ASimDnsActivityLogs
Schemat działania DNS ASim reprezentuje działanie protokołu DNS, które może być rejestrowane przez serwer DNS lub przez urządzenie wysyłające żądania DNS do serwera DNS. Działanie protokołu DNS obejmuje zapytania DNS, aktualizacje serwera DNS i zbiorcze transfery danych DNS. Ponieważ schemat reprezentuje działanie protokołu, jest on zarządzany przez kontrolery RFC i oficjalnie przypisane listy parametrów. Schemat działania DNS nie reprezentuje zdarzeń inspekcji serwera DNS.
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | microsoft.securityinsights/dnsnormalized |
Kategorie | Zabezpieczenia |
Rozwiązania | SecurityInsights |
Dziennik podstawowy | Nie |
Przekształcanie czasu pozyskiwania | Tak |
Przykładowe zapytania | Tak |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
Dodatkowe pola | dynamiczna | Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość dostarczone przez źródło, które nie są mapowane na kartę ASim. |
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
DnsFlags | ciąg | Flagi żądań DNS udostępniane przez urządzenie raportowania. Struktura informacji o flagach DNS może się różnić między różnymi urządzeniami raportowania. |
DnsFlagsAuthenticated | bool | Flaga odpowiedzi uwierzytelnionej w systemie DNS, która jest powiązana z protokołem DNSSEC, wskazuje w odpowiedzi, że wszystkie dane zawarte w sekcjach odpowiedzi i urzędu odpowiedzi zostały zweryfikowane przez serwer zgodnie z zasadami tego serwera. Aby uzyskać więcej informacji, zobacz RFC 3655 Sekcja 6.1. |
DnsFlagsAuthoritative | bool | Flaga odpowiedzi autorytatywnej DNS wskazuje, czy odpowiedź z serwera była autorytatywna. |
DnsFlagsCheckingDisabled | bool | Flaga ciągłego wdrażania DNS, która jest powiązana z protokołem DNSSEC, wskazuje w zapytaniu, że dane niezweryfikowane są akceptowalne dla systemu wysyłającego zapytanie. |
DnsFlagsRecursionAvailable | bool | Flaga usługi DNS RA wskazuje w odpowiedzi, że serwer obsługuje zapytania cykliczne. |
DnsFlagsRecursionDesired | bool | Żądana flaga rekursji DNS wskazuje w żądaniu, że klient chce, aby serwer używał zapytań cyklicznych. |
DnsFlagsTruncated | bool | Flaga TC DNS wskazuje, że odpowiedź została obcięta, ponieważ przekroczyła maksymalny rozmiar odpowiedzi. |
DnsFlagsZ | bool | Flaga DNS Z jest przestarzałą flagą DNS, która może być zgłaszana przez starsze systemy DNS. |
DnsNetworkDuration | int | Czas ukończenia żądania DNS w milisekundach. |
DnsQuery | ciąg | Domena, którą należy rozwiązać. |
DnsQueryClass | int | Identyfikator klasy DNS zdefiniowany przez urząd IANA (Internet Assigned Numbers Authority). |
DnsQueryClassName | ciąg | Nazwa klasy DNS zdefiniowana przez urząd IANA (Internet Assigned Numbers Authority). |
DnsQueryType | int | Kody typów rekordów zasobów DNS zdefiniowane przez urząd IANA (Internet Assigned Numbers Authority). |
DnsQueryTypeName | ciąg | Nazwa typu rekordu zasobu DNS zdefiniowana przez urząd IANA (Internet Assigned Numbers Authority). |
DnsResponseCode | int | Kod odpowiedzi liczbowej DNS zdefiniowany przez urząd IANA (Internet Assigned Numbers Authority). |
DnsResponseIpCity | ciąg | Miasto skojarzone z adresem IP odpowiedzi. |
DnsResponseIpCountry | ciąg | Kraj skojarzony z adresem IP odpowiedzi. |
DnsResponseIpLatitude | liczba rzeczywista | Szerokość geograficzna współrzędne geograficznej skojarzonej z adresem IP odpowiedzi. |
DnsResponseIpLongitude | liczba rzeczywista | Długość geograficzna współrzędnej skojarzonej z adresem IP odpowiedzi. |
DnsResponseIpRegion | ciąg | Region lub stan w kraju skojarzony z źródłowym adresem IP. |
DnsResponseName | ciąg | Zawartość odpowiedzi, zgodnie z opisem w rekordzie. Struktura danych odpowiedzi DNS może się różnić między różnymi urządzeniami raportowania. |
DnsSessionId | ciąg | Identyfikator sesji DNS zgłoszony przez urządzenie raportowania. |
Docelowy | ciąg | Unikatowy identyfikator serwera, który odebrał żądanie DNS. |
DstDescription | ciąg | Tekst opisowy skojarzony z miejscem docelowym. |
DstDeviceType | ciąg | Typ urządzenia docelowego. |
DstDomain | ciąg | Domena urządzenia docelowego. |
DstDomainType | ciąg | Typ DstDomain. |
Identyfikator DstDvcId | ciąg | Identyfikator urządzenia docelowego. |
DstDvcIdType | ciąg | Typ DstDvcId. |
DstDvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie docelowe. DvcScope mapuje subskrypcję na platformę Azure i na konto na platformie AWS. |
DstDvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie docelowe. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
Nazwa DstFQDN | ciąg | Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne. |
DstGeoCity | ciąg | Miasto skojarzone z docelowym adresem IP. |
DstGeoCountry | ciąg | Kraj skojarzony z docelowym adresem IP. |
DstGeoLatitude | liczba rzeczywista | Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
DstGeoLongitude | liczba rzeczywista | Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
Region DstGeo | ciąg | Region lub stan w kraju skojarzony z docelowym adresem IP. |
Nazwa hosta Dst | ciąg | Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. |
DstIpAddr | ciąg | Adres IP serwera odbierającego żądanie DNS. W przypadku zwykłego żądania DNS ta wartość zazwyczaj będzie urządzeniem raportowania, a w większości przypadków jest ustawiona na 127.0.0.1. |
DstOriginalRiskLevel | ciąg | Poziom ryzyka skojarzony z urządzeniem docelowym zgłoszonym przez urządzenie raportowania. |
DstPortNumber | int | Numer portu docelowego. |
DstRiskLevel | int | Poziom ryzyka skojarzony z urządzeniem docelowym. |
Dvc | ciąg | Unikatowy identyfikator urządzenia zgłaszający zdarzenie. Identyfikator może być adresem IP, nazwą hosta lub identyfikatorem urządzenia. |
DvcAction | ciąg | Akcja wykonywana przez urządzenie raportowania na żądanie, taka jak jego blokowanie. |
DvcDescription | ciąg | Tekst opisowy skojarzony z urządzeniem. Na przykład: Podstawowy kontroler domeny. |
DvcDomain | ciąg | Domena urządzenia zgłaszające zdarzenie. |
DvcDomainType | ciąg | Typ dvcDomain. Możliwe wartości to "Windows" i "FQDN". |
DvcFQDN | ciąg | W pełni kwalifikowana nazwa hosta, w tym informacje o domenie, urządzenia zgłasza zdarzenie. |
DvcHostname | ciąg | Nazwa hosta urządzenia zgłaszające zdarzenie. |
DvcId | ciąg | Unikatowy identyfikator urządzenia zgłaszające zdarzenie. |
DvcIdType | ciąg | Typ dvcId. |
DvcInterface | ciąg | Interfejs sieciowy, na którym zostały przechwycone dane. To pole jest zwykle istotne dla działań związanych z siecią, które jest przechwytywane przez urządzenie pośrednie lub naciśnięcie. |
DvcIpAddr | ciąg | Adres IP urządzenia zgłasza zdarzenie. |
DvcMacAddr | ciąg | Adres MAC urządzenia zgłasza zdarzenie. |
DvcOriginalAction | ciąg | Oryginalna funkcja DvcAction dostarczona przez urządzenie raportowania. |
DvcOs | ciąg | System operacyjny uruchomiony na urządzeniu zgłasza zdarzenie. |
DvcOsVersion | ciąg | Wersja systemu operacyjnego na urządzeniu zgłasza zdarzenie. |
DvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje identyfikator subskrypcji na platformę Azure i na identyfikator konta na platformie AWS. |
DvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
DvcZone | ciąg | Segment sieciowy urządzenia zgłasza zdarzenie. |
EventCount | int | Liczba zdarzeń opisanych przez rekord. Ta wartość jest używana, gdy źródło obsługuje agregację, a pojedynczy rekord może reprezentować wiele zdarzeń. |
EventEndTime | datetime | Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli rekord źródłowy nie zostanie podany, to pole aliasuje pole TimeGenerated. |
EventMessage | ciąg | Ogólny komunikat lub opis. |
EventOriginalSeverity | ciąg | Oryginalna ważność podana przez urządzenie raportowania. Ta wartość jest używana do uzyskiwania wartości EventSeverity. |
EventOriginalType | ciąg | Oryginalny typ zdarzenia lub identyfikator, na przykład oryginalny identyfikator zdarzenia systemu Windows. |
EventOriginalUid | ciąg | Unikatowy identyfikator oryginalnego rekordu. |
EventOwner | ciąg | Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
EventProduct | ciąg | Produkt generujący zdarzenie. |
EventProductVersion | ciąg | Wersja produktu generująca zdarzenie. |
EventReportUrl | ciąg | Adres URL zasobu, który zawiera dodatkowe informacje o zdarzeniu. |
EventResult | ciąg | Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
EventResultDetails | ciąg | Kod odpowiedzi DNS zdefiniowany przez urząd IANA (Internet Assigned Numbers Authority). |
EventSchemaVersion | ciąg | Wersja schematu. |
EventSeverity | ciąg | Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High. |
EventStartTime | datetime | Godzina rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli rekord źródłowy nie zostanie podany, to pole aliasuje pole TimeGenerated. |
EventSubType | ciąg | Żądanie lub odpowiedź. |
Typ zdarzenia | ciąg | Wskazuje operację zgłoszoną przez rekord. W przypadku zdarzeń aktywności DNS ta wartość jest kodem opcode DNS zdefiniowanym przez urząd IANA (Internet Assigned Numbers Authority). |
EventVendor | ciąg | Dostawca produktu generującego zdarzenie. |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
Networkprotocol | ciąg | Protokół transportu używany przez zdarzenie rozpoznawania sieci. Wartość może być UDP lub TCP. |
NetworkProtocolVersion | ciąg | Wersja protokołu sieciowego. Zazwyczaj służy do rozróżniania protokołów IPv4 i Ipv6. |
_Resourceid | ciąg | Unikatowy identyfikator zasobu, z którego jest skojarzony rekord |
Rulename | ciąg | Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
RuleNumber | int | Liczba reguł skojarzonych z wynikami inspekcji. |
SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
Źródłowy | ciąg | Unikatowy identyfikator urządzenia źródłowego. |
SrcDescription | ciąg | Liczba reguł skojarzonych z wynikami inspekcji. |
SrcDeviceType | ciąg | Typ urządzenia źródłowego. |
SrcDomain | ciąg | Domena urządzenia źródłowego. |
SrcDomainType | ciąg | Typ SrcDomain. |
Identyfikator SrcDvcId | ciąg | Identyfikator urządzenia źródłowego. |
SrcDvcIdType | ciąg | Typ identyfikatora SrcDvcId. |
SrcDvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie źródłowe. DvcScope mapuje subskrypcję na platformę Azure i na konto na platformie AWS. |
SrcDvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie źródłowe. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
SrcFQDN | ciąg | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie. |
SrcGeoCity | ciąg | Miasto skojarzone ze źródłowym adresem IP. |
SrcGeoCountry | ciąg | Kraj skojarzony ze źródłowym adresem IP. |
SrcGeoLatitude | liczba rzeczywista | Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. |
SrcGeoLongitude | liczba rzeczywista | Długość geograficzna współrzędnej geograficznej skojarzonej ze źródłowym adresem IP. |
SrcGeoRegion | ciąg | Region lub stan w kraju skojarzony z źródłowym adresem IP. |
SrcHostname | ciąg | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. |
SrcIpAddr | ciąg | Adres IP klienta wysyłającego żądanie DNS. W przypadku żądania DNS cyklicznego ta wartość zazwyczaj będzie urządzeniem raportowania, a w większości przypadków jest ustawiona na 127.0.0.1. |
SrcOriginalRiskLevel | ciąg | Poziom ryzyka skojarzony z urządzeniem źródłowym zgodnie z raportem urządzenia raportowania. |
SrcOriginalUserType | ciąg | Oryginalny typ użytkownika źródłowego, podany przez źródło. |
SrcPortNumber | int | Port źródłowy zapytania DNS. |
SrcProcessGuid | ciąg | Wygenerowany unikatowy identyfikator (GUID) procesu, który zainicjował żądanie DNS. |
SrcProcessId | ciąg | Identyfikator procesu (PID) procesu, który zainicjował żądanie DNS. |
SrcProcessName | ciąg | Nazwa procesu, który zainicjował żądanie DNS. |
SrcRiskLevel | int | Poziom ryzyka skojarzony z urządzeniem źródłowym. |
SrcUserId | ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego. |
SrcUserIdType | ciąg | Typ identyfikatora przechowywanego w polu SrcUserId. |
SrcUsername | ciąg | Źródłowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. |
SrcUsernameType | ciąg | Typ nazwy użytkownika przechowywanej w polu SrcUsername. |
SrcUserScope | ciąg | Zakres, taki jak dzierżawa Azure AD, w której zdefiniowano identyfikator SrcUserId i SrcUsername. |
SrcUserScopeId | ciąg | Identyfikator zakresu, taki jak dzierżawa Azure AD, w której zdefiniowano identyfikator SrcUserId i SrcUsername. |
SrcUserSessionId | ciąg | Unikatowy identyfikator sesji logowania użytkownika źródłowego. |
SrcUserType | ciąg | Typ użytkownika źródłowego. |
_Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
ThreatCategory | ciąg | Jeśli źródło zdarzeń DNS zapewnia również zabezpieczenia DNS, może również ocenić zdarzenie DNS. Na przykład może wyszukać adres IP lub domenę w bazie danych analizy zagrożeń i przypisać domenę lub adres IP z kategorią zagrożeń. |
ThreatConfidence | int | Poziom ufności zidentyfikowanego zagrożenia, znormalizowany do wartości z zakresu od 0 do 100. |
ThreatField | ciąg | Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcIpAddr, DstIpAddr, Domain lub DnsResponseName. |
ThreatFirstReportedTime | ciąg | Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatFirstReportedTime_d | datetime | Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatId | ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji internetowej. |
ThreatIpAddr | ciąg | Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje. Jeśli zagrożenie zostanie zidentyfikowane w polu Domena, to pole powinno być puste. |
ThreatIsActive | bool | Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uważany za aktywne zagrożenie. |
ThreatLastReportedTime | ciąg | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatLastReportedTime_d | datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatName | ciąg | Nazwa zidentyfikowanego zagrożenia zgłoszonego przez urządzenie raportowania. |
ThreatOriginalConfidence | ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgłoszony przez urządzenie raportowania. |
ThreatOriginalRiskLevel | int | Oryginalny poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem, zgłoszony przez urządzenie raportowania. |
ThreatOriginalRiskLevel_s | ciąg | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem znormalizowany do wartości z zakresu od 0 do 100. |
ThreatRiskLevel | int | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem znormalizowany do wartości z zakresu od 0 do 100. |
TimeGenerated | datetime | Sygnatura czasowa (UTC) odzwierciedla czas wygenerowania zdarzenia. |
TransactionIdHex | ciąg | Unikatowy identyfikator transakcji szesnastkowy DNS. |
Typ | ciąg | Nazwa tabeli |
UrlCategory | ciąg | Źródło zdarzeń DNS może również wyszukać kategorię żądanych domen. |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla