Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das ASim DNS-Aktivitätsschema stellt die DNS-Protokollaktivität dar, die entweder von einem DNS-Server oder von einem Gerät protokolliert werden kann, das DNS-Anforderungen an einen DNS-Server sendet. Die DNS-Protokollaktivität umfasst DNS-Abfragen, DNS-Serverupdates und DNS-Massendatenübertragungen. Da das Schema die Protokollaktivität darstellt, wird es von RFCs und offiziell zugewiesenen Parameterlisten gesteuert. Das DNS-Aktivitätsschema stellt keine DNS-Serverüberwachungsereignisse dar.
Tabellenattribute
| Merkmal | Wert |
|---|---|
| Ressourcentypen | microsoft.securityinsights/dnsnormalized |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | Ja |
| Transformation zur Erfassungszeit | Ja |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| Zusätzliche Felder | dynamisch | Zusätzliche Informationen, dargestellt mithilfe von Schlüssel-Wert-Paaren, die von der Quelle bereitgestellt werden, die nicht ASim zugeordnet sind. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| DnsFlags | Schnur | Die DNS-Anforderungskennzeichnungen, wie vom Berichterstellungsgerät bereitgestellt. Die Struktur der DNS-Flags-Informationen kann zwischen verschiedenen Berichtsgeräten variieren. |
| DnsFlagsAuthenticated | Boolesch | Das mit DNS authentifizierte Antwortflag, das sich auf DNSSEC bezieht, gibt in einer Antwort an, dass alle Daten, die in der Antwort und den Autoritätsabschnitten der Antwort enthalten sind, vom Server gemäß den Richtlinien dieses Servers überprüft wurden. Siehe RFC 3655 Abschnitt 6.1 für weitere Informationen. |
| DnsFlagsAuthoritative | Boolesch | Das ATTRIBUT der autorisierenden DNS-Antwort gibt an, ob die Antwort vom Server autoritativ war. |
| DnsFlagsPrüfungDeaktiviert | Boolesch | Das DNS-CD-Flag, das mit DNSSEC verknüpft ist, gibt in einer Abfrage an, dass nicht überprüfte Daten für das System akzeptabel sind, das die Abfrage sendet. |
| DnsFlagsRecursionAvailable | Boolesch | Das DNS RA-Flag gibt in einer Antwort an, die der Server rekursive Abfragen unterstützt. |
| DnsFlagsRecursionDesired | Boolesch | Das Flag für die gewünschte DNS-Rekursion gibt in einer Anforderung an, dass der Client möchte, dass der Server rekursive Abfragen verwendet. |
| DnsFlagsTruncated | Boolesch | Das DNS TC-Flag gibt an, dass eine Antwort abgeschnitten wurde, da sie die maximale Antwortgröße überschritten hat. |
| DnsFlagsZ | Boolesch | Das DNS-Z-Flag ist ein veraltetes DNS-Flag, das möglicherweise von älteren DNS-Systemen gemeldet wird. |
| DNS-Netzwerkdauer | INT | Die Zeitspanne in Millisekunden für den Abschluss der DNS-Anforderung. |
| DnsQuery | Schnur | Die aufzulösende Domäne. |
| DnsQueryClass | INT | Die VON der Internet Assigned Numbers Authority (IANA) definierte DNS-Klassen-ID. |
| DnsQueryClassName | Schnur | Der DNS-Klassenname gemäß Definition der Internet Assigned Numbers Authority (IANA). |
| DNS-Abfragetyp | INT | Die Codes für die DNS-Ressourceneintragstypen, wie von der Internet Assigned Numbers Authority (IANA) definiert. |
| DnsAbfrageTypName | Schnur | Der Name des DNS-Ressourceneintrags gemäß der Definition durch die Internet Assigned Numbers Authority (IANA). |
| DNS-Antwortcode | INT | Der numerische DNS-Antwortcode gemäß Definition der Internet Assigned Numbers Authority (IANA). |
| DnsResponseIpCity | Schnur | Die Stadt, die der Antwort-IP-Adresse zugeordnet ist. |
| DNSAntwortIpLand | Schnur | Das Land, das der Antwort-IP-Adresse zugeordnet ist. |
| DnsResponseIpLatitude | Echt | Der Breitengrad der geografischen Koordinate, die der Antwort-IP-Adresse zugeordnet ist. |
| DnsResponseIpLongitude | Echt | Der Längengrad der geografischen Koordinate, die der Ip-Adresse der Antwort zugeordnet ist. |
| DnsResponseIpRegion | Schnur | Die Region oder der Staat innerhalb eines Landes, die der Quell-IP-Adresse zugeordnet ist. |
| DNSAntwortName | Schnur | Der Inhalt der Antwort, wie er im Datensatz enthalten ist. Die Struktur der DNS-Antwortdaten kann zwischen verschiedenen Berichtsgeräten variieren. |
| DnsSessionId | Schnur | Der DNS-Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. |
| Dst | Schnur | Ein eindeutiger Bezeichner des Servers, der die DNS-Anforderung empfangen hat. |
| DstDescription | Schnur | Ein beschreibender Text, der dem Ziel zugeordnet ist. |
| DstDeviceType | Schnur | Der Typ des Zielgeräts. |
| DstDomain | Schnur | Die Domäne des Zielgeräts. |
| DstDomänentyp | Schnur | Der Typ von DstDomain. |
| DstDvcId | Schnur | Die ID des Zielgeräts. |
| DstDvcIdType | Schnur | Der Typ von „DstDvcId“. |
| DstDvcScope | Schnur | Der Geltungsbereich der Cloudplattform, zu dem das Zielgerät gehört. DvcScope wird einem Abonnement auf Azure und einem Konto auf AWS zugeordnet. |
| DstDvcScopeId | Schnur | Die Cloudplattform-Bereichs-ID, zu der das Zielgerät gehört. Die DvcScopeId ist einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| DstFQDN | Schnur | Der Hostname des Zielgeräts einschließlich Domäneninformationen, sofern verfügbar. |
| DstGeoCity | Schnur | Die Stadt, die der Ziel-IP-Adresse zugeordnet ist. |
| DstGeoCountry | Schnur | Das Land/die Region, das bzw. die der Ziel-IP-Adresse zugeordnet ist. |
| DstGeoLatitude | Echt | Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. |
| DstGeoLongitude | Echt | Der Längengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. |
| DstGeoRegion | Schnur | Die Region oder der Staat innerhalb eines Landes, die der ZIEL-IP-Adresse zugeordnet ist. |
| DstHostname | Schnur | Der Hostname des Zielgeräts ohne Domäneninformationen. |
| DstIpAddr | Schnur | Die IP-Adresse des Servers, der die DNS-Anforderung empfängt. Bei einer herkömmlichen DNS-Anforderung ist dieser Wert in der Regel das meldende Gerät und in den meisten Fällen auf 127.0.0.1 festgelegt. |
| DstOriginalRiskLevel | Schnur | Das Risikoniveau im Zusammenhang mit dem Zielgerät, wie vom Berichtsgerät gemeldet. |
| DstPortNumber | INT | Zielportnummer. |
| DstRisikostufe | INT | Die Risikostufe, die dem Zielgerät zugeordnet ist. |
| Dvc | Schnur | Ein eindeutiger Bezeichner des Geräts, das das Ereignis meldet. Der Bezeichner kann entweder eine IP-Adresse, ein Hostname oder eine Geräte-ID sein. |
| DvcAction | Schnur | Die Aktion, die vom Berichterstellungsgerät auf die Anforderung hin ausgeführt wird, z. B. das Blockieren. |
| DvcDescription | Schnur | Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primärer Domänencontroller. |
| DvcDomain | Schnur | Die Domäne des Geräts, das das Ereignis meldet. |
| DvcDomainType | Schnur | Der Typ von DvcDomain. Mögliche Werte sind "Windows" und "FQDN". |
| DvcFQDN | Schnur | Der vollqualifizierte Hostname, einschließlich Domäneninformationen, des Geräts, das das Ereignis meldet. |
| DvcHostname | Schnur | Der Hostname des Geräts, das das Ereignis meldet. |
| DvcId | Schnur | Die eindeutige ID des Geräts, das das Ereignis meldet. |
| DvcIdType | Schnur | Der Typ von DvcId. |
| DvcInterface | Schnur | Die Netzwerkschnittstelle, über die Daten erfasst wurden. Dieses Feld ist in der Regel für netzwerkbezogene Aktivitäten relevant, die von einem Zwischengerät oder TAP-Gerät erfasst werden. |
| DvcIpAddr | Schnur | Die IP-Adresse des Geräts, das das Ereignis meldet. |
| DvcMacAddr | Schnur | Die MAC-Adresse des Geräts, das das Ereignis meldet. |
| DvcOriginalAction | Schnur | Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben. |
| DvcOs | Schnur | Das Betriebssystem, das auf dem Gerät ausgeführt wird, das das Ereignis meldet. |
| DvcOsVersion | Schnur | Die Version des Betriebssystems auf dem Gerät, das das Ereignis meldet. |
| DvcScope | Schnur | Der Cloudplattformbereich, zu dem das Gerät gehört. Der DvcScope ist einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| DvcScopeId | Schnur | Die Bereichs-ID der Cloudplattform, zu dem das Gerät gehört. Die DvcScopeId ist einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| DvcZone | Schnur | Das Netzwerksegment des Geräts, das das Ereignis meldet. |
| Ereignisanzahl | INT | Die Anzahl der Ereignisse, die vom Datensatz beschrieben werden. Dieser Wert wird verwendet, wenn die Quelle Aggregation unterstützt. Ein einzelner Datensatz kann mehrere Ereignisse darstellen. |
| EreignisEndzeit | Datum/Uhrzeit | Die Beendigungszeit des Ereignisses. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das letzte Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
| Ereignismeldung | Schnur | Eine allgemeine Nachricht oder Beschreibung. |
| EventOriginalSeverity | Schnur | Der ursprüngliche Schweregrad, wie vom meldenden Gerät angegeben. Dieser Wert wird zum Ableiten von EventSeverity verwendet. |
| Ursprünglicher Ereignistyp | Schnur | Der ursprüngliche Ereignistyp oder die ursprüngliche ID, z. B. die ursprüngliche Windows-Ereignis-ID. |
| EventOriginalUid | Schnur | Eine eindeutige ID des ursprünglichen Datensatzes. |
| Veranstaltungsinhaber | Schnur | Der Besitzer des Ereignisses, bei dem es sich in der Regel um die Abteilung oder Niederlassung handelt, in der das Ereignis generiert wurde |
| EventProduct | Schnur | Das Produkt, das das Ereignis erzeugt. |
| EventProductVersion | Schnur | Die Version des Produkts, das das Ereignis erzeugt. |
| Ereignisbericht-URL | Schnur | Eine URL einer Ressource, die zusätzliche Informationen zum Ereignis bereitstellt. |
| Ereignisergebnis | Schnur | Das Ergebnis des Ereignisses, dargestellt durch einen der folgenden Werte: Erfolg, Teilweise, Misserfolg, NZ (Nicht zutreffend). Der Wert kann nicht direkt von den Quellen bereitgestellt werden, in diesem Fall wird er von anderen Ereignisfeldern abgeleitet, z. B. dem Feld "EventResultDetails". |
| Ereignisergebnisdetails | Schnur | Der DNS-Antwortcode gemäß Definition der Internet Assigned Numbers Authority (IANA). |
| EventSchemaVersion | Schnur | Die Version des Schemas. |
| EventSeverity | Schnur | Der Schweregrad des Ereignisses. Gültige Werte sind: Informational, Low, Medium oder High. |
| Veranstaltungsbeginn | Datum/Uhrzeit | Die Uhrzeit, zu der das Ereignis gestartet wurde. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das erste Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
| Ereignisuntertyp | Schnur | Entweder Anforderung oder Antwort. |
| Ereignistyp | Schnur | Gibt den vom Datensatz gemeldeten Vorgang an. Bei DNS-Aktivitätsereignissen ist dieser Wert der DNS-Opcode, wie von der Internet Assigned Numbers Authority (IANA) definiert. |
| EventVendor | Schnur | Der Hersteller des Produkts, das das Ereignis erzeugt. |
| _IstAbrechnungsfähig | Schnur | Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| Netzwerkprotokoll | Schnur | Das vom Netzwerkauflösungsereignis verwendete Transportprotokoll. Der Wert kann UDP oder TCP sein. |
| NetworkProtocolVersion | Schnur | Die Version des Netzwerkprotokolls. Wird in der Regel verwendet, um zwischen IPv4 und Ipv6 zu unterscheiden. |
| _ResourceId | Schnur | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| Regelname | Schnur | Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| Regelnummer | INT | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| SourceSystem | Schnur | Typ des Agents, von dem das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Src | Schnur | Der eindeutige Bezeichner des Quellgeräts. |
| SrcDescription | Schnur | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| SrcDeviceType | Schnur | Der Typ des Quellgeräts. |
| SrcDomain | Schnur | Die Domäne des Quellgeräts. |
| SrcDomainType | Schnur | Der Typ von SrcDomain. |
| SrcDvcId | Schnur | Die ID des Quellgeräts. |
| SrcDvcIdType | Schnur | Typ von SrcDvcId |
| SrcDvcScope | Schnur | Der Cloudplattformbereich, zu dem das Quellgerät gehört. DvcScope wird einem Abonnement auf Azure und einem Konto auf AWS zugeordnet. |
| SrcDvcScopeId | Schnur | Die Cloudplattform-Bereichs-ID, zu der das Quellgerät gehört. Die DvcScopeId ist einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcFQDN | Schnur | Der Hostname des Quellgeräts, einschließlich Domäneninformationen. |
| SrcGeoStadt | Schnur | Die Stadt, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoCountry | Schnur | Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoLatitude | Echt | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoLongitude | Echt | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
| QuelleGeoRegion | Schnur | Die Region oder der Staat innerhalb eines Landes, die der Quell-IP-Adresse zugeordnet ist. |
| SrcHostname | Schnur | Der Hostname des Quellgeräts ohne Domäneninformationen. |
| SrcIpAddr | Schnur | Die IP-Adresse des Clients, der die DNS-Anforderung sendet. Bei einer rekursiven DNS-Anfrage wäre dieser Wert normalerweise das meldende Gerät und in den meisten Fällen auf 127.0.0.1 eingestellt. |
| SrcUrsprünglichesRisikolevel | Schnur | Der Risikograd, der dem Quellgerät zugeordnet ist, wie vom berichtenden Gerät gemeldet. |
| SrcOriginalUserType | Schnur | Der ursprüngliche Quellbenutzertyp, wie von der Quelle angegeben. |
| SrcPortNumber | INT | Quellport der DNS-Abfrage. |
| SrcProcessGuid | Schnur | Ein generierter eindeutiger Bezeichner (GUID) für den Prozess, der die DNS-Anforderung initiiert hat. |
| SrcProcessId | Schnur | Die Prozess-ID (PID) des Prozesses, der die DNS-Anforderung initiiert hat. |
| SrcProcessName | Schnur | Der Name des Prozesses, der die DNS-Anforderung initiiert hat. |
| SrcRiskLevel | INT | Die Risikostufe, die dem Quellgerät zugeordnet ist. |
| SrcUserId | Schnur | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Quellbenutzers. |
| SrcUserIdType | Schnur | Der Typ der ID, die im Feld SrcUserId gespeichert ist. |
| SrcUsername | Schnur | Der Quellbenutzername einschließlich Informationen zur Domäne, falls verfügbar. |
| SrcUsernameType | Schnur | Der Typ des Benutzernamens, der im Feld "SrcUsername" gespeichert ist. |
| SrcUserScope | Schnur | Der Bereich, z. B. Azure AD-Mandant, in dem „SrcUserId“ und „SrcUsername“ definiert sind. |
| SrcUserScopeId | Schnur | Die ID des Bereichs, z. B. Azure AD-Mandant, in dem „SrcUserId“ und „SrcUsername“ definiert sind. |
| SrcUserSessionId | Schnur | Die eindeutige ID der Anmeldesitzung des Quellbenutzers. |
| SrcUserType | Schnur | Der Typ des Quellbenutzers. |
| _Abonnement-ID | Schnur | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist |
| Mieter-ID | Schnur | Die ID des Log Analytics-Arbeitsbereichs. |
| Bedrohungskategorie | Schnur | Wenn eine DNS-Ereignisquelle auch sicherheitsrelevante DNS-Informationen liefert, kann sie auch das DNS-Ereignis auswerten. So kann sie beispielsweise die IP-Adresse oder Domäne in einer Threat Intelligence-Datenbank suchen und der Domäne oder IP-Adresse eine Bedrohungskategorie zuweisen. |
| ThreatConfidence | INT | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
| ThreatField | Schnur | Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert ist entweder SrcIpAddr, DstIpAddr, Domain oder DnsResponseName. |
| ErstberichtszeitpunktDerBedrohung | Schnur | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| ThreatFirstReportedTime_d | Datum/Uhrzeit | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| Bedrohungs-ID | Schnur | Die ID der in der Websitzung identifizierten Bedrohung oder Schadsoftware. |
| Bedrohungs-IP-Adresse | Schnur | Eine IP-Adresse, für die eine Bedrohung identifiziert wurde. Das Feld „ThreatField“ enthält den Namen des Felds, das „ThreatIpAddr“ darstellt. Wenn eine Bedrohung im Feld Domäne identifiziert wird, sollte dieses Feld leer sein. |
| ThreatIsActive | Boolesch | True ID; die identifizierte Bedrohung wird als aktive Bedrohung betrachtet. |
| Zeitpunkt der zuletzt gemeldeten Bedrohung | Schnur | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| ThreatLastReportedTime_d | Datum/Uhrzeit | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| Bedrohungsname | Schnur | Der Name der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet |
| ThreatOriginalConfidence | Schnur | Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet. |
| UrsprünglichesRisikoniveauDerBedrohung | INT | Die ursprüngliche Risikostufe, die der identifizierten Bedrohung zugeordnet ist, wie vom meldenden Gerät gemeldet |
| ThreatOriginalRiskLevel_s | Schnur | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist, normalisiert auf einen Wert zwischen 0 und 100 |
| Bedrohungsrisikostufe | INT | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist, normalisiert auf einen Wert zwischen 0 und 100 |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Der Zeitstempel (UTC), der die Uhrzeit widerspiegelt, in der das Ereignis generiert wurde. |
| TransactionIdHex | Schnur | Die eindeutige hexadezimale DNS-Transaktions-ID. |
| Typ | Schnur | Der Name der Tabelle. |
| URL-Kategorie | Schnur | Eine DNS-Ereignisquelle kann auch die Kategorie der angeforderten Domänen nachschlagen. |