Aracılığıyla paylaş


ASimDnsActivityLogs

ASim DNS etkinlik şeması, DNS protokolü etkinliğini temsil eder. Bu etkinlik DNS sunucusu tarafından veya DNS sunucusuna DNS istekleri gönderen bir cihaz tarafından günlüğe kaydedilebilir. DNS protokolü etkinliği DNS sorgularını, DNS sunucusu güncelleştirmelerini ve DNS toplu veri aktarımlarını içerir. Şema protokol etkinliğini temsil ettiğinden RFC'ler ve resmi olarak atanan parametre listeleri tarafından yönetilir. DNS etkinlik şeması DNS sunucusu denetim olaylarını temsil etmez.

Tablo öznitelikleri

Öznitelik Değer
Kaynak türleri microsoft.securityinsights/dnsnormalized
Kategoriler Güvenlik
Çözümler SecurityInsights
Temel günlük Hayır
Alma zamanı dönüşümü Yes
Örnek Sorgular Evet

Sütunlar

Sütun Türü Açıklama
EkAlanlar dynamic Kaynak tarafından sağlanan ve ASim ile eşlenmemiş anahtar/değer çiftleri kullanılarak temsil edilen ek bilgiler.
_BilledSize real Bayt cinsinden kayıt boyutu
DnsFlags Dize RAPORLAMA cihazı tarafından sağlanan DNS isteği bayrakları. DNS bayrak bilgilerinin yapısı farklı raporlama cihazları arasında farklılık gösterebilir.
DnsFlagsAuthenticated ikili DNSSEC ile ilgili DNS kimliği doğrulanmış yanıt bayrağı, yanıtta yanıtın yanıt ve yetkili bölümlerinde yer alan tüm verilerin sunucu tarafından ilgili sunucunun ilkelerine göre doğrulandığını gösterir. Daha fazla bilgi için bkz. RFC 3655 Bölüm 6.1.
DnsFlagsAuthoritative ikili DNS yetkili yanıt bayrağı, sunucudan gelen yanıtın yetkili olup olmadığını gösterir.
DnsFlagsCheckingDisabled ikili DNSSEC ile ilgili DNS CD bayrağı, sorguda doğrulanmamış verilerin sorguyu gönderen sistem tarafından kabul edilebilir olduğunu belirtir.
DnsFlagsRecursionAvailable ikili DNS RA bayrağı, bir yanıtta sunucunun özyinelemeli sorguları desteklediğini belirtir.
DnsFlagsRecursionDesired ikili DNS özyineleme istenen bayrağı, bir istekte istemcinin sunucunun özyinelemeli sorgular kullanmasını istediğinizi belirtir.
DnsFlagsTruncated ikili DNS TC bayrağı, yanıt boyutu üst sınırını aştığından yanıtın kesildiğini gösterir.
DnsFlagsZ ikili DNS Z bayrağı, eski DNS sistemleri tarafından bildirilebilen kullanım dışı bırakılmış bir DNS bayrağıdır.
DnsNetworkDuration int DNS isteğinin tamamlanması için milisaniye cinsinden süre.
DnsQuery Dize Çözülmesi gereken etki alanı.
DnsQueryClass int İnternet Tarafından Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS sınıf kimliği.
DnsQueryClassName Dize İnternet Tarafından Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS sınıf adı.
DnsQueryType int İnternet Tarafından Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS kaynak kayıt türü kodları.
DnsQueryTypeName Dize İnternet Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS kaynak kayıt türü adı.
DnsResponseCode int İnternet Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS sayısal yanıt kodu.
DnsResponseIpCity Dize Yanıt IP adresiyle ilişkili şehir.
DnsResponseIpCountry Dize Yanıt IP adresiyle ilişkili ülke.
DnsResponseIpLatitude real Yanıt IP adresiyle ilişkili coğrafi koordinatın Enlemi.
DnsResponseIpLongitude real Yanıt IP adresiyle ilişkili coğrafi koordinatın boylamı.
DnsResponseIpRegion Dize Kaynak IP adresiyle ilişkilendirilmiş bir ülke içindeki bölge veya eyalet.
DnsResponseName Dize Kayıtta yer aldığı gibi yanıtın içeriği. DNS yanıt verilerinin yapısı farklı raporlama cihazları arasında farklılık gösterebilir.
DnsSessionId Dize Raporlama cihazı tarafından bildirilen DNS oturumu tanımlayıcısı.
Dst Dize DNS isteğini alan sunucunun benzersiz tanımlayıcısı.
DstDescription Dize Hedefle ilişkilendirilmiş açıklayıcı bir metin.
DstDeviceType Dize Hedef cihazın türü.
DstDomain Dize Hedef cihazın etki alanı.
DstDomainType Dize DstDomain türü.
DstDvcId Dize Hedef cihazın kimliği.
DstDvcIdType Dize DstDvcId türü.
DstDvcScope Dize Hedef cihazın ait olduğu bulut platformu kapsamı. DvcScope, Azure'da bir aboneliğe ve AWS'de bir hesaba eşler.
DstDvcScopeId Dize Hedef cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
DstFQDN Dize Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı.
DstGeoCity Dize Hedef IP adresiyle ilişkili şehir.
DstGeoCountry Dize Hedef IP adresiyle ilişkili ülke.
DstGeoLatitude real Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi.
DstGeoLongitude real Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı.
DstGeoRegion Dize Hedef IP adresiyle ilişkilendirilmiş bir ülke içindeki bölge veya eyalet.
DstHostname Dize Etki alanı bilgileri hariç, hedef cihaz ana bilgisayar adı.
DstIpAddr Dize DNS isteğini alan sunucunun IP adresi. Normal bir DNS isteği için bu değer genellikle raporlama cihazı olur ve çoğu durumda 127.0.0.1 olarak ayarlanır.
DstOriginalRiskLevel Dize Raporlama cihazı tarafından bildirilen hedef cihazla ilişkili risk düzeyi.
DstPortNumber int Hedef Bağlantı Noktası numarası.
DstRiskLevel int Hedef cihazla ilişkili risk düzeyi.
Dvc Dize Olayı bildiren cihazın benzersiz tanımlayıcısı. Tanımlayıcı bir IP Adresi, konak adı veya cihaz kimliği olabilir.
DvcAction Dize İstekte raporlama cihazı tarafından gerçekleştirilen eylem, örneğin bunu engelleme.
DvcDescription Dize Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Birincil Etki Alanı Denetleyicisi.
DvcDomain Dize Olayı bildiren cihazın etki alanı.
DvcDomainType Dize DvcDomain türü. Olası değerler arasında "Windows" ve "FQDN" bulunur.
DvcFQDN Dize Olayı bildiren cihazın etki alanı bilgileri de dahil olmak üzere tam konak adı.
DvcHostname Dize Olayı bildiren cihazın ana bilgisayar adı.
DvcId Dize Olayı bildiren cihazın benzersiz kimliği.
DvcIdType Dize DvcId türü.
DvcInterface Dize Verilerin yakalandığı ağ arabirimi. Bu alan genellikle bir ara veya dokunma cihazı tarafından yakalanan ağ ile ilgili etkinlikle ilgilidir.
DvcIpAddr Dize Olayı bildiren cihazın IP Adresi.
DvcMacAddr Dize Olayı bildiren cihazın MAC adresi.
DvcOriginalAction Dize Raporlama cihazı tarafından sağlanan özgün DvcAction.
DvcOs Dize Olayı bildiren cihazda çalışan işletim sistemi.
DvcOsVersion Dize Olayı bildiren cihazdaki işletim sisteminin sürümü.
DvcScope Dize Cihazın ait olduğu bulut platformu kapsamı. DvcScope, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
DvcScopeId Dize Cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
DvcZone Dize Olayı bildiren cihazın ağ kesimi.
EventCount int Kayıt tarafından açıklanan olay sayısı. Bu değer, kaynak toplamayı desteklediğinde kullanılır ve tek bir kayıt birden çok olayı temsil edebilir.
EventEndTime datetime Olayın sona erdiği saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, son olayın oluşturulduğu saat. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer ad ekler.
EventMessage Dize Genel bir ileti veya açıklama.
EventOriginalSeverity Dize Raporlama cihazı tarafından sağlanan özgün önem derecesi. Bu değer EventSeverity'yi türetmek için kullanılır.
EventOriginalType Dize Özgün olay türü veya kimliği, örneğin özgün Windows olay kimliği.
EventOriginalUid Dize Özgün kaydın benzersiz kimliği.
EventOwner Dize Genellikle oluşturulduğu bölüm veya yan kuruluş olan olayın sahibi.
EventProduct Dize Olayı oluşturan ürün.
EventProductVersion Dize Olayı oluşturan ürünün sürümü.
EventReportUrl Dize Olay hakkında ek bilgi sağlayan bir kaynağın URL'si.
EventResult Dize Aşağıdaki değerlerden biriyle gösterilen olayın sonucu: Başarı, Kısmi, Hata, NA (Geçerli Değil). Değer doğrudan kaynaklar tarafından sağlanmayabilir; bu durumda, eventResultDetails alanı gibi diğer olay alanlarından türetilir.
EventResultDetails Dize İnternet Tarafından Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS yanıt kodu.
EventSchemaVersion Dize Şema sürümü.
EventSeverity Dize Olayın önem derecesi. Geçerli değerler şunlardır: Bilgili, Düşük, Orta veya Yüksek.
EventStartTime datetime Olayın başlatıldığı saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, ilk olayın oluşturulduğu saat. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer ad ekler.
EventSubType Dize İstek veya yanıt.
EventType Dize Kayıt tarafından bildirilen işlemi gösterir. DNS etkinliği olayları için bu değer, İnternet Tarafından Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS işlem kodudur.
EventVendor Dize Olayı oluşturan ürünün satıcısı.
_IsBillable Dize Verilerin alınıp alınmayacağını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmadığında
NetworkProtocol Dize Ağ çözümleme olayı tarafından kullanılan aktarım protokolü. Değer UDP veya TCP olabilir.
NetworkProtocolVersion Dize Ağ protokolünün sürümü. Genellikle IPv4 ile Ipv6 arasında ayrım yapmak için kullanılır.
_ResourceId Dize Kaydın ilişkili olduğu kaynağın benzersiz tanımlayıcısı
RuleName Dize Denetim sonuçlarıyla ilişkili kuralın adı veya kimliği.
KuralSayısı int denetim sonuçlarıyla ilişkili kuralın sayısı.
SourceSystem Dize Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama
Src Dize Kaynak cihazın benzersiz tanımlayıcısı.
SrcDescription Dize denetim sonuçlarıyla ilişkili kuralın sayısı.
SrcDeviceType Dize Kaynak cihazın türü.
SrcDomain Dize Kaynak cihazın etki alanı.
SrcDomainType Dize SrcDomain türü.
SrcDvcId Dize Kaynak cihazın kimliği.
SrcDvcIdType Dize SrcDvcId türü.
SrcDvcScope Dize Kaynak cihazın ait olduğu bulut platformu kapsamı. DvcScope, Azure'da bir aboneliğe ve AWS'de bir hesaba eşler.
SrcDvcScopeId Dize Kaynak cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcFQDN Dize Etki alanı bilgileri dahil olmak üzere kaynak cihaz ana bilgisayar adı.
SrcGeoCity Dize Kaynak IP adresiyle ilişkili şehir.
SrcGeoCountry Dize Kaynak IP adresiyle ilişkili ülke.
SrcGeoLatitude real Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi.
SrcGeoLongitude real Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı.
SrcGeoRegion Dize Kaynak IP adresiyle ilişkilendirilmiş bir ülke içindeki bölge veya eyalet.
SrcHostname Dize Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı.
SrcIpAddr Dize DNS isteğini gönderen istemcinin IP adresi. Özyinelemeli bir DNS isteği için bu değer genellikle raporlama cihazı olur ve çoğu durumda 127.0.0.1 olarak ayarlanır.
SrcOriginalRiskLevel Dize Raporlama cihazı tarafından bildirilen kaynak cihazla ilişkili risk düzeyi.
SrcOriginalUserType Dize Kaynak tarafından sağlanan özgün kaynak kullanıcı türü.
SrcPortNumber int DNS sorgusunun kaynak bağlantı noktası.
SrcProcessGuid Dize DNS isteğini başlatan işlemin oluşturulan benzersiz tanımlayıcısı (GUID).
SrcProcessId Dize DNS isteğini başlatan işlemin işlem kimliği (PID).
SrcProcessName Dize DNS isteğini başlatan işlemin adı.
SrcRiskLevel int Kaynak cihazla ilişkili risk düzeyi.
SrcUserId Dize Kaynak kullanıcının makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi.
SrcUserIdType Dize SrcUserId alanında depolanan kimliğin türü.
SrcUsername Dize Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Kaynak kullanıcı adı.
SrcUsernameType Dize SrcUsername alanında depolanan kullanıcı adının türü.
SrcUserScope Dize SrcUserId ve SrcUsername'in tanımlandığı Azure AD kiracısı gibi kapsam.
SrcUserScopeId Dize SrcUserId ve SrcUsername'in tanımlandığı Azure AD kiracısı gibi kapsamın kimliği.
SrcUserSessionId Dize Kaynak kullanıcının oturum açma oturumunun benzersiz kimliği.
SrcUserType Dize Kaynak kullanıcının türü.
_SubscriptionId Dize Kaydın ilişkili olduğu abonelik için benzersiz tanımlayıcı
TenantId Dize Log Analytics çalışma alanı kimliği
ThreatCategory Dize DNS olay kaynağı dns güvenliği de sağlıyorsa, DNS olayını da değerlendirebilir. Örneğin, bir tehdit bilgileri veritabanında IP adresini veya etki alanını arayabilir ve etki alanını veya IP adresini Bir Tehdit Kategorisi ile atayabilir.
ThreatConfidence int Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilir.
ThreatField Dize Bir tehdidin tanımlandığı alan. Değer SrcIpAddr, DstIpAddr, Domain veya DnsResponseName şeklindedir.
ThreatFirstReportedTime Dize IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı.
ThreatFirstReportedTime_d datetime IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı.
ThreatId Dize Web oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın kimliği.
ThreatIpAddr Dize Bir tehdidin tanımlandığı IP adresi. ThreatField alanı ThreatIpAddr'ın temsil ettiği alanın adını içerir. Etki alanı alanında bir tehdit tanımlanırsa, bu alan boş olmalıdır.
ThreatIsActive ikili Tanımlanan tehdidin gerçek kimliği etkin bir tehdit olarak kabul edilir.
ThreatLastReportedTime Dize IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman.
ThreatLastReportedTime_d datetime IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman.
ThreatName Dize Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin adı.
ThreatOriginalConfidence Dize Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi.
ThreatOriginalRiskLevel int Raporlama cihazı tarafından bildirilen tehditle ilişkili özgün risk düzeyi.
ThreatOriginalRiskLevel_s Dize Tanımlanan tehditle ilişkili risk düzeyi, 0 ile 100 arasında bir değere normalleştirilir.
ThreatRiskLevel int Tanımlanan tehditle ilişkili risk düzeyi, 0 ile 100 arasında bir değere normalleştirilir.
TimeGenerated datetime Olayın oluşturulduğu zamanı yansıtan zaman damgası (UTC).
TransactionIdHex Dize DNS benzersiz onaltılık işlem kimliği.
Tür Dize Tablonun adı
UrlCategory Dize DNS olay kaynağı, istenen Etki Alanlarının kategorisini de arayabilir.