ASimDnsActivityLogs
Schéma aktivity ASim DNS představuje aktivitu protokolu DNS, kterou může protokolovat server DNS nebo zařízení odesílající požadavky DNS na server DNS. Aktivita protokolu DNS zahrnuje dotazy DNS, aktualizace serveru DNS a hromadné přenosy dat DNS. Vzhledem k tomu, že schéma představuje aktivitu protokolu, řídí se dokumentem RFC a oficiálně přiřazenými seznamy parametrů. Schéma aktivity DNS nepředstavuje události auditu serveru DNS.
Atributy tabulky
Atribut | Hodnota |
---|---|
Typy prostředků | microsoft.securityinsights/dnsnormalized |
Kategorie | Zabezpečení |
Řešení | SecurityInsights |
Základní protokol | No |
Transformace doby příjmu dat | Yes |
Ukázkové dotazy | Ano |
Sloupce
Sloupec | Typ | Description |
---|---|---|
Další pole | dynamic | Další informace reprezentované pomocí párů klíč/hodnota od zdroje, které se nemapují na ASim. |
_BilledSize | real | Velikost záznamu v bajtech |
DnsFlags | řetězec | Příznaky požadavků DNS, které poskytuje zařízení pro generování sestav. Struktura informací o příznakech DNS se může u různých zařízení pro generování sestav lišit. |
DnsFlagsAuthenticated | bool | Příznak odpovědi ověřené službou DNS, který souvisí s DNSSEC, v odpovědi indikuje, že všechna data zahrnutá v částech odpovědi a autority v odpovědi byla serverem ověřena podle zásad tohoto serveru. Další informace najdete v dokumentu RFC 3655 Oddíl 6.1. |
DnsFlagsAuthoritative | bool | Příznak autoritativní odpovědi DNS označuje, jestli byla odpověď ze serveru autoritativní. |
DnsFlagsCheckingDisabled | bool | Příznak DNS CD, který souvisí s DNSSEC, indikuje v dotazu, že neověřená data jsou pro systém odesílající dotaz přijatelná. |
DnsFlagsRecursionAvailable | bool | Příznak DNS RA v odpovědi označuje, že daný server podporuje rekurzivní dotazy. |
DnsFlagsRecursionDesired | bool | Příznak požadované rekurze DNS v požadavku označuje, že klient chce, aby server používal rekurzivní dotazy. |
DnsFlagsTruncated | bool | Příznak DNS TC označuje, že odpověď byla zkrácena, protože překročila maximální velikost odpovědi. |
DnsFlagsZ | bool | Příznak DNS Z je zastaralý příznak DNS, který můžou hlásit starší systémy DNS. |
DnsNetworkDuration | int | Doba dokončení požadavku DNS v milisekundách. |
DnsQuery | řetězec | Doména, kterou je potřeba přeložit. |
Třída DnsQuery | int | ID třídy DNS definované autoritou IANA (Internet Assigned Numbers Authority). |
DnsQueryClassName | řetězec | Název třídy DNS definovaný autoritou IANA (Internet Assigned Numbers Authority). |
DnsQueryType | int | Kódy typů záznamů o prostředku DNS definované autoritou IANA (Internet Assigned Numbers Authority). |
DnsQueryTypeName | řetězec | Název typu záznamu prostředku DNS definovaný autoritou IANA (Internet Assigned Numbers Authority). |
DnsResponseCode | int | Kód číselné odpovědi DNS definovaný autoritou IANA (Internet Assigned Numbers Authority). |
DnsResponseIpCity | řetězec | Město přidružené k IP adrese odpovědi. |
DnsResponseIpCountry | řetězec | Země přidružená k IP adrese odpovědi. |
DnsResponseIpLatitude | real | Zeměpisná šířka zeměpisné souřadnice přidružené k IP adrese odpovědi. |
DnsResponseIpLongitude | real | Zeměpisná délka zeměpisné souřadnice přidružené k IP adrese odpovědi. |
DnsResponseIpRegion | řetězec | Oblast nebo stát v rámci země přidružený ke zdrojové IP adrese. |
DnsResponseName | řetězec | Obsah odpovědi uvedený v záznamu. Struktura dat odpovědí DNS se může u různých zařízení pro generování sestav lišit. |
Id dnsSession | řetězec | Identifikátor relace DNS nahlášený zařízením pro generování sestav. |
Dst | řetězec | Jedinečný identifikátor serveru, který přijal požadavek DNS. |
Popis DstDescription | řetězec | Popisný text přidružený k cíli. |
DstDeviceType | řetězec | Typ cílového zařízení. |
Doména DstDomain | řetězec | Doména cílového zařízení. |
DstDomainType | řetězec | Typ DstDomain. |
DstDvcId | řetězec | ID cílového zařízení. |
DstDvcIdType | řetězec | Typ DstDvcId. |
DstDvcScope | řetězec | Obor cloudové platformy, do které cílové zařízení patří. DvcScope se mapuje na předplatné v Azure a na účet v AWS. |
DstDvcScopeId | řetězec | ID oboru cloudové platformy, do které patří cílové zařízení. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
DstFQDN | řetězec | Název hostitele cílového zařízení, včetně informací o doméně, pokud jsou k dispozici. |
DstGeoCity | řetězec | Město přidružené k cílové IP adrese. |
DstGeoCountry | řetězec | Země přidružená k cílové IP adrese. |
DstGeoLatitude | real | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. |
DstGeoLongitude | real | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. |
Oblast DstGeo | řetězec | Oblast nebo stát v rámci země přidružené k cílové IP adrese. |
Název hostitele Dst | řetězec | Název hostitele cílového zařízení s výjimkou informací o doméně. |
DstIpAddr | řetězec | IP adresa serveru, který přijímá požadavek DNS. Pro běžný požadavek DNS je tato hodnota obvykle zařízení pro vytváření sestav a ve většině případů nastavená na 127.0.0.1. |
DstOriginalRiskLevel | řetězec | Úroveň rizika přidružená k cílovému zařízení hlášená zařízením pro hlášení. |
DstPortNumber | int | Číslo cílového portu. |
DstRiskLevel | int | Úroveň rizika přidružená k cílovému zařízení. |
Dvc | řetězec | Jedinečný identifikátor zařízení, které hlásí událost. Identifikátorem může být IP adresa, název hostitele nebo ID zařízení. |
DvcAction | řetězec | Akce, kterou na žádost provede zařízení pro vytváření sestav, například jeho blokování. |
Popis dvcDescription | řetězec | Popisný text přidružený k zařízení. Příklad: Primární řadič domény. |
DvcDomain | řetězec | Doména zařízení, které událost hlásí. |
DvcDomainType | řetězec | Typ DvcDomain. Mezi možné hodnoty patří "Windows" a "FQDN". |
DvcFQDN | řetězec | Plně kvalifikovaný název hostitele, včetně informací o doméně, zařízení, které událost hlásí. |
Název hostitele dvc | řetězec | Název hostitele zařízení, které událost hlásí. |
DvcId | řetězec | Jedinečné ID zařízení, které událost hlásí. |
DvcIdType | řetězec | Typ DvcId. |
DvcInterface | řetězec | Síťové rozhraní, na kterém se data zachytávají. Toto pole je obvykle relevantní pro aktivitu související se sítí, kterou zaznamenává zprostředkující zařízení nebo zařízení pro klepnutí. |
DvcIpAddr | řetězec | IP adresa zařízení, které událost hlásí. |
DvcMacAddr | řetězec | Adresa MAC zařízení, které událost hlásí. |
DvcOriginalAction | řetězec | Původní akce DvcAction poskytovaná zařízením pro vytváření sestav. |
DvcO | řetězec | Operační systém spuštěný na zařízení, které hlásí událost. |
DvcOsVersion | řetězec | Verze operačního systému na zařízení, které hlásí událost. |
DvcScope | řetězec | Obor cloudové platformy, do které zařízení patří. Mapování DvcScope na ID předplatného v Azure a na ID účtu v AWS. |
DvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
DvcZone | řetězec | Síťový segment zařízení, které hlásí událost. |
EventCount | int | Počet událostí popsaných záznamem Tato hodnota se používá, když zdroj podporuje agregaci a jeden záznam může představovat více událostí. |
EventEndTime | datetime | Čas, kdy událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování poslední události. Pokud zdrojový záznam nezadá, toto pole aliasuje pole TimeGenerated. |
EventMessage | řetězec | Obecná zpráva nebo popis. |
EventOriginalSeverity | řetězec | Původní závažnost poskytovaná zařízením pro vytváření sestav. Tato hodnota se používá k odvození hodnoty EventSeverity. |
EventOriginalType | řetězec | Původní typ události nebo ID, například původní ID události systému Windows. |
EventOriginalUid | řetězec | Jedinečné ID původního záznamu. |
Vlastník události | řetězec | Vlastníkem události, což je obvykle oddělení nebo dceřiná společnost, ve které se událost vygenerovala. |
EventProduct | řetězec | Produkt generující událost. |
EventProductVersion | řetězec | Verze produktu, který generuje událost. |
EventReportUrl | řetězec | Adresa URL prostředku, která poskytuje další informace o události. |
EventResult | řetězec | Výsledek události reprezentovaný jednou z následujících hodnot: Success, Partial, Failure, NA (Not Applicable). Hodnota nemusí být poskytována přímo zdroji, v takovém případě je odvozena z jiných polí událostí, například pole EventResultDetails. |
EventResultDetails | řetězec | Kód odpovědi DNS definovaný autoritou IANA (Internet Assigned Numbers Authority). |
EventSchemaVersion | řetězec | Verze schématu. |
EventSeverity | řetězec | Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
EventStartTime | datetime | Čas, kdy událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování první události. Pokud zdrojový záznam nezadá, toto pole aliasuje pole TimeGenerated. |
EventSubType | řetězec | Buď požadavek, nebo odpověď. |
Typ události | řetězec | Označuje operaci hlášenou záznamem. U událostí aktivit DNS je tato hodnota opcode DNS definovaná autoritou IANA (Internet Assigned Numbers Authority). |
EventVendor | řetězec | Dodavatel produktu, který událost generuje. |
_IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud se _IsBillable false příjem dat neúčtuje na váš účet Azure |
NetworkProtocol | řetězec | Přenosový protokol používaný událostí překladu sítě. Hodnota může být UDP nebo TCP. |
NetworkProtocolVersion | řetězec | Verze síťového protokolu. Obvykle se používá k rozlišení mezi protokoly IPv4 a Ipv6. |
_Resourceid | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
Název pravidla | řetězec | Název nebo ID pravidla přidruženého k výsledkům kontroly. |
RuleNumber | int | Číslo pravidla přidruženého k výsledkům kontroly. |
SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
Src | řetězec | Jedinečný identifikátor zdrojového zařízení. |
Popis SrcDescription | řetězec | Číslo pravidla přidruženého k výsledkům kontroly. |
SrcDeviceType | řetězec | Typ zdrojového zařízení. |
SrcDomain | řetězec | Doména zdrojového zařízení. |
Typ domény SrcDomainType | řetězec | Typ SrcDomain. |
SrcDvcId | řetězec | ID zdrojového zařízení. |
SrcDvcIdType | řetězec | Typ SrcDvcId. |
SrcDvcScope | řetězec | Obor cloudové platformy, do které zdrojové zařízení patří. DvcScope se mapuje na předplatné v Azure a na účet v AWS. |
SrcDvcScopeId | řetězec | ID oboru cloudové platformy, do které zdrojové zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
SrcFQDN | řetězec | Název hostitele zdrojového zařízení, včetně informací o doméně. |
SrcGeoCity | řetězec | Město přidružené ke zdrojové IP adrese. |
SrcGeoCountry | řetězec | Země přidružená ke zdrojové IP adrese. |
SrcGeoLatitude | real | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
SrcGeoLongitude | real | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
Oblast SrcGeo | řetězec | Oblast nebo stát v rámci země přidružený ke zdrojové IP adrese. |
Název_hostitele_hostitele | řetězec | Název hostitele zdrojového zařízení s výjimkou informací o doméně. |
SrcIpAddr | řetězec | IP adresa klienta odesílajícího požadavek DNS. V případě rekurzivního požadavku DNS je touto hodnotou obvykle zařízení pro generování sestav a ve většině případů je nastavená na 127.0.0.1. |
SrcOriginalRiskLevel | řetězec | Úroveň rizika přidružená ke zdrojovému zařízení hlášená zařízením pro generování sestav. |
SrcOriginalUserType | řetězec | Typ původního zdrojového uživatele, který poskytuje zdroj. |
SrcPortNumber | int | Zdrojový port dotazu DNS. |
SrcProcessGuid | řetězec | Vygenerovaný jedinečný identifikátor (GUID) procesu, který inicioval požadavek DNS. |
SrcProcessId | řetězec | ID procesu (PID) procesu, který inicioval požadavek DNS. |
SrcProcessName | řetězec | Název procesu, který inicioval požadavek DNS. |
SrcRiskLevel | int | Úroveň rizika přidružená ke zdrojovému zařízení. |
SrcUserId | řetězec | Strojově čitelná alfanumerická jedinečná reprezentace zdrojového uživatele. |
Typ SrcUserIdType | řetězec | Typ ID uloženého v poli SrcUserId. |
SrcUsername | řetězec | Uživatelské jméno zdroje, včetně informací o doméně, pokud jsou k dispozici. |
SrcUsernameType | řetězec | Typ uživatelského jména uloženého v poli SrcUsername. |
SrcUserScope | řetězec | Obor, například Azure AD tenant, ve kterém jsou definovány SrcUserId a SrcUsername. |
SrcUserScopeId | řetězec | ID oboru, například Azure AD tenanta, ve kterém jsou definovány SrcUserId a SrcUsername. |
SrcUserSessionId | řetězec | Jedinečné ID relace přihlášení zdrojového uživatele. |
Typ uživatele SrcUserType | řetězec | Typ zdrojového uživatele. |
_SubscriptionId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
ThreatCategory | řetězec | Pokud zdroj událostí DNS také poskytuje zabezpečení DNS, může také vyhodnotit událost DNS. Může například vyhledat IP adresu nebo doménu v databázi analýzy hrozeb a přiřadit doménu nebo IP adresu s kategorií hrozeb. |
ThreatConfidence | int | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
ThreatField | řetězec | Pole, pro které byla zjištěna hrozba. Hodnota je SrcIpAddr, DstIpAddr, Domain nebo DnsResponseName. |
ThreatFirstReportedTime | řetězec | Při prvním identifikaci IP adresy nebo domény jako hrozby. |
ThreatFirstReportedTime_d | datetime | Při prvním identifikaci IP adresy nebo domény jako hrozby. |
Id hrozby | řetězec | ID hrozby nebo malwaru zjištěného ve webové relaci. |
ThreatIpAddr | řetězec | IP adresa, pro kterou byla zjištěna hrozba. Pole ThreatField obsahuje název pole ThreatIpAddr představuje. Pokud je v poli Doména identifikována hrozba, mělo by být toto pole prázdné. |
ThreatIsActive | bool | True ID zjištěné hrozby se považuje za aktivní hrozbu. |
ThreatLastReportedTime | řetězec | Čas poslední identifikace IP adresy nebo domény jako hrozby. |
ThreatLastReportedTime_d | datetime | Čas poslední identifikace IP adresy nebo domény jako hrozby. |
ThreatName | řetězec | Název identifikované hrozby nahlášený zařízením pro hlášení. |
ThreatOriginalConfidence | řetězec | Původní úroveň spolehlivosti zjištěné hrozby hlášená zařízením pro hlášení. |
ThreatOriginalRiskLevel | int | Původní úroveň rizika související s identifikovanou hrozbou, jak ji ohlásilo zařízení pro hlášení. |
ThreatOriginalRiskLevel_s | řetězec | Úroveň rizika spojená s identifikovanou hrozbou normalizovaná na hodnotu mezi 0 a 100. |
ThreatRiskLevel | int | Úroveň rizika spojená s identifikovanou hrozbou normalizovaná na hodnotu mezi 0 a 100. |
TimeGenerated | datetime | Časové razítko (UTC) odrážející čas, ve kterém byla událost vygenerována. |
TransactionIdHex | řetězec | JEDINEČNÉ ID šestnáctkové transakce DNS. |
Typ | řetězec | Název tabulky |
UrlCategory | řetězec | Zdroj událostí DNS může také vyhledat kategorii požadovaných domén. |
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro