ASimDnsActivityLogs
Схема действия DNS ASim представляет действие протокола DNS, которое может быть зарегистрировано dns-сервером или устройством, отправляемым DNS-запросы на DNS-сервер. Действия протокола DNS включают в себя DNS-запросы, обновления DNS-сервера и массовую передачу данных DNS. Так как схема представляет действие протокола, она регулируется rfc и официально назначенными списками параметров. Схема действия DNS не представляет события аудита DNS-сервера.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/dnsnormalized |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| AdditionalFields | Динамический | Дополнительные сведения, представленные с помощью пар "ключ-значение", предоставленных источником, которые не сопоставлены с ASim. |
| _BilledSize | real | Размер записи в байтах |
| DnsFlags | строка | Флаги запроса DNS, предоставляемые устройством отчетов. Структура сведений о флагах DNS может отличаться на разных устройствах отчетности. |
| DnsFlagsAuthenticated | bool | Флаг ответа с проверкой подлинности DNS, связанный с DNSSEC, указывает в ответе, что все данные, включенные в разделы ответа и полномочия ответа, были проверены сервером в соответствии с политиками этого сервера. Дополнительные сведения см.в разделе 6.1 RFC 3655. |
| DnsFlagsAuthoritative | bool | Флаг заслуживающего доверия ОТВЕТА DNS указывает, является ли ответ с сервера заслуживающим доверия. |
| DnsFlagsCheckingDisabled | bool | Флаг DNS CD, связанный с DNSSEC, указывает в запросе, что непроверенные данные являются допустимыми для системы, отправляющей запрос. |
| DnsFlagsRecursionAvailable | bool | Флаг DNS RA указывает в ответе, что этот сервер поддерживает рекурсивные запросы. |
| DnsFlagsRecursionDesired | bool | Требуемый флаг рекурсии DNS указывает в запросе, что этот клиент хотел бы, чтобы сервер использовал рекурсивные запросы. |
| DnsFlagsTruncated | bool | Флаг DNS TC указывает, что ответ был усечен, так как он превысил максимальный размер ответа. |
| DnsFlagsZ | bool | Флаг DNS Z является нерекомендуемым флагом DNS, о котором могут сообщать старые системы DNS. |
| DnsNetworkDuration | INT | Время в миллисекундах, необходимое для завершения запроса DNS. |
| DnsQuery | строка | Домен, который требуется разрешить. |
| DnsQueryClass | INT | Идентификатор класса DNS, определенный центром IANA. |
| DnsQueryClassName | строка | Имя класса DNS, определенное центром IANA. |
| DnsQueryType | INT | Коды типов записей ресурсов DNS в соответствии с определением IANA. |
| DnsQueryTypeName | строка | Имя типа записи ресурса DNS в соответствии с определением Центра назначенных номеров Интернета (IANA). |
| DnsResponseCode | INT | Код числового ответа DNS в соответствии с определением Центра интернет-назначенных номеров (IANA). |
| DnsResponseIpCity | строка | Город, связанный с IP-адресом ответа. |
| DnsResponseIpCountry | строка | Страна, связанная с IP-адресом ответа. |
| DnsResponseIpLatitude | real | Широта географической координаты, связанной с IP-адресом ответа. |
| DnsResponseIpLongitude | real | Долгота географической координаты, связанной с IP-адресом ответа. |
| DnsResponseIpRegion | строка | Регион или штат в стране, связанный с исходным IP-адресом. |
| DnsResponseName | строка | Содержимое ответа в том виде, в котором оно включено в запись. Структура данных ответа DNS может отличаться для разных устройств отчетности. |
| DnsSessionId | строка | Идентификатор сеанса DNS, сообщаемый устройством составления отчетов. |
| Назначение | строка | Уникальный идентификатор сервера, получившего DNS-запрос. |
| DstDescription | строка | Описательный текст, связанный с назначением. |
| DstDeviceType | строка | Тип устройства назначения. |
| DstDomain | строка | Домен устройства назначения. |
| DstDomainType | строка | Тип DstDomain. |
| DstDvcId | строка | Идентификатор ресурса устройства назначения. |
| DstDvcIdType | строка | Тип DstDvcId. |
| DstDvcScope | строка | Облачная платформа область, к которой принадлежит целевое устройство. DvcScope сопоставляет подписку в Azure и учетную запись в AWS. |
| DstDvcScopeId | строка | Идентификатор область облачной платформы, к которому принадлежит целевое устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DstFQDN | строка | Имя узла устройства назначения, включая сведения о домене, если они доступны. |
| DstGeoCity | строка | Город, связанный с IP-адресом назначения. |
| DstGeoCountry | строка | Страна, связанная с IP-адресом назначения. |
| DstGeoLatitude | real | Широта географической координаты, связанная с IP-адресом назначения. |
| DstGeoLongitude | real | Долгота географической координаты, связанная с IP-адресом назначения. |
| DstGeoRegion | строка | Регион или штат в стране, связанный с IP-адресом назначения. |
| DstHostname | строка | Имя узла устройства назначения, за исключением сведений о домене. |
| DstIpAddr | строка | IP-адрес сервера, получающего запрос DNS. Для обычного запроса DNS это значение как правило определяет передающее устройство и в большинстве случаев равно 127.0.0.1. |
| DstOriginalRiskLevel | строка | Уровень риска, связанный с целевым устройством, сообщаемый устройством отчетности. |
| DstPortNumber | INT | Номер порта назначения. |
| DstRiskLevel | INT | Уровень риска, связанный с целевым устройством. |
| Dvc | строка | Уникальный идентификатор устройства, сообщающего о событии. Идентификатор может быть IP-адресом, именем узла или идентификатором устройства. |
| DvcAction | строка | Действие, выполняемое устройством отчетности по запросу, например блокировка. |
| DvcDescription | строка | Текст описания, связанный с устройством. Например: Основной контроллер домена. |
| DvcDomain | строка | Домен устройства, сообщающего о событии. |
| DvcDomainType | строка | Тип DvcDomain. Возможные значения: "Windows" и "полное доменное имя". |
| DvcFQDN | строка | Полное имя узла, включая сведения о домене, устройства, сообщающего о событии. |
| DvcHostname | строка | Имя узла устройства, сообщающего о событии. |
| DvcId | строка | Уникальный идентификатор устройства, сообщающего о событии. |
| DvcIdType | строка | Тип DvcId. |
| DvcInterface | строка | Сетевой интерфейс, в котором были фиксируются данные. Это поле обычно относится к сетевой активности, которая фиксируется промежуточным устройством или устройством TAP. |
| DvcIpAddr | строка | IP-адрес устройства, сообщающего о событии. |
| DvcMacAddr | строка | MAC-адрес устройства, сообщающего о событии. |
| DvcOriginalAction | строка | Исходное действие DvcAction, предоставленное передающим устройством. |
| DvcOs | строка | Операционная система, запущенная на устройстве, сообщает о событии. |
| DvcOsVersion | строка | Версия операционной системы на устройстве, сообщающая о событии. |
| DvcScope | строка | Облачная платформа область принадлежит устройству. DvcScope сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcScopeId | строка | Идентификатор область облачной платформы, к которому принадлежит устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcZone | строка | Сегмент сети устройства, сообщающего о событии. |
| EventCount | INT | Количество событий, описываемых записью. Это значение используется, если источник поддерживает агрегирование, а одна запись может представлять несколько событий. |
| EventEndTime | DATETIME | Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventMessage | строка | Общее сообщение или описание. |
| EventOriginalSeverity | строка | Исходная степень серьезности, предоставленная передающим устройством. Это значение используется для получения EventSeverity. |
| EventOriginalType | строка | Исходный тип события или идентификатор, например исходный идентификатор события Windows. |
| EventOriginalUid | строка | Уникальный идентификатор исходной записи. |
| EventOwner | строка | Владелец события, которое обычно является отделом или дочерним подразделением, в котором оно было создано. |
| EventProduct | строка | Продукт, создающий событие. |
| EventProductVersion | строка | Версия продукта, создающего событие. |
| EventReportUrl | строка | URL-адрес ресурса, который предоставляет дополнительные сведения о событии. |
| EventResult | строка | Результат события, представленный одним из следующих значений: Success, Partial, Failure, NA (not applicable). Значение может быть не предоставлено напрямую источниками. В этом случае оно является производным от других полей событий, например поля EventResultDetails. |
| EventResultDetails | строка | Код ответа DNS, определенный центром IANA. |
| EventSchemaVersion | строка | Номер версии схемы. |
| EventSeverity | строка | Серьезность события. Допустимые значения: Информационный, Низкий, Средний или Высокий. |
| EventStartTime | DATETIME | Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventSubType | строка | Либо запрос (request), либо ответ (response). |
| EventType | строка | Указывает на операцию, о которой сообщает эта запись. Для событий действий DNS это значение представляет собой код операции DNS в соответствии с определением Центра интернет-номеров (IANA). |
| EventVendor | строка | Поставщик продукта, создающего событие. |
| _IsBillable | строка | Указывает, является ли прием данных оплачиваемым. Если _IsBillable false не выставляется счет в вашей учетной записи Azure |
| NetworkProtocol | строка | Транспортный протокол, используемый событием разрешения в сети. Значением может быть UDP или TCP. |
| NetworkProtocolVersion | строка | Версия сетевого протокола. Обычно используется для различения IPv4 и Ipv6. |
| _ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись |
| RuleName | строка | Имя или идентификатор правила, связанного с результатами проверки. |
| RuleNumber | INT | Номер правила, связанного с результатами проверки. |
| SourceSystem | строка | Тип агента, которым было выполнено событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| Источник | строка | Уникальный идентификатор исходного устройства. |
| SrcDescription | строка | Номер правила, связанного с результатами проверки. |
| SrcDeviceType | строка | Тип исходного устройства. |
| SrcDomain | строка | Домен исходного устройства. |
| SrcDomainType | строка | Тип SrcDomain. |
| SrcDvcId | строка | Идентификатор исходного устройства. |
| SrcDvcIdType | строка | Тип SrcDvcId. |
| SrcDvcScope | строка | Облачная платформа область, к которой принадлежит исходное устройство. DvcScope сопоставляется с подпиской в Azure и с учетной записью в AWS. |
| SrcDvcScopeId | строка | Идентификатор область облачной платформы, к которому принадлежит исходное устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| SrcFQDN | строка | Имя узла исходного устройства, включая сведения о домене. |
| SrcGeoCity | строка | Город, связанный с исходным IP-адресом. |
| SrcGeoCountry | строка | Страна, связанная с исходным IP-адресом. |
| SrcGeoLatitude | real | Географическая широта, связанная с исходным IP-адресом. |
| SrcGeoLongitude | real | Географическая долгота, связанная с исходным IP-адресом. |
| SrcGeoRegion | строка | Регион или штат в стране, связанный с исходным IP-адресом. |
| SrcHostname | строка | Имя узла исходного устройства, включая сведения о домене. |
| SrcIpAddr | строка | IP-адрес клиента, отправляющего запрос DNS. Для рекурсивного ЗАПРОСА DNS это значение обычно является устройством отчетов, и в большинстве случаев устанавливается значение 127.0.0.1. |
| SrcOriginalRiskLevel | строка | Уровень риска, связанный с исходным устройством, как сообщается устройством отчетности. |
| SrcOriginalUserType | строка | Исходный тип пользователя, предоставленный источником. |
| SrcPortNumber | INT | Исходный порт для запроса DNS. |
| SrcProcessGuid | строка | Созданный уникальный идентификатор (GUID) процесса, который инициировал DNS-запрос. |
| SrcProcessId | строка | Идентификатор процесса (PID), который инициировал DNS-запрос. |
| SrcProcessName | строка | Имя процесса, который инициировал ЗАПРОС DNS. |
| SrcRiskLevel | INT | Уровень риска, связанный с исходным устройством. |
| SrcUserId | строка | Считываемое компьютером буквенно-цифровое, уникальное представление исходного пользователя. |
| SrcUserIdType | строка | Тип идентификатора, который хранится в поле SrcUserId. |
| SrcUsername | строка | Имя пользователя Source, включая сведения о домене, если они доступны. |
| SrcUsernameType | строка | Тип имени пользователя, хранящегося в поле SrcUsername. |
| SrcUserScope | строка | Область, например клиент Azure AD, в котором определены SrcUserId и SrcUsername. |
| SrcUserScopeId | строка | Идентификатор область, например Azure AD клиента, в котором определены SrcUserId и SrcUsername. |
| SrcUserSessionId | строка | Уникальный идентификатор сеанса входа исходного пользователя. |
| SrcUserType | строка | Тип исходного пользователя. |
| _SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| ThreatCategory | строка | Если источник событий DNS также предоставляет сведения о безопасности для DNS, может вычисляться событие DNS. Например, может выполняться поиск IP-адреса или домена в базе данных аналитики угроз, а также назначаться категория угрозы для домена или IP-адреса. |
| ThreatConfidence | INT | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatField | строка | Поле, для которого была обнаружена угроза. Значение : SrcIpAddr, DstIpAddr, Domain или DnsResponseName. |
| ThreatFirstReportedTime | строка | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatFirstReportedTime_d | DATETIME | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatId | строка | Идентификатор угрозы или вредоносной программы, идентифицированной в веб-сеансе. |
| ThreatIpAddr | строка | IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля, которое представляет ThreatIpAddr. Если угроза определена в поле Domain, это поле должно быть пустым. |
| ThreatIsActive | bool | Истинный идентификатор обнаруженной угрозы считается активной угрозой. |
| ThreatLastReportedTime | строка | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| ThreatLastReportedTime_d | DATETIME | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| ThreatName | строка | Имя обнаруженной угрозы, полученное от устройства, сообщившего о ней. |
| ThreatOriginalConfidence | строка | Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatOriginalRiskLevel | INT | Исходный уровень риска для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatOriginalRiskLevel_s | строка | Уровень риска, связанный с обнаруженной угрозой, нормализованный до диапазона значения от 0 до 100. |
| ThreatRiskLevel | INT | Уровень риска, связанный с обнаруженной угрозой, нормализованный до диапазона значения от 0 до 100. |
| TimeGenerated | DATETIME | Метка времени (UTC), отражающая время создания события. |
| TransactionIdHex | строка | Уникальный шестнадцатеричный идентификатор транзакции DNS. |
| Тип | строка | Имя таблицы. |
| UrlCategory | строка | Источник событий DNS также может искать категорию запрошенных доменов. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по