Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O esquema DHCP do ASIM representa a atividade do servidor DHCP, incluindo o atendimento a solicitações de concessão de endereço IP de sistemas cliente e a atualização de um servidor DNS com as concessões realizadas.
Características da tabela
| Atributo | Valor |
|---|---|
| Tipos de recursos | microsoft.securityinsights/asimtables |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | Sim |
| Transformação durante a ingestão | Sim |
| Exemplos de Consultas | - |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| Campos Adicionais | dinâmico | Informações adicionais, representadas usando pares de chave/valor fornecidos pela origem que não são mapeados para ASim. |
| _BilledSize | verdadeiro | O tamanho do registro em bytes |
| DhcpCircuitId | cadeia de caracteres | A ID do circuito DHCP, conforme definido por RFC3046. |
| DhcpLeaseDuration | int | O comprimento da concessão concedida a um cliente, em segundos. |
| DhcpSessionDuration | int | O tempo, em milissegundos, até a conclusão da sessão de DHCP. |
| DhcpSessionId | cadeia de caracteres | O identificador de sessão, conforme relatado pelo dispositivo de relatório. Para o servidor DHCP do Windows, defina isso para o campo TransactionID. |
| DhcpSrcDHCId | cadeia de caracteres | A ID do cliente DHCP, conforme definido por RFC4701. |
| DhcpSubscriberId | cadeia de caracteres | O ID do assinante DHCP, conforme definido pelo RFC3993. |
| DhcpUserClass | cadeia de caracteres | A Classe de Usuário de DHCP, conforme definido por RFC3004. |
| DhcpUserClassId | cadeia de caracteres | A ID da Classe de Usuário de DHCP, conforme definido por RFC3004. |
| DhcpVendorClass | cadeia de caracteres | A Classe de Fornecedor de DHCP, conforme definido por RFC3925. |
| DhcpVendorClassId | cadeia de caracteres | A ID da Classe de Fornecedor de DHCP, conforme definido por RFC3925. |
| DvcAction | cadeia de caracteres | Para relatar sistemas de segurança, a ação tomada pelo sistema, se aplicável. |
| DvcDescription | cadeia de caracteres | Um texto descritivo associado ao dispositivo. |
| DvcDomain | cadeia de caracteres | O domínio do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema |
| DvcDomainType | cadeia de caracteres | O tipo de DvcDomain. |
| DvcFQDN | cadeia de caracteres | O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. |
| DvcHostname | cadeia de caracteres | O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. |
| DvcId | cadeia de caracteres | A ID exclusiva do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. |
| DvcIdType | cadeia de caracteres | O tipo de DvcId. |
| DvcInterface | cadeia de caracteres | A interface de rede em que os dados foram capturados. Normalmente, esse campo é relevante para a atividade relacionada à rede que é capturada por um dispositivo intermediário ou de toque. |
| DvcIpAddr | cadeia de caracteres | O endereço IP do dispositivo no qual o evento ocorreu ou que relatou o evento, dependendo do esquema. |
| DvcMacAddr | cadeia de caracteres | O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcOriginalAction | cadeia de caracteres | O DvcAction original, conforme fornecido pelo dispositivo de relatório. |
| DvcOs | cadeia de caracteres | O sistema operacional em execução no dispositivo em que o evento ocorreu ou que relatou o evento. |
| DvcOsVersion | cadeia de caracteres | A versão do sistema operacional do dispositivo em que o evento ocorreu ou que relatou o evento. |
| DvcScope | cadeia de caracteres | O escopo da plataforma de nuvem à qual o dispositivo pertence. O DvcScope mapeia para um nome de assinatura no Azure e para uma ID de conta no AWS. |
| DvcScopeId | cadeia de caracteres | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. O DvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta no AWS. |
| DvcZone | cadeia de caracteres | A rede na qual o evento ocorreu ou que relatou o evento, dependendo do esquema. A zona é definida pelo dispositivo de relatório. |
| Contagem de Eventos | int | O número de eventos descritos pelo registro. Esse valor é usado quando a origem possibilita a agregação e um registro pode representar vários eventos. |
| Hora de Término do Evento | Data e hora | A hora em que o evento terminou. Caso a origem dê suporte à agregação e o registro represente vários eventos, indica a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
| Mensagem de Evento | cadeia de caracteres | Uma mensagem ou descrição geral, incluída ou gerada com base no registro. |
| DetalhesDoResultadoOriginalDoEvento | cadeia de caracteres | Os detalhes do resultado original fornecidos pela origem. Esse valor é usado para derivar EventResultDetails, que deve ter apenas um dos valores documentados por esquema. |
| EventOriginalSeverity | cadeia de caracteres | A severidade original, conforme fornecido pelo dispositivo de relatório. Esse valor é usado para derivar EventSeverity. |
| SubTipoOriginalDoEvento | cadeia de caracteres | O subtipo ou a ID do evento original, se fornecido pela origem. |
| TipoOriginalDoEvento | cadeia de caracteres | O ID ou tipo de evento original, se fornecido pela origem. |
| UidOriginalDoEvento | cadeia de caracteres | Uma ID exclusiva do registro original, se fornecida pela origem. |
| Proprietário do Evento | cadeia de caracteres | O proprietário do evento, que geralmente é o departamento ou subsidiária no qual ele foi gerado. |
| EventProduct | cadeia de caracteres | O produto que gera o evento. O valor deve ser um dos valores listados em Fornecedores e Produtos. |
| EventProductVersion | cadeia de caracteres | A versão do produto que gera o evento. |
| UrlDoRelatórioDeEvento | cadeia de caracteres | Uma URL fornecida no evento para um recurso que apresenta informações adicionais sobre o evento. |
| Resultado do Evento | cadeia de caracteres | O resultado do evento, representado por um dos seguintes valores: Sucesso, Parcial, Falha, NA (Não Aplicável). |
| DetalhesDoResultadoDoEvento | cadeia de caracteres | Motivo ou detalhes do resultado relatado no campo EventResult. |
| Esquema de Evento | cadeia de caracteres | O esquema ao qual o evento foi normalizado. Cada esquema documenta seu nome de esquema. |
| EventSchemaVersion | cadeia de caracteres | A versão do esquema. Cada esquema documenta a versão atual. |
| EventSeverity | cadeia de caracteres | Gravidade do evento. |
| Hora de Início do Evento | Data e hora | A hora em que o evento iniciou. Se a origem der suporte à agregação e o registro representar vários eventos, especificará a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
| SubtipoDeEvento | cadeia de caracteres | Descreve uma subdivisão da operação relatada no campo EventType. |
| Tipo de Evento | cadeia de caracteres | Descreve a operação relatada pelo registro. |
| EventVendor | cadeia de caracteres | O fornecedor do produto que gera o evento. O valor deve ser um dos valores listados em Fornecedores e Produtos. |
| _IsBillable | cadeia de caracteres | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure |
| Endereço IP Solicitado | cadeia de caracteres | O endereço IP solicitado pelo cliente DHCP, quando disponível. |
| _IdentificadorDeRecurso | cadeia de caracteres | Identificador exclusivo do recurso ao qual o registro está associado |
| Nome da Regra | cadeia de caracteres | O nome ou a ID da regra associada aos resultados da inspeção. |
| Número da Regra | int | O número da regra associada aos resultados da inspeção. |
| SourceSystem | cadeia de caracteres | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para agentes do Windows, conexão direta ou Operations Manager, Linux para agentes do Linux ou Azure para diagnóstico do Azure |
| SrcDescription | cadeia de caracteres | Um texto descritivo associado ao dispositivo. |
| SrcDeviceType | cadeia de caracteres | O tipo do dispositivo. |
| SrcDomain | cadeia de caracteres | O domínio do dispositivo. |
| SrcDomainType | cadeia de caracteres | O tipo do domínio. |
| SrcDvcId | cadeia de caracteres | A ID do dispositivo. |
| SrcDvcIdType | cadeia de caracteres | O tipo do DvcId. |
| SrcDvcScope | cadeia de caracteres | O escopo da plataforma de nuvem à qual o dispositivo pertence. |
| SrcDvcScopeId | cadeia de caracteres | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. |
| SrcFQDN | cadeia de caracteres | O nome do host do dispositivo, incluindo informações de domínio, quando disponíveis. |
| SrcGeoCity | cadeia de caracteres | A cidade associada ao endereço IP de origem. |
| SrcGeoCountry | cadeia de caracteres | O país associado ao endereço IP de origem. |
| SrcGeoLatitude | verdadeiro | A latitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoLongitude | verdadeiro | A longitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoRegion | cadeia de caracteres | A região dentro de um país associada ao endereço IP de origem. |
| SrcHostname | cadeia de caracteres | O nome do host do dispositivo, excluindo as informações de domínio. |
| SrcIpAddr | cadeia de caracteres | O endereço IP do dispositivo de origem. |
| SrcMacAddr | cadeia de caracteres | O endereço MAC do adaptador de rede de onde a conexão ou sessão se originou. |
| SrcOriginalRiskLevel | cadeia de caracteres | O nível de risco associado à Fonte identificada, conforme relatado pelo dispositivo de relatório. |
| SrcOriginalUserType | cadeia de caracteres | O tipo de usuário de origem, se fornecido pela origem. |
| SrcPortNumber | int | A porta IP na qual o dispositivo se comunicou, se aplicável. |
| SrcRiskLevel | int | O nível de risco associado à Fonte identificada. |
| SrcUserId | cadeia de caracteres | Uma representação do usuário exclusiva, alfanumérica e legível por computador. |
| SrcUserIdType | cadeia de caracteres | O tipo de SrcUserId. |
| SrcUsername | cadeia de caracteres | O nome de usuário do usuário, incluindo informações de domínio, quando disponíveis. |
| SrcUsernameType | cadeia de caracteres | O tipo de nome de usuário. |
| SrcUserScope | cadeia de caracteres | O tipo de nome de usuário. |
| SrcUserScopeId | cadeia de caracteres | A ID de escopo, como a ID do locatário do Azure AD, na qual UserId e Username são definidos. |
| SrcUserSessionId | cadeia de caracteres | A ID exclusiva da sessão de login do usuário. |
| SrcUserType | cadeia de caracteres | O tipo de usuário |
| SrcUserUid | cadeia de caracteres | O ID de usuário Unix ou Linux do usuário. |
| _ID de Assinatura | cadeia de caracteres | Identificador exclusivo da assinatura à qual o registro está associado |
| Id do Inquilino | cadeia de caracteres | A ID do workspace do Log Analytics |
| Categoria de Ameaça | cadeia de caracteres | A categoria da ameaça ou malware identificado na atividade. |
| ThreatConfidence | int | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatField | cadeia de caracteres | O campo para o qual uma ameaça foi identificada. |
| ThreatFirstReportedTime | Data e hora | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ID de Ameaça | cadeia de caracteres | O ID da ameaça ou malware identificado na atividade. |
| AmeaçaEstáAtiva | bool | True, a ID da ameaça identificada é considerada uma ameaça ativa. |
| ThreatLastReportedTime | Data e hora | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| Nome da Ameaça | cadeia de caracteres | O nome da ameaça ou malware identificado na atividade. |
| ThreatOriginalConfidence | cadeia de caracteres | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| NívelOriginalDeRiscoDaAmeaça | cadeia de caracteres | O nível de risco, conforme relatado pelo dispositivo de relatório. |
| Nível de Risco de Ameaça | INT | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. |
| TimeGenerated | Data e hora | O carimbo de data e hora (UTC) que reflete o momento em que o evento foi gerado. |
| Tipo | cadeia de caracteres | O nome da tabela |