ASimDhcpEventLogs
Das ASIM-DHCP-Schema stellt DHCP-Serveraktivitäten dar, einschließlich der Bereitstellung von Anforderungen für DHCP-IP-Adressen, die von Clientsystemen geleast werden, und der Aktualisierung eines DNS-Servers mit den gewährten Leases.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | microsoft.securityinsights/asimtables |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation der Erfassungszeit | Yes |
| Beispielabfragen | - |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AdditionalFields | dynamisch | Zusätzliche Informationen, die mithilfe von Schlüssel-Wert-Paaren dargestellt werden, die von der Quelle bereitgestellt werden und die ASim nicht zugeordnet sind. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| DhcpCircuitId | Zeichenfolge | Die DHCP-Leitungs-ID, wie von RFC3046 definiert. |
| DhcpLeaseDuration | INT | Die Länge der einem Client gewährten Lease in Sekunden. |
| DhcpSessionDuration | INT | Die Zeitspanne in Millisekunden für den Abschluss der DHCP-Sitzung. |
| DhcpSessionId | Zeichenfolge | Der Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. Für den Windows DHCP-Server legen Sie diesen auf das Feld „TransactionID“ fest. |
| DhcpSrcDHCId | Zeichenfolge | Die DHCP-Client-ID, wie von RFC4701 definiert. |
| DhcpSubscriberId | Zeichenfolge | Die DHCP-Abonnenten-ID, wie von RFC3993 definiert. |
| DhcpUserClass | Zeichenfolge | Die DHCP-Benutzerklasse gemäß RFC3004. |
| DhcpUserClassId | Zeichenfolge | Die DHCP-Benutzerklassen-ID gemäß RFC3004. |
| DhcpVendorClass | Zeichenfolge | Die DHCP-Herstellerklasse gemäß RFC3925. |
| DhcpVendorClassId | Zeichenfolge | Die DHCP-Herstellerklassen-ID gemäß RFC3925. |
| DvcAction | Zeichenfolge | Bei meldenden Sicherheitssystemen ist dies die vom System ausgeführte Aktion (falls zutreffend). |
| DvcDescription | Zeichenfolge | Ein mit dem Gerät verknüpfter beschreibender Text. |
| DvcDomain | Zeichenfolge | Die Domäne des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat, abhängig vom Schema |
| DvcDomainType | Zeichenfolge | Der Typ von DvcDomain. |
| DvcFQDN | Zeichenfolge | Je nach Schema ist dies der Hostname des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| DvcHostname | Zeichenfolge | Je nach Schema ist dies der Hostname des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| DvcId | Zeichenfolge | Je nach Schema ist dies die eindeutige ID des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| DvcIdType | Zeichenfolge | Der Typ von DvcId. |
| DvcInterface | Zeichenfolge | Die Netzwerkschnittstelle, über die Daten erfasst wurden. Dieses Feld ist in der Regel für netzwerkbezogene Aktivitäten relevant, die von einem Zwischen- oder TAP-Gerät erfasst werden. |
| DvcIpAddr | Zeichenfolge | Je nach Schema ist dies die IP-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| DvcMacAddr | Zeichenfolge | Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| DvcOriginalAction | Zeichenfolge | Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben. |
| DvcOs | Zeichenfolge | Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| DvcOsVersion | Zeichenfolge | Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| DvcScope | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. DvcScope wird einem Abonnementnamen in Azure und einer Konto-ID in AWS zugeordnet. |
| DvcScopeId | Zeichenfolge | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. DvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| DvcZone | Zeichenfolge | Je nach Schema ist dies das Netzwerk, in dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Die Zone wird vom meldenden Gerät definiert. |
| EventCount | INT | Die Anzahl der Ereignisse, die vom Datensatz beschrieben werden. Dieser Wert wird verwendet, wenn die Quelle Aggregation unterstützt. Ein einzelner Datensatz kann mehrere Ereignisse darstellen. |
| EventEndTime | datetime | Der Zeitpunkt, zu dem das Ereignis geendet hat. Wenn die Quelle die Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, ist der Zeitpunkt, zu dem das letzte Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
| EventMessage | Zeichenfolge | Eine allgemeine Nachricht oder Beschreibung, entweder im Datensatz enthalten oder aus ihm generiert. |
| EventOriginalResultDetails | Zeichenfolge | Die ursprünglichen Ergebnisdetails, die von der Quelle bereitgestellt werden. Dieser Wert wird verwendet, um das Feld EventResultDetails abzuleiten, das nur einen der für jedes Schema dokumentierten Werte enthalten sollte. |
| EventOriginalSeverity | Zeichenfolge | Der ursprüngliche Schweregrad, wie vom meldenden Gerät angegeben. Dieser Wert wird zum Ableiten von EventSeverity verwendet. |
| EventOriginalSubType | Zeichenfolge | Der ursprüngliche Ereignisuntertyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. |
| EventOriginalType | Zeichenfolge | Der ursprüngliche Ereignistyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. |
| EventOriginalUid | Zeichenfolge | Eine eindeutige ID des ursprünglichen Datensatzes, sofern von der Quelle bereitgestellt. |
| EventOwner | Zeichenfolge | Der Besitzer des Ereignisses, bei dem es sich in der Regel um die Abteilung oder Niederlassung handelt, in der das Ereignis generiert wurde |
| EventProduct | Zeichenfolge | Das Produkt, das das Ereignis erzeugt. Der Wert sollte einer der unter Anbieter und Produkte aufgeführten Werte sein. |
| EventProductVersion | Zeichenfolge | Die Version des Produkts, das das Ereignis erzeugt. |
| EventReportUrl | Zeichenfolge | Eine URL, die im Ereignis für eine Ressource bereitgestellt wird, die weitere Informationen zum Ereignis enthält. |
| EventResult | Zeichenfolge | Das Ergebnis des Ereignisses, dargestellt durch einen der folgenden Werte: Success, Partial, Failure, NA (Not Applicable). |
| EventResultDetails | Zeichenfolge | Grund oder Details für das im Feld EventResult gemeldete Ergebnis. |
| EventSchema | Zeichenfolge | Das Schema, in das das Ereignis normalisiert wird. Jedes Schema dokumentiert seinen Schemanamen. |
| EventSchemaVersion | Zeichenfolge | Die Version des Schemas. In jedem Schema ist die aktuelle Version dokumentiert. |
| EventSeverity | Zeichenfolge | Der Schweregrad des Ereignisses. |
| EventStartTime | datetime | Der Zeitpunkt, zu dem das Ereignis begonnen hat. Wenn die Quelle die Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, ist dies der Zeitpunkt, zu dem das erste Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
| EventSubType | Zeichenfolge | Beschreibt eine Untereinheit des Vorgangs, der im Feld EventType gemeldet wird. |
| EventType | Zeichenfolge | Beschreibt den vom Datensatz gemeldeten Vorgang. |
| EventVendor | Zeichenfolge | Der Hersteller des Produkts, das das Ereignis erzeugt. Der Wert sollte einer der unter Anbieter und Produkte aufgeführten Werte sein. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| RequestedIpAddr | Zeichenfolge | Die vom DHCP-Client angeforderte IP-Adresse (sofern verfügbar). |
| _ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| RuleName | Zeichenfolge | Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| RuleNumber | INT | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| SrcDescription | Zeichenfolge | Ein mit dem Gerät verknüpfter beschreibender Text. |
| SrcDeviceType | Zeichenfolge | Der Typ des Geräts. |
| SrcDomain | Zeichenfolge | Die Domäne des Geräts. |
| SrcDomainType | Zeichenfolge | Die Art der Domäne. |
| SrcDvcId | Zeichenfolge | Die ID des Geräts. |
| SrcDvcIdType | Zeichenfolge | Der Typ der DvcId. |
| SrcDvcScope | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. |
| SrcDvcScopeId | Zeichenfolge | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. |
| SrcFQDN | Zeichenfolge | Der Gerätenamename, einschließlich Domäneninformationen, falls verfügbar. |
| SrcGeoCity | Zeichenfolge | Die Stadt, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoCountry | Zeichenfolge | Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoLatitude | real | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoLongitude | real | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoRegion | Zeichenfolge | Die Region innerhalb eines Landes, das der Quell-IP-Adresse zugeordnet ist. |
| SrcHostname | Zeichenfolge | Der Gerätenamename, mit Ausnahme von Domäneninformationen. |
| SrcIpAddr | Zeichenfolge | Die IP-Adresse des Quellgeräts. |
| SrcMacAddr | Zeichenfolge | Die MAC-Adresse der Netzwerkschnittstelle, von der aus die Verbindung oder Sitzung hergestellt wurde. |
| SrcOriginalRiskLevel | Zeichenfolge | Die Risikostufe, die mit der identifizierten Quelle verbunden ist, wie vom Berichterstellungsgerät gemeldet. |
| SrcOriginalUserType | Zeichenfolge | Der ursprüngliche Quellbenutzertyp, sofern von der Quelle bereitgestellt. |
| SrcPortNumber | INT | Der IP-Port, an dem das Gerät kommuniziert hat, falls zutreffend. |
| SrcRiskLevel | INT | Die Risikostufe, die der identifizierten Quelle zugeordnet ist. |
| SrcUserId | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Benutzers. |
| SrcUserIdType | Zeichenfolge | Der Typ von SrcUserId. |
| SrcUsername | Zeichenfolge | Der Benutzername des Benutzers, einschließlich Domäneninformationen, sofern verfügbar. |
| SrcUsernameType | Zeichenfolge | Der Typ des Benutzernamens. |
| SrcUserScope | Zeichenfolge | Der Typ des Benutzernamens. |
| SrcUserScopeId | Zeichenfolge | Die Bereichs-ID, z. B. die Azure AD-Mandanten-ID, in der UserId und Benutzername definiert sind. |
| SrcUserSessionId | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Benutzers. |
| SrcUserType | Zeichenfolge | Der Benutzertyp |
| SrcUserUid | Zeichenfolge | Die Unix- oder Linux-Benutzer-ID des Benutzers. |
| _SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| ThreatCategory | Zeichenfolge | Die Kategorie der Bedrohung oder Schadsoftware, die in der Aktivität identifiziert wurde. |
| ThreatConfidence | INT | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
| ThreatField | Zeichenfolge | Das Feld, für das eine Bedrohung identifiziert wurde. |
| ThreatFirstReportedTime | datetime | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| ThreatId | Zeichenfolge | Die ID der Bedrohung oder Schadsoftware, die in der Aktivität identifiziert wurde. |
| ThreatIsActive | bool | True ID; die identifizierte Bedrohung wird als aktive Bedrohung betrachtet. |
| ThreatLastReportedTime | datetime | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| ThreatName | Zeichenfolge | Der Name der Bedrohung oder Schadsoftware, die in der Aktivität identifiziert wurde. |
| ThreatOriginalConfidence | Zeichenfolge | Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet. |
| ThreatOriginalRiskLevel | Zeichenfolge | Die Risikostufe, wie vom meldenden Gerät gemeldet. |
| ThreatRiskLevel | INT | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. |
| TimeGenerated | datetime | Der Zeitstempel (UTC), der die Zeit widerspiegelt, zu der das Ereignis generiert wurde. |
| type | Zeichenfolge | Der Name der Tabelle. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für