ASimDhcpEventLogs
Schemat DHCP karty ASIM reprezentuje aktywność serwera DHCP, w tym obsługę żądań dla adresu IP DHCP dzierżawionego z systemów klienckich i aktualizowanie serwera DNS przy użyciu udzielonych dzierżaw.
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | microsoft.securityinsights/asimtables |
Kategorie | Zabezpieczenia |
Rozwiązania | SecurityInsights |
Dziennik podstawowy | Nie |
Przekształcanie w czasie pozyskiwania | Tak |
Przykładowe zapytania | - |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
Dodatkowe pola | dynamiczna | Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość dostarczone przez źródło, które nie są mapowane na kartę ASim. |
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
DhcpCircuitId | ciąg | Identyfikator obwodu DHCP zdefiniowany przez RFC3046. |
DhcpLeaseDuration | int | Długość dzierżawy udzielonej klientowi w sekundach. |
DhcpSessionDuration | int | Czas (w milisekundach) na zakończenie sesji DHCP. |
DhcpSessionId | ciąg | Identyfikator sesji zgłoszony przez urządzenie raportowania. W przypadku serwera DHCP systemu Windows ustaw wartość w polu TransactionID. |
DhcpSrcDHCId | ciąg | Identyfikator klienta DHCP zdefiniowany przez RFC4701. |
DhcpSubscriberId | ciąg | Identyfikator subskrybenta DHCP zdefiniowany przez RFC3993. |
DhcpUserClass | ciąg | Klasa użytkownika DHCP zdefiniowana przez RFC3004. |
DhcpUserClassId | ciąg | Identyfikator klasy użytkownika DHCP zdefiniowany przez RFC3004. |
DhcpVendorClass | ciąg | Klasa dostawcy DHCP zdefiniowana przez RFC3925. |
DhcpVendorClassId | ciąg | Identyfikator klasy dostawcy DHCP zdefiniowany przez RFC3925. |
DvcAction | ciąg | W przypadku raportowania systemów zabezpieczeń akcja wykonywana przez system, jeśli ma to zastosowanie. |
DvcDescription | ciąg | Tekst opisowy skojarzony z urządzeniem. |
DvcDomain | ciąg | Domena urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu |
DvcDomainType | ciąg | Typ dvcDomain. |
DvcFQDN | ciąg | Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. |
DvcHostname | ciąg | Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. |
DvcId | ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. |
DvcIdType | ciąg | Typ dvcId. |
DvcInterface | ciąg | Interfejs sieciowy, na którym zostały przechwycone dane. To pole jest zwykle istotne dla działań związanych z siecią, które jest przechwytywane przez urządzenie pośrednie lub naciśnięcie. |
DvcIpAddr | ciąg | Adres IP urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. |
DvcMacAddr | ciąg | Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcOriginalAction | ciąg | Oryginalny element DvcAction dostarczony przez urządzenie raportowania. |
DvcOs | ciąg | System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcOsVersion | ciąg | Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje na nazwę subskrypcji na platformie Azure i na identyfikator konta na platformie AWS. |
DvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
DvcZone | ciąg | Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Strefa jest definiowana przez urządzenie raportowania. |
EventCount | int | Liczba zdarzeń opisanych przez rekord. Ta wartość jest używana, gdy źródło obsługuje agregację, a pojedynczy rekord może reprezentować wiele zdarzeń. |
EventEndTime | datetime | Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
EventMessage | ciąg | Ogólny komunikat lub opis dołączony do lub wygenerowany na podstawie rekordu. |
EventOriginalResultDetails | ciąg | Oryginalne szczegóły wyniku dostarczone przez źródło. Ta wartość służy do uzyskiwania wartości EventResultDetails, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
EventOriginalSeverity | ciąg | Oryginalna ważność podana przez urządzenie raportowania. Ta wartość jest używana do uzyskiwania wartości EventSeverity. |
EventOriginalSubType | ciąg | Oryginalny podtyp lub identyfikator zdarzenia, jeśli został podany przez źródło. |
EventOriginalType | ciąg | Oryginalny typ zdarzenia lub identyfikator, jeśli został podany przez źródło. |
EventOriginalUid | ciąg | Unikatowy identyfikator oryginalnego rekordu, jeśli został podany przez źródło. |
Właściciel zdarzeń | ciąg | Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
EventProduct | ciąg | Produkt generujący zdarzenie. Wartość powinna być jedną z wartości wymienionych w polach Dostawcy i Produkty. |
EventProductVersion | ciąg | Wersja produktu generująca zdarzenie. |
EventReportUrl | ciąg | Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
EventResult | ciąg | Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). |
EventResultDetails | ciąg | Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult. |
EventSchema | ciąg | Schemat zdarzenia jest znormalizowany. Każdy schemat dokumentuje jego nazwę schematu. |
EventSchemaVersion | ciąg | Wersja schematu. Każdy schemat dokumentuje bieżącą wersję. |
EventSeverity | ciąg | Ważność zdarzenia. |
EventStartTime | datetime | Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
EventSubType | ciąg | Opisuje podział operacji zgłoszonej w polu EventType. |
Typ zdarzenia | ciąg | Opisuje operację zgłoszoną przez rekord. |
EventVendor | ciąg | Dostawca produktu generujący zdarzenie. Wartość powinna być jedną z wartości wymienionych w polach Dostawcy i Produkty. |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
RequestedIpAddr | ciąg | Adres IP żądany przez klienta DHCP, jeśli jest dostępny. |
_Resourceid | ciąg | Unikatowy identyfikator zasobu, z którego jest skojarzony rekord |
Rulename | ciąg | Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
RuleNumber | int | Liczba reguł skojarzonych z wynikami inspekcji. |
SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
SrcDescription | ciąg | Tekst opisowy skojarzony z urządzeniem. |
SrcDeviceType | ciąg | Typ urządzenia. |
SrcDomain | ciąg | Domena urządzenia. |
SrcDomainType | ciąg | Typ domeny. |
Identyfikator SrcDvcId | ciąg | Identyfikator urządzenia. |
SrcDvcIdType | ciąg | Typ dvcId. |
SrcDvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie. |
SrcDvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. |
SrcFQDN | ciąg | Nazwa hosta urządzenia, w tym informacje o domenie, gdy są dostępne. |
SrcGeoCity | ciąg | Miasto skojarzone ze źródłowym adresem IP. |
SrcGeoCountry | ciąg | Kraj skojarzony ze źródłowym adresem IP. |
SrcGeoLatitude | liczba rzeczywista | Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. |
SrcGeoLongitude | liczba rzeczywista | Długość geograficzna współrzędnej geograficznej skojarzonej ze źródłowym adresem IP. |
SrcGeoRegion | ciąg | Region w kraju skojarzonym ze źródłowym adresem IP. |
SrcHostname | ciąg | Nazwa hosta urządzenia z wyłączeniem informacji o domenie. |
SrcIpAddr | ciąg | Adres IP urządzenia źródłowego. |
SrcMacAddr | ciąg | Adres MAC interfejsu sieciowego, z którego pochodzi połączenie lub sesja. |
SrcOriginalRiskLevel | ciąg | Poziom ryzyka jest jednokrotny ze zidentyfikowanym źródłem zgłoszonym przez urządzenie raportowania. |
SrcOriginalUserType | ciąg | Oryginalny typ użytkownika źródłowego, jeśli został podany przez źródło. |
SrcPortNumber | int | Port IP, na którym urządzenie się komunikowało, jeśli ma to zastosowanie. |
SrcRiskLevel | int | Poziom ryzyka skojarzony ze zidentyfikowanym źródłem. |
SrcUserId | ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika. |
SrcUserIdType | ciąg | Typ SrcUserId. |
SrcUsername | ciąg | Nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. |
SrcUsernameType | ciąg | Typ nazwy użytkownika. |
SrcUserScope | ciąg | Typ nazwy użytkownika. |
SrcUserScopeId | ciąg | Identyfikator zakresu, taki jak Azure AD identyfikator dzierżawy, w którym zdefiniowano identyfikator użytkownika i nazwę użytkownika. |
SrcUserSessionId | ciąg | Unikatowy identyfikator sesji logowania użytkownika. |
SrcUserType | ciąg | Typ użytkownika |
Identyfikator SrcUserUid | ciąg | Identyfikator użytkownika systemu Unix lub Linux. |
_Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
ThreatCategory | ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu. |
ThreatConfidence | int | Poziom ufności zidentyfikowanego zagrożenia, znormalizowany do wartości z zakresu od 0 do 100. |
ThreatField | ciąg | Pole, dla którego zidentyfikowano zagrożenie. |
ThreatFirstReportedTime | datetime | Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatId | ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu. |
ThreatIsActive | bool | Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uważany za aktywne zagrożenie. |
ThreatLastReportedTime | datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatName | ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu. |
ThreatOriginalConfidence | ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgłoszony przez urządzenie raportowania. |
ThreatOriginalRiskLevel | ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
ThreatRiskLevel | int | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. |
TimeGenerated | datetime | Sygnatura czasowa (UTC) odzwierciedla czas wygenerowania zdarzenia. |
Typ | ciąg | Nazwa tabeli |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla