ASimDhcpEventLogs
Lo schema DHCP di ASIM rappresenta l'attività del server DHCP, inclusa la gestione delle richieste di indirizzi IP DHCP lease dai sistemi client e l'aggiornamento di un server DNS con i lease concessi.
Attributi tabella
Attributo | Valore |
---|---|
Tipi di risorsa | microsoft.securityinsights/asimtables |
Categorie | Sicurezza |
Soluzioni | SecurityInsights |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | - |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
Campi aggiuntivi | dinamico | Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non vengono mappate a ASim. |
_BilledSize | real | Dimensioni del record in byte |
DhcpCircuitId | string | ID circuito DHCP, come definito da RFC3046. |
DhcpLeaseDuration | INT | Lunghezza del lease concesso a un client, in secondi. |
DhcpSessionDuration | INT | Quantità di tempo, in millisecondi, per il completamento della sessione DHCP. |
DhcpSessionId | string | Identificatore di sessione come segnalato dal dispositivo di report. Per il server DHCP di Windows, impostarlo sul campo TransactionID. |
DhcpSrcDHCId | string | ID client DHCP, come definito da RFC4701. |
DhcpSubscriberId | string | ID sottoscrittore DHCP, come definito da RFC3993. |
DhcpUserClass | string | Classe utente DHCP, come definito da RFC3004. |
DhcpUserClassId | string | ID classe utente DHCP, come definito da RFC3004. |
DhcpVendorClass | string | Classe fornitore DHCP, come definito da RFC3925. |
DhcpVendorClassId | string | ID classe fornitore DHCP, come definito da RFC3925. |
DvcAction | string | Per i sistemi di sicurezza per la creazione di report, l'azione eseguita dal sistema, se applicabile. |
DvcDescription | string | Testo descrittivo associato al dispositivo. |
DvcDomain | string | Dominio del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema |
DvcDomainType | string | Tipo di DvcDomain. |
DvcFQDN | string | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
DvcHostname | string | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
DvcId | string | ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
DvcIdType | string | Tipo di DvcId. |
DvcInterface | string | Interfaccia di rete in cui sono stati acquisiti i dati. Questo campo è in genere rilevante per l'attività correlata alla rete che viene acquisita da un dispositivo intermedio o toccato. |
DvcIpAddr | string | Indirizzo IP del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
DvcMacAddr | string | Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcOriginalAction | string | DvcAction originale, come fornito dal dispositivo di report. |
DvcOs | string | Il sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcOsVersion | string | Versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un nome di sottoscrizione in Azure e a un ID account in AWS. |
DvcScopeId | string | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
DvcZone | string | Rete in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. La zona è definita dal dispositivo di creazione report. |
EventCount | INT | Numero di eventi descritti dal record. Questo valore viene usato quando l'origine supporta l'aggregazione e un singolo record può rappresentare più eventi. |
EventEndTime | Datetime | Ora in cui è terminato l'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
EventMessage | string | Messaggio o descrizione generale, incluso o generato dal record. |
EventOriginalResultDetails | string | Dettagli dei risultati originali forniti dall'origine. Questo valore viene usato per derivare EventResultDetails, che deve avere solo uno dei valori documentati per ogni schema. |
EventOriginalSeverity | string | Gravità originale fornita dal dispositivo di creazione report. Questo valore viene usato per derivare EventSeverity. |
EventOriginalSubType | string | Sottotipo o ID dell'evento originale, se fornito dall'origine. |
EventOriginalType | string | Tipo di evento o ID originale, se fornito dall'origine. |
EventOriginalUid | string | ID univoco del record originale, se fornito dall'origine. |
EventOwner | string | Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
EventProduct | string | Prodotto che genera l'evento. Il valore deve essere uno dei valori elencati in Fornitori e Prodotti. |
EventProductVersion | string | Versione del prodotto che genera l'evento. |
EventReportUrl | string | URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
EventResult | string | Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicable). |
EventResultDetails | string | Motivo o dettagli per il risultato segnalato nel campo EventResult. |
EventSchema | string | Schema in cui viene normalizzato l'evento. Ogni schema documenta il nome dello schema. |
EventSchemaVersion | string | La versione dello schema. Ogni schema documenta la versione corrente. |
EventSeverity | string | Gravità dell'evento. |
EventStartTime | Datetime | Ora di avvio dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
EventSubType | string | Descrive una suddivisione dell'operazione segnalata nel campo EventType. |
EventType | string | Descrive l'operazione segnalata dal record. |
EventVendor | string | Fornitore del prodotto che genera l'evento. Il valore deve essere uno dei valori elencati in Fornitori e Prodotti. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
RequestedIpAddr | string | Indirizzo IP richiesto dal client DHCP, se disponibile. |
_ResourceId | string | Identificatore univoco per la risorsa a cui è associato il record |
RuleName | string | Nome o ID della regola associata ai risultati dell'ispezione. |
RuleNumber | INT | Numero della regola associata ai risultati dell'ispezione. |
SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
SrcDescription | string | Testo descrittivo associato al dispositivo. |
SrcDeviceType | string | Tipo del dispositivo. |
SrcDomain | string | Dominio del dispositivo. |
SrcDomainType | string | Tipo del dominio. |
SrcDvcId | string | ID del dispositivo. |
SrcDvcIdType | string | Tipo di DvcId. |
SrcDvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo. |
SrcDvcScopeId | string | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. |
SrcFQDN | string | Nome host del dispositivo, incluse le informazioni sul dominio quando disponibile. |
SrcGeoCity | string | Città associata all'indirizzo IP di origine. |
SrcGeoCountry | string | Paese associato all'indirizzo IP di origine. |
SrcGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
SrcGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
SrcGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di origine. |
SrcHostname | string | Nome host del dispositivo, escluso le informazioni di dominio. |
SrcIpAddr | string | Indirizzo IP del dispositivo di origine. |
SrcMacAddr | string | Indirizzo MAC dell'interfaccia di rete da cui ha avuto origine la connessione o la sessione. |
SrcOriginalRiskLevel | string | Il livello di rischio associato all'origine identificata come segnalato dal dispositivo di report. |
SrcOriginalUserType | string | Tipo di utente di origine originale, se fornito dall'origine. |
SrcPortNumber | INT | Porta IP in cui il dispositivo ha comunicato, se applicabile. |
SrcRiskLevel | INT | Livello di rischio associato all'origine identificata. |
SrcUserId | string | Rappresentazione univoca, leggibile dal computer, alfanumerica e univoca dell'utente. |
SrcUserIdType | string | Tipo di SrcUserId. |
SrcUsername | string | Il nome utente dell'utente, incluse le informazioni di dominio quando disponibili. |
SrcUsernameType | string | Tipo di nome utente. |
SrcUserScope | string | Tipo di nome utente. |
SrcUserScopeId | string | ID ambito, ad esempio ID tenant di Azure AD, in cui vengono definiti UserId e Username. |
SrcUserSessionId | string | ID univoco della sessione di accesso dell'utente. |
SrcUserType | string | Tipo di utente |
SrcUserUid | string | ID utente Unix o Linux dell'utente. |
_Subscriptionid | string | Identificatore univoco per la sottoscrizione a cui è associato il record |
TenantId | string | ID area di lavoro Log Analytics |
ThreatCategory | string | Categoria della minaccia o del malware identificato nell'attività. |
ThreatConfidence | INT | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
ThreatField | string | Campo per il quale è stata identificata una minaccia. |
ThreatFirstReportedTime | Datetime | La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
ThreatId | string | ID della minaccia o del malware identificato nell'attività. |
ThreatIsActive | bool | True ID la minaccia identificata è considerata una minaccia attiva. |
ThreatLastReportedTime | Datetime | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
ThreatName | string | Nome della minaccia o del malware identificato nell'attività. |
ThreatOriginalConfidence | string | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
ThreatOriginalRiskLevel | string | Livello di rischio segnalato dal dispositivo di report. |
ThreatRiskLevel | INT | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. |
TimeGenerated | Datetime | Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
Type | string | Nome della tabella |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per