Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Schéma aktivity DNS ASim představuje aktivitu protokolu DNS, kterou může protokolovat server DNS nebo zařízení odesílající požadavky DNS na server DNS. Aktivita protokolu DNS zahrnuje dotazy DNS, aktualizace serveru DNS a hromadné přenosy dat DNS. Vzhledem k tomu, že schéma představuje aktivitu protokolu, řídí se rfcs a oficiálně přiřazenými seznamy parametrů. Schéma aktivity DNS nepředstavuje události auditu serveru DNS.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/dnsnormalized |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | Ano |
| Podpora DCR v čase příjmu dat | Ano |
| Příjem dat pouze u jezera | Ano |
| Ukázkové dotazy | Ano |
Sloupce
| Sloupec | Typ | Popis |
|---|---|---|
| Další pole | dynamický | Další informace, reprezentované pomocí párů klíč/hodnota poskytnuté zdrojem, které se nemapují na ASim. |
| _FakturovanáVelikost | skutečný | Velikost záznamu v bajtech |
| DnsFlags | řetězec | Příznaky požadavku DNS, jak je poskytuje hlásící zařízení. Struktura informací o příznakech DNS se může lišit mezi různými reportovacími zařízeními. |
| DnsFlagsOvěřeno | Booleova hodnota | Příznak odpovědi ověřený službou DNS, který souvisí se službou DNSSEC, označuje v odpovědi, že všechna data zahrnutá v částech odpovědi a autority odpovědi server ověřil podle zásad daného serveru. Další informace naleznete v dokumentu RFC 3655 Oddíl 6.1. |
| DnsFlagsAuthoritative | Booleova hodnota | Příznak autoritativní odpovědi DNS označuje, jestli byla odpověď ze serveru autoritativní. |
| DnsFlagsCheckingDisabled | Booleova hodnota | Příznak DNS CD, který souvisí s DNSSEC, označuje v dotazu, že neověrná data jsou přijatelná pro systém odesílající dotaz. |
| DnsFlagsRecursionDostupné | Booleova hodnota | Příznak DNS RA označuje v odpovědi, že server podporuje rekurzivní dotazy. |
| DnsVlajkyŽádoucíRekurze | Booleova hodnota | Příznak požadované rekurze DNS označuje v požadavku, že klient chce, aby server použil rekurzivní dotazy. |
| DnsFlagsTruncated | Booleova hodnota | Příznak DNS TC označuje, že odpověď byla zkrácena, protože překročila maximální velikost odpovědi. |
| DnsFlagsZ | Booleova hodnota | Příznak DNS Z je zastaralý příznak DNS, který může hlásit starší systémy DNS. |
| DNSSíťováDélka | int (integer) | Doba dokončení požadavku DNS v milisekundách. |
| DnsQuery | řetězec | Doména, kterou je potřeba vyřešit. |
| DnsQueryClass | int (integer) | ID třídy DNS definované autoritou IANA (Internet Assigned Numbers Authority). |
| DnsQueryClassName | řetězec | Název třídy DNS definovaný autoritou IANA (Internet Assigned Numbers Authority). |
| TypDotazuDns | int (integer) | Kódy typu záznamu DNS definované autoritou IANA (Internet Assigned Numbers Authority). |
| DnsQueryTypNázev | řetězec | Název typu záznamu prostředku DNS definovaný autoritou IANA (Internet Assigned Numbers Authority). |
| Kód odpovědi DNS | int (integer) | Číselný kód odpovědi DNS definovaný autoritou IANA (Internet Assigned Numbers Authority). |
| DnsResponseIpCity | řetězec | Město přidružené k IP adrese odpovědi. |
| DnsResponseIpCountry | řetězec | Země přidružená k IP adrese odpovědi. |
| Zeměpisná šířka IP odpovědi DNS | skutečný | Zeměpisná šířka zeměpisné souřadnice přidružené k IP adrese odpovědi. |
| DnsResponseIpLongitude | skutečný | Zeměpisná délka zeměpisné souřadnice přidružené k IP adrese odpovědi. |
| DnsOdezvaIpOblast | řetězec | Oblast nebo stát v rámci země přidružené ke zdrojové IP adrese. |
| DnsResponseName | řetězec | Obsah odpovědi, jak je součástí záznamu. Struktura dat odpovědí DNS se může lišit mezi různými zařízeními pro hlášení. |
| DnsSessionId | řetězec | Identifikátor relace DNS hlášený hlásicím zařízením. |
| Dst | řetězec | Jedinečný identifikátor serveru, který obdržel požadavek DNS. |
| DstDescription | řetězec | Popisný text přidružený k cíli |
| Typ zařízení Dst | řetězec | Typ cílového zařízení. |
| DstDomain | řetězec | Doména cílového zařízení. |
| TypDoményDst | řetězec | Typ DstDomain. |
| DstDvcId | řetězec | ID cílového zařízení. |
| DstDvcIdType | řetězec | Typ DstDvcId. |
| DstDvcScope | řetězec | Rozsah cloudové platformy, do které cílové zařízení patří. DvcScope se váže k předplatnému v Azure a k účtu v AWS. |
| DstDvcScopeId | řetězec | ID oboru cloudové platformy, do které cílové zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DstFQDN | řetězec | Název hostitele cílového zařízení, včetně informací o doméně, pokud je k dispozici. |
| DstGeoCity | řetězec | Město přidružené k cílové IP adrese. |
| DstGeoCountry | řetězec | Země přidružená k cílové IP adrese. |
| DstGeoLatitude | skutečný | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. |
| DstGeoZeměpisnáDélka | skutečný | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. |
| Oblast DstGeoRegion | řetězec | Oblast nebo stát v rámci země přidružené k cílové IP adrese. |
| DstHostname | řetězec | Název hostitele cílového zařízení s výjimkou informací o doméně. |
| DstIpAddr | řetězec | IP adresa serveru, který přijímá požadavek DNS. U pravidelného požadavku DNS by tato hodnota obvykle byla reportující zařízení a ve většině případů nastavená na 127.0.0.1. |
| Úroveň původního rizika Dst | řetězec | Úroveň rizika spojená s cílovým zařízením, jak je hlášeno hlásicím zařízením. |
| Číslo cílového portu | int (integer) | Číslo cílového portu. |
| Úroveň rizika DST | int (integer) | Úroveň rizika přidružená k cílovému zařízení. |
| Dvc | řetězec | Jedinečný identifikátor zařízení, které hlásí událost. Identifikátorem může být IP adresa, název hostitele nebo ID zařízení. |
| DvcAction | řetězec | Akce, kterou hlásicí zařízení provedlo na žádost, například blokování. |
| Popis dvcDescription | řetězec | Popisný text přidružený k zařízení Příklad: Primární řadič domény. |
| DvcDomain | řetězec | Doména zařízení hlásí událost. |
| DvcDomainType | řetězec | Typ DvcDomain. Mezi možné hodnoty patří Windows a FQDN. |
| DvcFQDN | řetězec | Plně kvalifikovaný název hostitele, včetně informací o doméně, zařízení, které událost hlásí. |
| DvcHostname | řetězec | Název hostitele zařízení, které hlásí událost. |
| DvcId | řetězec | Jedinečné ID zařízení, které hlásí událost. |
| DvcIdType (typ identifikátoru zařízení) | řetězec | Typ DvcId. |
| DvcInterface | řetězec | Síťové rozhraní, na kterém byla zaznamenána data. Toto pole je obvykle relevantní pro aktivitu související se sítí, která je zachycena zprostředkujícím zařízením nebo klepnutím. |
| DvcIpAddr | řetězec | IP adresa zařízení, které hlásí událost. |
| DvcMacAddr | řetězec | Adresa MAC zařízení hlásí událost. |
| DvcOriginalAction | řetězec | Původní DvcAction, jak je poskytována reportujícím zařízením. |
| DvcOs | řetězec | Operační systém spuštěný na zařízení hlásí událost. |
| DvcOsVersion | řetězec | Verze operačního systému v zařízení hlásí událost. |
| DvcScope | řetězec | Rozsah cloudové platformy, do které zařízení patří. DvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DvcZone | řetězec | Síťový segment zařízení, který hlásí událost. |
| PočetUdálostí | int (integer) | Počet událostí popsaných záznamem. Tato hodnota se používá, když zdroj podporuje agregaci a jeden záznam může představovat více událostí. |
| Čas ukončení události | datetime | Čas ukončení události. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování poslední události. Pokud není zajištěno zdrojovým záznamem, toto pole slouží jako alias pro pole TimeGenerated. |
| ZprávaUdálosti | řetězec | Obecná zpráva nebo popis |
| Původní závažnost události | řetězec | Původní závažnost, jak ji uvádí hlásicí zařízení. Tato hodnota se používá k odvození hodnoty EventSeverity. |
| TypUdálostiOriginální | řetězec | Původní typ nebo ID události, například původní ID události systému Windows. |
| UdálostOriginálníUid | řetězec | Jedinečné ID původního záznamu. |
| Vlastník události | řetězec | Vlastník události, která je obvykle oddělením nebo dceřinou společností, ve které byla vygenerována. |
| EventProduct | řetězec | Produkt, který událost generuje. |
| Událost verze produktu | řetězec | Verze produktu generující událost. |
| URL zprávy o události | řetězec | Adresa URL prostředku, který poskytuje další informace o události. |
| Výsledek události | řetězec | Výsledek události reprezentovaný jednou z následujících hodnot: Úspěch, Částečně, Neúspěch, NA (Nepoužitelné). Hodnota nemusí být poskytována přímo zdroji, v takovém případě je odvozena z jiných polí událostí, například pole EventResultDetails. |
| PodrobnostiVýsledkuUdálosti | řetězec | Kód odpovědi DNS definovaný autoritou IANA (Internet Assigned Numbers Authority). |
| Verze schématu události | řetězec | Verze schématu. |
| EventSeverity | řetězec | Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
| ČasZačátkuUdálosti | datetime | Čas, kdy událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování první události. Pokud není zajištěno zdrojovým záznamem, toto pole slouží jako alias pro pole TimeGenerated. |
| TypUdálostiPodskupina | řetězec | Požadavek nebo odpověď. |
| Typ události | řetězec | Označuje operaci hlášenou záznamem. U událostí aktivit DNS je tato hodnota opcode DNS definovaná autoritou IANA (Internet Assigned Numbers Authority). |
| EventVendor | řetězec | Dodavatel produktu, který událost generuje. |
| _JeVyúčtovatelné | řetězec | Určuje, jestli je ingestování dat fakturovatelné. Pokud _IsBillable false není aktivováno, příjem dat není účtován vašemu účtu Azure. |
| Síťový protokol | řetězec | Přenosový protokol používaný událostí rozlišení sítě. Hodnota může být UDP nebo TCP. |
| VerzeSíťovéhoProtokolu | řetězec | Verze síťového protokolu. Obvykle se používá k rozlišení mezi protokoly IPv4 a Ipv6. |
| _ResourceId (ID zdroje) | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| Název pravidla | řetězec | Název nebo ID pravidla přidružené k výsledkům kontroly. |
| ČísloPravidla | int (integer) | Počet pravidel přidružených k výsledkům kontroly. |
| SourceSystem | řetězec | Typ agenta, kterým byla událost shromážděna. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| Src | řetězec | Jedinečný identifikátor zdrojového zařízení. |
| SrcDescription | řetězec | Počet pravidel přidružených k výsledkům kontroly. |
| Typ zdrojového zařízení | řetězec | Typ zdrojového zařízení. |
| SrcDomain | řetězec | Doména zdrojového zařízení. |
| TypZdrojovéDomény | řetězec | Typ domény SrcDomain. |
| SrcDvcId | řetězec | ID zdrojového zařízení. |
| SrcDvcIdType | řetězec | Typ SrcDvcId. |
| SrcDvcScope | řetězec | Rozsah cloudové platformy, do které zdrojové zařízení patří. DvcScope se váže k předplatnému v Azure a k účtu v AWS. |
| SrcDvcScopeId | řetězec | ID oboru cloudové platformy, do které zdrojové zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcFQDN | řetězec | Název hostitele zdrojového zařízení, včetně informací o doméně. |
| ZdrojGeoMěsto | řetězec | Město přidružené ke zdrojové IP adrese. |
| SrcGeoZemě | řetězec | Země přidružená ke zdrojové IP adrese. |
| SrcGeoLatitude | skutečný | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| ZdrojGeografickáDélka | skutečný | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| SrcGeoRegion | řetězec | Oblast nebo stát v rámci země přidružené ke zdrojové IP adrese. |
| NázevZdrojovéhoHostitele | řetězec | Název hostitele zdrojového zařízení s výjimkou informací o doméně. |
| Zdrojová IP adresa (SrcIpAddr) | řetězec | IP adresa klienta odesílajícího požadavek DNS. U rekurzivního požadavku DNS je toto zařízení obvykle nastaveno jako 127.0.0.1, což bývá běžné. |
| Zdrojová Původní Úroveň Rizika | řetězec | Úroveň rizika přidružená ke zdrojovému zařízení, jak je hlášeno hlásicím zařízením. |
| PůvodníTypUživatele | řetězec | Původní typ uživatele zdroje, který poskytuje zdroj. |
| ČísloZdrojovéhoPortu | int (integer) | Zdrojový port dotazu DNS. |
| SrcProcessGuid | řetězec | Vygenerovaný jedinečný identifikátor (GUID) procesu, který inicioval požadavek DNS. |
| ID zdrojového procesu | řetězec | ID procesu (PID) procesu, který inicioval požadavek DNS. |
| SrcProcessName | řetězec | Název procesu, který inicioval požadavek DNS. |
| SrcRiskLevel | int (integer) | Úroveň rizika přidružená ke zdrojovému zařízení. |
| ID zdrojového uživatele | řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace zdrojového uživatele. |
| SrcUserIdType | řetězec | Typ ID uloženého v poli SrcUserId. |
| SrcUsername | řetězec | Uživatelské jméno zdroje, včetně informací o doméně, pokud jsou k dispozici. |
| TypUživatelskéhoJména | řetězec | Typ uživatelského jména uloženého v poli SrcUsername. |
| SrcUserScope | řetězec | Obor, například tenant Azure AD, ve kterém jsou definovány SrcUserId a SrcUsername. |
| SrcUserScopeId | řetězec | ID oboru, například tenanta Azure AD, ve kterém jsou definovány SrcUserId a SrcUsername. |
| SrcUserSessionId | řetězec | Jedinečné ID přihlášení zdrojového uživatele. |
| SrcUserType | řetězec | Typ zdrojového uživatele. |
| _ID předplatného | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| Identifikátor nájemce | řetězec | ID pracovního prostoru služby Log Analytics |
| Kategorie hrozby | řetězec | Pokud zdroj událostí DNS také poskytuje zabezpečení DNS, může také vyhodnotit událost DNS. Může například vyhledat IP adresu nebo doménu v databázi analýzy hrozeb a přiřadit doménu nebo IP adresu s kategorií hrozeb. |
| Důvěra v hrozbu | int (integer) | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| Pole hrozeb | řetězec | Pole, pro které byla zjištěna hrozba. Hodnota je SrcIpAddr, DstIpAddr, Domain nebo DnsResponseName. |
| ČasPrvníhoNahlášeníHrozby | řetězec | Poprvé, kdy byla IP adresa nebo doména identifikována jako hrozba. |
| ČasPrvníhoNahlášeníHrozby_d | datetime | Poprvé, kdy byla IP adresa nebo doména identifikována jako hrozba. |
| Identifikace hrozby | řetězec | ID hrozby nebo malwaru zjištěného ve webové relaci. |
| Hrozba IP adresa | řetězec | IP adresa, pro kterou byla zjištěna hrozba. Pole ThreatField obsahuje název pole, které ThreatIpAddr představuje. Pokud je v poli Doména identifikována hrozba, mělo by být toto pole prázdné. |
| AktivníHrozba | Booleova hodnota | Skutečné ID zjištěné hrozby se považuje za aktivní hrozbu. |
| Čas posledního hlášení hrozby | řetězec | Čas posledního zjištění IP adresy nebo domény jako hrozby |
| ČasPosledníhoNahlášeníHrozby_d | datetime | Čas posledního zjištění IP adresy nebo domény jako hrozby |
| Název hrozby | řetězec | Název zjištěné hrozby, jak hlásí zařízení pro hlášení. |
| Původní úroveň důvěry v hrozbu | řetězec | Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
| Úroveň původního rizika hrozby | int (integer) | Původní úroveň rizika spojená s identifikovanou hrozbou, jak je hlášeno zařízením pro hlášení. |
| ÚroveňPůvodníhoRizikaHrozby_s | řetězec | Úroveň rizika spojená s identifikovanou hrozbou normalizovaná na hodnotu mezi 0 a 100. |
| Úroveň Rizika Hrozby | int (integer) | Úroveň rizika spojená s identifikovanou hrozbou normalizovaná na hodnotu mezi 0 a 100. |
| Čas vygenerování | datetime | Časové razítko (UTC) odráží čas, ve kterém byla událost vygenerována. |
| ID transakce v hexadecimálním formátu | řetězec | Jedinečné hexadecimální ID transakce DNS. |
| Typ | řetězec | Název tabulky |
| Kategorie URL | řetězec | Zdroj událostí DNS může také vyhledat kategorii požadovaných domén. |