de cualquier aspecto de una de estos objetos. Aqu\u00ed podemos ver un caso ejemplo respuesta de las aplicaciones y servicios Logs \\ Microsoft \\ Windows \\<\/b> log anal\u00edtica DNS-Servidor<\/b> <\/b>\u2013 –<\/p>\n
El registro de estos datos se implement\u00f3 como un ETW (seguimiento de eventos para Windows) proveedor. Muchos tipos de eventos de Windows est\u00e1n habilitados a trav\u00e9s de este mecanismo, y permiten un alto registro de rendimiento de los datos, y la suscripci\u00f3n a estos proveedores a trav\u00e9s de sus GUID \u00fanicos. En el caso de que el proveedor Microsoft-Windows-ServidorDNS, GUID {EB79061A-A566-4698-9119-3ED2807060E7}<\/strong> se utiliza como su identidad. <\/p>\n Windows viene con muchas herramientas para grabar muestras de estos datos, como tracelog,<\/em> que registrar\u00e1 los eventos que ofrece el canal de ETW y escribirlos en un archivo. El visor de sucesos de Windows se replica en esencia este modelo de suscripci\u00f3n al presentar al administrador con una vista de estos acontecimientos, la escritura de la muestra recogida a una ubicaci\u00f3n de archivo temporal. Como ejemplo, aqu\u00ed es la ubicaci\u00f3n de los datos subyacentes a la funci\u00f3n de registro de DNS mejorado –<\/p>\n %SystemRoot%\\System32\\Winevt\\Logs\\Microsoft-Windows-DNSServer%4Analytical.etl<\/b> % <\/b><\/font><\/font><\/p>\n Uno de los m\u00e9todos de recopilaci\u00f3n de eventos de los servidores de Windows es Windows Event Collection (WEC). WEC es un mecanismo integrado en Windows que enviar\u00e1 una representaci\u00f3n XML de un evento a un servidor de recopilaci\u00f3n configurado, basado en un filtro especificando un criterio identificador de evento y de selecci\u00f3n. <\/p>\n WEC, sin embargo, s\u00f3lo se puede configurar para los tipos de registro de ‘Operacional’. <\/b>Estos eventos operacionales se almacenan en una ubicaci\u00f3n permanente enrollado dentro de un archivo .evtx en el host. Cuando se crean estos eventos tambi\u00e9n se escriben a trav\u00e9s del servicio de sucesos de Windows Collector, que realiza el reenv\u00edo de acogida. <\/p>\n Si deseas mas informaci\u00f3n sobre la colecci\u00f3n de eventos de Windows, consulte el art\u00edculo siguiente en MSDN: https:\/\/msdn.microsoft.com\/en-us\/library\/windows\/desktop\/bb427443(v=vs.85).aspx<\/a> <\/p>\n Hay una sobrecarga inherente a registrar un evento de esta manera, y es el registro de consultas DNS raz\u00f3n y la respuesta se implementa como un "anal\u00edtico". Tipos de registros anal\u00edticos no escribir eventos a trav\u00e9s del servicio de WEC y como tales tienen un impacto en el rendimiento m\u00e1s bajo. Esto ayuda a darnos la victoria rendimiento insignificante mencionamos anteriormente en un alto QPS en el orden de 100 mil consultas por segundo.<\/p>\n Para los servidores que no cuentan con este tipo de necesidades altas QPS, utilizando WEC desde un canal operativo se convierte en una opci\u00f3n m\u00e1s viable. Los servidores DNS internos que sirven una red empresarial dedicada pueden tener requisitos significativamente menores QPS (alrededor de 10.000 QPS). En estos niveles, la colecci\u00f3n sobre WEC se convierte en un escenario m\u00e1s realista. Adem\u00e1s, desde un punto de vista de an\u00e1lisis de seguridad de la mayor\u00eda de las preguntas y respuestas para los dominios de renombre tales como * .microsoft.com, son menos valiosos para nosotros y puede ser disminuido, lo que reduce a\u00fan m\u00e1s la efectiva QPS registra para WEC.<\/p>\n Para el proyecto interno de Microsoft, un colector de eventos de alto rendimiento se implement\u00f3 que consume los eventos QUERY_RECEIVED y RESPONSE_SUCCESS del canal ETW en los servidores DNS.Este consumidor filtra los dominios de gran reputaci\u00f3n que son menos valiosos para nosotros para el an\u00e1lisis de seguridad y escribe \u00e9stos en un registro equivalente operativo listo para la recolecci\u00f3n a trav\u00e9s de canales WEC normales. Este esquema le ofrece una visi\u00f3n general de alto nivel de la funcionalidad de esta herramienta –<\/p>\n Selecci\u00f3n de nombres de dominio para el filtrado puede ser un acto de equilibrio que requiere el modelado utilizando datos de la muestra. La carga de demasiados filtros de dominio de la herramienta puede causar el procesamiento de un-necesario, mientras que dejar que los dominios de alto volumen a trav\u00e9s de la escritora evento puede resultar en volumen un-necesario y los costos de almacenamiento asociados.<\/p>\n Los clientes pueden recoger una muestra de datos de consulta y respuesta de la tala anal\u00edtica en un archivo .etl de un servidor DNS en su red. Este archivo ETL puede ser analizado para el volumen consultado dominios superiores en t\u00e9rminos de dominio de segundo nivel (SLD). <\/p>\n Tomando los mejores SLD, con exclusi\u00f3n del condado TLD como clientes .co.uk puede modelar la reducci\u00f3n del volumen de consultas por la aplicaci\u00f3n de varios filtros SLD, y extrapolar estos para la cobertura de red de la empresa. Estas cifras se pueden utilizar para calcular los costes de almacenamiento aproximados de la implementaci\u00f3n de una soluci\u00f3n de este tipo. Por otra parte, datos como los Alexa Top 100 SLD se pueden tomar como punto de partida y refinadas como sea necesario para ajustarse a las necesidades de la empresa.<\/p>\n En nuestro prototipo, un valor de 100 SLD fue elegido para la aplicaci\u00f3n sobre la base de datos de la muestra registrados en la red. Esto dio lugar a una reducci\u00f3n del volumen de 3.286 QPS de nuestro conjunto de datos de la muestra, a 136 QPS, 4,13% del volumen total. La tasa efectiva QPS extrapolarse para el conjunto de la red se reduce significativamente en este escenario, f\u00e1cilmente manejable por grandes datos y la infraestructura de WEC.<\/p>\n Se ha trabajado para realizar un piloto con el registro anal\u00edtico, y la herramienta de consumo \/ filtrado ETW a la infraestructura DNS corporativa de Microsoft. El proyecto piloto se puso en marcha a los 29 servidores de almacenamiento en cach\u00e9 de DNS. Una peque\u00f1a instant\u00e1nea del volumen de consultas que este proyecto estaba tratando con es:<\/p>\n![\"www.radians.com.ar\"](\"http:\/\/www.radians.com.ar\/Articulos\/Images2014\/NetworkForensicsconWindowsDNSAnalyticalL_182\/a01_thumb.jpg\" "\\"www.radians.com.ar\\"")
<\/a> <\/p>\nImplementaci\u00f3n<\/b><\/h4>\n
![\"www.radians.com.ar\"](\"http:\/\/www.radians.com.ar\/Articulos\/Images2014\/NetworkForensicsconWindowsDNSAnalyticalL_182\/a02_thumb.png\" "\\"www.radians.com.ar\\"")
<\/a> El visor de eventos act\u00faa como un navegador para este archivo.<\/p>\nRecolecci\u00f3n de Datos<\/strong><\/h4>\n
![\"www.radians.com.ar\"](\"http:\/\/www.radians.com.ar\/Articulos\/Images2014\/NetworkForensicsconWindowsDNSAnalyticalL_182\/a03_thumb.jpg\" "\\"www.radians.com.ar\\"")
<\/a> <\/p>\nQuery Volume Modelling<\/h4>\n
Resultados de la prueba Piloto<\/b><\/h4>\n
![\"www.radians.com.ar\"](\"http:\/\/www.radians.com.ar\/Articulos\/Images2014\/NetworkForensicsconWindowsDNSAnalyticalL_182\/a04_thumb.jpg\" "\\"www.radians.com.ar\\"")
<\/a><\/p>\n