ASimDnsActivityLogs
ASim DNS アクティビティ スキーマは DNS プロトコル アクティビティを表します。DNS プロトコル アクティビティは、DNS サーバーまたは DNS サーバーに DNS 要求を送信するデバイスによってログに記録される可能性があります。 DNS プロトコル アクティビティには、DNS クエリ、DNS サーバーの更新、および DNS の一括データ転送が含まれます。 スキーマはプロトコル アクティビティを表すので、RFC と正式に割り当てられたパラメーター リストによって管理されます。 DNS アクティビティ スキーマは、DNS サーバー監査イベントを表していません。
テーブル属性
属性 | 値 |
---|---|
リソースの種類 | microsoft.securityinsights/dnsnormalized |
Categories (カテゴリ) | セキュリティ |
ソリューション | SecurityInsights |
基本的なログ | いいえ |
インジェスト時間変換 | Yes |
サンプル クエリ | はい |
列
Column | Type | 説明 |
---|---|---|
AdditionalFields | 動的 | ASim にマップされないソースによって提供されるキーと値のペアを使用して表される追加情報。 |
_BilledSize | real | レコード サイズ (バイト単位) |
string | レポート デバイスによって提供される DNS 要求フラグ。 DNS フラグ情報の構造は、レポート デバイスによって異なる場合があります。 | |
DnsFlagsAuthenticated | [bool] | DNSSEC に関連する DNS 認証応答フラグは、応答で、応答の応答セクションと機関セクションに含まれるすべてのデータが、そのサーバーのポリシーに従ってサーバーによって検証されたことを示します。 詳細については、RFC 3655 セクション 6.1 を参照してください。 |
DnsFlagsAuthoritative | [bool] | DNS 権限のある応答フラグは、サーバーからの応答が権限を持っていたかどうかを示します。 |
DnsFlagsCheckingDisabled | [bool] | DNSSEC に関連する DNS CD フラグは、検証されていないデータがクエリを送信するシステムで許容されることをクエリで示します。 |
DnsFlagsRecursionAvailable | [bool] | DNS RA フラグは、サーバーが再帰クエリをサポートしていることを応答で示します。 |
DnsFlagsRecursionDesired | [bool] | DNS 再帰の必要なフラグは、クライアントがサーバーで再帰クエリを使用することを要求で示します。 |
DnsFlagsTruncated | [bool] | DNS TC フラグは、応答が最大応答サイズを超えたため切り捨てられたことを示します。 |
DnsFlagsZ | [bool] | DNS Z フラグは非推奨の DNS フラグであり、古い DNS システムによって報告される可能性があります。 |
DnsNetworkDuration | INT | DNS 要求の完了にかかる時間 (ミリ秒単位)。 |
DnsQuery | string | 解決する必要があるドメイン。 |
DnsQueryClass | INT | インターネット割り当て番号機関 (IANA) によって定義された DNS クラス ID。 |
DnsQueryClassName | string | インターネット割り当て番号機関 (IANA) で定義されている DNS クラス名。 |
DnsQueryType | INT | インターネット割り当て番号機関 (IANA) で定義されている DNS リソース レコードの種類コード。 |
DnsQueryTypeName | string | インターネット割り当て番号機関 (IANA) で定義されている DNS リソース レコードの種類名。 |
DnsResponseCode | INT | インターネット割り当て番号機関 (IANA) で定義されている DNS 数値応答コード。 |
DnsResponseIpCity | string | 応答 IP アドレスに関連付けられている都市。 |
DnsResponseIpCountry | string | 応答 IP アドレスに関連付けられている国。 |
DnsResponseIpLatitude | real | 応答 IP アドレスに関連付けられている地理的座標の緯度。 |
DnsResponseIpLongitude | real | 応答 IP アドレスに関連付けられている地理的座標の経度。 |
DnsResponseIpRegion | string | 送信元 IP アドレスに関連付けられている国内のリージョン (または州)。 |
string | レコードに含まれる応答の内容。 DNS 応答データの構造は、レポート デバイスによって異なる場合があります。 | |
string | レポート デバイスによって報告された DNS セッション識別子。 | |
送信先 | string | DNS 要求を受信するサーバーの一意の識別子です。 |
DstDescription | string | 変換先に関連付けられている説明テキスト。 |
DstDeviceType | string | ターゲット デバイスの種類。 |
DstDomain | string | ターゲット デバイスのドメイン。 |
DstDomainType | string | DstDomain の種類。 |
DstDvcId | string | ターゲット デバイスの ID。 |
DstDvcIdType | string | DstDvcId の種類。 |
DstDvcScope | string | 宛先デバイスが属するクラウド プラットフォーム スコープ。 DvcScope は、Azure のサブスクリプションと AWS のアカウントにマップされます。 |
DstDvcScopeId | string | 宛先デバイスが属するクラウド プラットフォーム スコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
DstFQDN | string | 使用可能な場合はドメイン情報を含む、ターゲット デバイスのホスト名。 |
DstGeoCity | string | ターゲット IP アドレスに関連付けられている都市。 |
DstGeoCountry | string | ターゲット IP アドレスに関連付けられている国。 |
DstGeoLatitude | real | ターゲット IP アドレスに関連付けられている地理的座標の緯度。 |
DstGeoLongitude | real | ターゲット IP アドレスに関連付けられている地理的座標の経度。 |
DstGeoRegion | string | 宛先 IP アドレスに関連付けられている、国内のリージョン (または州)。 |
DstHostname | string | ドメイン情報を除いた、ターゲット デバイスのホスト名。 |
DstIpAddr | string | DNS 要求を受信しているサーバーの IP アドレス。 通常の DNS 要求の場合、この値は通常はレポート デバイスであり、ほとんどの場合、127.0.0.1 に設定されます。 |
DstOriginalRiskLevel | string | レポート デバイスによって報告された宛先デバイスに関連付けられているリスク レベル。 |
DstPortNumber | INT | 送信先ポート番号。 |
DstRiskLevel | INT | 宛先デバイスに関連付けられているリスク レベル。 |
string | イベントを報告するデバイスの一意識別子。 識別子には、IP アドレス、ホスト名、またはデバイス ID のいずれかを指定できます。 | |
DvcAction | string | 要求時にレポート デバイスによって実行されるアクション (ブロックなど)。 |
DvcDescription | string | デバイスに関連付けられる説明のテキスト。 例: プライマリ ドメイン コントローラー。 |
DvcDomain | string | イベントを報告するデバイスのドメイン。 |
DvcDomainType | string | DvcDomain の種類。 指定できる値には、"Windows" と "FQDN" があります。 |
DvcFQDN | string | イベントを報告するデバイスの完全修飾ホスト名 (ドメイン情報を含む)。 |
DvcHostname | string | イベントを報告するデバイスのホスト名。 |
DvcId | string | イベントを報告するデバイスの一意の ID。 |
DvcIdType | string | DvcId の種類。 |
DvcInterface | string | データがキャプチャされたネットワーク インターフェイス。 通常、このフィールドは、中間またはタップ デバイスによってキャプチャされるネットワーク関連のアクティビティに関連しています。 |
DvcIpAddr | string | イベントを報告するデバイスの IP アドレス。 |
DvcMacAddr | string | イベントを報告するデバイスの MAC アドレス。 |
string | レポート デバイスによって提供された元の DvcAction。 | |
DvcOs | string | イベントを報告するデバイスで実行されているオペレーティング システム。 |
DvcOsVersion | string | イベントを報告するデバイス上のオペレーティング システムのバージョン。 |
DvcScope | string | デバイスが属するクラウド プラットフォームのスコープ。 DvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
DvcScopeId | string | デバイスが属するクラウド プラットフォームのスコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
DvcZone | string | イベントを報告するデバイスのネットワーク セグメント。 |
EventCount | INT | レコードによって記述されるイベントの数。 この値は、ソースが集計に対応しており、1 つのレコードが複数のイベントを表す場合があるときに使用されます。 |
EventEndTime | DATETIME | イベントが終了した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
EventMessage | string | 一般的なメッセージまたは説明。 |
EventOriginalSeverity | string | レポート デバイスによって提供された元の重大度。 この値は EventSeverity を導出するために使用されます。 |
EventOriginalType | string | 元のイベントの種類または ID (たとえば、元の Windows イベント ID)。 |
EventOriginalUid | string | 元のレコードの一意の ID。 |
EventOwner | string | イベントの所有者。通常は、イベントが生成された部門または子会社です。 |
EventProduct | string | イベントを生成している製品。 |
EventProductVersion | string | イベントを生成している製品のバージョン。 |
EventReportUrl | string | イベントに関する追加情報を提供するリソースの URL。 |
EventResult | string | イベントの結果。Success、Partial、Failure、NA (該当なし) のいずれかの値で表されます。 この値は、ソースによって直接提供されない場合があります。その場合は、EventResultDetails フィールドなどの他のイベント フィールドから派生します。 |
EventResultDetails | string | インターネット割り当て番号機関 (IANA) によって定義されている DNS 応答コード。 |
EventSchemaVersion | string | スキーマのバージョン。 |
EventSeverity | string | イベントの重大度。 有効な値は、Informational、Low、Medium、High です。 |
EventStartTime | DATETIME | イベントが開始された時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
EventSubType | string | request または response。 |
EventType | string | レコードによって報告される操作を示します。 DNS アクティビティ イベントの場合、この値はインターネット割り当て番号機関 (IANA) で定義されている DNS オペコードです。 |
EventVendor | string | イベントを生成している製品のベンダー。 |
_IsBillable | string | データの取り込みに課金されるかどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
NetworkProtocol | string | ネットワーク解決イベントによって使用されるトランスポート プロトコル。 値には UDP または TCP を指定できます。 |
NetworkProtocolVersion | string | ネットワーク プロトコルのバージョン。 通常、IPv4 と Ipv6 を区別するために使用されます。 |
_ResourceId | string | レコードが関連付けられているリソースの一意識別子 |
RuleName | string | 検査結果に関連付けられたルールの名前または ID。 |
RuleNumber | INT | 検査結果に関連付けられたルールの番号。 |
SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux 場合、または Azure Azure Diagnostics |
送信元 | string | ソース デバイスの一意識別子。 |
SrcDescription | string | 検査結果に関連付けられたルールの番号。 |
SrcDeviceType | string | ソース デバイスの種類。 |
SrcDomain | string | ソース デバイスのドメイン。 |
SrcDomainType | string | SrcDomain の種類。 |
SrcDvcId | string | ソース デバイスの ID。 |
SrcDvcIdType | string | SrcDvcId の種類。 |
SrcDvcScope | string | ソース デバイスが属するクラウド プラットフォーム スコープ。 DvcScope は、Azure のサブスクリプションと AWS のアカウントにマップされます。 |
SrcDvcScopeId | string | ソース デバイスが属しているクラウド プラットフォーム スコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
SrcFQDN | string | ドメイン情報を含むソース デバイスのホスト名。 |
SrcGeoCity | string | 発信元 IP アドレスに関連付けられている都市。 |
SrcGeoCountry | string | 発信元 IP アドレスに関連付けられている国。 |
SrcGeoLatitude | real | 発信元 IP アドレスに関連付けられている地理的座標の緯度。 |
SrcGeoLongitude | real | 発信元 IP アドレスに関連付けられている地理的座標の経度。 |
SrcGeoRegion | string | 送信元 IP アドレスに関連付けられている国内のリージョン (または州)。 |
SrcHostname | string | ドメイン情報を除いた、ソース デバイスのホスト名。 |
SrcIpAddr | string | DNS 要求を送信しているクライアントの IP アドレス。 再帰 DNS 要求の場合、この値は通常レポート デバイスであり、ほとんどの場合は 127.0.0.1 に設定されます。 |
SrcOriginalRiskLevel | string | レポート デバイスによって報告されたソース デバイスに関連付けられているリスク レベル。 |
SrcOriginalUserType | string | ソースによって提供される元のソース ユーザーの種類。 |
SrcPortNumber | INT | DNS クエリの送信元ポート。 |
SrcProcessGuid | string | DNS 要求を開始したプロセスの生成された一意の識別子 (GUID) です。 |
SrcProcessId | string | DNS 要求を開始するプロセスのプロセス ID (PID) です。 |
string | DNS 要求を開始したプロセスの名前。 | |
SrcRiskLevel | INT | ソース デバイスに関連付けられているリスク レベル。 |
string | ソース ユーザーの、コンピューターが判読できる英数字の一意表現。 | |
SrcUserIdType | string | SrcUserId フィールドに格納されている ID の種類。 |
SrcUsername | string | 使用可能な場合はドメイン情報を含む、ソースのユーザー名。 |
SrcUsernameType | string | SrcUsername フィールドに格納されているユーザー名の型。 |
SrcUserScope | string | SrcUserId と SrcUsername が定義されているスコープ (Azure AD テナントなど)。 |
SrcUserScopeId | string | SrcUserId と SrcUsername が定義されているスコープの ID (Azure AD テナントなど)。 |
SrcUserSessionId | string | ソース ユーザーのサインイン セッションの一意の ID。 |
SrcUserType | string | 送信元ユーザーの種類。 |
_SubscriptionId | string | レコードが関連付けられているサブスクリプションの一意識別子 |
TenantId | string | Log Analytics ワークスペース ID |
ThreatCategory | string | DNS イベント ソースで DNS セキュリティも提供される場合は、DNS イベントも評価されている可能性があります。 たとえば、脅威インテリジェンス データベースで IP アドレスまたはドメインが検索され、脅威カテゴリでドメインまたは IP アドレスに割り当られる場合があります。 |
ThreatConfidence | INT | 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
ThreatField | string | 脅威が特定されたフィールド。 値は SrcIpAddr、DstIpAddr、Domain、または DnsResponseName です。 |
ThreatFirstReportedTime | string | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
ThreatFirstReportedTime_d | DATETIME | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
ThreatId | string | Web セッションで識別された脅威またはマルウェアの ID。 |
ThreatIpAddr | string | 脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。 [ドメイン] フィールドで脅威が特定された場合、このフィールドは空である必要があります。 |
ThreatIsActive | [bool] | 特定された脅威がアクティブな脅威と見なされる真の ID。 |
ThreatLastReportedTime | string | 最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
ThreatLastReportedTime_d | DATETIME | 最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
ThreatName | string | レポート デバイスによって報告される、特定された脅威の名前。 |
ThreatOriginalConfidence | string | レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
ThreatOriginalRiskLevel | INT | レポート デバイスによって報告された、特定された脅威に関連付けられている元のリスク レベル。 |
ThreatOriginalRiskLevel_s | string | 特定された脅威に関連するリスク レベルを、0 から 100 の値に正規化します。 |
ThreatRiskLevel | INT | 特定された脅威に関連するリスク レベルを、0 から 100 の値に正規化します。 |
TimeGenerated | DATETIME | イベントが生成された時刻を反映するタイムスタンプ (UTC)。 |
TransactionIdHex | string | DNS の一意の 16 進トランザクション ID。 |
Type | string | テーブルの名前 |
UrlCategory | string | DNS イベント ソースで、要求されたドメインのカテゴリが検索されることもあります。 |
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示