ASimDnsActivityLogs
O esquema de atividade DNS do ASim representa a atividade de protocolo DNS, que pode ser registrada por um servidor DNS ou por um dispositivo que envia solicitações DNS para um servidor DNS. A atividade de protocolo DNS inclui consultas DNS, atualizações de servidor DNS e transferências de dados em massa de DNS. Como o esquema representa a atividade de protocolo, ele é regido por RFCs e listas de parâmetros oficialmente atribuídas. O esquema de atividade DNS não representa eventos de auditoria do servidor DNS.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | microsoft.securityinsights/dnsnormalized |
Categorias | Segurança |
Soluções | SecurityInsights |
Log básico | No |
Transformação de tempo de ingestão | Yes |
Consultas de amostras | Sim |
Colunas
Coluna | Tipo | Descrição |
---|---|---|
AdditionalFields | dinâmico | Informações adicionais, representadas usando pares chave/valor fornecidos pela origem que não são mapeadas para o ASim. |
_BilledSize | real | O tamanho do registro em bytes |
DnsFlags | string | Os sinalizadores de solicitação DNS, conforme fornecido pelo dispositivo de relatório. A estrutura das informações de sinalizadores DNS pode variar entre diferentes dispositivos de relatório. |
DnsFlagsAuthenticated | bool | O sinalizador de resposta autenticado DNS, que está relacionado ao DNSSEC, indica em uma resposta que todos os dados incluídos nas seções de resposta e autoridade da resposta foram verificados pelo servidor de acordo com as políticas desse servidor. consulte RFC 3655 Seção 6.1 para obter mais informações. |
DnsFlagsAuthoritative | bool | O sinalizador de resposta autoritativa DNS indica se a resposta do servidor foi autoritativa. |
DnsFlagsCheckingDisabled | bool | O sinalizador de CD DNS, que está relacionado ao DNSSEC, indica em uma consulta que os dados não verificados são aceitáveis para o sistema que envia a consulta. |
DnsFlagsRecursionAvailable | bool | O sinalizador de RA DNS indica em uma resposta que esse servidor dá suporte a consultas recursivas. |
DnsFlagsRecursionDesired | bool | O sinalizador desejado de recursão DNS indica em uma solicitação que esse cliente gostaria que o servidor usasse consultas recursivas. |
DnsFlagsTruncated | bool | O sinalizador TC DNS indica que uma resposta foi truncada, pois excedeu o tamanho máximo da resposta. |
DnsFlagsZ | bool | O sinalizador DNS Z é um sinalizador DNS preterido, que pode ser relatado por sistemas DNS mais antigos. |
DnsNetworkDuration | INT | O tempo total, em milissegundos, para a conclusão da solicitação DNS. |
DnsQuery | string | O domínio que precisa ser resolvido. |
DnsQueryClass | INT | A ID da classe DNS, conforme definido pela IANA (Autoridade de Números Atribuídos à Internet). |
DnsQueryClassName | string | O nome da classe DNS conforme definido pela IANA (Autoridade de Números Atribuídos à Internet). |
DnsQueryType | INT | Os códigos de tipo de registro de recurso DNS, conforme definido pela IANA (Autoridade de Números Atribuídos à Internet). |
DnsQueryTypeName | string | O nome do tipo de registro de recurso DNS, conforme definido pela IANA (Autoridade de Números Atribuídos à Internet). |
DnsResponseCode | INT | O código de resposta numérica DNS, conforme definido pela IANA (Autoridade de Números Atribuídos à Internet). |
DnsResponseIpCity | string | A cidade associada ao endereço IP de resposta. |
DnsResponseIpCountry | string | O país associado ao endereço IP de resposta. |
DnsResponseIpLatitude | real | A Latitude da coordenada geográfica associada ao endereço IP de resposta. |
DnsResponseIpLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de resposta. |
DnsResponseIpRegion | string | A região ou o estado, em um país, associado ao endereço IP de origem. |
DnsResponseName | string | O conteúdo da resposta, conforme incluído no registro. A estrutura dos dados de resposta DNS pode variar entre diferentes dispositivos de relatório. |
DnsSessionId | string | O identificador de sessão DNS, conforme relatado pelo dispositivo de relatório. |
Dst | string | Um identificador exclusivo do servidor que recebeu a solicitação DNS. |
DstDescription | string | Um texto descritivo associado ao destino. |
DstDeviceType | string | O tipo do dispositivo de destino. |
DstDomain | string | O domínio do dispositivo de destino. |
DstDomainType | string | O tipo de DstDomain. |
DstDvcId | string | A ID do dispositivo de destino. |
DstDvcIdType | string | O tipo de DstDvcId. |
DstDvcScope | string | O escopo da plataforma de nuvem ao qual o dispositivo de destino pertence. O DvcScope é mapeado para uma assinatura no Azure e para uma conta no AWS. |
DstDvcScopeId | string | A ID do escopo da plataforma de nuvem à qual o dispositivo de destino pertence. Mapa do DvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
DstFQDN | string | O nome do host do dispositivo de destino, incluindo informações de domínio, quando disponíveis. |
DstGeoCity | string | A cidade associada ao endereço IP de destino. |
DstGeoCountry | string | O país associado ao endereço IP de destino. |
DstGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de destino. |
DstGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de destino. |
DstGeoRegion | string | A região ou o estado, em um país, associado ao endereço IP de destino. |
DstHostname | string | O nome do host do dispositivo de destino, excluindo informações de domínio. |
DstIpAddr | string | O endereço IP do servidor que recebe a solicitação DNS. Para uma solicitação DNS regular, esse valor normalmente seria o dispositivo de relatório e, na maioria dos casos, definido como 127.0.0.1. |
DstOriginalRiskLevel | string | O nível de risco associado ao dispositivo de destino, conforme relatado pelo dispositivo de relatório. |
DstPortNumber | INT | Número da porta de destino. |
DstRiskLevel | INT | O nível de risco associado ao dispositivo de destino. |
Dvc | string | Um identificador exclusivo do dispositivo que relata o evento. O identificador pode ser um endereço IP, um nome de host ou uma ID do dispositivo. |
DvcAction | string | A ação executada pelo dispositivo de relatório na solicitação, como bloqueá-la. |
DvcDescription | string | Um texto descritivo associado ao dispositivo. Por exemplo: Controlador de Domínio Primário. |
DvcDomain | string | O domínio do dispositivo que relata o evento. |
DvcDomainType | string | O tipo de DvcDomain. Os valores possíveis incluem "Windows" e "FQDN". |
DvcFQDN | string | O nome do host totalmente qualificado, incluindo informações de domínio, do dispositivo que relata o evento. |
DvcHostname | string | O nome do host do dispositivo que relata o evento. |
DvcId | string | A ID exclusiva do dispositivo que relata o evento. |
DvcIdType | string | O tipo de DvcId. |
DvcInterface | string | A interface de rede em que os dados foram capturados. Normalmente, esse campo é relevante para a atividade relacionada à rede que é capturada por um dispositivo intermediário ou de toque. |
DvcIpAddr | string | O endereço IP do dispositivo que relata o evento. |
DvcMacAddr | string | O endereço MAC do dispositivo que relata o evento. |
DvcOriginalAction | string | A DvcAction original, conforme fornecida pelo dispositivo de relatório. |
DvcOs | string | O sistema operacional em execução no dispositivo que relata o evento. |
DvcOsVersion | string | A versão do sistema operacional no dispositivo que relata o evento. |
DvcScope | string | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DvcScope para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
DvcScopeId | string | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
DvcZone | string | O segmento de rede do dispositivo que relata o evento. |
EventCount | INT | O número de eventos descritos pelo registro. Esse valor é usado quando a origem permite a agregação e um único registro pode representar vários eventos. |
EventEndTime | DATETIME | A hora em que o evento terminou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
EventMessage | string | Uma mensagem ou descrição geral. |
EventOriginalSeverity | string | A severidade original, conforme fornecido pelo dispositivo de relatório. Esse valor é usado para derivar EventSeverity. |
EventOriginalType | string | O tipo de evento original ou A ID, por exemplo, a ID de evento original do Windows. |
EventOriginalUid | string | Uma ID exclusiva do registro original. |
EventOwner | string | O proprietário do evento, que geralmente é o departamento ou subsidiária no qual ele foi gerado. |
EventProduct | string | O produto que gera o evento. |
EventProductVersion | string | A versão do produto que gera o evento. |
EventReportUrl | string | Uma URL de um recurso que fornece informações adicionais sobre o evento. |
EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas fontes, caso em que é derivado de outros campos de evento, por exemplo, o campo EventResultDetails. |
EventResultDetails | string | O código de resposta DNS, conforme definido pela IANA (Internet Assigned Numbers Authority). |
EventSchemaVersion | string | A versão do esquema. |
EventSeverity | string | Gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
EventStartTime | DATETIME | A hora em que o evento foi iniciado. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
EventSubType | string | Solicitação ou resposta. |
EventType | string | Indica a operação relatada pelo registro. Para eventos de atividade DNS, esse valor é o opcode DNS, conforme definido pela IANA (Internet Assigned Numbers Authority). |
EventVendor | string | O fornecedor do produto que gera o evento. |
_IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
NetworkProtocol | string | O protocolo de transporte usado pelo evento de resolução de rede. O valor pode ser UDP ou TCP. |
NetworkProtocolVersion | string | A versão do protocolo de rede. Normalmente usado para diferenciar entre IPv4 e Ipv6. |
_ResourceId | string | Identificador exclusivo do recurso ao qual o registro está associado |
RuleName | string | O nome ou a ID da regra associada aos resultados da inspeção. |
RuleNumber | INT | O número da regra associada aos resultados da inspeção. |
SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
Src | string | Um identificador exclusivo do dispositivo de origem. |
SrcDescription | string | O número da regra associada aos resultados da inspeção. |
SrcDeviceType | string | O tipo do dispositivo de origem. |
SrcDomain | string | O domínio do dispositivo de origem. |
SrcDomainType | string | O tipo de SrcDomain. |
SrcDvcId | string | A ID do dispositivo de origem. |
SrcDvcIdType | string | Tipo de SrcDvcId. |
SrcDvcScope | string | O escopo da plataforma de nuvem ao qual o dispositivo de origem pertence. O DvcScope é mapeado para uma assinatura no Azure e para uma conta no AWS. |
SrcDvcScopeId | string | A ID de escopo da plataforma de nuvem à qual o dispositivo de origem pertence. Mapa do DvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
SrcFQDN | string | O nome do host do dispositivo de origem, incluindo informações de domínio. |
SrcGeoCity | string | A cidade associada ao endereço IP de origem. |
SrcGeoCountry | string | O país associado ao endereço IP de origem. |
SrcGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoRegion | string | A região ou o estado, dentro de um país, associado ao endereço IP de origem. |
SrcHostname | string | O nome do host do dispositivo de origem, incluindo informações de domínio. |
SrcIpAddr | string | O endereço IP do cliente que está enviando a solicitação DNS. Para uma solicitação DNS recursiva, esse valor normalmente seria o dispositivo de relatório e, na maioria dos casos, definido como 127.0.0.1. |
SrcOriginalRiskLevel | string | O nível de risco associado ao dispositivo de origem, conforme relatado pelo dispositivo de relatório. |
SrcOriginalUserType | string | O tipo de usuário de origem original, conforme fornecido pela origem. |
SrcPortNumber | INT | Porta de origem da consulta DNS. |
SrcProcessGuid | string | Um GUID (identificador exclusivo) gerado do processo que iniciou a solicitação DNS. |
SrcProcessId | string | A ID do processo (PID) do processo que iniciou a solicitação DNS. |
SrcProcessName | string | O nome do processo que iniciou a solicitação DNS. |
SrcRiskLevel | INT | O nível de risco associado ao dispositivo de origem. |
SrcUserId | string | Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de origem. |
SrcUserIdType | string | O tipo da ID armazenada no campo SrcUserId. |
SrcUserName | string | O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. |
SrcUsernameType | string | O tipo do nome de usuário armazenado no campo SrcUsername. |
SrcUserScope | string | O escopo, como o locatário do Azure AD, no qual SrcUserId e SrcUsername são definidos. |
SrcUserScopeId | string | A ID do escopo, como Azure AD locatário, no qual SrcUserId e SrcUsername são definidos. |
SrcUserSessionId | string | A ID exclusiva da sessão de entrada do usuário de origem. |
SrcUserType | string | O tipo do usuário de origem. |
_SubscriptionId | string | Identificador exclusivo da assinatura à qual o registro está associado |
TenantId | string | A ID do workspace do Log Analytics |
ThreatCategory | string | Se uma origem de evento DNS também fornecer segurança DNS, ela também poderá avaliar o evento DNS. Por exemplo, ele pode pesquisar o endereço IP ou o domínio em um banco de dados de inteligência contra ameaças e atribuir o domínio ou o endereço IP com uma categoria de ameaça. |
ThreatConfidence | INT | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
ThreatField | string | O campo para o qual uma ameaça foi identificada. O valor é SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
ThreatFirstReportedTime | string | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatFirstReportedTime_d | DATETIME | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatId | string | A ID da ameaça ou malware identificado na sessão da Web. |
ThreatIpAddr | string | Um endereço IP para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. Se uma ameaça for identificada no campo Domínio, esse campo deverá estar vazio. |
ThreatIsActive | bool | True, a ID da ameaça identificada é considerada uma ameaça ativa. |
ThreatLastReportedTime | string | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatLastReportedTime_d | DATETIME | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatName | string | O nome da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
ThreatOriginalRiskLevel | INT | O nível de risco original associado à ameaça identificada, conforme relatado pelo dispositivo de relatório. |
ThreatOriginalRiskLevel_s | string | O nível de risco associado à ameaça identificada, normalizado para um valor entre 0 e 100. |
ThreatRiskLevel | INT | O nível de risco associado à ameaça identificada, normalizado para um valor entre 0 e 100. |
TimeGenerated | DATETIME | O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
TransactionIdHex | string | A ID da transação hexadecimal exclusiva do DNS. |
Type | string | O nome da tabela |
UrlCategory | string | Uma origem de evento DNS também pode procurar a categoria dos domínios solicitados. |
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de