ASimDnsActivityLogs
Az ASim DNS-tevékenységséma a DNS protokolltevékenységet jelöli, amelyet egy DNS-kiszolgáló vagy egy DNS-kiszolgálónak küldött DNS-kéréseket küldő eszköz naplózhat. A DNS-protokolltevékenység magában foglalja a DNS-lekérdezéseket, a DNS-kiszolgáló frissítéseit és a TÖMEGES DNS-adatátvitelt. Mivel a séma a protokolltevékenységet jelöli, az RFC-k és a hivatalosan hozzárendelt paraméterlisták szabályozzák. A DNS-tevékenységséma nem felel meg a DNS-kiszolgáló naplózási eseményeinek.
Táblaattribútumok
Attribútum | Érték |
---|---|
Erőforrástípusok | microsoft.securityinsights/dnsnormalized |
Kategóriák | Biztonság |
Megoldások | SecurityInsights |
Alapszintű napló | No |
Betöltési idő átalakítás | Yes |
Mintalekérdezések | Igen |
Oszlopok
Oszlop | Típus | Description |
---|---|---|
További mezők | dinamikus | További információk, amelyek a forrás által biztosított kulcs/érték párok használatával jelennek meg, amelyek nem képeznek le ASim-et. |
_BilledSize | valós szám | A rekord mérete bájtban |
DnsFlags | sztring | A DNS-kérés jelzői a jelentéskészítő eszköz által biztosított módon. A DNS-jelzők információinak szerkezete eltérő lehet a különböző jelentéskészítő eszközök között. |
DnsFlagsAuthenticated | logikai | A DNS-hitelesítésű válaszjelző, amely a DNSSEC-hez kapcsolódik, egy válaszban jelzi, hogy a válasz válasz- és szolgáltatói szakaszaiban szereplő összes adatot a kiszolgáló az adott kiszolgáló házirendjeinek megfelelően ellenőrizte. További információt az RFC 3655 6.1. szakaszában talál. |
DnsFlagsAuthoritative | logikai | A DNS mérvadó válaszjelölője azt jelzi, hogy a kiszolgáló válasza mérvadó volt-e. |
DnsFlagsCheckingDisabled | logikai | A DNSSEC-hez kapcsolódó DNS CD-jelző azt jelzi egy lekérdezésben, hogy a nem ellenőrzött adatok elfogadhatók a lekérdezést küldő rendszer számára. |
DnsFlagsRecursionAvailable | logikai | A DNS RA jelző egy válaszban jelzi, hogy a kiszolgáló támogatja a rekurzív lekérdezéseket. |
DnsFlagsRecursionDesired | logikai | A DNS-rekurzió kívánt jelzője azt jelzi egy kérésben, hogy az ügyfél szeretné, ha a kiszolgáló rekurzív lekérdezéseket használna. |
DnsFlagsTruncated | logikai | A DNS TC jelzője azt jelzi, hogy a válasz csonkult, mivel túllépte a válasz maximális méretét. |
DnsFlagsZ | logikai | A DNS Z jelző elavult DNS-jelző, amelyet a régebbi DNS-rendszerek jelenthetnek. |
DnsNetworkDuration | int | A DNS-kérelem befejezéséhez szükséges idő ezredmásodpercben. |
DnsQuery | sztring | A feloldandó tartomány. |
DnsQueryClass | int | Az Internet Assigned Numbers Authority (IANA) által meghatározott DNS-osztályazonosító. |
DnsQueryClassName | sztring | Az Internet Assigned Numbers Authority (IANA) által meghatározott DNS-osztálynév. |
DnsQueryType | int | Az Internet Assigned Numbers Authority (IANA) által meghatározott DNS-erőforrásrekord-típuskódok. |
DnsQueryTypeName | sztring | Az Internet Assigned Numbers Authority (IANA) által meghatározott DNS-erőforrásrekord-típus neve. |
DnsResponseCode | int | Az Internet Assigned Numbers Authority (IANA) által meghatározott DNS numerikus válaszkód. |
DnsResponseIpCity | sztring | A válasz IP-címéhez társított város. |
DnsResponseIpCountry | sztring | A válasz IP-címéhez társított ország. |
DnsResponseIpLatitude | valós szám | A válasz IP-címéhez társított földrajzi koordináták szélessége. |
DnsResponseIpLongitude | valós szám | A válasz IP-címéhez társított földrajzi koordináták hosszúsága. |
DnsResponseIpRegion | sztring | A forrás IP-címéhez társított régió vagy állam egy országon belül. |
DnsResponseName | sztring | A válasz tartalma a rekordban szereplő módon. A DNS-válaszadatok struktúrája eltérő lehet a különböző jelentéskészítő eszközök között. |
DnsSessionId | sztring | A DNS-munkamenet azonosítója a jelentéskészítő eszköz által jelentett módon. |
Dst | sztring | A DNS-kérést megkapó kiszolgáló egyedi azonosítója. |
DstDescription | sztring | A célhoz társított leíró szöveg. |
DstDeviceType | sztring | A céleszköz típusa. |
DstDomain | sztring | A céleszköz tartománya. |
DstDomainType | sztring | A DstDomain típusa. |
DstDvcId | sztring | A céleszköz azonosítója. |
DstDvcIdType | sztring | A DstDvcId típusa. |
DstDvcScope | sztring | Az a felhőplatform-hatókör, amelyhez a céleszköz tartozik. A DvcScope leképz egy Azure-előfizetésre és egy AWS-fiókra. |
DstDvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez a céleszköz tartozik. A DvcScopeId egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
DstFQDN | sztring | A céleszköz állomásneve, beleértve a tartományadatokat, ha elérhető. |
DstGeoCity | sztring | A cél IP-címéhez társított város. |
DstGeoCountry | sztring | A cél IP-címhez társított ország. |
DstGeoL hála | valós szám | A cél IP-címéhez társított földrajzi koordináták szélessége. |
DstGeoLongitude | valós szám | A cél IP-címéhez társított földrajzi koordináták hosszúsága. |
DstGeoRegion | sztring | A cél IP-címhez társított régió vagy állam egy országon belül. |
DstHostname | sztring | A céleszköz állomásneve, a tartományadatok kivételével. |
DstIpAddr | sztring | A DNS-kérést fogadó kiszolgáló IP-címe. Normál DNS-kérés esetén ez az érték általában a jelentéskészítő eszköz, és a legtöbb esetben a 127.0.0.1 értékre van állítva. |
DstOriginalRiskLevel | sztring | A céleszközhöz társított kockázati szint a jelentéskészítő eszköz által jelentett módon. |
DstPortNumber | int | Célport száma. |
DstRiskLevel | int | A céleszközhöz társított kockázati szint. |
Dvc | sztring | Az eseményt jelentő eszköz egyedi azonosítója. Az azonosító lehet IP-cím, állomásnév vagy eszközazonosító. |
DvcAction | sztring | A jelentéskészítő eszköz által a kérelemben végrehajtott művelet, például a blokkolása. |
DvcDescription | sztring | Az eszközhöz társított leíró szöveg. Például: Elsődleges tartományvezérlő. |
DvcDomain | sztring | Az eseményt jelentő eszköz tartománya. |
DvcDomainType | sztring | A DvcDomain típusa. A lehetséges értékek közé tartozik a "Windows" és az "FQDN". |
DvcFQDN | sztring | Az eseményt jelentő eszköz teljes állomásneve, beleértve a tartományadatokat is. |
DvcHostname | sztring | Az eseményt jelentő eszköz állomásneve. |
DvcId | sztring | Az eseményt jelentő eszköz egyedi azonosítója. |
DvcIdType | sztring | A DvcId típusa. |
DvcInterface | sztring | Az a hálózati adapter, amelyen az adatokat rögzítették. Ez a mező általában a hálózattal kapcsolatos tevékenységekre vonatkozik, amelyeket egy köztes vagy koppintásos eszköz rögzít. |
DvcIpAddr | sztring | Az eseményt jelentő eszköz IP-címe. |
DvcMacAddr | sztring | Az eseményt jelentő eszköz MAC-címe. |
DvcOriginalAction | sztring | A jelentéskészítő eszköz által biztosított eredeti DvcAction. |
DvcOs | sztring | Az eszközön futó operációs rendszer jelenti az eseményt. |
DvcOsVersion | sztring | Az eseményt jelentő eszköz operációs rendszerének verziója. |
DvcScope | sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
DvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DvcScopeId egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
DvcZone | sztring | Az eseményt jelentő eszköz hálózati szegmense. |
EventCount | int | A rekord által leírt események száma. Ez az érték akkor használatos, ha a forrás támogatja az összesítést, és egyetlen rekord több eseményt is jelölhet. |
EventEndTime | dátum/idő | Az esemény befejezésének időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
EventMessage | sztring | Általános üzenet vagy leírás. |
EventOriginalSeverity | sztring | A jelentéskészítő eszköz által megadott eredeti súlyosság. Ez az érték az EventSeverity származtatására szolgál. |
EventOriginalType | sztring | Az eredeti eseménytípus vagy -azonosító, például az eredeti Windows-eseményazonosító. |
EventOriginalUid | sztring | Az eredeti rekord egyedi azonosítója. |
EventOwner | sztring | Az esemény tulajdonosa, amely általában az a részleg vagy leányvállalat, amelyben létrehozták. |
EventProduct | sztring | Az eseményt létrehozó termék. |
EventProductVersion | sztring | Az eseményt létrehozó termék verziója. |
EventReportUrl | sztring | Egy erőforrás URL-címe, amely további információkat nyújt az eseményről. |
EventResult | sztring | Az esemény kimenete, amelyet a következő értékek egyike jelöl: Success, Partial, Failure, NA (Not Applicable). Előfordulhat, hogy az értéket nem adják meg közvetlenül a források, ebben az esetben más eseménymezőkből származik, például az EventResultDetails mezőből. |
EventResultDetails | sztring | Az Internet Assigned Numbers Authority (IANA) által meghatározott DNS-válaszkód. |
EventSchemaVersion | sztring | A séma verziója. |
EventSeverity | sztring | Az esemény súlyossága. Az érvényes értékek a következők: Tájékoztató, Alacsony, Közepes vagy Magas. |
EventStartTime | dátum/idő | Az az időpont, amikor az esemény elindult. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
EventSubType | sztring | Kérés vagy válasz. |
EventType | sztring | A rekord által jelentett műveletet jelzi. A DNS-tevékenységesemények esetében ez az érték az Internet Assigned Numbers Authority (IANA) által meghatározott DNS-opkód. |
EventVendor | sztring | Az eseményt létrehozó termék szállítója. |
_IsBillable | sztring | Meghatározza, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés történik false , a számla nem az Azure-fiókjába kerül. |
NetworkProtocol | sztring | A hálózati feloldási esemény által használt átviteli protokoll. Az érték lehet UDP vagy TCP. |
NetworkProtocolVersion | sztring | A hálózati protokoll verziója. Általában az IPv4 és az Ipv6 megkülönböztetésére szolgál. |
_ResourceId | sztring | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
RuleName | sztring | A szabály neve vagy azonosítója a vizsgálati eredmények alapján. |
RuleNumber | int | A vizsgálati eredményekhez társított szabály száma. |
SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure Azure Diagnostics |
Src | sztring | A forráseszköz egyedi azonosítója. |
SrcDescription | sztring | A vizsgálati eredményekhez társított szabály száma. |
SrcDeviceType | sztring | A forráseszköz típusa. |
SrcDomain | sztring | A forráseszköz tartománya. |
SrcDomainType | sztring | Az SrcDomain típusa. |
SrcDvcId | sztring | A forráseszköz azonosítója. |
SrcDvcIdType | sztring | Az SrcDvcId típusa. |
SrcDvcScope | sztring | A felhőplatform hatóköre, amelyhez a forráseszköz tartozik. A DvcScope egy Azure-előfizetésre és egy AWS-fiókra képezi le a térképet. |
SrcDvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez a forráseszköz tartozik. A DvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképazva. |
SrcFQDN | sztring | A forráseszköz állomásneve, beleértve a tartományadatokat is. |
SrcGeoCity | sztring | A forrás IP-címéhez társított város. |
SrcGeoCountry | sztring | A forrás IP-címéhez társított ország. |
SrcGeoL hála | valós szám | A forrás IP-címéhez társított földrajzi koordináták szélessége. |
SrcGeoLongitude | valós szám | A forrás IP-címéhez társított földrajzi koordináták hosszúsága. |
SrcGeoRegion | sztring | A forrás IP-címéhez társított régió vagy állam egy országban. |
SrcHostname | sztring | A forráseszköz gazdaneve, a tartományi adatok kivételével. |
SrcIpAddr | sztring | A DNS-kérést küldő ügyfél IP-címe. Rekurzív DNS-kérés esetén ez az érték általában a jelentéskészítő eszköz, és a legtöbb esetben a 127.0.0.1 értékre van állítva. |
SrcOriginalRiskLevel | sztring | A forráseszközhöz társított kockázati szint a jelentéskészítő eszköz által jelentett módon. |
SrcOriginalUserType | sztring | Az eredeti forrásfelhasználó típusa, a forrás által megadott módon. |
SrcPortNumber | int | A DNS-lekérdezés forrásportja. |
SrcProcessGuid | sztring | A DNS-kérést kezdeményező folyamat létrehozott egyedi azonosítója (GUID). |
SrcProcessId | sztring | A DNS-kérést kezdeményező folyamat folyamatazonosítója (PID). |
SrcProcessName | sztring | A DNS-kérést kezdeményező folyamat neve. |
SrcRiskLevel | int | A forráseszközhöz társított kockázati szint. |
SrcUserId | sztring | A forrásfelhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása. |
SrcUserIdType | sztring | A SrcUserId mezőben tárolt azonosító típusa. |
SrcUsername | sztring | A forrás felhasználóneve, beleértve a tartományadatokat, ha elérhetők. |
SrcUsernameType | sztring | A SrcUsername mezőben tárolt felhasználónév típusa. |
SrcUserScope | sztring | A hatókör, például Azure AD bérlő, amelyben az SrcUserId és az SrcUsername definiálva van. |
SrcUserScopeId | sztring | Annak a hatókörnek az azonosítója, például Azure AD bérlő, amelyben az SrcUserId és az SrcUsername definiálva van. |
SrcUserSessionId | sztring | A forrásfelhasználó bejelentkezési munkamenetének egyedi azonosítója. |
SrcUserType | sztring | A forrásfelhasználó típusa. |
_SubscriptionId | sztring | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
TenantId | sztring | A Log Analytics-munkaterület azonosítója |
ThreatCategory | sztring | Ha egy DNS-eseményforrás DNS-biztonságot is biztosít, akkor kiértékelheti a DNS-eseményt is. Megkeresheti például az IP-címet vagy tartományt egy fenyegetésfelderítési adatbázisban, és hozzárendelheti a tartományt vagy IP-címet egy fenyegetéskategóriával. |
ThreatConfidence | int | Az azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
ThreatField | sztring | Az a mező, amelyhez fenyegetést azonosítottak. Az érték lehet SrcIpAddr, DstIpAddr, Domain vagy DnsResponseName. |
ThreatFirstReportedTime | sztring | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
ThreatFirstReportedTime_d | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
ThreatId | sztring | A webes munkamenetben azonosított fenyegetés vagy kártevő azonosítója. |
ThreatIpAddr | sztring | Egy IP-cím, amelyhez fenyegetést azonosítottak. A ThreatField mező annak a mezőnek a nevét tartalmazza, amelyet a ThreatIpAddr képvisel. Ha a Tartomány mezőben fenyegetést talál, ennek a mezőnek üresnek kell lennie. |
ThreatIsActive | logikai | Az azonosított fenyegetés valódi azonosítója aktív fenyegetésnek minősül. |
ThreatLastReportedTime | sztring | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
ThreatLastReportedTime_d | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
ThreatName | sztring | Az azonosított fenyegetés neve, amelyet a jelentéskészítő eszköz jelentett. |
ThreatOriginalConfidence | sztring | Az azonosított fenyegetés eredeti megbízhatósági szintje, amelyet a jelentéskészítő eszköz jelentett. |
ThreatOriginalRiskLevel | int | Az azonosított fenyegetéshez tartozó eredeti kockázati szint, amelyet a jelentéskészítő eszköz jelentett. |
ThreatOriginalRiskLevel_s | sztring | Az azonosított fenyegetéshez társított kockázati szint, 0 és 100 közötti értékre normalizálva. |
ThreatRiskLevel | int | Az azonosított fenyegetéshez társított kockázati szint, 0 és 100 közötti értékre normalizálva. |
TimeGenerated | dátum/idő | Az esemény létrehozásának időpontját tükröző időbélyeg (UTC). |
TransactionIdHex | sztring | A DNS egyedi hexadecimális tranzakcióazonosítója. |
Típus | sztring | A tábla neve |
UrlCategory | sztring | A DNS-eseményforrás a kért tartományok kategóriáját is megkeresheti. |
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: