Consulte los datos de DNS Protection utilizando Live Discover
Puede consultar los datos de DNS Protection utilizando Live Discover en el Centro de análisis de amenazas. Live Discover le permite utilizar consultas SQL para obtener datos más granulares que los informes en Registros e informes. Por ejemplo, puede consultar datos de DNS Protection, como el número de consultas DNS por acción de política, dominio o ubicación.
Para utilizar Live Discover para DNS Protection, vaya al Centro de análisis de amenazas > Live Discover y haga clic en DNS Protection. Live Discover tiene algunas consultas de Data Lake incorporadas para DNS Protection. Puede utilizar estas consultas, editarlas o crear otras nuevas. Para editar estas consultas o crear otras nuevas, active el Modo de diseñador.
Nota
Si está creando una nueva consulta para DNS Protection, seleccione Data Lake como Origen.
Para obtener información sobre cómo utilizar Live Discover, consulte Live Discover.
Esquema de Data Lake
Para obtener información sobre las tablas y los datos disponibles, puede ver el esquema de Data Lake en el visor de esquemas.
Para abrir el visor de esquemas, haga lo siguiente:
- Vaya al Centro de análisis de amenazas > Live Discover y haga clic en DNS Protection.
- Asegúrese de que el Modo de diseñador esté activo.
-
En la sección Consulta, puede hacer lo siguiente:
- Para editar una consulta, seleccione la consulta que desea editar y haga clic en Editar.
- Para crear una consulta, haga clic en Crear consulta nueva.
-
En la esquina superior derecha del cuadro de diálogo SQL, haga clic en Esquema.
El visor de esquemas se abre en una pestaña nueva.
-
Para DNS Protection, en la lista desplegable Data Lake, seleccione Firewall.
Actualmente, los nombres de campo DNS Protection están incluidos en la tabla del firewall (xgfw_data).
Nombres de campo DNS Protection
La siguiente tabla describe los nombres de campo DNS Protection en el Data Lake:
| Nombre de campo | Descripción |
|---|---|
| acción | Acción realizada sobre la consulta DNS de acuerdo con la política aplicada |
| bytes | Suma del tamaño de la consulta DNS y del tamaño de la respuesta DNS |
| dns_qid | ID de consulta DNS |
| dns_qname | Nombre de consulta DNS |
| dns_qtype | Tipo de consulta DNS |
| dns_duration | Duración de la solicitud DNS en milisegundos |
| dominio | Nombre del dominio consultado |
| domain_category | Categoría para el dominio consultado |
| domain_risk | Nivel de riesgo para el dominio consultado |
| visitas | Número de solicitudes DNS |
| log_type | "DNS" indica que se trata de un registro de DNS Protection |
| log_component | "FE-DNS" indica que se trata de un registro de DNS Protection |
| object_name | Nombre de la lista de dominios si la acción de política fue "Rechazar" y el "Motivo" fue "Bloquear o permitir el dominio personalizado" |
| protocolo | Protocolo utilizado por la consulta DNS |
| policy_name | Nombre de la política utilizada para realizar la acción |
| query_class | Clase de consulta DNS, generalmente IN |
| query_flags | Banderas de consulta DNS asociadas a la solicitud DNS |
| query_size | Tamaño de la consulta DNS en bytes |
| razón | Razón por la cual la acción fue aplicada por la política |
| response_code | Código de respuesta de la consulta DNS |
| response_records_num | Número de registros en la respuesta DNS |
| response_ip_num | Número de direcciones IP devueltas para la respuesta DNS |
| resolved_ip | Direcciones IP a las que se resolvió la consulta DNS |
| response_type | Tipo de registro DNS para cada uno de los RRSets en la respuesta DNS (por ejemplo, A, AAAA, CNAME) |
| response_name | Nombres de dominio de los registros DNS devueltos |
| response_class | Clase de consulta DNS para cada uno de los RRSets en la respuesta DNS |
| response_ttl_list | Lista del tiempo de vida (TTL) de los registros en la respuesta DNS |
| response_size | Tamaño total de la respuesta DNS en bytes |
| response | Texto de respuesta DNS |
| riskscore | Puntuación de riesgo asociada al dominio consultado |
| security_status | Si DNSSEC fue validado para las respuestas a la consulta DNS |
| src_ip | Dirección IP de origen desde la que se originó la consulta DNS |
| src_port | Puerto de origen desde el que se originó la consulta DNS |
| src_location | Ubicación desde la que se originó la consulta DNS |
| timestamp | Marca de tiempo de cuando se procesó la consulta DNS |