DNS-Protection-Daten mit Live Discover abfragen
Sie können Ihre DNS-Protection-Daten mithilfe von Live Discover im Bedrohungsanalyse-Center abfragen. Mit Live Discover können Sie SQL-Abfragen verwenden, um detailliertere Daten als die Berichte unter Protokolle und Berichte zu erhalten. Sie können zum Beispiel DNS-Protection-Daten abfragen, wie etwa die Anzahl der DNS-Abfragen nach Richtlinienaktion, Domäne oder Standort.
Um Live Discover für DNS Protection zu verwenden, gehen Sie zu Bedrohungsanalyse-Center > Live Discover und klicken Sie auf DNS Protection. Live Discover hat einige integrierte Data-Lake-Abfragen für DNS Protection. Sie können diese Abfragen verwenden, bearbeiten oder neue Abfragen erstellen. Um diese Abfragen zu bearbeiten oder neue Abfragen zu erstellen, aktivieren Sie den Designermodus.
Hinweis
Wenn Sie eine neue Abfrage für DNS Protection erstellen, wählen Sie Data Lake als Quelle aus.
Für Informationen zum Verwenden von Live Discover, siehe Live Discover.
Data-Lake-Schema
Informationen zu den verfügbaren Tabellen und Daten finden Sie im Schema Viewer unter Data Lake.
Verfahren Sie zum Öffnen des Schema Viewers wie folgt:
- Gehen Sie zu Bedrohungsanalyse-Center > Live Discover und klicken Sie auf DNS Protection.
- Stellen Sie sicher, dass Designermodus aktiviert ist.
-
Im Bereich Abfrage können Sie wie folgt verfahren:
- Um eine Abfrage zu bearbeiten, wählen Sie die Abfrage aus, die Sie bearbeiten möchten, und klicken Sie auf Bearbeiten.
- Um eine Abfrage zu erstellen, klicken Sie auf Neue Abfrage erstellen.
-
Klicken Sie in der oberen rechten Ecke des Dialogfelds SQL auf Schema.
Der Schema Viewer wird in einer neuen Registerkarte geöffnet.
-
Wählen Sie für DNS Protection in der Dropdown-Liste Data Lake die Option Firewall aus.
Derzeit sind die DNS-Protection-Feldnamen in der Firewall-Tabelle enthalten (xgfw_data).
DNS-Protection-Feldnamen
In der folgenden Tabelle werden die DNS-Protection-Feldnamen im Data Lake beschrieben:
| Feldname | Beschreibung |
|---|---|
| action | Aktion für die DNS-Abfrage gemäß der angewendeten Richtlinie |
| Bytes | Summe der DNS-Abfragegröße und DNS-Antwortgröße |
| dns_qid | DNS-Abfrage-ID |
| dns_qname | DNS Query-Name |
| dns_qtype | DNS-Abfragetyp |
| dns_duration | Dauer der DNS-Abfrage in Millisekunden |
| domain | Name der abgefragten Domäne |
| domain_category | Kategorie für die abgefragte Domäne |
| domain_risk | Risikostufe für die abgefragte Domäne |
| Aufrufe | Anzahl DNS-Anfragen |
| log_type | „DNS“ gibt an, dass es sich um ein DNS-Protection-Protokoll handelt |
| log_component | „FE-DNS“ gibt an, dass es sich um ein DNS-Protection-Protokoll handelt |
| object_name | Name der Domänenliste, wenn die Richtlinienaktion „Ablehnen“ und „Grund“ „Benutzerdefinierte Domäne Blockieren oder Zulassen“ war |
| Protokoll | Protokoll, das von der DNS-Abfrage verwendet wird |
| policy_name | Name der Richtlinie, mit der die Aktion ausgeführt wird |
| query_class | DNS-Abfrageklasse, normalerweise IN |
| query_flags | Mit der DNS-Anfrage verknüpfte DNS-Abfrage-Flags |
| query_size | Größe der DNS-Abfrage in Byte |
| Grund | Grund, aus dem die Aktion von der Richtlinie angewendet wurde |
| response_code | Antwortcode der DNS-Abfrage |
| response_records_num | Anzahl der Datensätze in der DNS-Antwort |
| response_ip_num | Anzahl der für die DNS-Antwort zurückgegebenen IP-Adressen |
| resolved_ip | IP-Adressen, in die die DNS-Abfrage aufgelöst wurde |
| response_type | DNS-Datensatztyp für jedes der RRSets in der DNS-Antwort (zum Beispiel A, AAAA, CNAME) |
| response_name | Domänennamen der zurückgegebenen DNS-Datensätze |
| response_class | DNS-Abfrageklasse für jedes der RRSets in der DNS-Antwort |
| response_ttl_list | Liste der Time-to-Live (TTLS) der Datensätze in der DNS-Antwort |
| response_size | Gesamtgröße der DNS-Antwort in Byte |
| Antwort | DNS-Antworttext |
| riskscore | Risikobewertung, die mit der abgefragten Domäne verknüpft ist |
| security_status | Gibt an, ob DNSSEC für die Antworten auf die DNS-Abfrage validiert wurde |
| src_ip | Quell-IP-Adresse, von der die DNS-Abfrage stammt |
| src_port | Quellport, von dem die DNS-Abfrage stammt |
| src_location | Standort, von dem die DNS-Abfrage stammt |
| Zeitstempel | Zeitstempel der Verarbeitung der DNS-Abfrage |