Pular para o conteúdo

Consultar dados do DNS Protection usando o Live Discover

Você pode consultar seus dados do DNS Protection usando o Live Discover no Centro de Análise de Ameaças. O Live Discover permite que você use consultas SQL para obter dados mais granulares do que os relatórios em Logs e Relatórios. Por exemplo, você pode consultar dados do DNS Protection, como o número de consultas DNS por ação de política, domínio ou localização.

Para usar o Live Discover com o DNS Protection, vá para Centro de Análise de Ameaças > Live Discover e clique em DNS Protection. O Live Discover tem algumas consultas do Data Lake integradas ao DNS Protection. Você pode usar essas consultas, editá-las ou criar novas consultas. Para editar essas consultas ou criar novas consultas, ative o Modo Designer.

Nota

Se você estiver criando uma nova consulta para o DNS Protection, selecione Data Lake como a Origem.

Para obter informações sobre como usar o Live Discover, consulte Live Discover.

Esquema do Data Lake

Para obter informações sobre as tabelas e dados disponíveis, você pode ver o esquema do Data Lake no visualizador de esquemas.

Para abrir o visualizador de esquemas, siga este procedimento:

  1. Vá para Centro de Análise de Ameaças > Live Discover e clique em DNS Protection.
  2. Confirme que o Modo Designer está ativado.
  3. Na seção Consulta, você pode fazer o seguinte:

    • Para editar uma consulta, selecione a consulta que deseja editar e clique em Editar.
    • Para criar uma consulta, clique em Criar nova consulta.
  4. No canto superior direito da caixa de diálogo SQL, clique em Esquema.

    Abra o visualizador de esquemas.

    O visualizador de esquemas é aberto em uma nova guia.

  5. No DNS Protection, na lista suspensa Data Lake, selecione Firewall.

    Selecione o esquema de firewall.

    Atualmente, os nomes dos campos do DNS Protection estão incluídos na tabela de firewall (xgfw_data).

Nomes dos campos do DNS Protection

A tabela a seguir descreve os nomes dos campos do DNS Protection no Data Lake:

Nome do Campo Descrição
ação Ação tomada na consulta DNS de acordo com a política aplicada
bytes Soma do tamanho da consulta DNS e do tamanho da resposta DNS
dns_qid ID da consulta DNS
dns_qname Nome da consulta DNS
dns_qtype Tipo da consulta DNS
dns_duration Duração da solicitação de DNS em milissegundos
domínio Nome do domínio consultado
domain_category Categoria do domínio consultado
domain_risk Nível de risco do domínio consultado
Acertos Número de solicitações de DNS
log_type "DNS" indica que este é um log do DNS Protection
log_component "FE-DNS" indica que este é um log do DNS Protection
object_name Nome da lista de domínio se a ação da política foi "Rejeitar" e o "Motivo" foi "Bloquear ou permitir domínio personalizado"
protocol Protocolo usado pela consulta DNS
policy_name Nome da política usada para realizar a ação
query_class Classe de consulta DNS, geralmente IN
query_flags Sinalizadores de consulta DNS associados à solicitação de DNS
query_size Tamanho da consulta DNS em bytes
razão Razão pela qual a ação foi aplicada pela política
response_code Código de resposta da consulta DNS
response_records_num Número de registros na resposta DNS
response_ip_num Número de endereços IP retornados para a resposta de DNS
resolved_ip Endereços IP para os quais a consulta DNS resolveu
response_type Tipo de registro DNS de cada um dos RRSets na resposta de DNS (por exemplo, A, AAAA, CNAME)
response_name Nomes de domínio dos registros DNS retornados
response_class Classe de consulta DNS de cada um dos RRSets na resposta de DNS
response_ttl_list Lista de TTLs (Time-to-Live) dos registros na resposta de DNS
response_size Tamanho total da resposta de DNS em bytes
response Texto de resposta de DNS
riskscore Pontuação de risco associada ao domínio consultado
security_status Se DNSSEC foi validado para as respostas à consulta DNS
src_ip Endereço IP de origem a partir do qual a consulta DNS se originou
src_port Porta de origem a partir da qual a consulta DNS se originou
src_location Local a partir do qual a consulta DNS se originou
timestamp Carimbo de data/hora de quando a consulta DNS foi processada