| Campos Adicionais |
dynamic |
Informações adicionais, representadas usando pares chave/valor fornecidos pela fonte que não são mapeados para ASim. |
| _BilledSize |
real |
O tamanho do registo em bytes |
| DnsFlags |
string |
Os sinalizadores de solicitação DNS, conforme fornecido pelo dispositivo de relatório. A estrutura das informações de sinalizadores DNS pode variar entre diferentes dispositivos de relatório. |
| DnsFlagsAutenticado |
booleano |
O sinalizador de resposta autenticada DNS, que está relacionado ao DNSSEC, indica em uma resposta que todos os dados incluídos nas seções de resposta e autoridade da resposta foram verificados pelo servidor de acordo com as políticas desse servidor. consulte RFC 3655 Seção 6.1 para obter mais informações. |
| DnsFlagsAutoritativo |
booleano |
O sinalizador de resposta autoritativa DNS indica se a resposta do servidor foi autoritativa. |
| DnsFlagsCheckingDisabled |
booleano |
O sinalizador de CD DNS, que está relacionado ao DNSSEC, indica em uma consulta que os dados não verificados são aceitáveis para o sistema que envia a consulta. |
| DnsFlagsRecursionDisponível |
booleano |
O sinalizador DNS RA indica em uma resposta que esse servidor oferece suporte a consultas recursivas. |
| DnsFlagsRecursionDesired |
booleano |
O sinalizador desejado de recursão DNS indica em uma solicitação que esse cliente gostaria que o servidor usasse consultas recursivas. |
| DnsFlagsTruncado |
booleano |
O sinalizador DNS TC indica que uma resposta foi truncada, pois excedeu o tamanho máximo da resposta. |
| DnsFlagsZ |
booleano |
O sinalizador DNS Z é um sinalizador DNS preterido, que pode ser relatado por sistemas DNS mais antigos. |
| DnsNetworkDuration |
número inteiro |
A quantidade de tempo, em milissegundos, para a conclusão da solicitação DNS. |
| DnsQuery |
string |
O domínio que precisa ser resolvido. |
| DnsQueryClass |
número inteiro |
O ID da classe DNS, conforme definido pela Internet Assigned Numbers Authority (IANA). |
| DnsQueryClassName |
string |
O nome da classe DNS, conforme definido pela Internet Assigned Numbers Authority (IANA). |
| DnsQueryType |
número inteiro |
Os códigos de tipo de registro de recurso DNS, conforme definido pela Internet Assigned Numbers Authority (IANA). |
| DnsQueryTypeName |
string |
O nome do tipo de registro de recurso DNS, conforme definido pela Internet Assigned Numbers Authority (IANA). |
| DnsResponseCode |
número inteiro |
O código de resposta numérica DNS conforme definido pela Internet Assigned Numbers Authority (IANA). |
| DnsResponseIpCity |
string |
A cidade associada ao endereço IP de resposta. |
| DnsResponseIpCountry |
string |
O país associado ao endereço IP de resposta. |
| DnsResponseIpLatitude |
real |
A latitude da coordenada geográfica associada ao endereço IP de resposta. |
| DnsResponseIpLongitude |
real |
A longitude da coordenada geográfica associada ao endereço IP de resposta. |
| DnsResponseIpRegion |
string |
A região, ou estado, dentro de um país, associado ao endereço IP de origem. |
| DnsResponseName |
string |
O conteúdo da resposta, tal como consta do registo. A estrutura dos dados de resposta DNS pode variar entre diferentes dispositivos de relatório. |
| DnsSessionId |
string |
O identificador de sessão DNS, conforme relatado pelo dispositivo de relatório. |
| Dst |
string |
Um identificador exclusivo do servidor que recebeu a solicitação DNS. |
| DstDescrição |
string |
Um texto descritivo associado ao destino. |
| DstDeviceType |
string |
O tipo do dispositivo de destino. |
| DstDomínio |
string |
O domínio do dispositivo de destino. |
| DstDomainType |
string |
O tipo de DstDomain. |
| DstDvcId |
string |
A ID do dispositivo de destino. |
| DstDvcIdType |
string |
O tipo de DstDvcId. |
| DstDvcScope |
string |
O escopo da plataforma de nuvem ao qual o dispositivo de destino pertence. O DvcScope mapeia para uma assinatura no Azure e para uma conta na AWS. |
| DstDvcScopeId |
string |
O ID de escopo da plataforma de nuvem ao qual o dispositivo de destino pertence. O DvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| DstFQDN |
string |
O nome de host do dispositivo de destino, incluindo informações de domínio, quando disponíveis. |
| DstGeoCity |
string |
A cidade associada ao endereço IP de destino. |
| DstGeoCountry |
string |
O país associado ao endereço IP de destino. |
| DstGeoLatitude |
real |
A latitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoLongitude |
real |
A longitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoRegion |
string |
A região, ou estado, dentro de um país, associado ao endereço IP de destino. |
| DstHostname |
string |
O nome de host do dispositivo de destino, excluindo informações de domínio. |
| DstIpAddr |
string |
O endereço IP do servidor que recebe a solicitação DNS. Para uma solicitação DNS regular, esse valor normalmente seria o dispositivo de relatório e, na maioria dos casos, definido como 127.0.0.1. |
| DstOriginalRiskLevel |
string |
O nível de risco associado ao dispositivo de destino, conforme comunicado pelo dispositivo de relatório. |
| DstPortNumber |
número inteiro |
Número da porta de destino. |
| DstRiskLevel |
número inteiro |
O nível de risco associado ao dispositivo de destino. |
| DVC |
string |
Um identificador exclusivo do dispositivo que relata o evento. O identificador pode ser um endereço IP, um nome de host ou um ID de dispositivo. |
| DvcAction |
string |
A ação tomada pelo dispositivo de relatório na solicitação, como bloqueá-la. |
| DvcDescrição |
string |
Um texto descritivo associado ao dispositivo. Por exemplo: Controlador de Domínio Primário. |
| DvcDomínio |
string |
O domínio do dispositivo que relata o evento. |
| DvcDomainType |
string |
O tipo de DvcDomain. Os valores possíveis incluem "Windows" e "FQDN". |
| DvcFQDN |
string |
O nome de host totalmente qualificado, incluindo informações de domínio, do dispositivo que relata o evento. |
| DvcNome do host |
string |
O nome do host do dispositivo que relata o evento. |
| DvcId |
string |
A ID exclusiva do dispositivo que relata o evento. |
| DvcIdType |
string |
O tipo de DvcId. |
| DvcInterface |
string |
A interface de rede na qual os dados foram capturados. Este campo é normalmente relevante para a atividade relacionada com a rede que é capturada por um dispositivo intermediário ou toque. |
| DvcIpAddr |
string |
O endereço IP do dispositivo que relata o evento. |
| DvcMacAddr |
string |
O endereço MAC do dispositivo que relata o evento. |
| DvcOriginalAction |
string |
O DvcAction original, conforme fornecido pelo dispositivo de relatório. |
| DvcOs |
string |
O sistema operacional em execução no dispositivo que relata o evento. |
| DvcOsVersion |
string |
A versão do sistema operacional no dispositivo que relata o evento. |
| DvcScope |
string |
O escopo da plataforma de nuvem ao qual o dispositivo pertence. O DvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| DvcScopeId |
string |
O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O DvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| DvcZona |
string |
O segmento de rede do dispositivo que relata o evento. |
| EventCount |
número inteiro |
O número de eventos descritos pelo registro. Esse valor é usado quando a fonte oferece suporte à agregação e um único registro pode representar vários eventos. |
| EventEndTime |
datetime |
A hora em que o evento terminou. Se a origem oferecer suporte à agregação e o registro representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo aliasará o campo TimeGerado. |
| EventMessage |
string |
Uma mensagem ou descrição geral. |
| EventOriginalSeverity |
string |
A gravidade original, conforme fornecido pelo dispositivo de relatório. Esse valor é usado para derivar EventSeverity. |
| EventOriginalType |
string |
O tipo de evento original ou ID, por exemplo, o ID de evento original do Windows. |
| EventOriginalUid |
string |
Um ID exclusivo do registro original. |
| Proprietário do Evento |
string |
O proprietário do evento, que geralmente é o departamento ou subsidiária em que foi gerado. |
| EventoProduto |
string |
O produto gerador do evento. |
| EventProductVersion |
string |
A versão do produto que gera o evento. |
| EventReportUrl |
string |
Uma URL de um recurso que fornece informações adicionais sobre o evento. |
| EventResult |
string |
O resultado do evento, representado por um dos seguintes valores: Sucesso, Parcial, Fracasso, NA (Não Aplicável). O valor não pode ser fornecido diretamente pelas fontes, caso em que é derivado de outros campos de evento, por exemplo, o campo EventResultDetails. |
| EventResultDetails |
string |
O código de resposta DNS, conforme definido pela Internet Assigned Numbers Authority (IANA). |
| EventSchemaVersion |
string |
A versão do esquema. |
| EventSeverity |
string |
A gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
| EventStartTime |
datetime |
A hora em que o evento começou. Se a origem oferecer suporte à agregação e o registro representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo aliasará o campo TimeGerado. |
| SubTipo de Evento |
string |
Pedido ou resposta. |
| EventType |
string |
Indica a operação relatada pelo registro. Para eventos de atividade DNS, esse valor é o opcode DNS conforme definido pela Internet Assigned Numbers Authority (IANA). |
| EventVendor |
string |
O fornecedor do produto que gera o evento. |
| _IsBillable |
string |
Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingerido, a não é cobrada na sua conta do Azure |
| Protocolo de rede |
string |
O protocolo de transporte usado pelo evento de resolução de rede. O valor pode ser UDP ou TCP. |
| NetworkProtocolVersion |
string |
A versão do protocolo de rede. Normalmente usado para diferenciar IPv4 e Ipv6. |
| _ResourceId |
string |
Um identificador exclusivo para o recurso ao qual o registro está associado |
| RuleName |
string |
O nome ou ID da regra associado aos resultados da inspeção. |
| Número da regra |
número inteiro |
O número da regra associada aos resultados da inspeção. |
| SourceSystem |
string |
O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes Linux ou Azure para o Diagnóstico do Azure |
| Src |
string |
Um identificador exclusivo do dispositivo de origem. |
| SrcDescrição |
string |
O número da regra associada aos resultados da inspeção. |
| SrcDeviceType |
string |
O tipo do dispositivo de origem. |
| Domínio Src |
string |
O domínio do dispositivo de origem. |
| SrcDomainType |
string |
O tipo de SrcDomain. |
| SrcDvcId |
string |
A ID do dispositivo de origem. |
| SrcDvcIdType |
string |
O tipo de SrcDvcId. |
| SrcDvcScope |
string |
O escopo da plataforma de nuvem ao qual o dispositivo de origem pertence. O DvcScope mapeia para uma assinatura no Azure e para uma conta na AWS. |
| SrcDvcScopeId |
string |
O ID de escopo da plataforma de nuvem ao qual o dispositivo de origem pertence. O DvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| SrcFQDN |
string |
O nome do host do dispositivo de origem, incluindo informações de domínio. |
| SrcGeoCity |
string |
A cidade associada ao endereço IP de origem. |
| SrcGeoCountry |
string |
O país associado ao endereço IP de origem. |
| SrcGeoLatitude |
real |
A latitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoLongitude |
real |
A longitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoRegion |
string |
A região, ou estado, dentro de um país, associado ao endereço IP de origem. |
| SrcHostname |
string |
O nome de host do dispositivo de origem, excluindo informações de domínio. |
| SrcIpAddr |
string |
O endereço IP do cliente que envia a solicitação DNS. Para uma solicitação DNS recursiva, esse valor normalmente seria o dispositivo de relatório e, na maioria dos casos, definido como 127.0.0.1. |
| SrcOriginalRiskLevel |
string |
O nível de risco associado ao dispositivo de origem, conforme relatado pelo dispositivo de relatório. |
| SrcOriginalUserType |
string |
O tipo de usuário de origem original, conforme fornecido pela fonte. |
| SrcPortNumber |
número inteiro |
Porta de origem da consulta DNS. |
| SrcProcessGuid |
string |
Um identificador exclusivo (GUID) gerado do processo que iniciou a solicitação DNS. |
| SrcProcessId |
string |
A ID do processo (PID) do processo que iniciou a solicitação DNS. |
| SrcProcessName |
string |
O nome do processo que iniciou a solicitação DNS. |
| SrcRiskLevel |
número inteiro |
O nível de risco associado ao dispositivo de origem. |
| SrcUserId |
string |
Uma representação única, alfanumérica e legível por máquina do utilizador de origem. |
| SrcUserIdType |
string |
O tipo de ID armazenado no campo SrcUserId. |
| SrcUsername |
string |
O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. |
| SrcUsernameType |
string |
O tipo do nome de usuário armazenado no campo SrcUsername. |
| SrcUserScope |
string |
O escopo, como locatário do Azure AD, no qual SrcUserId e SrcUsername são definidos. |
| SrcUserScopeId |
string |
A ID do escopo, como locatário do Azure AD, no qual SrcUserId e SrcUsername são definidos. |
| SrcUserSessionId |
string |
A ID exclusiva da sessão de entrada do usuário de origem. |
| SrcUserType |
string |
O tipo do usuário de origem. |
| _SubscriptionId |
string |
Um identificador exclusivo para a assinatura à qual o registro está associado |
| TenantId |
cadeia |
O ID do espaço de trabalho do Log Analytics |
| ThreatCategory |
string |
Se uma fonte de eventos DNS também fornecer segurança DNS, ela também poderá avaliar o evento DNS. Por exemplo, ele pode procurar o endereço IP ou domínio em um banco de dados de inteligência de ameaças e atribuir o domínio ou endereço IP com uma categoria de ameaça. |
| ThreatConfidence |
número inteiro |
O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| Campo de Ameaças |
string |
O campo para o qual foi identificada uma ameaça. O valor é SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
| ThreatFirstReportedTime |
string |
A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça. |
| ThreatFirstReportedTime_d |
datetime |
A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça. |
| ThreatId |
string |
O ID da ameaça ou malware identificado na sessão da Web. |
| ThreatIpAddr |
string |
Um endereço IP para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. Se for identificada uma ameaça no campo Domínio, este campo deverá estar vazio. |
| ThreatIsActive |
booleano |
True ID a ameaça identificada é considerada uma ameaça ativa. |
| ThreatLastReportedTime |
string |
A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime_d |
datetime |
A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| Nome da Ameaça |
string |
O nome da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatOriginalConfidence |
string |
O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatOriginalRiskLevel |
número inteiro |
O nível de risco original associado à ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatOriginalRiskLevel_s |
string |
O nível de risco associado à ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatRiskLevel |
número inteiro |
O nível de risco associado à ameaça identificada, normalizado para um valor entre 0 e 100. |
| TimeGenerated |
datetime |
O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
| TransactionIdHex |
string |
O ID de transação hexadecimal exclusivo do DNS. |
| Type |
string |
O nome da tabela |
| UrlCategory |
string |
Uma fonte de eventos DNS também pode procurar a categoria dos Domínios solicitados. |