使用實時發現查詢DNS Protection數據
您可以使用威脅分析中心的"實時發現"查詢DNS Protection數據。Live Discover允許您使用SQL查詢獲取比 日誌和報告中的報告更精細的數據。例如,您可以按策略動作,域或位置查詢DNS Protection數據,例如DNS查詢的數量。
要使用DNS Protection的實時發現,請進入 威脅分析中心 > 實時發現 ,然後單擊 DNS Protection(下一步)。Live Discover具有一些針對DNS Protection的內置Data Lake查詢。您可以使用這些查詢,編輯查詢或創建新查詢。要編輯這些查詢或創建新查詢,請打開 設計器模式。
注意
如果要爲DNS Protection創建新查詢,請選擇 Data Lake 作爲 源。
有關如何使用“實時發現”的信息,請參見 Live Discover。
Data Lake 架構
有關可用表和數據的資訊,可以在架構查看器中查看Data Lake架構。
要打開架構查看器,請執行以下操作:
- 進入 威脅分析中心 > 實時發現 ,然後單擊 DNS Protection(下一步)。
- 確保 **** 已打開設計器模式。
-
您可以在 Sophos Central 中的 MTR 部分進行以下動作:
- 要編輯查詢,請選擇要編輯的查詢,然後單擊 編輯。
- 若要建立查詢,請按一下 建立新查詢。
-
在 SQL 對話框的右上角,單擊 Schema (架構)。
架構查看器將在新選項卡中打開。
-
對於DNS Protection,在 Data Lake (防火牆) 下拉列表中,選擇 Firewall(防火牆)。
目前,防火牆表(xgfw_data)中包含DNS Protection字段名稱。
DNS Protection欄位名稱
下表介紹了Data Lake中的DNS Protection欄位名稱:
欄位名稱 | 說明 |
---|---|
動作 | 根據應用的策略對DNS查詢進行動作 |
位元組 | DNS查詢大小和DNS響應大小的總和 |
dns_qid | DNS查詢ID |
dns_qname | DNS查詢名稱 |
dns_qtype | DNS查詢類型 |
dns_duration | DNS請求的持續時間(以毫秒為單位) |
網域 | 查詢的域的名稱 |
domain_category | 查詢域的種類 |
domain_risk | 查詢域的風險級別 |
點擊率 | DNS請求數 |
log_type | "DNS"表示這是一個DNS Protection日誌 |
log_component | "Fe-DNS"表示這是一個DNS Protection日誌 |
object_name | 如果策略動作為"拒絕",且"原因"為"自定義域阻止或允許",則域列表的名稱 |
通訊協定 | DNS查詢使用的協議 |
策略名稱 | 用於獲取動作的策略的名稱 |
query_class | DNS查詢類,通常在中 |
query_flags | 與DNS請求關聯的DNS查詢標誌 |
query_size | DNS查詢大小(以位元組為單位) |
理由 | 策略應用動作的原因 |
response_code | DNS查詢的響應代碼 |
response_records_num | DNS響應中的記錄數 |
response_ip_num | 為DNS響應返回的IP地址數 |
resolved_ip | DNS查詢解析到的IP地址 |
response_type | DNS響應中每個RRSet的DNS記錄類型(例如,A,AAAA,CNAME) |
響應名稱 | 返回的DNS記錄的域名 |
response_class | DNS響應中每個RRSet的DNS查詢類 |
response_ttl_list | DNS響應中記錄的生存時間(TTLS)列表 |
response_size | DNS響應的總大小(以位元組為單位) |
回應 | DNS響應文本 |
riskscore | 與查詢的域相關聯的風險分數 |
security_status | DNSSEC是否已針對DNS查詢的回應進行驗證 |
src_ip | DNS查詢來源的來源IP位址 |
src_port | DNS查詢來源的來源連接埠 |
src_location | DNS查詢的起始位置 |
時間戳記 | 處理DNS查詢的時間戳 |