Esecuzione di query sui dati di DNS Protection utilizzando Live Discover
È possibile eseguire query sui dati di DNS Protection utilizzando Live Discover nel Centro di analisi delle minacce. Live Discover consente di utilizzare le query SQL per ottenere dati più granulari rispetto ai report di Log e report. Ad esempio, è possibile eseguire query sui dati di DNS Protection come il numero di query DNS in base all’azione del criterio, al dominio o alla posizione.
Per utilizzare Live Discover per DNS Protection, aprire Centro di analisi delle minacce > Live Discover e cliccare su DNS Protection. Live Discover include alcune query nel Data Lake integrate per DNS Protection. È possibile utilizzare queste query, modificarle o crearne di nuove. Per modificare queste query o crearne di nuove, attivare la Modalità progettazione.
Nota
Se si sta creando una nuova query per DNS Protection, selezionare Data Lake come Origine.
Per informazioni su come utilizzare Live Discover, vedere Live Discover.
Schema del Data Lake
Per informazioni sulle tabelle e sui dati disponibili, è possibile consultare lo schema del Data Lake nel visualizzatore schema.
Per aprire il visualizzatore schema, procedere come segue:
- Aprire Centro di analisi delle minacce > Live Discover e cliccare su DNS Protection.
- Verificare che la Modalità progettazione sia attivata.
-
Nella sezione Query, è possibile svolgere le seguenti operazioni:
- Per modificare una query, selezionare la query che si desidera modificare e cliccare su Modifica.
- Per creare una query, cliccare su Crea nuova query.
-
Nell’angolo in alto a destra della finestra di dialogo SQL, cliccare su Schema.
Il visualizzatore schema si aprirà in una nuova scheda.
-
Per DNS Protection, nell’elenco a discesa Data Lake, selezionare Firewall.
Attualmente, i nomi dei campi per DNS Protection sono inclusi nella tabella del firewall (xgfw_data).
Nomi dei campi per DNS Protection
La tabella riportata di seguito descrive i nomi dei campi per DNS Protection nel Data Lake:
| Nome campo | Descrizione |
|---|---|
| action | Azione eseguita sulla query DNS in base al criterio applicato |
| bytes | Somma delle dimensioni della query DNS e della risposta DNS |
| dns_qid | ID della query DNS |
| dns_qname | Nome della query DNS |
| dns_qtype | Tipo di query DNS |
| dns_duration | Durata della richiesta DNS in millisecondi |
| domain | Nome del dominio nel quale viene eseguita la query |
| domain_category | Categoria per il dominio nel quale viene eseguita la query |
| domain_risk | Livello di rischio per il dominio nel quale viene eseguita la query |
| hits | Numero di richieste DNS |
| log_type | “DNS” indica che si tratta di un log di DNS Protection |
| log_component | “FE-DNS” indica che si tratta di un log di DNS Protection |
| object_name | Nome dell’elenco dei domini, se l’azione del criterio era “Reject” (Rifiuta) e “Reason” (Motivo) era “Custom Domain Block or Allow” (Blocco o autorizzazione del dominio personalizzato) |
| protocol | Protocollo utilizzato dalla query DNS |
| policy_name | Nome del criterio utilizzato per eseguire l’azione |
| query_class | Classe della query DNS, di solito IN |
| query_flags | Flag della query DNS associati alla richiesta DNS |
| query_size | Dimensioni della query DNS in byte |
| reason | Motivo per cui l’azione è stata applicata dal criterio |
| response_code | Codice di risposta della query DNS |
| response_records_num | Numero di record nella risposta DNS |
| response_ip_num | Numero di indirizzi IP restituiti per la risposta DNS |
| resolved_ip | Indirizzi IP nei quali si risolve la query DNS |
| response_type | Tipo di record DNS per ciascuno degli RRSets nella risposta DNS (ad esempio A, AAAA, CNAME) |
| response_name | Nomi di dominio dei record DNS restituiti |
| response_class | Classe di query DNS per ciascuno degli RRSets nella risposta DNS |
| response_ttl_list | Elenco di Time to Live (TTL) dei record nella risposta DNS |
| response_size | Dimensioni totali della risposta DNS in byte |
| response | Testo della risposta DNS |
| riskscore | Punteggio di rischio associato al dominio nel quale viene eseguita la query |
| security_status | Se la DNSSEC è stata convalidata per le risposte alla query DNS |
| src_ip | Indirizzo IP di origine dal quale ha avuto origine la query DNS |
| src_port | Porta di origine dalla quale ha avuto origine la query DNS |
| src_location | Posizione dalla quale ha avuto origine la query DNS |
| timestamp | Timestamp di quando è stata elaborata la query DNS |