Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le schéma d’activité DNS ASim représente l’activité du protocole DNS, qui peut être journalisée par un serveur DNS ou par un appareil qui envoie des requêtes DNS à un serveur DNS. L’activité du protocole DNS comprend les requêtes DNS, les mises à jour du serveur DNS et les transferts de données en bloc du DNS. Étant donné que le schéma représente l’activité du protocole, il est régi par les RFC et les listes de paramètres officiellement attribuées. Le schéma d’activité DNS ne représente pas les événements d’audit du serveur DNS.
Attributs de la table
| Attribut | Valeur |
|---|---|
| Types de ressources | microsoft.securityinsights/dnsnormalized |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| AdditionalFields | dynamique | Informations supplémentaires, représentées à l’aide de paires clé/valeur fournies par la source qui ne sont pas mappées à ASim. |
| _BilledSize | réel | Taille de l’enregistrement en octets |
| DnsFlags | chaîne | Indicateurs de requête DNS, tels que fournis par l’appareil de création de rapports. La structure des informations sur les indicateurs DNS peut varier entre différents appareils de création de rapports. |
| DnsFlagsAuthenticated | booléen | L’indicateur de réponse authentifié DNS, lié à DNSSEC, indique dans une réponse que toutes les données incluses dans les sections réponse et autorité de la réponse ont été vérifiées par le serveur en fonction des stratégies de ce serveur. Pour plus d’informations, consultez la RFC 3655 Section 6.1. |
| DnsFlagsAuthoritative | booléen | L'indicateur DNS de réponse faisant autorité indique si la réponse du serveur est autoritative. |
| DnsFlagsCheckingDisabled (Vérification des indicateurs DNS désactivée) | booléen | L’indicateur CD DNS, associé au domaine DNSSEC, signifie dans une requête que les données non vérifiées peuvent être acceptées par le système envoyant la requête. |
| DnsFlagsRecursionAvailable | booléen | L’indicateur RA DNS indique dans une réponse que le serveur prend en charge les requêtes récursives. |
| DnsFlagsRecursionDesired | booléen | L’indicateur souhaité de récursivité DNS indique dans une requête que le client souhaite que le serveur utilise des requêtes récursives. |
| DnsFlagsTruncated | booléen | L’indicateur TC DNS indique qu’une réponse a été tronquée au fur et à mesure qu’elle a dépassé la taille maximale de la réponse. |
| DnsFlagsZ | booléen | L’indicateur DNS Z est un indicateur DNS déconseillé, qui peut être signalé par des systèmes DNS plus anciens. |
| Durée du réseau DNS | ent | Durée, en millisecondes, pour que la requête DNS s’achève. |
| DnsQuery | chaîne | Le domaine qui doit être résolu. |
| DnsQueryClass | ent | ID de classe DNS tel que défini par l'Autorité des Nombres Assignés pour l'Internet (IANA). |
| DnsQueryClassName | chaîne | Nom de la classe DNS tel que défini par l'Internet Assigned Numbers Authority (IANA). |
| Type de requête DNS | ent | Codes de type d’enregistrement de ressource DNS définis par l’Autorité des numéros attribués à Internet (IANA). |
| DnsQueryTypeName | chaîne | Nom du type d’enregistrement de ressource DNS tel que défini par l’IANA (Internet Assigned Numbers Authority). |
| DnsResponseCode | ent | Code de réponse numérique DNS tel que défini par l’IANA (Internet Assigned Numbers Authority). |
| DnsResponseIpCity | chaîne | Ville associée à l’adresse IP de réponse. |
| DnsResponseIpCountry | chaîne | Pays associé à l’adresse IP de réponse. |
| DnsResponseIpLatitude | réel | Latitude de la coordonnée géographique associée à l’adresse IP de réponse. |
| DnsResponseIpLongitude | réel | Longitude de la coordonnée géographique associée à l’adresse IP de réponse. |
| DnsResponseIpRegion | chaîne | Région ou état, dans un pays, associé à l’adresse IP source. |
| DnsResponseName | chaîne | Contenu de la réponse, tel qu’il est inclus dans l’enregistrement. La structure des données de réponse DNS peut varier entre différents appareils de création de rapports. |
| DnsSessionId (Identifiant de session DNS) | chaîne | Identificateur de session DNS signalé par le périphérique de création de rapport. |
| Dst | chaîne | Identificateur unique du serveur qui a reçu la requête DNS. |
| DstDescription | chaîne | Texte descriptif associé à la destination. |
| DstDeviceType | chaîne | Type de l’appareil de destination. |
| DstDomain | chaîne | Domaine de l’appareil de destination. |
| DstDomainType | chaîne | Type de DstDomain. |
| DstDvcId | chaîne | ID de l’appareil de destination. |
| DstDvcIdType | chaîne | Type de DstDvcId. |
| DstDvcScope | chaîne | L’étendue de la plateforme cloud à laquelle appartient l’appareil de destination. DvcScope correspond à un abonnement sur Azure et à un compte sur AWS. |
| DstDvcScopeId | chaîne | ID d’étendue de la plateforme cloud à laquelle appartient l’appareil de destination. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DstFQDN | chaîne | Nom d’hôte de l’appareil de destination, y compris les informations de domaine, le cas échéant. |
| DstGeoCity | chaîne | Ville associée à l’adresse IP de destination. |
| DstGeoCountry | chaîne | Pays associé à l’adresse IP de destination. |
| DstGeoLatitude | réel | Latitude de la coordonnée géographique associée à l’adresse IP de destination. |
| DstGeoLongitude | réel | Longitude de la coordonnée géographique associée à l’adresse IP de destination. |
| DstGeoRegion | chaîne | Région ou état, dans un pays, associé à l’adresse IP de destination. |
| DstHostname | chaîne | Nom d’hôte de l’appareil de destination, à l’exception des informations de domaine. |
| DstIpAddr | chaîne | Adresse IP du serveur qui reçoit la requête DNS. Pour une requête DNS régulière, cette valeur correspond généralement à l’appareil de création de rapports et, dans la plupart des cas, à 127.0.0.1. |
| DstOriginalRiskLevel | chaîne | Niveau de risque associé à l’appareil de destination, tel qu’il est signalé par l’appareil de création de rapports. |
| DstPortNumber | ent | Numéro du port de destination. |
| DstRiskLevel | ent | Niveau de risque associé à l’appareil de destination. |
| Dvc | chaîne | Identificateur unique de l’appareil signalant l’événement. L’identificateur peut être une adresse IP, un nom d’hôte ou un ID d’appareil. |
| DvcAction | chaîne | Action effectuée par le dispositif de signalement par rapport à la demande, telle que le blocage. |
| DvcDescription | chaîne | Un texte descriptif associé à l'appareil. Par exemple : Contrôleur de domaine principal. |
| DvcDomain | chaîne | Domaine de l’appareil signalant l’événement. |
| DvcDomainType | chaîne | Type de DvcDomain. Les valeurs possibles incluent « Windows » et « FQDN ». |
| DvcFQDN | chaîne | Nom d’hôte complet, y compris les informations de domaine, de l’appareil signalant l’événement. |
| DvcHostname | chaîne | Nom d’hôte de l’appareil signalant l’événement. |
| DvcId | chaîne | ID unique de l’appareil signalant l’événement. |
| DvcIdType | chaîne | Type de DvcId. |
| DvcInterface | chaîne | Interface réseau sur laquelle les données ont été capturées. Ce champ est généralement utilisé pour une activité liée au réseau qui est capturée par un appareil intermédiaire ou une sonde. |
| DvcIpAddr | chaîne | Adresse IP de l’appareil signalant l’événement. |
| DvcMacAddr | chaîne | Adresse MAC de l’appareil signalant l’événement. |
| DvcOriginalAction | chaîne | DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| DvcOs | chaîne | Système d’exploitation s’exécutant sur l’appareil signalant l’événement. |
| DvcOsVersion | chaîne | Version du système d’exploitation sur l’appareil signalant l’événement. |
| DvcScope | chaîne | Étendue de la plateforme cloud à laquelle appartient l’appareil. Mappage DvcScope à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcScopeId | chaîne | ID d’étendue de la plateforme cloud à laquelle appartient l’appareil. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcZone | chaîne | Segment réseau de l’appareil signalant l’événement. |
| Nombre d'événements | ent | Nombre d’événements décrits par l’enregistrement. Cette valeur est utilisée quand la source prend en charge l’agrégation, et un seul enregistrement peut représenter plusieurs événements. |
| HeureDeFinDeL'Événement | Date/Heure | Heure de fin de l'événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| Message d'Événement | chaîne | Message général ou description. |
| EventOriginalSeverity | chaîne | Gravité d’origine, telle que fournie par l’appareil de reporting. Cette valeur est utilisée pour dériver EventSeverity. |
| TypeOriginalDeL'Événement | chaîne | Type ou ID d’événement d’origine, par exemple, l’ID d’événement Windows d’origine. |
| EventOriginalUid | chaîne | ID unique de l’enregistrement d’origine. |
| Propriétaire de l'Événement | chaîne | Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré. |
| EventProduct | chaîne | Produit générant l’événement. |
| EventProductVersion | chaîne | Version du produit générant l’événement. |
| URL de rapport d'événement | chaîne | URL d’une ressource qui fournit des informations supplémentaires sur l’événement. |
| Résultat de l'Événement | chaîne | Résultat de l’événement, représenté par l’une des valeurs suivantes : Réussite, Partial, Failure, NA (Non applicable). La valeur peut ne pas être fournie directement par les sources, auquel cas elle est dérivée d’autres champs d’événement, par exemple le champ EventResultDetails. |
| Détails des Résultats de l'Événement | chaîne | Code de réponse DNS tel que défini par l’IANA (Internet Assigned Numbers Authority). |
| EventSchemaVersion | chaîne | Version du schéma. |
| EventSeverity | chaîne | La gravité de l’événement. Les valeurs valides sont les suivantes : Informational, Low, Medium ou High. |
| HeureDébutÉvénement | Date/Heure | Heure à laquelle l’événement a démarré. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| TypeDeSousÉvénement | chaîne | requête ou réponse. |
| Type d'Événement | chaîne | Indique l’opération signalée par l’enregistrement. Pour les événements d’activité DNS, cette valeur est le code opcode DNS tel que défini par l’autorité IANA (Internet Assigned Numbers Authority). |
| EventVendor | chaîne | Fournisseur du produit générant l’événement. |
| _IsBillable | chaîne | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| Protocole réseau | chaîne | Protocole de transport utilisé par l’événement de résolution de réseau. La valeur peut être UDP ou TCP. |
| Version du Protocole de Réseau | chaîne | Version du protocole réseau. Généralement utilisé pour différencier IPv4 et Ipv6. |
| _ResourceId (Identifiant de Ressource) | chaîne | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| Nom de la Règle | chaîne | Nom ou ID de la règle associée aux résultats de l’inspection. |
| NuméroDeRègle | ent | Numéro de la règle associée aux résultats de l’inspection. |
| SourceSystem | chaîne | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| Src | chaîne | Identificateur unique de l’appareil source. |
| SrcDescription | chaîne | Numéro de la règle associée aux résultats de l’inspection. |
| Type d'appareil source (SrcDeviceType) | chaîne | Type de l’appareil source. |
| SrcDomain | chaîne | Domaine de l’appareil source. |
| SrcDomainType | chaîne | Type de SrcDomain. |
| SrcDvcId | chaîne | ID de l’appareil source. |
| SrcDvcIdType | chaîne | Type de SrcDvcId. |
| SrcDvcScope | chaîne | L’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScope correspond à un abonnement sur Azure et à un compte sur AWS. |
| SrcDvcScopeId | chaîne | ID de périmètre de la plateforme cloud à laquelle appartient l'équipement source. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcFQDN | chaîne | Nom d’hôte de l’appareil source, y compris les informations de domaine. |
| SrcGeoVille | chaîne | Ville associée à l’adresse IP source. |
| SrcGeoCountry | chaîne | Pays associé à l’adresse IP source. |
| SrcGeoLatitude | réel | Latitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoLongitude | réel | Longitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoRegion | chaîne | Région ou état, dans un pays, associé à l’adresse IP source. |
| SrcHostname | chaîne | Nom d’hôte de l’appareil source, à l’exception des informations de domaine. |
| SrcIpAddr | chaîne | L’adresse IP du client qui envoie la requête DNS. Pour une requête DNS récursive, cette valeur correspond généralement à l'appareil rapportant et, dans la plupart des cas, est configurée sur 127.0.0.1. |
| SrcOriginalRiskLevel | chaîne | Niveau de risque associé à l’appareil source, tel qu’il est signalé par l’appareil de création de rapports. |
| SrcOriginalUserType | chaîne | Type d’utilisateur source d’origine, tel que fourni par la source. |
| SrcPortNumber | ent | Port source de la requête DNS. |
| SrcProcessGuid | chaîne | Identificateur unique généré (GUID) du processus qui a lancé la requête DNS. |
| SrcProcessId | chaîne | ID de processus (PID) du processus qui a lancé la requête DNS. |
| SrcProcessName | chaîne | Nom du processus qui a lancé la requête DNS. |
| SrcRiskLevel | ent | Niveau de risque associé à l’appareil source. |
| SrcUserId | chaîne | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur source. |
| SrcUserIdType | chaîne | Type de l’ID stocké dans le champ SrcUserId. |
| SrcUsername | chaîne | Nom de l’utilisateur source, y compris les informations de domaine, le cas échéant. |
| SrcUsernameType | chaîne | Type du nom d’utilisateur stocké dans le champ SrcUsername. |
| SrcUserScope | chaîne | Étendue, par exemple le locataire Azure AD, dans laquelle SrcUserId et SrcUsername sont définis. |
| SrcUserScopeId | chaîne | Identifiant de l’étendue, par exemple le locataire Azure AD, dans laquelle SrcUserId et SrcUsername sont définis. |
| SrcUserSessionId | chaîne | ID unique de la session de connexion de l’utilisateur source. |
| SrcUserType | chaîne | Type de l’utilisateur source |
| _IdentifiantDeSouscription | chaîne | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| Id de locataire | chaîne | ID de l’espace de travail Log Analytics |
| Catégorie de Menace | chaîne | Si une source d’événement DNS fournit également la sécurité DNS, elle peut également évaluer l’événement DNS. Par exemple, elle peut rechercher l’adresse IP ou le domaine dans une base de données de renseignement sur les menaces et peut affecter le domaine ou l’adresse IP avec une catégorie de menace. |
| ThreatConfidence | ent | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatField | chaîne | Champ pour lequel une menace a été identifiée. La valeur est SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
| ThreatFirstReportedTime | chaîne | Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatFirstReportedTime_d | Date/Heure | Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| Identifiant de menace | chaîne | ID de la menace ou des programmes malveillants identifiés dans la session web. |
| ThreatIpAddr | chaîne | Adresse IP pour laquelle une menace a été identifiée. Le champ ThreatField contient le nom du champ que ThreatIpAddr représente. Si une menace est identifiée dans le champ Domaine, ce champ doit être vide. |
| La menace est active | booléen | Vraie identification, la menace identifiée est considérée comme une menace active. |
| ThreatLastReportedTime | chaîne | La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatLastReportedTime_d | Date/Heure | La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| NomDeLaMenace | chaîne | Nom de la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatOriginalConfidence | chaîne | Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de reporting. |
| Niveau de risque initial de la menace | ent | Niveau de risque d’origine associé à la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatOriginalRiskLevel_s | chaîne | Niveau de risque associé à la menace identifiée, normalisée à une valeur comprise entre 0 et 100. |
| Niveau de Risque de Menace | ent | Niveau de risque associé à la menace identifiée, normalisée à une valeur comprise entre 0 et 100. |
| TimeGenerated | Date/Heure | Horodatage (UTC) reflétant l’heure dans laquelle l’événement a été généré. |
| TransactionIdHex | chaîne | ID de transaction hexadécimal unique DNS. |
| Catégorie | chaîne | Le nom de la table |
| Catégorie d'URL | chaîne | Une source d’événement DNS peut également rechercher la catégorie des domaines demandés. |