ASimDhcpEventLogs
ASIM DHCP 架构表示 DHCP 服务器活动,包括为 DHCP IP 地址(从客户端系统租用)请求提供服务,以及使用授予的租用更新 DNS 服务器。
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | microsoft.securityinsights/asimtables |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 否 |
| 引入时间转换 | 是 |
| 示例查询 | - |
列
| 列 | 类型 | 说明 |
|---|---|---|
| AdditionalFields | dynamic | 其他信息,使用源提供的键/值对表示,这些键/值对不会映射到 ASim。 |
| _BilledSize | real | 记录大小(以字节为单位) |
| DhcpCircuitId | 字符串 | DHCP 线路 ID,由 RFC3046 定义。 |
| DhcpLeaseDuration | int | 授予客户端的租用时长,以秒为单位。 |
| DhcpSessionDuration | int | 完成 DHCP 会话所花费的时间,以毫秒为单位。 |
| DhcpSessionId | string | 报告设备报告的会话标识符。 对于 Windows DHCP 服务器,请将此字段设置为 TransactionID 字段。 |
| DhcpSrcDHCId | 字符串 | 由 RFC4701 定义的 DHCP 客户端 ID。 |
| DhcpSubscriberId | 字符串 | 由 RFC3993 定义的 DHCP 订阅服务器 ID。 |
| DhcpUserClass | 字符串 | RFC3004 定义的 DHCP 用户类。 |
| DhcpUserClassId | 字符串 | RFC3004 定义的 DHCP 用户类 ID。 |
| DhcpVendorClass | 字符串 | RFC3925 定义的 DHCP 供应商类。 |
| DhcpVendorClassId | 字符串 | RFC3925 定义的 DHCP 供应商类 ID。 |
| DvcAction | 字符串 | 对于报告安全系统,为系统执行的操作(如果适用)。 |
| DvcDescription | 字符串 | 与设备关联的描述性文本。 |
| DvcDomain | 字符串 | 发生事件或报告事件的设备的域,具体取决于架构 |
| DvcDomainType | 字符串 | DvcDomain 的类型。 |
| DvcFQDN | 字符串 | 发生了事件或报告了事件的设备的主机名,具体取决于架构。 |
| DvcHostname | 字符串 | 发生了事件或报告了事件的设备的主机名,具体取决于架构。 |
| “DvcId” | 字符串 | 发生了事件或报告了事件的设备的唯一 ID,具体取决于架构。 |
| DvcIdType | 字符串 | DvcId 的类型。 |
| DvcInterface | 字符串 | 捕获数据的网络接口。 此字段通常与由中间或点击设备捕获的网络相关活动相关。 |
| DvcIpAddr | 字符串 | 发生了事件或报告了事件的设备的 IP 地址,具体取决于架构。 |
| DvcMacAddr | 字符串 | 发生了事件或报告了事件的设备的 MAC 地址。 |
| DvcOriginalAction | 字符串 | 报告设备提供的原始 DvcAction。 |
| DvcOs | 字符串 | 发生了事件或报告了事件的设备上运行的操作系统。 |
| DvcOsVersion | 字符串 | 发生了事件或报告了事件的设备上的操作系统版本。 |
| DvcScope | 字符串 | 设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅名称,映射到 AWS 上的帐户 ID。 |
| DvcScopeId | 字符串 | 设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| DvcZone | 字符串 | 发生了事件或报告了事件的网络,具体取决于架构。 区域由报告设备定义。 |
| EventCount | int | 记录描述的事件数。 当源支持聚合且单个记录可以表示多个事件时,将使用此值。 |
| EventEndTime | datetime | 事件的结束时间。 如果源支持聚合,并且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| EventMessage | 字符串 | 一般消息或说明,包含在记录中或者根据记录生成。 |
| EventOriginalResultDetails | 字符串 | 源提供的原始结果详细信息。 此值用于派生 EventResultDetails,其中应只包含针对每个架构记录的一个值。 |
| EventOriginalSeverity | 字符串 | 报告设备提供的原始严重性。 此值用于派生 EventSeverity。 |
| EventOriginalSubType | 字符串 | 原始事件子类型或 ID(如果已由源提供)。 |
| “EventOriginalType” | 字符串 | 原始事件类型或 ID(如果已由源提供)。 |
| EventOriginalUid | 字符串 | 原始记录的唯一 ID(如果已由源提供)。 |
| EventOwner | 字符串 | 事件的所有者,通常是生成事件的部门或子公司。 |
| EventProduct | 字符串 | 生成事件的产品。 该值应是供应商和产品中列出的值之一。 |
| EventProductVersion | 字符串 | 生成事件的产品的版本。 |
| EventReportUrl | 字符串 | 在资源的事件中提供的 URL,提供有关该事件的更多信息。 |
| EventResult | 字符串 | 事件的结果,由以下值之一表示:Success、Partial、Failure、NA (Not Applicable) 。 |
| EventResultDetails | 字符串 | EventResult 字段中报告的结果的原因或详细信息。 |
| EventSchema | 字符串 | 事件要规范化成的架构。 每个架构会记录其架构名称。 |
| EventSchemaVersion | 字符串 | 架构的版本。 每个架构将记录其当前版本。 |
| EventSeverity | 字符串 | 事件的严重性。 |
| EventStartTime | datetime | 事件的开始时间。 如果源支持聚合,并且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| EventSubType | 字符串 | 描述 EventType 字段中报告的操作的细分。 |
| EventType | 字符串 | 描述记录报告的操作。 |
| EventVendor | 字符串 | 生成事件的产品的供应商。 该值应是供应商和产品中列出的值之一。 |
| _IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
| RequestedIpAddr | 字符串 | DHCP 客户端请求的 IP 地址(如果可用)。 |
| _ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
| RuleName | 字符串 | 与检查结果关联的规则的名称或 ID。 |
| RuleNumber | int | 与检查结果关联的规则的数量。 |
| SourceSystem | 字符串 | 事件收集依据的代理类型。 例如,OpsManager对于 Windows 代理,对于直接连接或 Operations Manager,Linux对于所有 Linux 代理,或者Azure对于 Azure 诊断 |
| SrcDescription | 字符串 | 与设备关联的描述性文本。 |
| SrcDeviceType | 字符串 | 设备的类型。 |
| SrcDomain | 字符串 | 设备的域。 |
| SrcDomainType | 字符串 | 域的类型。 |
| SrcDvcId | 字符串 | 设备的 ID。 |
| SrcDvcIdType | 字符串 | DvcId 的类型。 |
| SrcDvcScope | 字符串 | 设备所属的云平台范围。 |
| SrcDvcScopeId | 字符串 | 设备所属的云平台范围 ID。 |
| SrcFQDN | 字符串 | 设备主机名,包括域信息(如果可用)。 |
| SrcGeoCity | 字符串 | 与源 IP 地址关联的城市。 |
| SrcGeoCountry | 字符串 | 与源 IP 地址关联的国家/地区。 |
| SrcGeoLatitude | real | 与源 IP 地址关联的地理坐标的纬度。 |
| SrcGeoLongitude | real | 与源 IP 地址关联的地理坐标的经度。 |
| SrcGeoRegion | 字符串 | 与源 IP 地址关联的国家/地区中的区域。 |
| SrcHostname | 字符串 | 设备主机名,不包括域信息。 |
| SrcIpAddr | 字符串 | 源设备的 IP 地址。 |
| SrcMacAddr | 字符串 | 从中发起了连接或会话的网络接口的 MAC 地址。 |
| SrcOriginalRiskLevel | 字符串 | 与报告设备报告的已标识的源相配的风险级别。 |
| SrcOriginalUserType | 字符串 | 原始源用户类型(如果源已提供)。 |
| SrcPortNumber | int | 设备通信的 IP 端口(如果适用)。 |
| SrcRiskLevel | int | 与标识的源关联的风险级别。 |
| SrcUserId | 字符串 | 用户的计算机可读的、独一无二的字母数字表示形式。 |
| SrcUserIdType | 字符串 | SrcUserId 的类型。 |
| SrcUsername | 字符串 | 用户的用户名,包括域信息(如果有)。 |
| SrcUsernameType | 字符串 | 用户名的类型。 |
| SrcUserScope | 字符串 | 用户名的类型。 |
| SrcUserScopeId | 字符串 | 定义 UserId 和 Username 的范围 ID,例如 Azure AD 租户 ID。 |
| SrcUserSessionId | 字符串 | 用户登录会话的唯一 ID。 |
| SrcUserType | 字符串 | 用户类型 |
| SrcUserUid | 字符串 | 用户的 Unix 或 Linux 用户 ID。 |
| _SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
| TenantId | 字符串 | Log Analytics 工作区 ID |
| ThreatCategory | 字符串 | 在活动中标识的威胁或恶意软件的类别。 |
| ThreatConfidence | int | 已识别威胁的可信度,规范化为 0 到 100 之间的值。 |
| ThreatField | 字符串 | 已识别出威胁的字段。 |
| ThreatFirstReportedTime | datetime | IP 地址或域首次被识别为威胁的时间。 |
| ThreatId | 字符串 | 活动中标识的威胁或恶意软件的 ID。 |
| ThreatIsActive | bool | 已识别威胁被视为活动威胁的真实 ID。 |
| ThreatLastReportedTime | datetime | 上次将 IP 地址或域识别为威胁的时间。 |
| ThreatName | 字符串 | 活动中标识的威胁或恶意软件的名称。 |
| ThreatOriginalConfidence | 字符串 | 报告设备报告的已识别威胁的原始可信度。 |
| ThreatOriginalRiskLevel | 字符串 | 报告设备报告的风险级别。 |
| ThreatRiskLevel | int | 与已识别的威胁关联的风险级别。 级别应是介于 0 和 100 之间的数字。 |
| TimeGenerated | datetime | 时间戳 (UTC) 反映生成事件的时间。 |
| 类型 | 字符串 | 表的名称 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈