ASimDnsActivityLogs
Das ASim-DNS-Aktivitätsschema stellt die DNS-Protokollaktivität dar, die entweder von einem DNS-Server oder von einem Gerät protokolliert werden kann, das DNS-Anforderungen an einen DNS-Server sendet. Die DNS-Protokollaktivität umfasst DNS-Abfragen, DNS-Serverupdates und DNS-Massendatenübertragungen. Da das Schema die Protokollaktivität darstellt, wird es durch RFCs und offiziell zugewiesene Parameterlisten gesteuert. Das DNS-Aktivitätsschema stellt keine DNS-Serverüberwachungsereignisse dar.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | microsoft.securityinsights/dnsnormalized |
Kategorien | Sicherheit |
Lösungen | SecurityInsights |
Standardprotokoll | No |
Transformation zur Erfassungszeit | Yes |
Beispielabfragen | Ja |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
AdditionalFields | dynamisch | Zusätzliche Informationen, dargestellt mithilfe von Schlüssel-Wert-Paaren, die von der Quelle bereitgestellt werden und nicht ASim zugeordnet sind. |
_BilledSize | real | Die Datensatzgröße in Bytes |
DnsFlags | Zeichenfolge | Die DNS-Anforderungsflags, wie sie vom meldend-Gerät bereitgestellt werden. Die Struktur der DNS-Flaginformationen kann zwischen verschiedenen Meldengeräten variieren. |
DnsFlagsAuthenticated | bool | Das DNS-authentifizierte Antwortflag, das sich auf DNSSEC bezieht, gibt in einer Antwort an, dass alle daten, die in den Antwortabschnitten und Autoritätsabschnitten der Antwort enthalten sind, vom Server gemäß den Richtlinien dieses Servers überprüft wurden. Siehe RFC 3655 Abschnitt 6.1 für weitere Informationen. |
DnsFlagsAuthoritative | bool | Das dns-autoritative Antwortflag gibt an, ob die Antwort vom Server autoritativ war. |
DnsFlagsCheckingDisabled | bool | Das DNS-CD-Flag, das sich auf DNSSEC bezieht, gibt in einer Abfrage an, dass nicht verifizierte Daten für das System akzeptabel sind, das die Abfrage sendet. |
DnsFlagsRecursionAvailable | bool | Das DNS RA-Flag gibt in einer Antwort an, dass der Server rekursive Abfragen unterstützt. |
DnsFlagsRecursionDesired | bool | Das gewünschte Flag für die DNS-Rekursion gibt in einer Anforderung an, dass der Server rekursive Abfragen verwenden soll. |
DnsFlagsTruncated | bool | Das DNS TC-Flag gibt an, dass eine Antwort abgeschnitten wurde, da sie die maximale Antwortgröße überschritten hat. |
DnsFlags | bool | Das DNS Z-Flag ist ein veraltetes DNS-Flag, das möglicherweise von älteren DNS-Systemen gemeldet wird. |
DnsNetworkDuration | INT | Die Zeitspanne in Millisekunden für den Abschluss der DNS-Anforderung. |
DnsQuery | Zeichenfolge | Die aufzulösende Domäne. |
DnsQueryClass | INT | Die DNS-Klassen-ID, wie von der Internet Assigned Numbers Authority (IANA) definiert. |
DnsQueryClassName | Zeichenfolge | Der DNS-Klassenname, wie von der Internet Assigned Numbers Authority (IANA) definiert. |
DnsQueryType | INT | Die DNS-Ressourceneintragstypcodes, wie von der Internet Assigned Numbers Authority (IANA) definiert. |
DnsQueryTypeName | Zeichenfolge | Der Name des DNS-Ressourceneintragstyps, der von der Internet Assigned Numbers Authority (IANA) definiert ist. |
DnsResponseCode | INT | Der numerische DNS-Antwortcode, wie von der Internet Assigned Numbers Authority (IANA) definiert. |
DnsResponseIpCity | Zeichenfolge | Der Ort, der der Antwort-IP-Adresse zugeordnet ist. |
DnsResponseIpCountry | Zeichenfolge | Das Land, das der Antwort-IP-Adresse zugeordnet ist. |
DnsResponseIpLatitude | real | Der Breitengrad der geografischen Koordinate, die der Antwort-IP-Adresse zugeordnet ist. |
DnsResponseIpLongitude | real | Der Längengrad der geografischen Koordinate, die der Antwort-IP-Adresse zugeordnet ist. |
DnsResponseIpRegion | Zeichenfolge | Die Region oder der Staat innerhalb eines Landes, die der Quell-IP-Adresse zugeordnet ist. |
DnsResponseName | Zeichenfolge | Der Inhalt der Antwort, wie im Datensatz enthalten. Die Struktur der DNS-Antwortdaten kann zwischen verschiedenen Berichtsgeräten variieren. |
DnsSessionId | Zeichenfolge | Der DNS-Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. |
Dst | Zeichenfolge | Ein eindeutiger Bezeichner des Servers, der die DNS-Anforderung empfangen hat. |
DstDescription | Zeichenfolge | Ein beschreibender Text, der dem Ziel zugeordnet ist. |
DstDeviceType | Zeichenfolge | Der Typ des Zielgeräts. |
DstDomain | Zeichenfolge | Die Domäne des Zielgeräts. |
DstDomainType | Zeichenfolge | Der Typ von DstDomain. |
DstDvcId | Zeichenfolge | Die ID des Zielgeräts. |
DstDvcIdType | Zeichenfolge | Der Typ von DstDvcId. |
DstDvcScope | Zeichenfolge | Der Cloudplattformbereich, zu dem das Zielgerät gehört. DvcScope wird einem Abonnement in Azure und einem Aws-Konto zugeordnet. |
DstDvcScopeId | Zeichenfolge | Die Bereichs-ID der Cloudplattform, zu der das Zielgerät gehört. DvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
DstFQDN | Zeichenfolge | Der Hostname des Zielgeräts einschließlich Domäneninformationen, sofern verfügbar. |
DstGeoCity | Zeichenfolge | Die Stadt, die der Ziel-IP-Adresse zugeordnet ist. |
DstGeoCountry | Zeichenfolge | Das Land/die Region, das bzw. die der Ziel-IP-Adresse zugeordnet ist. |
DstGeoLatitude | real | Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. |
DstGeoLongitude | real | Der Längengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. |
DstGeoRegion | Zeichenfolge | Die Region oder der Staat innerhalb eines Landes, die der Ziel-IP-Adresse zugeordnet ist. |
DstHostname | Zeichenfolge | Der Hostname des Zielgeräts ohne Domäneninformationen. |
DstIpAddr | Zeichenfolge | Die IP-Adresse des Servers, der die DNS-Anforderung empfängt. Bei einer herkömmlichen DNS-Anforderung ist dieser Wert in der Regel das meldende Gerät und in den meisten Fällen auf 127.0.0.1 festgelegt. |
DstOriginalRiskLevel | Zeichenfolge | Die Risikostufe, die dem Zielgerät zugeordnet ist, wie vom meldend-Gerät gemeldet. |
DstPortNumber | INT | Zielportnummer. |
DstRiskLevel | INT | Die Risikostufe, die dem Zielgerät zugeordnet ist. |
Dvc | Zeichenfolge | Ein eindeutiger Bezeichner des Geräts, das das Ereignis meldet. Der Bezeichner kann entweder eine IP-Adresse, ein Hostname oder eine Geräte-ID sein. |
DvcAction | Zeichenfolge | Die Aktion, die vom meldenden Gerät für die Anforderung ausgeführt wird, z. B. das Blockieren des Geräts. |
DvcDescription | Zeichenfolge | Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primärer Domänencontroller. |
DvcDomain | Zeichenfolge | Die Domäne des Geräts, das das Ereignis meldet. |
DvcDomainType | Zeichenfolge | Der Typ von DvcDomain. Mögliche Werte sind "Windows" und "FQDN". |
DvcFQDN | Zeichenfolge | Der vollqualifizierte Hostname, einschließlich Domäneninformationen, des Geräts, das das Ereignis meldet. |
DvcHostname | Zeichenfolge | Der Hostname des Geräts, das das Ereignis meldet. |
DvcId | Zeichenfolge | Die eindeutige ID des Geräts, das das Ereignis meldet. |
DvcIdType | Zeichenfolge | Der Typ von DvcId. |
DvcInterface | Zeichenfolge | Die Netzwerkschnittstelle, über die Daten erfasst wurden. Dieses Feld ist in der Regel für netzwerkbezogene Aktivitäten relevant, die von einem Zwischen- oder TAP-Gerät erfasst werden. |
DvcIpAddr | Zeichenfolge | Die IP-Adresse des Geräts, das das Ereignis meldet. |
DvcMacAddr | Zeichenfolge | Die MAC-Adresse des Geräts, das das Ereignis meldet. |
DvcOriginalAction | Zeichenfolge | Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben. |
DvcOs | Zeichenfolge | Das Betriebssystem, das auf dem Gerät ausgeführt wird, das das Ereignis meldet. |
DvcOsVersion | Zeichenfolge | Die Version des Betriebssystems auf dem Gerät, das das Ereignis meldet. |
DvcScope | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. DvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
DvcScopeId | Zeichenfolge | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. DvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
DvcZone | Zeichenfolge | Das Netzwerksegment des Geräts, das das Ereignis meldet. |
EventCount | INT | Die Anzahl der Ereignisse, die vom Datensatz beschrieben werden. Dieser Wert wird verwendet, wenn die Quelle Aggregation unterstützt. Ein einzelner Datensatz kann mehrere Ereignisse darstellen. |
EventEndTime | datetime | Die Beendigungszeit des Ereignisses. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das letzte Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
EventMessage | Zeichenfolge | Eine allgemeine Nachricht oder Beschreibung. |
EventOriginalSeverity | Zeichenfolge | Der ursprüngliche Schweregrad, wie vom meldenden Gerät angegeben. Dieser Wert wird zum Ableiten von EventSeverity verwendet. |
EventOriginalType | Zeichenfolge | Der ursprüngliche Ereignistyp oder die ID, z. B. die ursprüngliche Windows-Ereignis-ID. |
EventOriginalUid | Zeichenfolge | Eine eindeutige ID des ursprünglichen Datensatzes. |
EventOwner | Zeichenfolge | Der Besitzer des Ereignisses, bei dem es sich in der Regel um die Abteilung oder Niederlassung handelt, in der das Ereignis generiert wurde |
EventProduct | Zeichenfolge | Das Produkt, das das Ereignis erzeugt. |
EventProductVersion | Zeichenfolge | Die Version des Produkts, das das Ereignis erzeugt. |
EventReportUrl | Zeichenfolge | Eine URL einer Ressource, die zusätzliche Informationen zum Ereignis bereitstellt. |
EventResult | Zeichenfolge | Das Ergebnis des Ereignisses, dargestellt durch einen der folgenden Werte: Success, Partial, Failure, NA (Not Applicable). Der Wert kann nicht direkt von den Quellen bereitgestellt werden. In diesem Fall wird er von anderen Ereignisfeldern abgeleitet, z. B. dem Feld EventResultDetails. |
EventResultDetails | Zeichenfolge | Der DNS-Antwortcode, der von der Internet Assigned Numbers Authority (IANA) definiert ist. |
EventSchemaVersion | Zeichenfolge | Die Version des Schemas. |
EventSeverity | Zeichenfolge | Der Schweregrad des Ereignisses. Gültige Werte sind: Informational, Low, Medium oder High. |
EventStartTime | datetime | Der Zeitpunkt, zu dem das Ereignis gestartet wurde. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das erste Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
EventSubType | Zeichenfolge | Entweder Anforderung oder Antwort. |
EventType | Zeichenfolge | Gibt den vom Datensatz gemeldeten Vorgang an. Bei DNS-Aktivitätsereignissen ist dieser Wert der DNS-Opcode, wie von der Internet Assigned Numbers Authority (IANA) definiert. |
EventVendor | Zeichenfolge | Der Hersteller des Produkts, das das Ereignis erzeugt. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
NetworkProtocol | Zeichenfolge | Das vom Netzwerkauflösungsereignis verwendete Transportprotokoll. Der Wert kann UDP oder TCP sein. |
NetworkProtocolVersion | Zeichenfolge | Die Version des Netzwerkprotokolls. Wird in der Regel verwendet, um zwischen IPv4 und Ipv6 zu unterscheiden. |
_ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
RuleName | Zeichenfolge | Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist. |
RuleNumber | INT | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
Src | Zeichenfolge | Der eindeutige Bezeichner des Quellgeräts. |
SrcDescription | Zeichenfolge | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
SrcDeviceType | Zeichenfolge | Der Typ des Quellgeräts. |
SrcDomain | Zeichenfolge | Die Domäne des Quellgeräts. |
SrcDomainType | Zeichenfolge | Der Typ von SrcDomain. |
SrcDvcId | Zeichenfolge | Die ID des Quellgeräts. |
SrcDvcIdType | Zeichenfolge | Der Typ von SrcDvcId. |
SrcDvcScope | Zeichenfolge | Der Cloudplattformbereich, zu dem das Quellgerät gehört. DvcScope wird einem Abonnement in Azure und einem Konto bei AWS zugeordnet. |
SrcDvcScopeId | Zeichenfolge | Die Cloudplattformbereichs-ID, zu der das Quellgerät gehört. DvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
SrcFQDN | Zeichenfolge | Der Hostname des Quellgeräts, einschließlich Domäneninformationen. |
SrcGeoCity | Zeichenfolge | Die Stadt, die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoCountry | Zeichenfolge | Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoLatitude | real | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoLongitude | real | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoRegion | Zeichenfolge | Die Region oder der Staat innerhalb eines Landes, die der Quell-IP-Adresse zugeordnet ist. |
SrcHostname | Zeichenfolge | Der Hostname des Quellgeräts ohne Domäneninformationen. |
SrcIpAddr | Zeichenfolge | Die IP-Adresse des Clients, der die DNS-Anforderung sendet. Bei einer rekursiven DNS-Anforderung ist dieser Wert in der Regel das Berichterstellungsgerät und in den meisten Fällen auf 127.0.0.1 festgelegt. |
SrcOriginalRiskLevel | Zeichenfolge | Die Risikostufe, die dem Quellgerät zugeordnet ist, wie vom Berichterstellungsgerät gemeldet. |
SrcOriginalUserType | Zeichenfolge | Der ursprüngliche Quellbenutzertyp, wie von der Quelle angegeben. |
SrcPortNumber | INT | Quellport der DNS-Abfrage. |
SrcProcessGuid | Zeichenfolge | Ein generierter eindeutiger Bezeichner (GUID) für den Prozess, der die DNS-Anforderung initiiert hat. |
SrcProcessId | Zeichenfolge | Die Prozess-ID (PID) des Prozesses, der die DNS-Anforderung initiiert hat. |
SrcProcessName | Zeichenfolge | Der Name des Prozesses, der die DNS-Anforderung initiiert hat. |
SrcRiskLevel | INT | Die Risikostufe, die dem Quellgerät zugeordnet ist. |
SrcUserId | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Quellbenutzers. |
SrcUserIdType | Zeichenfolge | Der Typ der ID, die im Feld SrcUserId gespeichert ist. |
SrcUsername | Zeichenfolge | Der Quellbenutzername einschließlich Informationen zur Domäne, falls verfügbar. |
SrcUsernameType | Zeichenfolge | Der Typ des Benutzernamens, der im Feld SrcUsername gespeichert ist. |
SrcUserScope | Zeichenfolge | Der Bereich –z. B. der Azure AD-Mandant –, in dem SrcUserId und SrcUsername definiert sind. |
SrcUserScopeId | Zeichenfolge | Die ID des Bereichs, z. B. azure AD-Mandant, in dem SrcUserId und SrcUsername definiert sind. |
SrcUserSessionId | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Quellbenutzers. |
SrcUserType | Zeichenfolge | Der Typ des Quellbenutzers. |
_SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
ThreatCategory | Zeichenfolge | Wenn eine DNS-Ereignisquelle auch sicherheitsrelevante DNS-Informationen liefert, kann sie auch das DNS-Ereignis auswerten. So kann sie beispielsweise die IP-Adresse oder Domäne in einer Threat Intelligence-Datenbank suchen und der Domäne oder IP-Adresse eine Bedrohungskategorie zuweisen. |
ThreatConfidence | INT | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
ThreatField | Zeichenfolge | Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert ist entweder SrcIpAddr, DstIpAddr, Domain oder DnsResponseName. |
ThreatFirstReportedTime | Zeichenfolge | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
ThreatFirstReportedTime_d | datetime | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
ThreatId | Zeichenfolge | Die ID der Bedrohung oder Schadsoftware, die in der Websitzung identifiziert wurde. |
ThreatIpAddr | Zeichenfolge | Eine IP-Adresse, für die eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds, das ThreatIpAddr darstellt. Wenn eine Bedrohung im Feld Domäne identifiziert wird, sollte dieses Feld leer sein. |
ThreatIsActive | bool | True ID; die identifizierte Bedrohung wird als aktive Bedrohung betrachtet. |
ThreatLastReportedTime | Zeichenfolge | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
ThreatLastReportedTime_d | datetime | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
ThreatName | Zeichenfolge | Der Name der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet |
ThreatOriginalConfidence | Zeichenfolge | Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet. |
ThreatOriginalRiskLevel | INT | Die ursprüngliche Risikostufe, die der identifizierten Bedrohung zugeordnet ist, wie vom meldenden Gerät gemeldet |
ThreatOriginalRiskLevel_s | Zeichenfolge | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist, normalisiert auf einen Wert zwischen 0 und 100 |
ThreatRiskLevel | INT | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist, normalisiert auf einen Wert zwischen 0 und 100 |
TimeGenerated | datetime | Der Zeitstempel (UTC), der die Zeit widerspiegelt, zu der das Ereignis generiert wurde. |
TransactionIdHex | Zeichenfolge | Die eindeutige hexadezimale DNS-Transaktions-ID. |
type | Zeichenfolge | Der Name der Tabelle. |
UrlCategory | Zeichenfolge | Eine DNS-Ereignisquelle kann auch die Kategorie der angeforderten Domänen nachschlagen. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für