ASimDhcpEventLogs
ASIM DHCP スキーマは、DHCP サーバーの活動を表します。これには、クライアント システムからリースされた DHCP IP アドレスを求める要求の処理や、付与されたリースを使用した DNS サーバーの更新が含まれます。
テーブル属性
属性 | 値 |
---|---|
リソースの種類 | microsoft.securityinsights/asimtables |
Categories (カテゴリ) | セキュリティ |
ソリューション | SecurityInsights |
基本的なログ | いいえ |
インジェスト時間変換 | Yes |
サンプル クエリ | - |
列
Column | Type | 説明 |
---|---|---|
AdditionalFields | 動的 | ASim にマップされないソースによって提供されるキーと値のペアを使用して表される追加情報。 |
_BilledSize | real | レコード サイズ (バイト単位) |
DhcpCircuitId | string | RFC3046で定義されている DHCP 回線 ID。 |
DhcpLeaseDuration | INT | クライアントに付与されたリースの長さ (秒単位)。 |
DhcpSessionDuration | INT | DHCP セッションの完了にかかる時間 (ミリ秒単位)。 |
DhcpSessionId | string | レポート デバイスによって報告されたセッション識別子。 Windows DHCP サーバーの場合は、これを TransactionID フィールドに設定します。 |
DhcpSrcDHCId | string | RFC4701で定義されている DHCP クライアント ID。 |
DhcpSubscriberId | string | RFC3993で定義されている DHCP サブスクライバー ID。 |
DhcpUserClass | string | RFC3004 で定義されているとおりの DHCP ユーザー クラス。 |
DhcpUserClassId | string | RFC3004 で定義されているとおりの DHCP ユーザー クラス ID。 |
DhcpVendorClass | string | RFC3925 で定義されているとおりの DHCP ベンダー クラス。 |
DhcpVendorClassId | string | RFC3925 で定義されているとおりの DHCP ベンダー クラス ID。 |
DvcAction | string | レポート セキュリティ システムについて、該当する場合にシステムによって実行されるアクション。 |
DvcDescription | string | デバイスに関連付けられる説明のテキスト。 |
DvcDomain | string | スキーマに応じて、イベントが発生したデバイスまたはイベントを報告したデバイスのドメイン |
DvcDomainType | string | DvcDomain の種類。 |
DvcFQDN | string | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) のホスト名。 |
DvcHostname | string | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) のホスト名。 |
DvcId | string | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) の一意の ID。 |
DvcIdType | string | DvcId の種類。 |
DvcInterface | string | データがキャプチャされたネットワーク インターフェイス。 通常、このフィールドは、中間またはタップ デバイスによってキャプチャされるネットワーク関連のアクティビティに関連しています。 |
DvcIpAddr | string | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) の IP アドレス。 |
DvcMacAddr | string | イベントが発生した、またはイベントを報告したデバイスの MAC アドレス。 |
string | レポート デバイスによって提供された元の DvcAction。 | |
DvcOs | string | イベントが発生した、またはイベントを報告したデバイスで実行されているオペレーティング システム。 |
DvcOsVersion | string | イベントが発生した、またはイベントを報告したデバイスのオペレーティング システムのバージョン。 |
DvcScope | string | デバイスが属するクラウド プラットフォームのスコープ。 DvcScope は、Azure のサブスクリプション名と AWS のアカウント ID にマップされます。 |
DvcScopeId | string | デバイスが属するクラウド プラットフォームのスコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
DvcZone | string | イベントが発生した、またはイベントを報告したネットワーク (スキーマによって異なります)。 ゾーンは、レポート デバイスによって定義されます。 |
EventCount | INT | レコードによって記述されるイベントの数。 この値は、ソースが集計に対応しており、1 つのレコードが複数のイベントを表す可能性があるときに使用されます。 |
EventEndTime | DATETIME | イベントが終了した時刻。 ソースが集計をサポートし、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
EventMessage | string | レコードに含まれるか、レコードから生成された一般的なメッセージまたは説明。 |
string | ソースによって提供される元の結果の詳細。 この値は EventResultDetails を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 | |
EventOriginalSeverity | string | レポート デバイスによって提供された元の重大度。 この値は EventSeverity を導出するために使用されます。 |
string | 元のイベントのサブタイプまたは ID (ソースによって提供されている場合)。 | |
EventOriginalType | string | 元のイベントの種類または ID (ソースによって提供されている場合)。 |
EventOriginalUid | string | 元のレコードの一意の ID (ソースによって提供されている場合)。 |
EventOwner | string | イベントの所有者。通常は、イベントが生成された部門または子会社です。 |
EventProduct | string | イベントを生成している製品。 値は、ベンダーと製品に表示されている値のいずれかである必要があります。 |
EventProductVersion | string | イベントを生成している製品のバージョン。 |
EventReportUrl | string | リソースのイベントで提供された、そのイベントに関する他の情報を提供する URL。 |
EventResult | string | イベントの結果。Success、Partial、Failure、NA (Not Applicable) のいずれかの値で表されます。 |
EventResultDetails | string | EventResult でレポートされた結果の理由または詳細。 |
EventSchema | string | イベントの正規化先のスキーマ。 各スキーマは、そのスキーマ名を文書化します。 |
EventSchemaVersion | string | スキーマのバージョン。 各スキーマは、その現在のバージョンを文書化します。 |
EventSeverity | string | イベントの重大度。 |
EventStartTime | DATETIME | イベントが開始した時刻。 ソースが集計をサポートし、レコードが複数のイベントを表す場合、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
EventSubType | string | EventType フィールドでレポートされた操作を細分化して記述します。 |
EventType | string | レコードによって報告される操作を記述します。 |
EventVendor | string | イベントを生成している製品のベンダー。 値は、ベンダーと製品に表示されている値のいずれかである必要があります。 |
_IsBillable | string | データの取り込みについて課金対象かどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
RequestedIpAddr | string | DHCP クライアントによって要求された IP アドレス (使用可能な場合)。 |
_ResourceId | string | レコードが関連付けられているリソースの一意識別子 |
RuleName | string | 検査結果に関連付けられたルールの名前または ID。 |
RuleNumber | INT | 検査結果に関連付けられたルールの番号。 |
SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux 場合、または Azure Azure Diagnostics |
SrcDescription | string | デバイスに関連付けられる説明のテキスト。 |
SrcDeviceType | string | デバイスの種類。 |
SrcDomain | string | デバイスのドメイン。 |
SrcDomainType | string | ドメインの種類。 |
SrcDvcId | string | デバイスの ID。 |
SrcDvcIdType | string | DvcId の型。 |
SrcDvcScope | string | デバイスが属するクラウド プラットフォームのスコープ。 |
SrcDvcScopeId | string | デバイスが属するクラウド プラットフォームのスコープ ID。 |
SrcFQDN | string | 使用可能な場合は、ドメイン情報を含むデバイスのホスト名。 |
SrcGeoCity | string | 発信元 IP アドレスに関連付けられている都市。 |
SrcGeoCountry | string | 発信元 IP アドレスに関連付けられている国。 |
SrcGeoLatitude | real | 発信元 IP アドレスに関連付けられている地理的座標の緯度。 |
SrcGeoLongitude | real | 発信元 IP アドレスに関連付けられている地理的座標の経度。 |
SrcGeoRegion | string | 送信元 IP アドレスに関連付けられている国内のリージョン。 |
SrcHostname | string | ドメイン情報を除くデバイスのホスト名。 |
SrcIpAddr | string | ソース デバイスの IP アドレス。 |
SrcMacAddr | string | 接続またはセッションの開始元のネットワーク インターフェイスの MAC アドレス。 |
SrcOriginalRiskLevel | string | レポート デバイスによって報告された、識別されたソースに関連付けられているリスク レベル。 |
SrcOriginalUserType | string | ソースによって提供されている場合、元のソース ユーザーの種類。 |
SrcPortNumber | INT | デバイスが通信した IP ポート (該当する場合)。 |
SrcRiskLevel | INT | 識別されたソースに関連付けられているリスク レベル。 |
string | マシンが判読できる、英数字で、ユーザーを一意に表現したもの。 | |
SrcUserIdType | string | SrcUserId の型。 |
SrcUsername | string | 使用可能な場合はドメイン情報を含む、ユーザーのユーザー名。 |
SrcUsernameType | string | ユーザー名の種類。 |
SrcUserScope | string | ユーザー名の種類。 |
SrcUserScopeId | string | UserId と Username が定義されているスコープ ID (Azure AD テナント ID など)。 |
SrcUserSessionId | string | ユーザーのサインイン セッションの一意の ID。 |
SrcUserType | string | ユーザーの種類 |
SrcUserUid | string | ユーザーの Unix または Linux ユーザー ID。 |
_SubscriptionId | string | レコードが関連付けられているサブスクリプションの一意識別子 |
TenantId | string | Log Analytics ワークスペース ID |
ThreatCategory | string | アクティビティで識別された脅威またはマルウェアのカテゴリ。 |
ThreatConfidence | INT | 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
ThreatField | string | 脅威が特定されたフィールド。 |
ThreatFirstReportedTime | DATETIME | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
ThreatId | string | アクティビティで識別された脅威またはマルウェアの ID。 |
ThreatIsActive | [bool] | 特定された脅威がアクティブな脅威と見なされる真の ID。 |
ThreatLastReportedTime | DATETIME | 最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
ThreatName | string | アクティビティで識別された脅威またはマルウェアの名前。 |
ThreatOriginalConfidence | string | レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
ThreatOriginalRiskLevel | string | レポート デバイスによって報告されたリスク レベル。 |
ThreatRiskLevel | INT | 識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 |
TimeGenerated | DATETIME | イベントが生成された時刻を反映するタイムスタンプ (UTC)。 |
Type | string | テーブルの名前 |
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示