| Campi aggiuntivi |
dynamic |
Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non eseguono il mapping ad ASim. |
| _BilledSize |
real |
Dimensioni del record in byte |
| DnsFlags |
string |
Flag di richiesta DNS, forniti dal dispositivo di report. La struttura delle informazioni sui flag DNS può variare tra dispositivi di report diversi. |
| DnsFlagsAuthenticated |
bool |
Il flag di risposta autenticato DNS, correlato a DNSSEC, indica in una risposta che tutti i dati inclusi nelle sezioni di risposta e autorità della risposta sono stati verificati dal server in base ai criteri di tale server. per altre informazioni, vedere RFC 3655 Sezione 6.1. |
| DnsFlagsAuthoritative |
bool |
Il flag di risposta autorevole DNS indica se la risposta dal server è autorevole. |
| DnsFlagsCheckingDisabled |
bool |
Il flag CD DNS, correlato a DNSSEC, indica in una query che i dati non verificati sono accettabili per il sistema che invia la query. |
| DnsFlagsRecursionAvailable |
bool |
Il flag RA DNS indica in una risposta che il server supporta query ricorsive. |
| DnsFlagsRecursionDesired |
bool |
Il flag desiderato di ricorsione DNS indica in una richiesta che il client vuole che il server usi query ricorsive. |
| DnsFlagsTruncated |
bool |
Il flag TC DNS indica che una risposta è stata troncata perché ha superato le dimensioni massime della risposta. |
| DnsFlagsZ |
bool |
Il flag DNS Z è un flag DNS deprecato, che potrebbe essere segnalato dai sistemi DNS meno recenti. |
| DnsNetworkDuration |
int |
Quantità di tempo, espressa in millisecondi, per il completamento della richiesta DNS. |
| DnsQuery |
string |
Dominio che deve essere risolto. |
| DnsQueryClass |
int |
ID della classe DNS definito dall'autorità IANA (Internet Assigned Numbers Authority). |
| DnsQueryClassName |
string |
Nome della classe DNS definito dall'autorità IANA (Internet Assigned Numbers Authority). |
| DnsQueryType |
int |
Codici di tipo di record di risorsa DNS definiti dall'autorità IANA (Internet Assigned Numbers Authority). |
| DnsQueryTypeName |
string |
Nome del tipo di record di risorse DNS definito dall'autorità IANA (Internet Assigned Numbers Authority). |
| DnsResponseCode |
int |
Codice di risposta numerico DNS definito dall'autorità IANA (Internet Assigned Numbers Authority). |
| DnsResponseIpCity |
string |
Città associata all'indirizzo IP della risposta. |
| DnsResponseIpCountry |
string |
Paese associato all'indirizzo IP della risposta. |
| DnsResponseIpLatitude |
real |
Latitudine della coordinata geografica associata all'indirizzo IP della risposta. |
| DnsResponseIpLongitude |
real |
Longitudine della coordinata geografica associata all'indirizzo IP della risposta. |
| DnsResponseIpRegion |
string |
Area, o stato, all'interno di un paese, associato all'indirizzo IP di origine. |
| DnsResponseName |
string |
Contenuto della risposta, come incluso nel record. La struttura dei dati di risposta DNS può variare tra dispositivi di report diversi. |
| DnsSessionId |
string |
Identificatore di sessione DNS segnalato dal dispositivo di report. |
| Dst |
string |
Identificatore univoco del server che ha ricevuto la richiesta DNS. |
| DstDescription |
string |
Testo descrittivo associato alla destinazione. |
| DstDeviceType |
string |
Tipo del dispositivo di destinazione. |
| DstDomain |
string |
Dominio del dispositivo di destinazione. |
| DstDomainType |
string |
Tipo di DstDomain. |
| DstDvcId |
string |
ID del dispositivo di destinazione. |
| DstDvcIdType |
string |
Tipo di DstDvcId. |
| DstDvcScope |
string |
L'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. DvcScope esegue il mapping a una sottoscrizione in Azure e a un account in AWS. |
| DstDvcScopeId |
string |
ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DstFQDN |
string |
Nome host del dispositivo di destinazione, incluse le informazioni sul dominio, se disponibili. |
| DstGeoCity |
string |
Città associata all'indirizzo IP di destinazione. |
| DstGeoCountry |
string |
Paese associato all'indirizzo IP di destinazione. |
| DstGeoLatitude |
real |
Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
| DstGeoLongitude |
real |
Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
| DstGeoRegion |
string |
Area o stato, all'interno di un paese, associato all'indirizzo IP di destinazione. |
| DstHostname |
string |
Nome host del dispositivo di destinazione, escluse le informazioni sul dominio. |
| DstIpAddr |
string |
Indirizzo IP del server che riceve la richiesta DNS. Per una normale richiesta DNS, questo valore è in genere il dispositivo di report e nella maggior parte dei casi è impostato su 127.0.0.1. |
| DstOriginalRiskLevel |
string |
Livello di rischio associato al dispositivo di destinazione come segnalato dal dispositivo di report. |
| DstPortNumber |
int |
Numero porta di destinazione. |
| DstRiskLevel |
int |
Livello di rischio associato al dispositivo di destinazione. |
| Dvc |
string |
Identificatore univoco del dispositivo che segnala l'evento. L'identificatore può essere un indirizzo IP, un nome host o un ID dispositivo. |
| DvcAction |
string |
Azione eseguita dal dispositivo di report sulla richiesta, ad esempio bloccandola. |
| DvcDescription |
string |
Un testo descrittivo associato al dispositivo. Ad esempio: Controller di dominio primario. |
| DvcDomain |
string |
Dominio del dispositivo che segnala l'evento. |
| DvcDomainType |
string |
Tipo di DvcDomain. I valori possibili includono "Windows" e "FQDN". |
| DvcFQDN |
string |
Nome host completo, incluse le informazioni sul dominio, del dispositivo che segnala l'evento. |
| DvcHostname |
string |
Nome host del dispositivo che segnala l'evento. |
| DvcId |
string |
ID univoco del dispositivo che segnala l'evento. |
| DvcIdType |
string |
Il tipo di DvcId. |
| DvcInterface |
string |
Interfaccia di rete in cui sono stati acquisiti i dati. Questo campo è in genere rilevante per l'attività correlata alla rete acquisita da un dispositivo intermedio o di tocco. |
| DvcIpAddr |
string |
Indirizzo IP del dispositivo che segnala l'evento. |
| DvcMacAddr |
string |
Indirizzo MAC del dispositivo che segnala l'evento. |
| DvcOriginalAction |
string |
Il DvcAction originale fornito dal dispositivo di report. |
| DvcOs |
string |
Il sistema operativo in esecuzione nel dispositivo segnala l'evento. |
| DvcOsVersion |
string |
Versione del sistema operativo nel dispositivo che segnala l'evento. |
| DvcScope |
string |
L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcScopeId |
string |
L’ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcZone |
string |
Segmento di rete del dispositivo che segnala l'evento. |
| EventCount |
int |
Numero di eventi descritti dal record. Questo valore viene usato quando l'origine supporta l'aggregazione e un singolo record può rappresentare più eventi. |
| EventEndTime |
datetime |
Ora di fine dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| EventMessage |
string |
Messaggio o descrizione generali. |
| EventOriginalSeverity |
string |
Gravità originale fornita dal dispositivo di report. Questo valore viene usato per derivare EventSeverity. |
| EventOriginalType |
string |
Il tipo di evento o l'ID originale, ad esempio l'ID evento di Windows originale. |
| EventOriginalUid |
string |
ID univoco del record originale. |
| EventOwner |
string |
Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
| EventProduct |
string |
Prodotto che genera l'evento. |
| EventProductVersion |
string |
Versione del prodotto che genera l'evento. |
| EventReportUrl |
string |
URL di una risorsa che fornisce informazioni aggiuntive sull'evento. |
| EventResult |
string |
Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicable). Il valore potrebbe non essere fornito direttamente dalle origini, nel qual caso è derivato da altri campi evento, ad esempio il campo EventResultDetails. |
| EventResultDetails |
string |
Codice di risposta DNS definito dall'autorità IANA (Internet Assigned Numbers Authority). |
| EventSchemaVersion |
string |
La versione dello schema. |
| EventSeverity |
string |
Gravità dell'evento. I valori validi sono: Informativo, Basso, Medio o Alto. |
| EventStartTime |
datetime |
Ora di avvio dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| EventSubType |
string |
Richiesta o risposta. |
| EventType |
string |
Indica l'operazione segnalata dal record. Per gli eventi di attività DNS, questo valore è il codice operativo DNS definito dall'autorità IANA (Internet Assigned Numbers Authority).For DNS activity events, this value is the DNS opcode as defined by the Internet Assigned Numbers Authority (IANA). |
| EventVendor |
string |
Fornitore del prodotto che genera l'evento. |
| _IsBillable |
string |
Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure |
| NetworkProtocol |
string |
Protocollo di trasporto utilizzato dall'evento di risoluzione di rete. Il valore può essere UDP o TCP. |
| NetworkProtocolVersion |
string |
Versione del protocollo di rete. In genere usato per distinguere IPv4 e Ipv6. |
| _ResourceId |
string |
Identificatore univoco della risorsa a cui è associato il record. |
| RuleName |
string |
Nome o ID della regola associata ai risultati dell'ispezione. |
| RuleNumber |
int |
Numero della regola associata ai risultati dell'ispezione. |
| SourceSystem |
string |
Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| Src |
string |
Identificatore univoco del dispositivo di origine. |
| SrcDescription |
string |
Numero della regola associata ai risultati dell'ispezione. |
| SrcDeviceType |
string |
Tipo del dispositivo di origine. |
| SrcDomain |
string |
Dominio del dispositivo di origine. |
| SrcDomainType |
string |
Tipo di SrcDomain. |
| SrcDvcId |
string |
ID del dispositivo di origine. |
| SrcDvcIdType |
string |
Tipo di SrcDvcId. |
| SrcDvcScope |
string |
L'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. DvcScope esegue il mapping a una sottoscrizione in Azure e a un account in AWS. |
| SrcDvcScopeId |
string |
ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcFQDN |
string |
Nome host del dispositivo di origine, incluse le informazioni sul dominio. |
| SrcGeoCity |
string |
Città associata all'indirizzo IP di origine. |
| SrcGeoCountry |
string |
Paese associato all'indirizzo IP di origine. |
| SrcGeoLatitude |
real |
Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoLongitude |
real |
Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoRegion |
string |
Area, o stato, all'interno di un paese, associato all'indirizzo IP di origine. |
| SrcHostname |
string |
Nome host del dispositivo di origine, escluse le informazioni sul dominio. |
| SrcIpAddr |
string |
Indirizzo IP del client che invia la richiesta DNS. Per una richiesta DNS ricorsiva, questo valore è in genere il dispositivo di report e nella maggior parte dei casi è impostato su 127.0.0.1. |
| SrcOriginalRiskLevel |
string |
Livello di rischio associato al dispositivo di origine come segnalato dal dispositivo di report. |
| SrcOriginalUserType |
string |
Tipo di utente di origine originale, come fornito dall'origine. |
| SrcPortNumber |
int |
Porta di origine della query DNS. |
| SrcProcessGuid |
string |
Identificatore univoco generato (GUID) del processo che ha avviato la richiesta DNS. |
| SrcProcessId |
string |
ID del processo (PID) del processo che ha avviato la richiesta DNS. |
| SrcProcessName |
string |
Nome del processo che ha avviato la richiesta DNS. |
| SrcRiskLevel |
int |
Livello di rischio associato al dispositivo di origine. |
| SrcUserId |
string |
Rappresentazione univoca dell'utente di origine leggibile, alfanumerica e leggibile dal computer. |
| SrcUserIdType |
string |
Tipo dell'ID archiviato nel campo SrcUserId. |
| SrcUsername |
string |
Nome utente di origine, incluse le informazioni sul dominio, se disponibili. |
| SrcUsernameType |
string |
Tipo del nome utente archiviato nel campo SrcUsername. |
| SrcUserScope |
string |
Ambito, ad esempio il tenant di Azure AD, in cui sono definiti SrcUserId e SrcUsername. |
| SrcUserScopeId |
string |
ID dell'ambito, ad esempio il tenant di Azure AD, in cui sono definiti SrcUserId e SrcUsername. |
| SrcUserSessionId |
string |
ID univoco della sessione di accesso dell'utente di origine. |
| SrcUserType |
string |
Tipo dell'utente di origine. |
| _SubscriptionId |
string |
Identificatore univoco della sottoscrizione a cui è associato il record |
| TenantId |
string |
L'ID dell'area di lavoro Log Analytics |
| ThreatCategory |
string |
Se un'origine evento DNS fornisce anche la sicurezza DNS, può anche valutare l'evento DNS. Ad esempio, può cercare l'indirizzo IP o il dominio in un database di Intelligence per le minacce e assegnare il dominio o l'indirizzo IP con una categoria di minacce. |
| ThreatConfidence |
int |
Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatField |
string |
Campo per il quale è stata identificata una minaccia. Il valore è SrcIpAddr, DstIpAddr, Domain o DnsResponseName. |
| ThreatFirstReportedTime |
string |
La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatFirstReportedTime_d |
datetime |
La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatId |
string |
ID della minaccia o del malware identificato nella sessione Web. |
| ThreatIpAddr |
string |
Indirizzo IP per il quale è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo ThreatIpAddr rappresenta. Se nel campo Dominio viene identificata una minaccia, questo campo deve essere vuoto. |
| ThreatIsActive |
bool |
True ID la minaccia identificata è considerata una minaccia attiva. |
| ThreatLastReportedTime |
string |
L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatLastReportedTime_d |
datetime |
L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatName |
string |
Nome della minaccia identificata, come segnalato dal dispositivo di report. |
| ThreatOriginalConfidence |
string |
Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
| ThreatOriginalRiskLevel |
int |
Livello di rischio originale associato alla minaccia identificata, come segnalato dal dispositivo di report. |
| ThreatOriginalRiskLevel_s |
string |
Livello di rischio associato alla minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatRiskLevel |
int |
Livello di rischio associato alla minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| TimeGenerated |
datetime |
Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
| TransactionIdHex |
string |
ID transazione esadecimale univoco DNS. |
| Type |
string |
Nome della tabella |
| UrlCategory |
string |
Un'origine evento DNS può anche cercare la categoria dei domini richiesti. |