ASimDnsActivityLogs
O esquema de atividade DNS do ASim representa a atividade de protocolo DNS, que pode ser registrada por um servidor DNS ou por um dispositivo que envia solicitações DNS para um servidor DNS. A atividade de protocolo DNS inclui consultas DNS, atualizações de servidor DNS e transferências de dados em massa de DNS. Como o esquema representa a atividade de protocolo, ele é regido por RFCs e listas de parâmetros oficialmente atribuídas. O esquema de atividade DNS não representa eventos de auditoria do servidor DNS.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | microsoft.securityinsights/dnsnormalized |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | No |
| Transformação de tempo de ingestão | Yes |
| Consultas de amostras | Sim |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| AdditionalFields | dinâmico | Informações adicionais, representadas usando pares chave/valor fornecidos pela origem que não são mapeadas para o ASim. |
| _BilledSize | real | O tamanho do registro em bytes |
| DnsFlags | string | Os sinalizadores de solicitação DNS, conforme fornecido pelo dispositivo de relatório. A estrutura das informações de sinalizadores DNS pode variar entre diferentes dispositivos de relatório. |
| DnsFlagsAuthenticated | bool | O sinalizador de resposta autenticado DNS, que está relacionado ao DNSSEC, indica em uma resposta que todos os dados incluídos nas seções de resposta e autoridade da resposta foram verificados pelo servidor de acordo com as políticas desse servidor. consulte RFC 3655 Seção 6.1 para obter mais informações. |
| DnsFlagsAuthoritative | bool | O sinalizador de resposta autoritativa DNS indica se a resposta do servidor foi autoritativa. |
| DnsFlagsCheckingDisabled | bool | O sinalizador de CD DNS, que está relacionado ao DNSSEC, indica em uma consulta que os dados não verificados são aceitáveis para o sistema que envia a consulta. |
| DnsFlagsRecursionAvailable | bool | O sinalizador de RA DNS indica em uma resposta que esse servidor dá suporte a consultas recursivas. |
| DnsFlagsRecursionDesired | bool | O sinalizador desejado de recursão DNS indica em uma solicitação que esse cliente gostaria que o servidor usasse consultas recursivas. |
| DnsFlagsTruncated | bool | O sinalizador TC DNS indica que uma resposta foi truncada, pois excedeu o tamanho máximo da resposta. |
| DnsFlagsZ | bool | O sinalizador DNS Z é um sinalizador DNS preterido, que pode ser relatado por sistemas DNS mais antigos. |
| DnsNetworkDuration | INT | O tempo total, em milissegundos, para a conclusão da solicitação DNS. |
| DnsQuery | string | O domínio que precisa ser resolvido. |
| DnsQueryClass | INT | A ID da classe DNS, conforme definido pela IANA (Autoridade de Números Atribuídos à Internet). |
| DnsQueryClassName | string | O nome da classe DNS conforme definido pela IANA (Autoridade de Números Atribuídos à Internet). |
| DnsQueryType | INT | Os códigos de tipo de registro de recurso DNS, conforme definido pela IANA (Autoridade de Números Atribuídos à Internet). |
| DnsQueryTypeName | string | O nome do tipo de registro de recurso DNS, conforme definido pela IANA (Autoridade de Números Atribuídos à Internet). |
| DnsResponseCode | INT | O código de resposta numérica DNS, conforme definido pela IANA (Autoridade de Números Atribuídos à Internet). |
| DnsResponseIpCity | string | A cidade associada ao endereço IP de resposta. |
| DnsResponseIpCountry | string | O país associado ao endereço IP de resposta. |
| DnsResponseIpLatitude | real | A Latitude da coordenada geográfica associada ao endereço IP de resposta. |
| DnsResponseIpLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de resposta. |
| DnsResponseIpRegion | string | A região ou o estado, em um país, associado ao endereço IP de origem. |
| DnsResponseName | string | O conteúdo da resposta, conforme incluído no registro. A estrutura dos dados de resposta DNS pode variar entre diferentes dispositivos de relatório. |
| DnsSessionId | string | O identificador de sessão DNS, conforme relatado pelo dispositivo de relatório. |
| Dst | string | Um identificador exclusivo do servidor que recebeu a solicitação DNS. |
| DstDescription | string | Um texto descritivo associado ao destino. |
| DstDeviceType | string | O tipo do dispositivo de destino. |
| DstDomain | string | O domínio do dispositivo de destino. |
| DstDomainType | string | O tipo de DstDomain. |
| DstDvcId | string | A ID do dispositivo de destino. |
| DstDvcIdType | string | O tipo de DstDvcId. |
| DstDvcScope | string | O escopo da plataforma de nuvem ao qual o dispositivo de destino pertence. O DvcScope é mapeado para uma assinatura no Azure e para uma conta no AWS. |
| DstDvcScopeId | string | A ID do escopo da plataforma de nuvem à qual o dispositivo de destino pertence. Mapa do DvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| DstFQDN | string | O nome do host do dispositivo de destino, incluindo informações de domínio, quando disponíveis. |
| DstGeoCity | string | A cidade associada ao endereço IP de destino. |
| DstGeoCountry | string | O país associado ao endereço IP de destino. |
| DstGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoRegion | string | A região ou o estado, em um país, associado ao endereço IP de destino. |
| DstHostname | string | O nome do host do dispositivo de destino, excluindo informações de domínio. |
| DstIpAddr | string | O endereço IP do servidor que recebe a solicitação DNS. Para uma solicitação DNS regular, esse valor normalmente seria o dispositivo de relatório e, na maioria dos casos, definido como 127.0.0.1. |
| DstOriginalRiskLevel | string | O nível de risco associado ao dispositivo de destino, conforme relatado pelo dispositivo de relatório. |
| DstPortNumber | INT | Número da porta de destino. |
| DstRiskLevel | INT | O nível de risco associado ao dispositivo de destino. |
| Dvc | string | Um identificador exclusivo do dispositivo que relata o evento. O identificador pode ser um endereço IP, um nome de host ou uma ID do dispositivo. |
| DvcAction | string | A ação executada pelo dispositivo de relatório na solicitação, como bloqueá-la. |
| DvcDescription | string | Um texto descritivo associado ao dispositivo. Por exemplo: Controlador de Domínio Primário. |
| DvcDomain | string | O domínio do dispositivo que relata o evento. |
| DvcDomainType | string | O tipo de DvcDomain. Os valores possíveis incluem "Windows" e "FQDN". |
| DvcFQDN | string | O nome do host totalmente qualificado, incluindo informações de domínio, do dispositivo que relata o evento. |
| DvcHostname | string | O nome do host do dispositivo que relata o evento. |
| DvcId | string | A ID exclusiva do dispositivo que relata o evento. |
| DvcIdType | string | O tipo de DvcId. |
| DvcInterface | string | A interface de rede em que os dados foram capturados. Normalmente, esse campo é relevante para a atividade relacionada à rede que é capturada por um dispositivo intermediário ou de toque. |
| DvcIpAddr | string | O endereço IP do dispositivo que relata o evento. |
| DvcMacAddr | string | O endereço MAC do dispositivo que relata o evento. |
| DvcOriginalAction | string | A DvcAction original, conforme fornecida pelo dispositivo de relatório. |
| DvcOs | string | O sistema operacional em execução no dispositivo que relata o evento. |
| DvcOsVersion | string | A versão do sistema operacional no dispositivo que relata o evento. |
| DvcScope | string | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DvcScope para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| DvcScopeId | string | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| DvcZone | string | O segmento de rede do dispositivo que relata o evento. |
| EventCount | INT | O número de eventos descritos pelo registro. Esse valor é usado quando a origem permite a agregação e um único registro pode representar vários eventos. |
| EventEndTime | DATETIME | A hora em que o evento terminou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
| EventMessage | string | Uma mensagem ou descrição geral. |
| EventOriginalSeverity | string | A severidade original, conforme fornecido pelo dispositivo de relatório. Esse valor é usado para derivar EventSeverity. |
| EventOriginalType | string | O tipo de evento original ou A ID, por exemplo, a ID de evento original do Windows. |
| EventOriginalUid | string | Uma ID exclusiva do registro original. |
| EventOwner | string | O proprietário do evento, que geralmente é o departamento ou subsidiária no qual ele foi gerado. |
| EventProduct | string | O produto que gera o evento. |
| EventProductVersion | string | A versão do produto que gera o evento. |
| EventReportUrl | string | Uma URL de um recurso que fornece informações adicionais sobre o evento. |
| EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas fontes, caso em que é derivado de outros campos de evento, por exemplo, o campo EventResultDetails. |
| EventResultDetails | string | O código de resposta DNS, conforme definido pela IANA (Internet Assigned Numbers Authority). |
| EventSchemaVersion | string | A versão do esquema. |
| EventSeverity | string | Gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
| EventStartTime | DATETIME | A hora em que o evento foi iniciado. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
| EventSubType | string | Solicitação ou resposta. |
| EventType | string | Indica a operação relatada pelo registro. Para eventos de atividade DNS, esse valor é o opcode DNS, conforme definido pela IANA (Internet Assigned Numbers Authority). |
| EventVendor | string | O fornecedor do produto que gera o evento. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
| NetworkProtocol | string | O protocolo de transporte usado pelo evento de resolução de rede. O valor pode ser UDP ou TCP. |
| NetworkProtocolVersion | string | A versão do protocolo de rede. Normalmente usado para diferenciar entre IPv4 e Ipv6. |
| _ResourceId | string | Identificador exclusivo do recurso ao qual o registro está associado |
| RuleName | string | O nome ou a ID da regra associada aos resultados da inspeção. |
| RuleNumber | INT | O número da regra associada aos resultados da inspeção. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
| Src | string | Um identificador exclusivo do dispositivo de origem. |
| SrcDescription | string | O número da regra associada aos resultados da inspeção. |
| SrcDeviceType | string | O tipo do dispositivo de origem. |
| SrcDomain | string | O domínio do dispositivo de origem. |
| SrcDomainType | string | O tipo de SrcDomain. |
| SrcDvcId | string | A ID do dispositivo de origem. |
| SrcDvcIdType | string | Tipo de SrcDvcId. |
| SrcDvcScope | string | O escopo da plataforma de nuvem ao qual o dispositivo de origem pertence. O DvcScope é mapeado para uma assinatura no Azure e para uma conta no AWS. |
| SrcDvcScopeId | string | A ID de escopo da plataforma de nuvem à qual o dispositivo de origem pertence. Mapa do DvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| SrcFQDN | string | O nome do host do dispositivo de origem, incluindo informações de domínio. |
| SrcGeoCity | string | A cidade associada ao endereço IP de origem. |
| SrcGeoCountry | string | O país associado ao endereço IP de origem. |
| SrcGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoRegion | string | A região ou o estado, dentro de um país, associado ao endereço IP de origem. |
| SrcHostname | string | O nome do host do dispositivo de origem, incluindo informações de domínio. |
| SrcIpAddr | string | O endereço IP do cliente que está enviando a solicitação DNS. Para uma solicitação DNS recursiva, esse valor normalmente seria o dispositivo de relatório e, na maioria dos casos, definido como 127.0.0.1. |
| SrcOriginalRiskLevel | string | O nível de risco associado ao dispositivo de origem, conforme relatado pelo dispositivo de relatório. |
| SrcOriginalUserType | string | O tipo de usuário de origem original, conforme fornecido pela origem. |
| SrcPortNumber | INT | Porta de origem da consulta DNS. |
| SrcProcessGuid | string | Um GUID (identificador exclusivo) gerado do processo que iniciou a solicitação DNS. |
| SrcProcessId | string | A ID do processo (PID) do processo que iniciou a solicitação DNS. |
| SrcProcessName | string | O nome do processo que iniciou a solicitação DNS. |
| SrcRiskLevel | INT | O nível de risco associado ao dispositivo de origem. |
| SrcUserId | string | Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de origem. |
| SrcUserIdType | string | O tipo da ID armazenada no campo SrcUserId. |
| SrcUserName | string | O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. |
| SrcUsernameType | string | O tipo do nome de usuário armazenado no campo SrcUsername. |
| SrcUserScope | string | O escopo, como o locatário do Azure AD, no qual SrcUserId e SrcUsername são definidos. |
| SrcUserScopeId | string | A ID do escopo, como Azure AD locatário, no qual SrcUserId e SrcUsername são definidos. |
| SrcUserSessionId | string | A ID exclusiva da sessão de entrada do usuário de origem. |
| SrcUserType | string | O tipo do usuário de origem. |
| _SubscriptionId | string | Identificador exclusivo da assinatura à qual o registro está associado |
| TenantId | string | A ID do workspace do Log Analytics |
| ThreatCategory | string | Se uma origem de evento DNS também fornecer segurança DNS, ela também poderá avaliar o evento DNS. Por exemplo, ele pode pesquisar o endereço IP ou o domínio em um banco de dados de inteligência contra ameaças e atribuir o domínio ou o endereço IP com uma categoria de ameaça. |
| ThreatConfidence | INT | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatField | string | O campo para o qual uma ameaça foi identificada. O valor é SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
| ThreatFirstReportedTime | string | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatFirstReportedTime_d | DATETIME | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatId | string | A ID da ameaça ou malware identificado na sessão da Web. |
| ThreatIpAddr | string | Um endereço IP para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. Se uma ameaça for identificada no campo Domínio, esse campo deverá estar vazio. |
| ThreatIsActive | bool | True, a ID da ameaça identificada é considerada uma ameaça ativa. |
| ThreatLastReportedTime | string | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime_d | DATETIME | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatName | string | O nome da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatOriginalRiskLevel | INT | O nível de risco original associado à ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatOriginalRiskLevel_s | string | O nível de risco associado à ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatRiskLevel | INT | O nível de risco associado à ameaça identificada, normalizado para um valor entre 0 e 100. |
| TimeGenerated | DATETIME | O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
| TransactionIdHex | string | A ID da transação hexadecimal exclusiva do DNS. |
| Type | string | O nome da tabela |
| UrlCategory | string | Uma origem de evento DNS também pode procurar a categoria dos domínios solicitados. |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de