ASimDhcpEventLogs
Schéma ASIM DHCP představuje aktivitu serveru DHCP, včetně poskytování požadavků na IP adresu DHCP zapůjčenou z klientských systémů a aktualizaci serveru DNS s udělenými zapůjčeními.
Atributy tabulky
Atribut | Hodnota |
---|---|
Typy prostředků | microsoft.securityinsights/asimtables |
Kategorie | Zabezpečení |
Řešení | SecurityInsights |
Základní protokol | No |
Transformace doby příjmu dat | Yes |
Ukázkové dotazy | - |
Sloupce
Sloupec | Typ | Description |
---|---|---|
Další pole | dynamic | Další informace reprezentované pomocí párů klíč/hodnota poskytovaných zdrojem, které se nemapují na ASim. |
_BilledSize | real | Velikost záznamu v bajtech |
DhcpCircuitId | řetězec | ID okruhu DHCP definované RFC3046. |
DhcpLeaseDuration | int | Délka zapůjčení uděleného klientovi v sekundách |
DhcpSessionDuration | int | Doba v milisekundách pro dokončení relace DHCP. |
DhcpSessionId | řetězec | Identifikátor relace nahlášený zařízením pro vytváření sestav. Pro server DHCP systému Windows nastavte pole TransactionID. |
DhcpSrcDHCId | řetězec | ID klienta DHCP definované RFC4701. |
DhcpSubscriberId | řetězec | ID odběratele DHCP definované RFC3993. |
DhcpUserClass | řetězec | Uživatelská třída DHCP definovaná RFC3004. |
DhcpUserClassId | řetězec | ID třídy uživatele DHCP definované RFC3004. |
DhcpVendorClass | řetězec | Třída dodavatele DHCP definovaná RFC3925. |
DhcpVendorClassId | řetězec | ID třídy dodavatele DHCP definované RFC3925. |
DvcAction | řetězec | V případě systémů zabezpečení generování sestav se akce přijatá systémem, pokud je to možné. |
Popis dvcDescription | řetězec | Popisný text přidružený k zařízení. |
DvcDomain | řetězec | Doména zařízení, na kterém k události došlo nebo které událost nahlásilo, v závislosti na schématu |
DvcDomainType | řetězec | Typ DvcDomain. |
DvcFQDN | řetězec | Název hostitele zařízení, na kterém k události došlo nebo které událost nahlásilo, v závislosti na schématu. |
Název hostitele dvc | řetězec | Název hostitele zařízení, na kterém k události došlo nebo které událost nahlásilo, v závislosti na schématu. |
DvcId | řetězec | Jedinečné ID zařízení, na kterém k události došlo nebo které událost nahlásilo, v závislosti na schématu. |
DvcIdType | řetězec | Typ DvcId. |
DvcInterface | řetězec | Síťové rozhraní, na kterém se data zachytávají. Toto pole je obvykle relevantní pro aktivitu související se sítí, kterou zaznamenává zprostředkující zařízení nebo zařízení pro klepnutí. |
DvcIpAddr | řetězec | IP adresa zařízení, na kterém k události došlo nebo které událost nahlásilo, v závislosti na schématu. |
DvcMacAddr | řetězec | Adresa MAC zařízení, na kterém k události došlo nebo které událost nahlásilo. |
DvcOriginalAction | řetězec | Původní akce DvcAction poskytovaná zařízením pro vytváření sestav. |
DvcO | řetězec | Operační systém spuštěný na zařízení, na kterém k události došlo nebo které událost nahlásilo. |
DvcOsVersion | řetězec | Verze operačního systému na zařízení, na kterém došlo k události nebo které událost nahlásilo. |
DvcScope | řetězec | Obor cloudové platformy, do které zařízení patří. Mapování DvcScope na název předplatného v Azure a na ID účtu v AWS |
DvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
DvcZone | řetězec | Síť, ve které k události došlo nebo která událost nahlásila, v závislosti na schématu. Zónu definuje zařízení pro vytváření sestav. |
EventCount | int | Počet událostí popsaných záznamem Tato hodnota se používá, když zdroj podporuje agregaci a jeden záznam může představovat více událostí. |
EventEndTime | datetime | Čas, ve kterém událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, je čas, kdy byla vygenerována poslední událost. Pokud zdrojový záznam nezadá, toto pole aliasuje pole TimeGenerated. |
EventMessage | řetězec | Obecná zpráva nebo popis, buď zahrnutý v záznamu, nebo vygenerovaný ze záznamu. |
EventOriginalResultDetails | řetězec | Původní podrobnosti o výsledku poskytnuté zdrojem. Tato hodnota se používá k odvození EventResultDetails, který by měl mít pouze jednu z hodnot zdokumentovaných pro každé schéma. |
EventOriginalSeverity | řetězec | Původní závažnost poskytovaná zařízením pro vytváření sestav. Tato hodnota se používá k odvození hodnoty EventSeverity. |
EventOriginalSubType | řetězec | Původní podtyp události nebo ID, pokud je zadaný zdrojem. |
EventOriginalType | řetězec | Původní typ události nebo ID, pokud je zadaný zdrojem. |
EventOriginalUid | řetězec | Jedinečné ID původního záznamu, pokud je zadaný zdrojem. |
Vlastník události | řetězec | Vlastníkem události, což je obvykle oddělení nebo dceřiná společnost, ve které se událost vygenerovala. |
EventProduct | řetězec | Produkt generující událost. Hodnota by měla být jedna z hodnot uvedených v části Dodavatelé a Produkty. |
EventProductVersion | řetězec | Verze produktu, který generuje událost. |
EventReportUrl | řetězec | Adresa URL zadaná v události pro prostředek, která poskytuje další informace o události. |
EventResult | řetězec | Výsledek události reprezentovaný jednou z následujících hodnot: Success, Partial, Failure, NA (Not Applicable). |
EventResultDetails | řetězec | Důvod nebo podrobnosti o výsledku hlášeného v poli EventResult |
EventSchema | řetězec | Schéma, na které je událost normalizována. Každé schéma dokumentuje svůj název schématu. |
EventSchemaVersion | řetězec | Verze schématu. Každé schéma dokumentuje svou aktuální verzi. |
EventSeverity | řetězec | Závažnost události. |
EventStartTime | datetime | Čas, ve kterém událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas, kdy byla vygenerována první událost. Pokud zdrojový záznam nezadá, toto pole aliasuje pole TimeGenerated. |
EventSubType | řetězec | Popisuje dílčí dělení operace hlášené v poli EventType. |
Typ události | řetězec | Popisuje operaci hlášenou záznamem. |
EventVendor | řetězec | Dodavatel produktu, který událost generuje. Hodnota by měla být jedna z hodnot uvedených v části Dodavatelé a Produkty. |
_IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud se _IsBillable false příjem dat neúčtuje na váš účet Azure |
RequestedIpAddr | řetězec | IP adresa požadovaná klientem DHCP, pokud je k dispozici. |
_Resourceid | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
Název pravidla | řetězec | Název nebo ID pravidla přidruženého k výsledkům kontroly. |
RuleNumber | int | Číslo pravidla přidruženého k výsledkům kontroly. |
SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
Popis SrcDescription | řetězec | Popisný text přidružený k zařízení. |
SrcDeviceType | řetězec | Typ zařízení. |
SrcDomain | řetězec | Doména zařízení. |
Typ domény SrcDomainType | řetězec | Typ domény. |
SrcDvcId | řetězec | ID zařízení. |
SrcDvcIdType | řetězec | Typ DvcId. |
SrcDvcScope | řetězec | Obor cloudové platformy, do které zařízení patří. |
SrcDvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. |
SrcFQDN | řetězec | Název hostitele zařízení, včetně informací o doméně, pokud jsou k dispozici. |
SrcGeoCity | řetězec | Město přidružené ke zdrojové IP adrese. |
SrcGeoCountry | řetězec | Země přidružená ke zdrojové IP adrese. |
SrcGeoLatitude | real | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
SrcGeoLongitude | real | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
Oblast SrcGeo | řetězec | Oblast v rámci země přidružené ke zdrojové IP adrese. |
Název_hostitele_hostitele | řetězec | Název hostitele zařízení s výjimkou informací o doméně. |
SrcIpAddr | řetězec | IP adresa zdrojového zařízení. |
SrcMacAddr | řetězec | Adresa MAC síťového rozhraní, ze kterého připojení nebo relace pochází. |
SrcOriginalRiskLevel | řetězec | Úroveň rizika přidružená k identifikovanému zdroji hlášenému zařízením pro hlášení. |
SrcOriginalUserType | řetězec | Typ uživatele původního zdroje, pokud je zdroj poskytnut. |
SrcPortNumber | int | Port IP, na kterém zařízení komunikovalo, pokud je to možné. |
SrcRiskLevel | int | Úroveň rizika přidružená k identifikovanému zdroji. |
SrcUserId | řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace uživatele. |
Typ SrcUserIdType | řetězec | Typ SrcUserId. |
SrcUsername | řetězec | Uživatelské jméno uživatele, včetně informací o doméně, pokud jsou k dispozici. |
SrcUsernameType | řetězec | Typ uživatelského jména. |
SrcUserScope | řetězec | Typ uživatelského jména. |
SrcUserScopeId | řetězec | ID oboru, například Azure AD ID tenanta, ve kterém jsou definované ID uživatele a uživatelské jméno. |
SrcUserSessionId | řetězec | Jedinečné ID přihlašovací relace uživatele. |
Typ uživatele SrcUserType | řetězec | Typ uživatele |
SrcUserUid | řetězec | ID uživatele systému Unix nebo Linux. |
_SubscriptionId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
ThreatCategory | řetězec | Kategorie hrozby nebo malwaru zjištěného v aktivitě |
ThreatConfidence | int | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
ThreatField | řetězec | Pole, pro které byla identifikována hrozba. |
ThreatFirstReportedTime | datetime | Při prvním zjištění IP adresy nebo domény jako hrozby. |
Id hrozby | řetězec | ID hrozby nebo malwaru zjištěného v aktivitě |
ThreatIsActive | bool | True ID identifikované hrozby se považuje za aktivní hrozbu. |
ThreatLastReportedTime | datetime | Čas, kdy byla IP adresa nebo doména naposledy identifikovány jako hrozba. |
ThreatName | řetězec | Název hrozby nebo malwaru zjištěného v aktivitě. |
ThreatOriginalConfidence | řetězec | Původní úroveň spolehlivosti zjištěné hrozby nahlášená zařízením pro hlášení. |
ThreatOriginalRiskLevel | řetězec | Úroveň rizika hlášená zařízením pro hlášení. |
ThreatRiskLevel | int | Úroveň rizika spojená se identifikovanou hrozbou. Úroveň by měla být číslo mezi 0 a 100. |
TimeGenerated | datetime | Časové razítko (UTC) odrážející čas, ve kterém byla událost vygenerována. |
Typ | řetězec | Název tabulky |
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro