ASimDhcpEventLogs
El esquema DHCP de ASIM representa la actividad del servidor DHCP, lo que incluye atender solicitudes de direcciones IP de DHCP concedidas desde sistemas cliente y actualizar un servidor DNS con las concesiones otorgadas.
Atributos de tabla
Atributo | Valor |
---|---|
Tipos de recursos | microsoft.securityinsights/asimtables |
Categorías | Seguridad |
Soluciones | SecurityInsights |
Registro básico | No |
Transformación en tiempo de ingesta | Sí |
Consultas de ejemplo | - |
Columnas
Columna | Tipo | Descripción |
---|---|---|
AdditionalFields | dinámico | Información adicional, representada mediante pares clave-valor proporcionados por el origen que no se asignan a ASim. |
_BilledSize | real | Tamaño del registro en bytes |
DhcpCircuitId | string | Identificador del circuito DHCP, tal y como se define en RFC3046. |
DhcpLeaseDuration | int | Longitud de la concesión otorgada a un cliente, en segundos. |
DhcpSessionDuration | int | Cantidad de tiempo, en milisegundos, para la finalización de la sesión de DHCP. |
DhcpSessionId | string | Identificador de sesión notificado por el dispositivo de informes. Para el servidor DHCP de Windows, establezca esta opción en el campo TransactionID. |
DhcpSrcDHCId | string | Identificador de cliente DHCP, tal y como se define en RFC4701. |
DhcpSubscriberId | string | Identificador de suscriptor DHCP, tal y como se define en RFC3993. |
DhcpUserClass | string | Clase de usuario DHCP, tal como se define en RFC3004 |
DhcpUserClassId | string | Identificador de clase de usuario DHCP, tal como se define en RFC3004 |
DhcpVendorClass | string | Clase de proveedor DHCP, tal como se define en RFC3925 |
DhcpVendorClassId | string | Identificador de clase de proveedor DHCP, tal como se define en RFC3925 |
DvcAction | string | Para los sistemas de seguridad de informes, la acción realizada por el sistema, si procede. |
DvcDescription | string | Texto descriptivo asociado al dispositivo. |
DvcDomain | string | Dominio del dispositivo en el que se produjo el evento o que informó del evento, según el esquema. |
DvcDomainType | string | Tipo de DvcDomain. |
DvcFQDN | string | El nombre de host del dispositivo en el que se produjo el evento o que informó del evento, según el esquema. |
DvcHostname | string | El nombre de host del dispositivo en el que se produjo el evento o que informó del evento, según el esquema. |
DvcId | string | El identificador único del dispositivo en el que se produjo el evento o que informó del evento, según el esquema. |
DvcIdType | string | Tipo de DvcId. |
string | Interfaz de red en la que se capturaron los datos. Este campo suele ser pertinente para la actividad relacionada con la red, que captura un dispositivo intermedio o de derivación. | |
DvcIpAddr | string | La dirección IP del dispositivo en el que se produjo el evento o que informó del evento, según el esquema. |
DvcMacAddr | string | La dirección MAC del dispositivo en el que se produjo el evento o que informó del evento. |
DvcOriginalAction | string | El valor original de DvcAction, como se proporciona en el dispositivo de informes. |
DvcOs | string | El sistema operativo que se utiliza en el dispositivo en el que se produjo el evento o que informó del evento. |
DvcOsVersion | string | La versión del sistema operativo del dispositivo en el que se produjo el evento o que informó del evento. |
DvcScope | string | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. DvcScope se asigna a un nombre de suscripción en Azure y a un identificador de cuenta en AWS. |
DvcScopeId | string | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
DvcZone | string | La red en la que se produjo el evento o en la que se informó del evento, según el esquema. El dispositivo de informes define la zona. |
EventCount | int | Número de eventos descritos por el registro. Este valor se usa cuando el origen admite agregación y un único registro puede representar varios eventos. |
EventEndTime | datetime | Hora a la que finalizó el evento. Si el origen admite la agregación y el registro representa varios eventos, la hora en que se generó el último evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
EventMessage | string | Mensaje o descripción general, incluidos en el registro o generados a partir de este. |
string | Detalles del resultado original proporcionados por el origen. Este valor se usa para derivar EventResultDetails, que solo debe tener uno de los valores documentados para cada esquema. | |
EventOriginalSeverity | string | La gravedad del original, como se especifica en el dispositivo de informes. Este valor se usa para derivar EventSeverity. |
string | El subtipo o identificador del evento original, si lo proporciona el origen. | |
EventOriginalType | string | Tipo o Id. del evento original, si lo proporciona el origen. |
EventOriginalUid | string | Id. único del registro original, si lo proporciona el origen. |
EventOwner | string | Es el propietario del evento, que suele ser el departamento o subsidiario en el que se generó. |
EventProduct | string | Producto que genera el evento. El valor debe ser uno de los valores enumerados en Proveedores y productos. |
EventProductVersion | string | Versión del producto que genera el evento. |
EventReportUrl | string | Dirección URL proporcionada en el evento para un recurso que ofrece más información sobre el evento. |
EventResult | string | Resultado del evento, representado por uno de los siguientes valores: Success, Partial, Failure, NA (Not Applicable). |
EventResultDetails | string | Motivo o detalles del resultado notificado en el campo EventResult. |
EventSchema | string | Esquema para el que se normaliza el evento. Cada esquema documenta su nombre de esquema. |
EventSchemaVersion | string | Versión del esquema. Cada esquema documenta su versión actual. |
EventSeverity | string | La gravedad del evento. |
EventStartTime | datetime | Hora a la que se inició el evento. Si el origen admite la agregación y el registro representa varios eventos, la hora en que se generó el primer evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
EventSubType | string | Describe una subdivisión de la operación notificada en el campo EventType. |
EventType | string | Describe la operación notificada por el registro. |
EventVendor | string | Proveedor del producto que genera el evento. El valor debe ser uno de los valores enumerados en Proveedores y productos. |
_IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando se _IsBillable la ingesta no se false factura a su cuenta de Azure |
RequestedIpAddr | string | Dirección IP solicitada por el cliente DHCP, cuando esté disponible. |
_ResourceId | string | Identificador único del recurso al que está asociado el registro. |
RuleName | string | Nombre o identificador de la regla asociado a los resultados de la inspección. |
RuleNumber | int | Número de la regla asociado a los resultados de la inspección. |
SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
SrcDescription | string | Texto descriptivo asociado al dispositivo. |
SrcDeviceType | string | Tipo del dispositivo. |
SrcDomain | string | Dominio del dispositivo. |
SrcDomainType | string | El tipo del dominio. |
SrcDvcId | string | Identificador del dispositivo. |
SrcDvcIdType | string | Tipo de DvcId. |
SrcDvcScope | string | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. |
SrcDvcScopeId | string | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. |
SrcFQDN | string | El nombre de host del dispositivo, incluida la información de dominio cuando está disponible. |
SrcGeoCity | string | Ciudad asociada con la dirección IP de origen. |
SrcGeoCountry | string | País asociado con la dirección IP de origen. |
SrcGeoLatitude | real | Latitud de la coordenada geográfica asociada con la dirección IP de origen. |
SrcGeoLongitude | real | Longitud de la coordenada geográfica asociada con la dirección IP de origen. |
SrcGeoRegion | string | Región dentro de un país asociado a la dirección IP de origen. |
SrcHostname | string | El nombre de host del dispositivo, excepto la información del dominio. |
SrcIpAddr | string | Dirección IP del dispositivo de origen. |
SrcMacAddr | string | Dirección MAC de la interfaz de red desde la que se originó la conexión o la sesión. |
SrcOriginalRiskLevel | string | El nivel de riesgo asociado con el origen identificado tal como lo notifica el dispositivo de informes. |
SrcOriginalUserType | string | El tipo de usuario de origen original, si lo proporciona el origen. |
SrcPortNumber | int | Puerto IP en el que se comunica el dispositivo, si procede. |
SrcRiskLevel | int | Nivel de riesgo asociado al origen identificado. |
SrcUserId | string | Una representación del usuario única, alfanumérica y legible por un ordenador. |
SrcUserIdType | string | Tipo de SrcUserId. |
SrcUsername | string | El nombre de usuario del usuario, incluida la información de dominio cuando está disponible. |
SrcUsernameType | string | Tipo de nombre de usuario. |
SrcUserScope | string | Tipo de nombre de usuario. |
SrcUserScopeId | string | Identificador de ámbito, como el identificador de inquilino de Azure AD, en el que se definen UserId y Username. |
SrcUserSessionId | string | Identificador único de la sesión de inicio de sesión del usuario. |
SrcUserType | string | El tipo de usuario |
SrcUserUid | string | Identificador de usuario de Unix o Linux del usuario. |
_SubscriptionId | string | Identificador único de la suscripción a la que está asociado el registro. |
TenantId | string | Identificador del área de trabajo de Log Analytics |
ThreatCategory | string | Categoría de la amenaza o malware identificado en la actividad. |
ThreatConfidence | int | Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
ThreatField | string | Campo para el que se identificó una amenaza. |
ThreatFirstReportedTime | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
ThreatId | string | Identificador de la amenaza o malware identificado en la actividad. |
ThreatIsActive | bool | True ID: la amenaza identificada se considera una amenaza activa. |
ThreatLastReportedTime | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
ThreatName | string | Nombre de la amenaza o malware identificado en la actividad. |
ThreatOriginalConfidence | string | El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
ThreatOriginalRiskLevel | string | Nivel de riesgo indicado por el dispositivo de informes. |
ThreatRiskLevel | int | Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. |
TimeGenerated | datetime | Marca de tiempo (UTC) que refleja la hora en la que se generó el evento. |
Tipo | string | Nombre de la tabla. |
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de