| AdditionalFields |
dynamic |
ASim에 매핑되지 않는 원본에서 제공하는 키/값 쌍을 사용하여 표시되는 추가 정보입니다. |
| _BilledSize |
real |
레코드 크기(바이트) |
| DnsFlags |
string |
보고 디바이스에서 제공하는 DNS 요청 플래그입니다. DNS 플래그 정보의 구조는 보고 디바이스마다 다를 수 있습니다. |
| DnsFlagsAuthenticated |
bool |
DNSSEC와 관련된 DNS 인증 응답 플래그는 응답에서 응답의 응답 및 기관 섹션에 포함된 모든 데이터가 해당 서버의 정책에 따라 서버에서 확인되었음을 나타냅니다. 자세한 내용은 RFC 3655 섹션 6.1을 참조하세요. |
| DnsFlagsAuthoritative |
bool |
DNS 신뢰할 수 있는 응답 플래그는 서버의 응답이 신뢰할 수 있는지 여부를 나타냅니다. |
| DnsFlagsCheckingDisabled |
bool |
DNSSEC와 관련된 DNS CD 플래그는 쿼리에서 확인되지 않은 데이터가 쿼리를 보내는 시스템에서 허용됨을 나타냅니다. |
| DnsFlagsRecursionAvailable |
bool |
DNS RA 플래그는 응답에서 해당 서버가 재귀 쿼리를 지원한다는 것을 나타냅니다. |
| DnsFlagsRecursionDesired |
bool |
DNS 재귀 desired 플래그는 클라이언트가 서버에서 재귀 쿼리를 사용하려는 요청을 나타냅니다. |
| DnsFlagsTruncated |
bool |
DNS TC 플래그는 응답이 최대 응답 크기를 초과할 때 잘렸다는 것을 나타냅니다. |
| DnsFlagsZ |
bool |
DNS Z 플래그는 이전 DNS 시스템에서 보고할 수 있는 사용되지 않는 DNS 플래그입니다. |
| DnsNetworkDuration |
int |
DNS 요청을 완료하는 데 걸리는 시간(밀리초)입니다. |
| DnsQuery |
string |
해결해야 하는 도메인입니다. |
| DnsQueryClass |
int |
IANA(Internet Assigned Numbers Authority)에서 정의한 DNS 클래스 ID입니다. |
| DnsQueryClassName |
string |
IANA(Internet Assigned Numbers Authority)에서 정의한 DNS 클래스 이름입니다. |
| DnsQueryType |
int |
IANA(Internet Assigned Numbers Authority)에서 정의한 DNS 리소스 레코드 형식 코드입니다. |
| DnsQueryTypeName |
string |
IANA(Internet Assigned Numbers Authority)에서 정의한 DNS 리소스 레코드 유형 이름입니다. |
| DnsResponseCode |
int |
IANA(Internet Assigned Numbers Authority)에 정의된 DNS 숫자 응답 코드입니다. |
| DnsResponseIpCity |
string |
응답 IP 주소와 연결된 도시입니다. |
| DnsResponseIpCountry |
string |
응답 IP 주소와 연결된 국가입니다. |
| DnsResponseIpLatitude |
real |
응답 IP 주소와 연결된 지리적 좌표의 위도입니다. |
| DnsResponseIpLongitude |
real |
응답 IP 주소와 연결된 지리적 좌표의 경도입니다. |
| DnsResponseIpRegion |
string |
원본 IP 주소와 연결된 국가 내의 지역 또는 주입니다. |
| DnsResponseName |
string |
레코드에 포함된 응답의 내용입니다. DNS 응답 데이터의 구조는 보고 디바이스마다 다를 수 있습니다. |
| DnsSessionId |
string |
보고 디바이스에서 보고한 DNS 세션 식별자입니다. |
| Dst |
string |
DNS 요청을 받은 서버의 고유 식별자입니다. |
| DstDescription |
string |
대상과 연결된 설명 텍스트입니다. |
| DstDeviceType |
string |
대상 디바이스의 형식입니다. |
| DstDomain |
string |
대상 디바이스의 도메인입니다. |
| DstDomainType |
string |
DstDomain 형식입니다. |
| DstDvcId |
string |
대상 디바이스의 ID입니다. |
| DstDvcIdType |
string |
DstDvcId 형식입니다. |
| DstDvcScope |
string |
대상 디바이스가 속한 클라우드 플랫폼 범위입니다. DvcScope는 Azure의 구독 및 AWS의 계정에 매핑됩니다. |
| DstDvcScopeId |
string |
대상 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. DvcScopeId는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| DstFQDN |
string |
사용 가능한 경우 도메인 정보를 포함한 대상 디바이스 호스트 이름입니다. |
| DstGeoCity |
string |
대상 IP 주소와 연결된 도시입니다. |
| DstGeoCountry |
string |
대상 IP 주소와 연결된 국가입니다. |
| DstGeoLatitude |
real |
대상 IP 주소와 연결된 지리적 좌표의 위도입니다. |
| DstGeoLongitude |
real |
대상 IP 주소와 연결된 지리적 좌표의 경도입니다. |
| DstGeoRegion |
string |
대상 IP 주소와 연결된 국가 내의 지역 또는 주입니다. |
| DstHostname |
string |
도메인 정보를 제외한 대상 디바이스 호스트 이름입니다. |
| DstIpAddr |
string |
DNS 요청을 수신하는 서버의 IP 주소입니다. 일반 DNS 요청의 경우 이 값은 일반적으로 보고 디바이스이며 대부분의 경우 127.0.0.1로 설정됩니다. |
| DstOriginalRiskLevel |
string |
보고 디바이스에서 보고한 대상 디바이스와 연결된 위험 수준입니다. |
| DstPortNumber |
int |
대상 포트 번호입니다. |
| DstRiskLevel |
int |
대상 디바이스와 연결된 위험 수준입니다. |
| Dvc |
string |
이벤트를 보고하는 디바이스의 고유 식별자입니다. 식별자는 IP 주소, 호스트 이름 또는 디바이스 ID일 수 있습니다. |
| DvcAction |
string |
요청에서 보고 디바이스가 수행한 작업(예: 차단)입니다. |
| DvcDescription |
string |
디바이스와 관련된 설명 텍스트입니다. 예: 기본 도메인 컨트롤러입니다. |
| DvcDomain |
string |
이벤트를 보고하는 디바이스의 도메인입니다. |
| DvcDomainType |
string |
DvcDomain 형식입니다. 가능한 값에는 "Windows" 및 "FQDN"이 포함됩니다. |
| DvcFQDN |
string |
이벤트를 보고하는 디바이스의 도메인 정보를 포함하여 정규화된 호스트 이름입니다. |
| DvcHostname |
string |
이벤트를 보고하는 디바이스의 호스트 이름입니다. |
| DvcId |
string |
이벤트를 보고하는 디바이스의 고유 ID입니다. |
| DvcIdType |
string |
DvcId 형식입니다. |
| DvcInterface |
string |
데이터가 캡처된 네트워크 인터페이스입니다. 이 필드는 일반적으로 중간 또는 탭 디바이스에 의해 캡처되는 네트워크 관련 작업과 관련이 있습니다. |
| DvcIpAddr |
string |
이벤트를 보고하는 디바이스의 IP 주소입니다. |
| DvcMacAddr |
string |
이벤트를 보고하는 디바이스의 MAC 주소입니다. |
| DvcOriginalAction |
string |
보고 디바이스에서 제공한 원래 DvcAction입니다. |
| DvcOs |
string |
이벤트를 보고하는 디바이스에서 실행되는 운영 체제입니다. |
| DvcOsVersion |
string |
이벤트를 보고하는 디바이스의 운영 체제 버전입니다. |
| DvcScope |
string |
디바이스가 속한 클라우드 플랫폼 범위입니다. DvcScope는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| DvcScopeId |
string |
디바이스가 속한 클라우드 플랫폼 범위 ID입니다. DvcScopeId는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| DvcZone |
string |
이벤트를 보고하는 디바이스의 네트워크 세그먼트입니다. |
| EventCount |
int |
레코드에서 설명하는 이벤트 수입니다. 이 값은 원본에서 집계를 지원할 때 사용되며, 단일 레코드에서 여러 이벤트를 나타낼 수 있습니다. |
| EventEndTime |
날짜/시간 |
이벤트가 종료된 시간입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 마지막 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
| EventMessage |
string |
일반적인 메시지 또는 설명입니다. |
| EventOriginalSeverity |
string |
보고 디바이스에서 제공한 원래 심각도입니다. 이 값은 EventSeverity를 파생하는 데 사용됩니다. |
| EventOriginalType |
string |
원래 이벤트 유형 또는 ID(예: 원래 Windows 이벤트 ID)입니다. |
| EventOriginalUid |
string |
원래 레코드의 고유 ID입니다. |
| EventOwner |
string |
이벤트의 소유자이며, 일반적으로 생성된 부서 또는 자회사입니다. |
| EventProduct |
string |
이벤트를 생성하는 제품 |
| EventProductVersion |
string |
이벤트를 생성하는 제품의 버전입니다. |
| EventReportUrl |
string |
이벤트에 대한 추가 정보를 제공하는 리소스의 URL입니다. |
| EventResult |
string |
성공, 부분, 실패, NA(해당 없음) 값 중 하나로 표시되는 이벤트의 결과입니다. 이 값은 원본에서 직접 제공할 수 없습니다. 이 경우 EventResultDetails 필드와 같은 다른 이벤트 필드에서 파생됩니다. |
| EventResultDetails |
string |
IANA(Internet Assigned Numbers Authority)에서 정의한 DNS 응답 코드입니다. |
| EventSchemaVersion |
string |
스키마의 버전입니다. |
| EventSeverity |
string |
이벤트의 심각도입니다. 유효한 값은 정보, 낮음, 중간 또는 높음입니다. |
| EventStartTime |
날짜/시간 |
이벤트가 시작된 시간입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 첫 번째 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
| EventSubType |
string |
요청 또는 응답입니다. |
| EventType |
string |
레코드에서 보고한 작업을 나타냅니다. DNS 활동 이벤트의 경우 이 값은 IANA(Internet Assigned Numbers Authority)에서 정의한 DNS opcode입니다. |
| EventVendor |
string |
이벤트를 생성하는 제품의 공급업체입니다. |
| _IsBillable |
string |
데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다. |
| NetworkProtocol |
string |
네트워크 확인 이벤트에서 사용하는 전송 프로토콜입니다. 값은 UDP 또는 TCP일 수 있습니다. |
| NetworkProtocolVersion |
string |
네트워크 프로토콜의 버전입니다. 일반적으로 IPv4와 Ipv6을 구분하는 데 사용됩니다. |
| _ResourceId |
string |
레코드가 연결된 리소스의 고유 식별자입니다. |
| RuleName |
string |
검사 결과와 연결된 규칙의 이름 또는 ID입니다. |
| RuleNumber |
int |
검사 결과와 연결된 규칙의 수입니다. |
| SourceSystem |
string |
이벤트가 수집된 에이전트의 형식. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure |
| Src |
string |
원본 디바이스의 고유 식별자입니다. |
| SrcDescription |
string |
검사 결과와 연결된 규칙의 수입니다. |
| SrcDeviceType |
string |
원본 디바이스의 형식입니다. |
| SrcDomain |
string |
원본 디바이스의 도메인입니다. |
| SrcDomainType |
string |
SrcDomain 형식입니다. |
| SrcDvcId |
string |
원본 디바이스의 ID입니다. |
| SrcDvcIdType |
string |
SrcDvcId 형식입니다. |
| SrcDvcScope |
string |
원본 디바이스가 속한 클라우드 플랫폼 범위입니다. DvcScope는 Azure의 구독 및 AWS의 계정에 매핑됩니다. |
| SrcDvcScopeId |
string |
원본 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. DvcScopeId는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcFQDN |
string |
도메인 정보를 포함한 원본 디바이스 호스트 이름입니다. |
| SrcGeoCity |
string |
원본 IP 주소와 연결된 도시입니다. |
| SrcGeoCountry |
string |
원본 IP 주소와 연결된 국가입니다. |
| SrcGeoLatitude |
real |
원본 IP 주소와 연결된 지리적 좌표의 위도입니다. |
| SrcGeoLongitude |
real |
원본 IP 주소와 연결된 지리적 좌표의 경도입니다. |
| SrcGeoRegion |
string |
원본 IP 주소와 연결된 국가 내의 지역 또는 주입니다. |
| SrcHostname |
string |
도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. |
| SrcIpAddr |
string |
DNS 요청을 보내는 클라이언트의 IP 주소입니다. 재귀 DNS 요청의 경우 이 값은 일반적으로 보고 디바이스이며 대부분의 경우 127.0.0.1로 설정됩니다. |
| SrcOriginalRiskLevel |
string |
보고 디바이스에서 보고한 원본 디바이스와 연결된 위험 수준입니다. |
| SrcOriginalUserType |
string |
원본에서 제공하는 원래 원본 사용자 유형입니다. |
| SrcPortNumber |
int |
DNS 쿼리의 원본 포트입니다. |
| SrcProcessGuid |
string |
DNS 요청을 시작한 프로세스의 생성된 GUID(고유 식별자)입니다. |
| SrcProcessId |
string |
DNS 요청을 시작한 프로세스의 PID(프로세스 ID)입니다. |
| SrcProcessName |
string |
DNS 요청을 시작한 프로세스의 이름입니다. |
| SrcRiskLevel |
int |
원본 디바이스와 연결된 위험 수준입니다. |
| SrcUserId |
string |
원본 사용자에 대한 컴퓨터 판독 가능한 영숫자 고유 표현입니다. |
| SrcUserIdType |
string |
SrcUserId 필드에 저장된 ID 형식입니다. |
| SrcUsername |
string |
사용 가능한 경우 도메인 정보를 포함한 원본 사용자 이름입니다. |
| SrcUsernameType |
string |
SrcUsername 필드에 저장된 사용자 이름의 형식입니다. |
| SrcUserScope |
string |
SrcUserId 및 SrcUsername이 정의된 Azure AD 테넌트와 같은 범위입니다. |
| SrcUserScopeId |
string |
SrcUserId 및 SrcUsername이 정의된 Azure AD 테넌트와 같은 범위의 ID입니다. |
| SrcUserSessionId |
string |
원본 사용자의 로그인 세션의 고유 ID입니다. |
| SrcUserType |
string |
원본 사용자의 형식입니다. |
| _SubscriptionId |
string |
레코드가 연결된 구독의 고유 식별자입니다. |
| TenantId |
string |
Log Analytics 작업 영역 ID |
| ThreatCategory |
string |
DNS 이벤트 원본도 DNS 보안을 제공하는 경우 DNS 이벤트를 평가할 수도 있습니다. 예를 들어 위협 인텔리전스 데이터베이스에서 IP 주소 또는 도메인을 검색하고 위협 범주와 함께 도메인 또는 IP 주소를 할당할 수 있습니다. |
| ThreatConfidence |
int |
식별된 위협의 신뢰 수준이며, 0~100의 값으로 정규화됩니다. |
| ThreatField |
string |
위협이 식별된 필드입니다. 값은 SrcIpAddr, DstIpAddr, Domain 또는 DnsResponseName입니다. |
| ThreatFirstReportedTime |
string |
IP 주소 또는 도메인이 처음으로 위협으로 식별된 시간입니다. |
| ThreatFirstReportedTime_d |
날짜/시간 |
IP 주소 또는 도메인이 처음으로 위협으로 식별된 시간입니다. |
| ThreatId |
string |
웹 세션에서 식별된 위협 또는 맬웨어의 ID입니다. |
| ThreatIpAddr |
string |
위협이 식별된 IP 주소입니다. ThreatField 필드에는 ThreatIpAddr에서 나타내는 필드의 이름이 포함됩니다. Domain 필드에서 위협이 식별되면 이 필드가 비어 있습니다. |
| ThreatIsActive |
bool |
식별된 위협이 활성 위협으로 간주되는 True ID입니다. |
| ThreatLastReportedTime |
string |
IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
| ThreatLastReportedTime_d |
날짜/시간 |
IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
| ThreatName |
string |
보고 디바이스에서 보고하는 식별된 위협의 이름입니다. |
| ThreatOriginalConfidence |
string |
보고 디바이스에서 보고하는 식별된 위협의 원래 신뢰 수준입니다. |
| ThreatOriginalRiskLevel |
int |
보고 디바이스에서 보고하는 식별된 위협과 관련된 원래 위험 수준입니다. |
| ThreatOriginalRiskLevel_s |
string |
식별된 위협과 관련된 위험 수준이며, 0~100의 값으로 정규화됩니다. |
| ThreatRiskLevel |
int |
식별된 위협과 관련된 위험 수준이며, 0~100의 값으로 정규화됩니다. |
| TimeGenerated |
날짜/시간 |
이벤트가 생성된 시간을 반영하는 타임스탬프(UTC)입니다. |
| TransactionIdHex |
string |
DNS 고유 16진수 트랜잭션 ID입니다. |
| Type |
string |
테이블의 이름입니다. |
| UrlCategory |
string |
DNS 이벤트 원본은 요청된 도메인의 범주를 조회할 수도 있습니다. |