Consultar dados do DNS Protection usando o Live Discover
Você pode consultar seus dados do DNS Protection usando o Live Discover no Centro de Análise de Ameaças. O Live Discover permite que você use consultas SQL para obter dados mais granulares do que os relatórios em Logs e Relatórios. Por exemplo, você pode consultar dados do DNS Protection, como o número de consultas DNS por ação de política, domínio ou localização.
Para usar o Live Discover com o DNS Protection, vá para Centro de Análise de Ameaças > Live Discover e clique em DNS Protection. O Live Discover tem algumas consultas do Data Lake integradas ao DNS Protection. Você pode usar essas consultas, editá-las ou criar novas consultas. Para editar essas consultas ou criar novas consultas, ative o Modo Designer.
Nota
Se você estiver criando uma nova consulta para o DNS Protection, selecione Data Lake como a Origem.
Para obter informações sobre como usar o Live Discover, consulte Live Discover.
Esquema do Data Lake
Para obter informações sobre as tabelas e dados disponíveis, você pode ver o esquema do Data Lake no visualizador de esquemas.
Para abrir o visualizador de esquemas, siga este procedimento:
- Vá para Centro de Análise de Ameaças > Live Discover e clique em DNS Protection.
- Confirme que o Modo Designer está ativado.
-
Na seção Consulta, você pode fazer o seguinte:
- Para editar uma consulta, selecione a consulta que deseja editar e clique em Editar.
- Para criar uma consulta, clique em Criar nova consulta.
-
No canto superior direito da caixa de diálogo SQL, clique em Esquema.
O visualizador de esquemas é aberto em uma nova guia.
-
No DNS Protection, na lista suspensa Data Lake, selecione Firewall.
Atualmente, os nomes dos campos do DNS Protection estão incluídos na tabela de firewall (xgfw_data).
Nomes dos campos do DNS Protection
A tabela a seguir descreve os nomes dos campos do DNS Protection no Data Lake:
| Nome do Campo | Descrição |
|---|---|
| ação | Ação tomada na consulta DNS de acordo com a política aplicada |
| bytes | Soma do tamanho da consulta DNS e do tamanho da resposta DNS |
| dns_qid | ID da consulta DNS |
| dns_qname | Nome da consulta DNS |
| dns_qtype | Tipo da consulta DNS |
| dns_duration | Duração da solicitação de DNS em milissegundos |
| domínio | Nome do domínio consultado |
| domain_category | Categoria do domínio consultado |
| domain_risk | Nível de risco do domínio consultado |
| Acertos | Número de solicitações de DNS |
| log_type | "DNS" indica que este é um log do DNS Protection |
| log_component | "FE-DNS" indica que este é um log do DNS Protection |
| object_name | Nome da lista de domínio se a ação da política foi "Rejeitar" e o "Motivo" foi "Bloquear ou permitir domínio personalizado" |
| protocol | Protocolo usado pela consulta DNS |
| policy_name | Nome da política usada para realizar a ação |
| query_class | Classe de consulta DNS, geralmente IN |
| query_flags | Sinalizadores de consulta DNS associados à solicitação de DNS |
| query_size | Tamanho da consulta DNS em bytes |
| razão | Razão pela qual a ação foi aplicada pela política |
| response_code | Código de resposta da consulta DNS |
| response_records_num | Número de registros na resposta DNS |
| response_ip_num | Número de endereços IP retornados para a resposta de DNS |
| resolved_ip | Endereços IP para os quais a consulta DNS resolveu |
| response_type | Tipo de registro DNS de cada um dos RRSets na resposta de DNS (por exemplo, A, AAAA, CNAME) |
| response_name | Nomes de domínio dos registros DNS retornados |
| response_class | Classe de consulta DNS de cada um dos RRSets na resposta de DNS |
| response_ttl_list | Lista de TTLs (Time-to-Live) dos registros na resposta de DNS |
| response_size | Tamanho total da resposta de DNS em bytes |
| response | Texto de resposta de DNS |
| riskscore | Pontuação de risco associada ao domínio consultado |
| security_status | Se DNSSEC foi validado para as respostas à consulta DNS |
| src_ip | Endereço IP de origem a partir do qual a consulta DNS se originou |
| src_port | Porta de origem a partir da qual a consulta DNS se originou |
| src_location | Local a partir do qual a consulta DNS se originou |
| timestamp | Carimbo de data/hora de quando a consulta DNS foi processada |