ASimDnsActivityLogs
Lo schema di attività DNS ASim rappresenta l'attività del protocollo DNS, che può essere registrata da un server DNS o da un dispositivo che invia richieste DNS a un server DNS. L'attività del protocollo DNS include query DNS, aggiornamenti server DNS e trasferimenti di dati bulk DNS. Poiché lo schema rappresenta l'attività del protocollo, è disciplinato dalle schede di interfaccia di rete e dagli elenchi di parametri assegnati ufficialmente. Lo schema di attività DNS non rappresenta gli eventi di controllo del server DNS.
Attributi tabella
Attributo | Valore |
---|---|
Tipi di risorsa | microsoft.securityinsights/dnsnormalized |
Categorie | Sicurezza |
Soluzioni | SecurityInsights |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | Sì |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
Campi aggiuntivi | dinamico | Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non vengono mappate a ASim. |
_BilledSize | real | Dimensioni del record in byte |
DnsFlags | string | Flag di richiesta DNS, come fornito dal dispositivo di report. La struttura dei flag DNS può variare tra dispositivi di report diversi. |
DnsFlagsAuthenticated | bool | Il flag di risposta autenticato DNS, correlato a DNSSEC, indica in una risposta che tutti i dati inclusi nelle sezioni di risposta e autorità della risposta sono stati verificati dal server in base ai criteri di tale server. per altre informazioni, vedere RFC 3655 Sezione 6.1. |
DnsFlagsAuthoritative | bool | Il flag di risposta autorevole DNS indica se la risposta dal server è autorevole. |
DnsFlagsCheckingDisabled | bool | Il flag CD DNS, correlato a DNSSEC, indica in una query che i dati non verificati sono accettabili per il sistema che invia la query. |
DnsFlagsRecursionAvailable | bool | Il flag ra DNS indica in una risposta che il server supporta query ricorsive. |
DnsFlagsRecursionDesired | bool | Il flag desiderato di ricorsione DNS indica in una richiesta che il client vuole usare query ricorsive. |
DnsFlagsTruncated | bool | Il flag DNS TC indica che una risposta è stata troncata perché ha superato le dimensioni massime della risposta. |
DnsFlagsZ | bool | Il flag Z DNS è un flag DNS deprecato, che potrebbe essere segnalato dai sistemi DNS meno recenti. |
DnsNetworkDuration | INT | Quantità di tempo, in millisecondi, per il completamento della richiesta DNS. |
DnsQuery | string | Dominio che deve essere risolto. |
DnsQueryClass | INT | ID classe DNS definito dall'Autorità numeri assegnati internet (IANA). |
DnsQueryClassName | string | Nome della classe DNS definito dall'Autorità numeri assegnati a Internet (IANA). |
DnsQueryType | INT | Codici di tipo di record delle risorse DNS definiti dall'autorità IANA (Internet Assigned Numbers Authority). |
DnsQueryTypeName | string | Nome del tipo di record di risorse DNS definito dall'autorità IANA (Internet Assigned Numbers Authority). |
DnsResponseCode | INT | Codice di risposta numerica DNS definito dall'Autorità numeri assegnata da Internet (IANA). |
DnsResponseIpCity | string | Città associata all'indirizzo IP di risposta. |
DnsResponseIpCountry | string | Paese associato all'indirizzo IP di risposta. |
DnsResponseIpLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di risposta. |
DnsResponseIpLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di risposta. |
DnsResponseIpRegion | string | L'area o lo stato, all'interno di un paese, associato all'indirizzo IP di origine. |
DnsResponseName | string | Contenuto della risposta, come incluso nel record. La struttura dei dati di risposta DNS può variare tra dispositivi di report diversi. |
DnsSessionId | string | Identificatore di sessione DNS segnalato dal dispositivo di report. |
Dst | string | Identificatore univoco del server che ha ricevuto la richiesta DNS. |
DstDescription | string | Testo descrittivo associato alla destinazione. |
DstDeviceType | string | Tipo del dispositivo di destinazione. |
DstDomain | string | Dominio del dispositivo di destinazione. |
DstDomainType | string | Tipo di DstDomain. |
DstDvcId | string | ID del dispositivo di destinazione. |
DstDvcIdType | string | Tipo di DstDvcId. |
DstDvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. DvcScope esegue il mapping a una sottoscrizione in Azure e a un account in AWS. |
DstDvcScopeId | string | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
DstFQDN | string | Nome host del dispositivo di destinazione, incluse le informazioni sul dominio, se disponibili. |
DstGeoCity | string | Città associata all'indirizzo IP di destinazione. |
DstGeoCountry | string | Paese associato all'indirizzo IP di destinazione. |
DstGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
DstGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
DstGeoRegion | string | Area, o stato, all'interno di un paese, associato all'indirizzo IP di destinazione. |
DstHostname | string | Nome host del dispositivo di destinazione, escluse le informazioni sul dominio. |
DstIpAddr | string | Indirizzo IP del server che riceve la richiesta DNS. Per una normale richiesta DNS, questo valore è in genere il dispositivo di report e nella maggior parte dei casi è impostato su 127.0.0.1. |
DstOriginalRiskLevel | string | Livello di rischio associato al dispositivo di destinazione come segnalato dal dispositivo di report. |
DstPortNumber | INT | Numero porta di destinazione. |
DstRiskLevel | INT | Livello di rischio associato al dispositivo di destinazione. |
Dvc | string | Identificatore univoco del dispositivo che segnala l'evento. L'identificatore può essere un indirizzo IP, un nome host o un ID dispositivo. |
DvcAction | string | Azione eseguita dal dispositivo di report sulla richiesta, ad esempio bloccandola. |
DvcDescription | string | Testo descrittivo associato al dispositivo. Ad esempio: Controller di dominio primario. |
DvcDomain | string | Dominio del dispositivo che segnala l'evento. |
DvcDomainType | string | Tipo di DvcDomain. I valori possibili includono "Windows" e "FQDN". |
DvcFQDN | string | Nome host completo, incluse le informazioni sul dominio, del dispositivo che segnala l'evento. |
DvcHostname | string | Nome host del dispositivo che segnala l'evento. |
DvcId | string | ID univoco del dispositivo che segnala l'evento. |
DvcIdType | string | Tipo di DvcId. |
DvcInterface | string | Interfaccia di rete in cui sono stati acquisiti i dati. Questo campo è in genere rilevante per l'attività correlata alla rete acquisita da un dispositivo intermedio o di tocco. |
DvcIpAddr | string | Indirizzo IP del dispositivo che segnala l'evento. |
DvcMacAddr | string | Indirizzo MAC del dispositivo che segnala l'evento. |
DvcOriginalAction | string | Oggetto DvcAction originale fornito dal dispositivo di report. |
DvcOs | string | Il sistema operativo in esecuzione nel dispositivo che segnala l'evento. |
DvcOsVersion | string | Versione del sistema operativo nel dispositivo che segnala l'evento. |
DvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
DvcScopeId | string | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
DvcZone | string | Segmento di rete del dispositivo che segnala l'evento. |
EventCount | INT | Numero di eventi descritti dal record. Questo valore viene usato quando l'origine supporta l'aggregazione e un singolo record può rappresentare più eventi. |
EventEndTime | Datetime | Ora di fine dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
EventMessage | string | Messaggio generale o descrizione. |
EventOriginalSeverity | string | Gravità originale fornita dal dispositivo di creazione report. Questo valore viene usato per derivare EventSeverity. |
EventOriginalType | string | Tipo di evento o ID originale, ad esempio l'ID evento di Windows originale. |
EventOriginalUid | string | ID univoco del record originale. |
EventOwner | string | Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
EventProduct | string | Prodotto che genera l'evento. |
EventProductVersion | string | Versione del prodotto che genera l'evento. |
EventReportUrl | string | URL di una risorsa che fornisce informazioni aggiuntive sull'evento. |
EventResult | string | Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicable). Il valore potrebbe non essere fornito direttamente dalle origini, nel qual caso deriva da altri campi evento, ad esempio il campo EventResultDetails. |
EventResultDetails | string | Codice di risposta DNS definito dall'autorità IANA (Internet Assigned Numbers Authority). |
EventSchemaVersion | string | La versione dello schema. |
EventSeverity | string | Gravità dell'evento. I valori validi sono: Informativo, Basso, Medio o Alto. |
EventStartTime | Datetime | Ora di inizio dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
EventSubType | string | Richiesta o risposta. |
EventType | string | Indica l'operazione segnalata dal record. Per gli eventi di attività DNS, questo valore è il codice operativo DNS definito dall'autorità IANA (Internet Assigned Numbers Authority). |
EventVendor | string | Fornitore del prodotto che genera l'evento. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
NetworkProtocol | string | Protocollo di trasporto utilizzato dall'evento di risoluzione di rete. Il valore può essere UDP o TCP. |
NetworkProtocolVersion | string | Versione del protocollo di rete. In genere usato per distinguere tra IPv4 e Ipv6. |
_ResourceId | string | Identificatore univoco per la risorsa associata al record |
RuleName | string | Nome o ID della regola associata ai risultati dell'ispezione. |
RuleNumber | INT | Numero della regola associata ai risultati dell'ispezione. |
SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
Src | string | Identificatore univoco del dispositivo di origine. |
SrcDescription | string | Numero della regola associata ai risultati dell'ispezione. |
SrcDeviceType | string | Tipo del dispositivo di origine. |
SrcDomain | string | Dominio del dispositivo di origine. |
SrcDomainType | string | Tipo di SrcDomain. |
SrcDvcId | string | ID del dispositivo di origine. |
SrcDvcIdType | string | Tipo di SrcDvcId. |
SrcDvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. DvcScope esegue il mapping a una sottoscrizione in Azure e a un account in AWS. |
SrcDvcScopeId | string | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
SrcFQDN | string | Nome host del dispositivo di origine, incluse le informazioni sul dominio. |
SrcGeoCity | string | Città associata all'indirizzo IP di origine. |
SrcGeoCountry | string | Paese associato all'indirizzo IP di origine. |
SrcGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
SrcGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
SrcGeoRegion | string | L'area o lo stato, all'interno di un paese, associato all'indirizzo IP di origine. |
SrcHostname | string | Nome host del dispositivo di origine, escluso le informazioni di dominio. |
SrcIpAddr | string | Indirizzo IP del client che invia la richiesta DNS. Per una richiesta DNS ricorsiva, questo valore è in genere il dispositivo di report e, nella maggior parte dei casi, impostato su 127.0.0.1. |
SrcOriginalRiskLevel | string | Livello di rischio associato al dispositivo di origine come segnalato dal dispositivo di report. |
SrcOriginalUserType | string | Tipo di utente di origine originale, come fornito dall'origine. |
SrcPortNumber | INT | Porta di origine della query DNS. |
SrcProcessGuid | string | Identificatore univoco generato (GUID) del processo che ha avviato la richiesta DNS. |
SrcProcessId | string | ID processo (PID) del processo che ha avviato la richiesta DNS. |
SrcProcessName | string | Nome del processo che ha avviato la richiesta DNS. |
SrcRiskLevel | INT | Livello di rischio associato al dispositivo di origine. |
SrcUserId | string | Rappresentazione univoca dell'utente di origine leggibile, alfanumerica e leggibile. |
SrcUserIdType | string | Tipo dell'ID archiviato nel campo SrcUserId. |
SrcUsername | string | Nome utente origine, incluse le informazioni di dominio quando disponibili. |
SrcUsernameType | string | Tipo del nome utente archiviato nel campo SrcUsername. |
SrcUserScope | string | Ambito, ad esempio il tenant di Azure AD, in cui sono definiti SrcUserId e SrcUsername. |
SrcUserScopeId | string | ID dell'ambito, ad esempio il tenant di Azure AD, in cui sono definiti SrcUserId e SrcUsername. |
SrcUserSessionId | string | ID univoco della sessione di accesso dell'utente di origine. |
SrcUserType | string | Tipo dell'utente di origine. |
_Subscriptionid | string | Identificatore univoco per la sottoscrizione associata al record |
TenantId | string | ID area di lavoro Log Analytics |
ThreatCategory | string | Se un'origine evento DNS fornisce anche sicurezza DNS, può anche valutare l'evento DNS. Ad esempio, può cercare l'indirizzo IP o il dominio in un database di intelligence delle minacce e assegnare il dominio o l'indirizzo IP con una categoria di minacce. |
ThreatConfidence | INT | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
ThreatField | string | Campo per cui è stata identificata una minaccia. Il valore è SrcIpAddr, DstIpAddr, Domain o DnsResponseName. |
ThreatFirstReportedTime | string | La prima volta che l'indirizzo IP o il dominio sono stati identificati come una minaccia. |
ThreatFirstReportedTime_d | Datetime | La prima volta che l'indirizzo IP o il dominio sono stati identificati come una minaccia. |
ThreatId | string | ID della minaccia o del malware identificato nella sessione Web. |
ThreatIpAddr | string | Indirizzo IP per cui è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo ThreatIpAddr rappresenta. Se una minaccia è identificata nel campo Dominio, questo campo deve essere vuoto. |
ThreatIsActive | bool | True ID la minaccia identificata è considerata una minaccia attiva. |
ThreatLastReportedTime | string | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come una minaccia. |
ThreatLastReportedTime_d | Datetime | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come una minaccia. |
ThreatName | string | Nome della minaccia identificata, come segnalato dal dispositivo di report. |
ThreatOriginalConfidence | string | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
ThreatOriginalRiskLevel | INT | Livello di rischio originale associato alla minaccia identificata, come segnalato dal dispositivo di report. |
ThreatOriginalRiskLevel_s | string | Il livello di rischio associato alla minaccia identificata, normalizzato a un valore compreso tra 0 e 100. |
ThreatRiskLevel | INT | Il livello di rischio associato alla minaccia identificata, normalizzato a un valore compreso tra 0 e 100. |
TimeGenerated | Datetime | Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
TransactionIdHex | string | ID transazione esadecimale DNS. |
Type | string | Nome della tabella |
UrlCategory | string | Un'origine evento DNS può anche cercare la categoria dei domini richiesti. |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per