ASimDnsActivityLogs
Skema aktivitas DNS ASim mewakili aktivitas protokol DNS, yang mungkin dicatat oleh server DNS atau oleh perangkat yang mengirim permintaan DNS ke server DNS. Aktivitas protokol DNS mencakup kueri DNS, pembaruan server DNS, dan transfer data massal DNS. Karena skema mewakili aktivitas protokol, skema ini diatur oleh RFC dan daftar parameter yang ditetapkan secara resmi. Skema aktivitas DNS tidak mewakili peristiwa audit server DNS.
Atribut tabel
| Atribut | Nilai |
|---|---|
| Jenis sumber daya | microsoft.securityinsights/dnsnormalized |
| Kategori | Keamanan |
| Solusi | SecurityInsights |
| Log dasar | Tidak |
| Transformasi waktu penyerapan | Ya |
| Kueri Sampel | Ya |
Kolom
| Kolom | Jenis | Deskripsi |
|---|---|---|
| AdditionalFields | dinamis | Informasi tambahan, diwakili menggunakan pasangan kunci/nilai yang disediakan oleh sumber yang tidak dipetakan ke ASim. |
| _BilledSize | nyata | Ukuran rekaman dalam byte |
| DnsFlags | string | Bendera permintaan DNS, seperti yang disediakan oleh perangkat pelaporan. Struktur informasi bendera DNS dapat bervariasi di antara perangkat pelaporan yang berbeda. |
| DnsFlagsAuthenticated | bool | Bendera jawaban terautentikasi DNS, yang terkait dengan DNSSEC, menunjukkan dalam respons bahwa semua data yang disertakan dalam bagian jawaban dan otoritas respons telah diverifikasi oleh server sesuai dengan kebijakan server tersebut. lihat RFC 3655 Bagian 6.1 untuk informasi selengkapnya. |
| DnsFlagsAuthoritative | bool | Bendera jawaban otoritatif DNS menunjukkan apakah respons dari server otoritatif. |
| DnsFlagsCheckingDisabled | bool | Bendera CD DNS, yang terkait dengan DNSSEC, menunjukkan dalam kueri bahwa data yang tidak diverifikasi dapat diterima oleh sistem yang mengirim kueri. |
| DnsFlagsRecursionAvailable | bool | Bendera DNS RA menunjukkan dalam respons bahwa server mendukung kueri rekursif. |
| DnsFlagsRecursionDesired | bool | Bendera rekursi DNS yang diinginkan menunjukkan dalam permintaan bahwa klien ingin server menggunakan kueri rekursif. |
| DnsFlagsTruncated | bool | Bendera TC DNS menunjukkan bahwa respons terpotok karena melebihi ukuran respons maksimum. |
| DnsFlagsZ | bool | Bendera DNS Z adalah bendera DNS yang tidak digunakan lagi, yang mungkin dilaporkan oleh sistem DNS yang lebih lama. |
| DnsNetworkDuration | int | Jumlah waktu, dalam milidetik, untuk penyelesaian permintaan DNS. |
| DnsQuery | string | Domain yang harus diselesaikan. |
| DnsQueryClass | int | ID kelas DNS seperti yang didefinisikan oleh Internet Assigned Numbers Authority (IANA). |
| DnsQueryClassName | string | Nama kelas DNS sebagaimana didefinisikan oleh Internet Assigned Numbers Authority (IANA). |
| DnsQueryType | int | Kode jenis catatan sumber daya DNS seperti yang ditentukan oleh Internet Assigned Numbers Authority (IANA). |
| DnsQueryTypeName | string | Nama jenis catatan sumber daya DNS seperti yang ditentukan oleh Internet Assigned Numbers Authority (IANA). |
| DnsResponseCode | int | Kode respons numerik DNS seperti yang didefinisikan oleh Internet Assigned Numbers Authority (IANA). |
| DnsResponseIpCity | string | Kota yang terkait dengan alamat IP respons. |
| DnsResponseIpCountry | string | Negara yang terkait dengan alamat IP respons. |
| DnsResponseIpLatitude | nyata | Garis Lintang koordinat geografis yang terkait dengan alamat IP respons. |
| DnsResponseIpLongitude | nyata | Garis bujur koordinat geografis yang terkait dengan alamat IP respons. |
| DnsResponseIpRegion | string | Wilayah, atau negara bagian, dalam negara, yang terkait dengan alamat IP sumber. |
| DnsResponseName | string | Isi tanggapan, seperti yang termasuk dalam rekaman. Struktur data respons DNS dapat bervariasi di antara perangkat pelaporan yang berbeda. |
| DnsSessionId | string | Pengidentifikasi sesi DNS seperti yang dilaporkan oleh perangkat pelaporan. |
| Dst | string | Pengidentifikasi unik dari server yang menerima permintaan DNS. |
| DstDescription | string | Teks deskriptif yang terkait dengan tujuan. |
| DstDeviceType | string | Jenis perangkat tujuan. |
| DstDomain | string | Domain perangkat tujuan. |
| DstDomainType | string | Jenis DstDomain. |
| DstDvcId | string | ID perangkat tujuan. |
| DstDvcIdType | string | Jenis DstDvcId. |
| DstDvcScope | string | Platform cloud mencakup perangkat tujuan miliknya. DvcScope memetakan ke langganan di Azure dan ke akun di AWS. |
| DstDvcScopeId | string | ID cakupan platform cloud milik perangkat tujuan. DvcScopeId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| DstFQDN | string | Nama host perangkat target, termasuk informasi domain saat tersedia. |
| DstGeoCity | string | Kota yang terkait dengan alamat IP tujuan. |
| DstGeoCountry | string | Negara yang terkait dengan alamat IP tujuan. |
| DstGeoLatitude | nyata | Garis lintang koordinat geografis yang terkait dengan alamat IP tujuan. |
| DstGeoLongitude | nyata | Garis bujur koordinat geografis yang terkait dengan alamat IP tujuan. |
| DstGeoRegion | string | Wilayah, atau status, dalam negara, yang terkait dengan alamat IP tujuan. |
| DstHostname | string | Nama host perangkat tujuan, tidak termasuk informasi domain. |
| DstIpAddr | string | Alamat IP server yang menerima permintaan DNS. Untuk permintaan DNS biasa, nilai ini biasanya berupa perangkat pelaporan, dan dalam banyak kasus diatur ke 127.0.0.1. |
| DstOriginalRiskLevel | string | Tingkat risiko yang terkait dengan perangkat tujuan seperti yang dilaporkan oleh perangkat pelaporan. |
| DstPortNumber | int | Nama Port Tujuan. |
| DstRiskLevel | int | Tingkat risiko yang terkait dengan perangkat tujuan. |
| Dvc | string | Pengidentifikasi unik perangkat yang melaporkan peristiwa. Pengidentifikasi dapat berupa Alamat IP, Nama host, atau ID perangkat. |
| DvcAction | string | Tindakan yang diambil oleh perangkat pelaporan pada permintaan, seperti memblokirnya. |
| DvcDescription | string | Teks deskriptif yang terkait dengan perangkat. Misalnya: Pengendali Domain Utama. |
| DvcDomain | string | Domain perangkat yang melaporkan peristiwa. |
| DvcDomainType | string | Jenis DvcDomain. Nilai yang mungkin termasuk "Windows" dan "FQDN". |
| DvcFQDN | string | Nama host yang sepenuhnya memenuhi syarat, termasuk informasi domain, dari perangkat yang melaporkan peristiwa. |
| DvcHostname | string | Nama host perangkat yang melaporkan peristiwa. |
| DvcId | string | ID unik perangkat yang melaporkan peristiwa. |
| DvcIdType | string | Jenis DvcId. |
| DvcInterface | string | Antarmuka jaringan tempat data diambil. Bidang ini biasanya relevan dengan aktivitas terkait jaringan yang diambil oleh perangkat perantara atau perangkat tap. |
| DvcIpAddr | string | Alamat IP perangkat yang melaporkan peristiwa. |
| DvcMacAddr | string | Alamat MAC perangkat yang melaporkan peristiwa. |
| DvcOriginalAction | string | DvcAction asli seperti yang disediakan oleh perangkat pelaporan. |
| DvcOs | string | Sistem operasi yang berjalan pada perangkat yang melaporkan peristiwa. |
| DvcOsVersion | string | Versi sistem operasi pada perangkat yang melaporkan peristiwa. |
| DvcScope | string | Cakupan platform cloud milik perangkat. Peta DvcScope ke ID langganan di Azure dan ke ID akun di AWS. |
| DvcScopeId | string | ID cakupan platform cloud milik perangkat. Peta DvcScopeId ke ID langganan di Azure dan ke ID akun di AWS. |
| DvcZone | string | Segmen jaringan perangkat yang melaporkan peristiwa. |
| EventCount | int | Jumlah peristiwa yang dijelaskan oleh rekaman. Nilai ini digunakan ketika sumber mendukung agregasi, dan satu rekaman dapat mewakili beberapa kejadian. |
| EventEndTime | tanggalwaktu | Waktu di mana peristiwa berakhir. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa terakhir dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventMessage | string | Pesan atau deskripsi umum. |
| EventOriginalSeverity | string | Tingkat keparahan asli seperti yang disediakan oleh perangkat pelaporan. Nilai ini digunakan untuk mendapatkan EventSeverity. |
| EventOriginalType | string | Jenis peristiwa atau ID asli, misalnya, ID peristiwa Windows asli. |
| EventOriginalUid | string | ID unik dari rekaman asli. |
| EventOwner | string | Pemilik acara, yang biasanya merupakan departemen atau anak perusahaan tempat peristiwa tersebut dihasilkan. |
| EventProduct | string | Produk yang menghasilkan peristiwa. |
| EventProductVersion | string | Versi produk yang menghasilkan peristiwa. |
| EventReportUrl | string | URL sumber daya yang menyediakan informasi tambahan tentang peristiwa tersebut. |
| EventResult | string | Hasil peristiwa, diwakili oleh salah satu nilai berikut: Sukses, Parsial, Kegagalan, NA (Tidak Berlaku). Nilai mungkin tidak disediakan langsung oleh sumber, dalam hal ini berasal dari bidang peristiwa lain, misalnya, bidang EventResultDetails. |
| EventResultDetails | string | Kode respons DNS seperti yang didefinisikan oleh Internet Assigned Numbers Authority (IANA). |
| EventSchemaVersion | string | Versi skema. |
| EventSeverity | string | Tingkat keparahan peristiwa. Nilai yang valid adalah: Informasi, Rendah, Sedang, atau Tinggi. |
| EventStartTime | tanggalwaktu | Waktu di mana peristiwa dimulai. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa pertama dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventSubType | string | Permintaan atau tanggapan. |
| EventType | string | Menunjukkan operasi yang dilaporkan oleh catatan. Untuk peristiwa aktivitas DNS, nilai ini adalah opcode DNS seperti yang didefinisikan oleh Internet Assigned Numbers Authority (IANA). |
| EventVendor | string | Vendor dari produk yang menghasilkan peristiwa. |
| _IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable penyerapan false tidak ditagih ke akun Azure Anda |
| NetworkProtocol | string | Protokol transportasi yang digunakan oleh peristiwa resolusi jaringan. Nilainya bisa UDP atau TCP. |
| NetworkProtocolVersion | string | Versi protokol jaringan. Biasanya digunakan untuk membedakan antara IPv4 dan Ipv6. |
| _ResourceId | string | Pengidentifikasi unik untuk sumber daya yang terkait dengan rekaman |
| RuleName | string | Nama atau ID aturan dengan dikaitkan dengan hasil inspeksi. |
| RuleNumber | int | Jumlah aturan yang terkait dengan hasil inspeksi. |
| SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik koneksi langsung atau Manajer Operasi, Linux untuk semua agen Linux, atau Azure untuk Diagnostik Azure |
| Src | string | Pengenal unik perangkat sumber. |
| SrcDescription | string | Jumlah aturan yang terkait dengan hasil inspeksi. |
| SrcDeviceType | string | Jenis perangkat sumber |
| SrcDomain | string | Domain perangkat sumber. |
| SrcDomainType | string | Jenis SrcDomain. |
| SrcDvcId | string | ID perangkat sumber. |
| SrcDvcIdType | string | Jenis SrcDvcId. |
| SrcDvcScope | string | Lingkup platform cloud milik perangkat sumber. DvcScope memetakan ke langganan di Azure dan ke akun di AWS. |
| SrcDvcScopeId | string | ID cakupan platform cloud milik perangkat sumber. Peta DvcScopeId ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcFQDN | string | Nama host perangkat sumber, termasuk informasi domain. |
| SrcGeoCity | string | Kota yang terkait dengan alamat IP sumber. |
| SrcGeoCountry | string | Negara yang terkait dengan alamat IP sumber. |
| SrcGeoLatitude | nyata | Garis lintang koordinat geografis yang terkait dengan alamat IP sumber. |
| SrcGeoLongitude | nyata | Garis bujur koordinat geografis yang terkait dengan alamat IP sumber. |
| SrcGeoRegion | string | Wilayah, atau negara bagian, dalam negara, yang terkait dengan alamat IP sumber. |
| SrcHostname | string | Nama host perangkat sumber, tidak termasuk informasi domain. |
| SrcIpAddr | string | Alamat IP klien yang mengirim permintaan DNS. Untuk permintaan DNS rekursif, nilai ini biasanya akan menjadi perangkat pelaporan, dan dalam banyak kasus, diatur ke 127.0.0.1. |
| SrcOriginalRiskLevel | string | Tingkat risiko yang terkait dengan perangkat sumber seperti yang dilaporkan oleh perangkat pelaporan. |
| SrcOriginalUserType | string | Jenis pengguna sumber asli, seperti yang disediakan oleh sumber. |
| SrcPortNumber | int | Port sumber kueri DNS. |
| SrcProcessGuid | string | Pengidentifikasi unik yang dihasilkan (GUID) dari proses yang memulai permintaan DNS. |
| SrcProcessId | string | ID proses (PID) dari proses yang memulai permintaan DNS. |
| SrcProcessName | string | Nama proses yang memulai permintaan DNS. |
| SrcRiskLevel | int | Tingkat risiko yang terkait dengan perangkat sumber. |
| SrcUserId | string | Representasi unik, alfanumerik, dan dapat dibaca komputer dari pengguna sumber. |
| SrcUserIdType | string | Jenis ID yang disimpan pada bidang ActorUserId. |
| SrcUsername | string | Nama pengguna Sumber, termasuk informasi domain jika tersedia. |
| SrcUsernameType | string | Jenis nama pengguna yang disimpan di bidang SrcUsername. |
| SrcUserScope | string | Cakupan, seperti penyewa Azure AD, di mana SrcUserId dan SrcUsername ditentukan. |
| SrcUserScopeId | string | ID cakupan, seperti penyewa Azure AD, di mana SrcUserId dan SrcUsername ditentukan. |
| SrcUserSessionId | string | ID unik dari sesi masuk pengguna sumber. |
| SrcUserType | string | Jenis pengguna sumber. |
| _SubscriptionId | string | Pengidentifikasi unik untuk langganan yang dikaitkan dengan catatan |
| TenantId | string | ID ruang kerja Analitik Log |
| ThreatCategory | string | Jika sumber peristiwa DNS juga menyediakan keamanan DNS, itu juga dapat mengevaluasi peristiwa DNS. Misalnya, ia dapat mencari alamat IP atau domain dalam database intelijen ancaman, dan dapat menetapkan domain atau alamat IP dengan Kategori Ancaman. |
| ThreatConfidence | int | Tingkat keyakinan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
| ThreatField | string | Bidang yang ancamannya diidentifikasi. Nilainya adalah SrcIpAddr, DstIpAddr, Domain, atau DnsResponseName. |
| ThreatFirstReportedTime | string | Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatFirstReportedTime_d | datetime | Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatId | string | ID ancaman atau malware yang diidentifikasi dalam sesi web. |
| ThreatIpAddr | string | Alamat IP yang ancamannya diidentifikasi. Bidang ThreatField berisi nama bidang yang diwakili ThreatIpAddr. Jika ancaman diidentifikasi di bidang Domain, bidang ini harus kosong. |
| ThreatIsActive | bool | True ID ancaman yang diidentifikasi dianggap sebagai ancaman aktif. |
| ThreatLastReportedTime | string | Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatLastReportedTime_d | datetime | Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatName | string | Nama ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatOriginalConfidence | string | Tingkat keyakinan asli ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatOriginalRiskLevel | int | Tingkat risiko asli yang terkait dengan ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatOriginalRiskLevel_s | string | Tingkat risiko yang terkait dengan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
| ThreatRiskLevel | int | Tingkat risiko yang terkait dengan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
| TimeGenerated | tanggalwaktu | Tanda waktu (UTC) yang mencerminkan waktu di mana peristiwa dihasilkan. |
| TransactionIdHex | string | ID transaksi hex unik DNS. |
| Jenis | string | Nama tabel |
| UrlCategory | string | Sumber peristiwa DNS juga dapat mencari kategori Domain yang diminta. |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk