预置条件说明
SIP3.0.53及以上版本并支持siem接入;
Siem有接入授权;
仅支持windows server2008、windows server 2012做DNS服务器
客户同意服务器可安装nxlog。
配置DNS服务器资产
登录SIP,在[资产感知/资产管理/主机资产]页面,确保DNS主机的类型配置正确,如下图所示。
SIEM分析系统新增采集器
在SIP的[SIEM分析系统/采集器管理页面],点击<新增>,如下图所示,配置好DNS服务器的IP地址,类型选择“DNS Log”
配置DNS服务器生成DNS日志(在DNS服务器上操作)
1. 如果DNS服务器上没有“服务器管理器”,在控制面板\程序\打开或关闭Windows功能,将服务器管理器勾选上。
2.打开服务器管理器,点击服务器管理器-角色-dns服务器-服务器名称,右键进入属性编辑框,点击“属性”
3. 配置“调试日志”,勾选以下几项:
注:1.需要勾选图上勾了的几项。2.需要指定日志文件路径和名称
安装nxlog工具(在DNS服务器上操作)
在DNS服务器上安装我们提供的nxlog安装包,默认会安装在C:\Program Files (x86)\nxlog\,然后修改其配置文件C:\Program Files (x86)\nxlog\conf\nxlog.conf,在该文件的最下方,新增以下内容:
<Input in> Module im_file File 'C:\Program Files (x86)\dns.log'(注意这个地方就是上文配的日志路径) </Input> <Output out> Module om_udp Host 10.10.10.10(注意这个地方要改成客户的SIP的ip地址) Port 514 </Output> <Route route> Path in => out </Route> |
最终效果如下图所示(若编辑不成功,可能需要用管理员权限的记事本打开才能编辑)
启动nxlog插件
用管理员权限打开cmd,运行sc start nxlog,即可启动nxlog
将DNS服务器作为源地址添加到安全白名单,避免通过STA等其他设备发送过来的日志导致DNS服务器报失陷。
后续可以观察SIP的第三方日志以及安全事件,只要客户把内网主机都在资产感知模块配置正确,DNS代理误判的问题即可解决。
插件影响说明
Nxlog是一个独立运行的开源组件,不影响其他系统功能,对系统资源的占用很少
回退操作
Nxlog是一个独立运行的开源组件,直接卸载nxlog即可
建议使用Chrome浏览器访问!
