ASimDhcpEventLogs
ASIM DHCP-schemat representerar DHCP-serveraktivitet, inklusive att hantera begäranden om DHCP IP-adress som hyrs från klientsystem och uppdatera en DNS-server med de lån som beviljats.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/asimtables |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AdditionalFields | dynamisk | Ytterligare information som representeras med nyckel/värde-par som tillhandahålls av källan som inte mappar till ASim. |
| _BilledSize | real | Poststorleken i byte |
| DhcpCircuitId | sträng | DHCP-krets-ID:t enligt definitionen i RFC3046. |
| DhcpLeaseDuration | int | Längden på lånet som beviljats en klient i sekunder. |
| DhcpSessionDuration | int | Hur lång tid, i millisekunder, för slutförandet av DHCP-sessionen. |
| DhcpSessionId | sträng | Sessionsidentifieraren som rapporteras av rapporteringsenheten. För Windows DHCP-servern anger du detta till fältet TransactionID. |
| DhcpSrcDHCId | sträng | DHCP-klient-ID:t enligt definitionen i RFC4701. |
| DhcpSubscriberId | sträng | DHCP-prenumerant-ID:t enligt definitionen i RFC3993. |
| DhcpUserClass | sträng | DHCP-användarklassen enligt definitionen i RFC3004. |
| DhcpUserClassId | sträng | DHCP-användarklass-ID:t enligt definitionen i RFC3004. |
| DhcpVendorClass | sträng | DHCP-leverantörsklassen enligt definitionen i RFC3925. |
| DhcpVendorClassId | sträng | DHCP-leverantörsklass-ID:t enligt definitionen i RFC3925. |
| DvcAction | sträng | För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet, om tillämpligt. |
| DvcDescription | sträng | En beskrivande text som är associerad med enheten. |
| DvcDomain | sträng | Domänen för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat |
| DvcDomainType | sträng | Typ av DvcDomain. |
| DvcFQDN | sträng | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. |
| DvcHostname | sträng | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. |
| DvcId | sträng | Det unika ID:t för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. |
| DvcIdType | sträng | Typ av DvcId. |
| DvcInterface | sträng | Nätverksgränssnittet där data hämtades. Det här fältet är vanligtvis relevant för nätverksrelaterad aktivitet som samlas in av en mellanliggande enhet eller tryckenhet. |
| DvcIpAddr | sträng | IP-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. |
| DvcMacAddr | sträng | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| DvcOs | sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOsVersion | sträng | Versionen av operativsystemet på enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcScope | sträng | Molnplattformsomfånget som enheten tillhör. DvcScope mappar till ett prenumerationsnamn på Azure och till ett konto-ID på AWS. |
| DvcScopeId | sträng | Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Zonen definieras av rapporteringsenheten. |
| EventCount | int | Antalet händelser som beskrivs av posten. Det här värdet används när källan stöder aggregering och en enda post kan representera flera händelser. |
| EventEndTime | datetime | Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte anges av källposten kan det här fältet ange fältet TimeGenerated som alias. |
| EventMessage | sträng | Ett allmänt meddelande eller en beskrivning som antingen ingår i eller genereras från posten. |
| EventOriginalResultDetails | sträng | Den ursprungliga resultatinformationen från källan. Det här värdet används för att härleda EventResultDetails, som endast ska ha ett av de värden som dokumenteras för varje schema. |
| EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. Det här värdet används för att härleda EventSeverity. |
| EventOriginalSubType | sträng | Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. |
| EventOriginalType | sträng | Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. |
| EventOriginalUid | sträng | Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan. |
| EventOwner | sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
| EventProduct | sträng | Produkten som genererar händelsen. Värdet ska vara ett av de värden som anges i Leverantörer och Produkter. |
| EventProductVersion | sträng | Den version av produkten som genererar händelsen. |
| EventReportUrl | sträng | En URL som anges i händelsen för en resurs som innehåller mer information om händelsen. |
| EventResult | sträng | Resultatet av händelsen, som representeras av något av följande värden: Success, Partial, Failure, NA (Not Applicable). |
| EventResultDetails | sträng | Orsak eller information för resultatet som rapporteras i fältet EventResult. |
| EventSchema | sträng | Schemat som händelsen normaliseras till. Varje schema dokumenterar sitt schemanamn. |
| EventSchemaVersion | sträng | Versionen av schemat. Varje schema dokumenterar sin aktuella version. |
| EventSeverity | sträng | Händelsens allvarlighetsgrad. |
| EventStartTime | datetime | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte anges av källposten kan det här fältet ange fältet TimeGenerated som alias. |
| EventSubType | sträng | Beskriver en indelning av åtgärden som rapporteras i fältet EventType. |
| Eventtype | sträng | Beskriver åtgärden som rapporterats av posten. |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. Värdet ska vara ett av de värden som anges i Leverantörer och Produkter. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| RequestedIpAddr | sträng | IP-adressen som begärs av DHCP-klienten, när den är tillgänglig. |
| _ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
| RuleName | sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultaten. |
| RuleNumber | int | Antalet regler som är associerade med inspektionsresultaten. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcDescription | sträng | En beskrivande text som är associerad med enheten. |
| SrcDeviceType | sträng | Enhetens typ. |
| SrcDomain | sträng | Enhetens domän. |
| SrcDomainType | sträng | Typ av domän. |
| SrcDvcId | sträng | Enhetens ID. |
| SrcDvcIdType | sträng | Typ av DvcId. |
| SrcDvcScope | sträng | Molnplattformsomfånget som enheten tillhör. |
| SrcDvcScopeId | sträng | Molnplattformens omfångs-ID som enheten tillhör. |
| SrcFQDN | sträng | Enhetens värdnamn, inklusive domäninformation när det är tillgängligt. |
| SrcGeoCity | sträng | Den stad som är associerad med källans IP-adress. |
| SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude | real | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitude | real | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoRegion | sträng | Regionen i ett land som är associerat med källans IP-adress.. |
| SrcHostname | sträng | Enhetens värdnamn, exklusive domäninformation. |
| SrcIpAddr | sträng | Källenhetens IP-adress. |
| SrcMacAddr | sträng | MAC-adressen för nätverksgränssnittet från vilket anslutningen eller sessionen har sitt ursprung. |
| SrcOriginalRiskLevel | sträng | Den risknivå som associeras med den identifierade källan som rapporterats av rapporteringsenheten. |
| SrcOriginalUserType | sträng | Den ursprungliga källanvändartypen, om den tillhandahålls av källan. |
| SrcPortNumber | int | IP-porten som enheten kommunicerade på, om tillämpligt. |
| SrcRiskLevel | int | Den risknivå som är associerad med den identifierade källan. |
| SrcUserId | sträng | En maskinläsbar, alfanumerisk, unik representation av användaren. |
| SrcUserIdType | sträng | Typen av SrcUserId. |
| SrcUsername | sträng | Användarens användarnamn, inklusive domäninformation när det är tillgängligt. |
| SrcUsernameType | sträng | Typ av användarnamn. |
| SrcUserScope | sträng | Typ av användarnamn. |
| SrcUserScopeId | sträng | Omfångs-ID:t, till exempel Azure AD klientorganisations-ID, där UserId och Användarnamn definieras. |
| SrcUserSessionId | sträng | Unikt ID för inloggningssessionen för användaren. |
| SrcUserType | sträng | Typ av användare |
| SrcUserUid | sträng | Användarens Unix- eller Linux-användar-ID. |
| _SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| ThreatCategory | sträng | Kategorin för det hot eller den skadliga kod som identifieras i aktiviteten. |
| ThreatConfidence | int | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField | sträng | Det fält som ett hot identifierades för. |
| ThreatFirstReportedTime | datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId | sträng | ID:t för det hot eller den skadliga kod som identifieras i aktiviteten. |
| ThreatIsActive | boolesk | Sant ID som det identifierade hotet betraktas som ett aktivt hot. |
| ThreatLastReportedTime | datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatName | sträng | Namnet på det hot eller den skadliga kod som identifieras i aktiviteten. |
| ThreatOriginalConfidence | sträng | Den ursprungliga konfidensnivån för det hot som identifierats, enligt rapporteringsenhetens rapportering. |
| ThreatOriginalRiskLevel | sträng | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatRiskLevel | int | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. |
| TimeGenerated | datetime | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
| Typ | sträng | Namnet på tabellen |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för