ASimDnsActivityLogs
ASim DNS 活动架构表示 DNS 协议活动,这些活动可由 DNS 服务器或向 DNS 服务器发送 DNS 请求的设备记录。 DNS 协议活动包括 DNS 查询、DNS 服务器更新和 DNS 批量数据传输。 由于架构表示协议活动,因此它受 RFC 和正式分配的参数列表控制。 DNS 活动架构不表示 DNS 服务器审核事件。
表属性
Attribute | 值 |
---|---|
资源类型 | microsoft.securityinsights/dnsnormalized |
类别 | 安全性 |
解决方案 | SecurityInsights |
基本日志 | 否 |
引入时间转换 | 是 |
示例查询 | 是 |
列
列 | 类型 | 说明 |
---|---|---|
AdditionalFields | dynamic | 其他信息,使用源提供的键/值对表示,这些键/值对不会映射到 ASim。 |
_BilledSize | real | 记录大小(以字节为单位) |
DnsFlags | 字符串 | 报告设备提供的 DNS 请求标志。 DNS 标志信息的结构可能因不同的报告设备而异。 |
DnsFlagsAuthenticated | bool | DNS 身份验证的应答标志(与 DNSSEC 相关)在响应中指示,响应的应答和颁发机构部分中包含的所有数据都已由服务器根据该服务器的策略进行验证。 有关详细信息,请参阅 RFC 3655 第 6.1 节。 |
DnsFlagsAuthoritative | bool | DNS 权威应答标志指示来自服务器的响应是否是权威的。 |
DnsFlagsCheckingDisabled | bool | 与 DNSSEC 相关的 DNS CD 标志在查询中指示发送查询的系统可以接受未验证的数据。 |
DnsFlagsRecursionAvailable | bool | DNS RA 标志在响应中指示服务器支持递归查询。 |
DnsFlagsRecursionDesired | bool | DNS 递归所需标志在请求中指示客户端希望服务器使用递归查询。 |
DnsFlagsTruncated | bool | DNS TC 标志指示响应在超出最大响应大小时被截断。 |
DnsFlagsZ | bool | DNS Z 标志是已弃用的 DNS 标志,可能由较旧的 DNS 系统报告。 |
DnsNetworkDuration | int | 完成 DNS 请求所花费的时间,以毫秒为单位。 |
DnsQuery | 字符串 | 需要解析的域。 |
DnsQueryClass | int | Internet 号码分配机构 (IANA) 定义的 DNS 类 ID。 |
DnsQueryClassName | 字符串 | 由 Internet 号码分配机构 (IANA) 定义的 DNS 类名称。 |
DnsQueryType | int | Internet 号码分配机构 (IANA) 定义的 DNS 资源记录类型代码。 |
DnsQueryTypeName | 字符串 | 由 Internet 号码分配机构 (IANA) 定义的 DNS 资源记录类型名称。 |
DnsResponseCode | int | 由 Internet 号码分配机构定义的 DNS 数字响应代码 (IANA) 。 |
DnsResponseIpCity | 字符串 | 与响应 IP 地址关联的城市。 |
DnsResponseIpCountry | 字符串 | 与响应 IP 地址关联的国家/地区。 |
DnsResponseIpLatitude | real | 与响应 IP 地址关联的地理坐标的纬度。 |
DnsResponseIpLongitude | real | 与响应 IP 地址关联的地理坐标的经度。 |
DnsResponseIpRegion | 字符串 | 与源 IP 地址关联的区域或国家/地区。 |
DnsResponseName | 字符串 | 响应的内容,包含在记录中。 DNS 响应数据的结构可能因不同的报告设备而异。 |
DnsSessionId | string | 报告设备报告的 DNS 会话标识符。 |
Dst | 字符串 | 接收 DNS 请求的服务器的唯一标识符。 |
DstDescription | 字符串 | 与目标关联的描述性文本。 |
DstDeviceType | 字符串 | 目标设备的类型。 |
DstDomain | 字符串 | 目标设备的域。 |
DstDomainType | 字符串 | DstDomain 的类型。 |
DstDvcId | 字符串 | 目标设备的 ID。 |
DstDvcIdType | 字符串 | DstDvcId 的类型。 |
DstDvcScope | 字符串 | 目标设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅和 AWS 上的帐户。 |
DstDvcScopeId | 字符串 | 目标设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
DstFQDN | 字符串 | 目标设备主机名,包括域信息(如果可用)。 |
DstGeoCity | 字符串 | 与目标 IP 地址关联的城市。 |
DstGeoCountry | 字符串 | 与目标 IP 地址关联的国家/地区。 |
DstGeoLatitude | real | 与目标 IP 地址关联的地理坐标的纬度。 |
DstGeoLongitude | real | 与目标 IP 地址关联的地理坐标的经度。 |
DstGeoRegion | 字符串 | 与目标 IP 地址关联的国家/地区或国家/地区。 |
DstHostname | 字符串 | 目标设备主机名,不包括域信息。 |
DstIpAddr | 字符串 | 接收 DNS 请求的服务器的 IP 地址。 对于常规 DNS 请求,此值通常为报告设备,并且在大多数情况下设置为 127.0.0.1。 |
DstOriginalRiskLevel | 字符串 | 报告设备报告的目标设备关联的风险级别。 |
DstPortNumber | int | 目标端口号。 |
DstRiskLevel | int | 与目标设备关联的风险级别。 |
Dvc | 字符串 | 报告事件的设备的唯一标识符。 标识符可以是 IP 地址、主机名或设备 ID。 |
DvcAction | 字符串 | 报告设备对请求执行的操作,例如阻止它。 |
DvcDescription | 字符串 | 与设备关联的描述性文本。 例如:主域控制器。 |
DvcDomain | 字符串 | 报告事件的设备的域。 |
DvcDomainType | 字符串 | DvcDomain 的类型。 可能的值包括“Windows”和“FQDN”。 |
DvcFQDN | 字符串 | 报告事件的设备的完全限定主机名,包括域信息。 |
DvcHostname | 字符串 | 报告事件的设备的主机名。 |
“DvcId” | 字符串 | 报告事件的设备的唯一 ID。 |
DvcIdType | 字符串 | DvcId 的类型。 |
DvcInterface | 字符串 | 捕获数据的网络接口。 此字段通常与由中间或点击设备捕获的网络相关活动相关。 |
DvcIpAddr | 字符串 | 报告事件的设备的 IP 地址。 |
DvcMacAddr | 字符串 | 报告事件的设备的 MAC 地址。 |
DvcOriginalAction | 字符串 | 报告设备提供的原始 DvcAction。 |
DvcOs | 字符串 | 在报告事件的设备上运行的操作系统。 |
DvcOsVersion | 字符串 | 设备上报告事件的操作系统版本。 |
DvcScope | 字符串 | 设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
DvcScopeId | 字符串 | 设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
DvcZone | 字符串 | 报告事件的设备的网段。 |
EventCount | int | 记录描述的事件数。 当源支持聚合且单个记录可以表示多个事件时,将使用此值。 |
EventEndTime | datetime | 事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
EventMessage | 字符串 | 常规消息或说明。 |
EventOriginalSeverity | 字符串 | 报告设备提供的原始严重性。 此值用于派生 EventSeverity。 |
“EventOriginalType” | 字符串 | 原始事件类型或 ID,例如原始 Windows 事件 ID。 |
EventOriginalUid | 字符串 | 原始记录的唯一 ID。 |
EventOwner | 字符串 | 事件的所有者,通常是生成事件的部门或子公司。 |
EventProduct | 字符串 | 生成事件的产品。 |
EventProductVersion | 字符串 | 生成事件的产品的版本。 |
EventReportUrl | 字符串 | 资源 URL,提供有关事件的其他信息。 |
EventResult | 字符串 | 事件的结果,由以下值之一表示:Success、Partial、Failure、NA (Not Applicable) 。 该值不能直接由源提供,在这种情况下,该值派生自其他事件字段,例如 EventResultDetails 字段。 |
EventResultDetails | 字符串 | 由 Internet 号码分配机构定义的 DNS 响应代码 (IANA) 。 |
EventSchemaVersion | 字符串 | 架构的版本。 |
EventSeverity | 字符串 | 事件的严重性。 有效值为:Informational、Low、Medium 或 High。 |
EventStartTime | datetime | 事件开始的时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
EventSubType | 字符串 | request 或 response。 |
EventType | 字符串 | 指示记录报告的操作。 对于 DNS 活动事件,此值是 Internet 号码分配机构 (IANA) 定义的 DNS 操作码。 |
EventVendor | 字符串 | 生成事件的产品的供应商。 |
_IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
NetworkProtocol | 字符串 | 网络解析事件使用的传输协议。 该值可以是 UDP 或 TCP。 |
NetworkProtocolVersion | 字符串 | 网络协议的版本。 通常用于区分 IPv4 和 Ipv6。 |
_ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
RuleName | 字符串 | 与检查结果关联的规则的名称或 ID。 |
RuleNumber | int | 与检查结果关联的规则的数量。 |
SourceSystem | 字符串 | 事件所收集的代理的类型。 例如,OpsManager 对于 Windows 代理,直接连接或 Operations Manager,Linux 对于所有 Linux 代理,或者Azure 对于 Azure 诊断 |
Src | 字符串 | 目标设备的唯一标识符。 |
SrcDescription | 字符串 | 与检查结果关联的规则的数量。 |
SrcDeviceType | 字符串 | 源设备的类型。 |
SrcDomain | 字符串 | 源设备的域。 |
SrcDomainType | 字符串 | SrcDomain 的类型。 |
SrcDvcId | 字符串 | 源设备的 ID。 |
SrcDvcIdType | 字符串 | SrcDvcId 的类型。 |
SrcDvcScope | 字符串 | 源设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅和 AWS 上的帐户。 |
SrcDvcScopeId | 字符串 | 源设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
SrcFQDN | 字符串 | 源设备主机名,包括域信息。 |
SrcGeoCity | 字符串 | 与源 IP 地址关联的城市。 |
SrcGeoCountry | 字符串 | 与源 IP 地址关联的国家/地区。 |
SrcGeoLatitude | real | 与源 IP 地址关联的地理坐标的纬度。 |
SrcGeoLongitude | real | 与源 IP 地址关联的地理坐标的经度。 |
SrcGeoRegion | 字符串 | 与源 IP 地址关联的国家/地区或国家/地区。 |
SrcHostname | 字符串 | 源设备主机名,不包括域信息。 |
SrcIpAddr | 字符串 | 发送 DNS 请求的客户端的 IP 地址。 对于递归 DNS 请求,此值通常是报告设备,在大多数情况下,设置为 127.0.0.1。 |
SrcOriginalRiskLevel | 字符串 | 报告设备报告的与源设备关联的风险级别。 |
SrcOriginalUserType | 字符串 | 原始源用户类型,由源提供。 |
SrcPortNumber | int | DNS 查询的源端口。 |
SrcProcessGuid | 字符串 | 为发起 DNS 请求的进程生成的唯一标识符 (GUID)。 |
SrcProcessId | 字符串 | 发起 DNS 请求的进程的进程 ID (PID)。 |
SrcProcessName | 字符串 | 发起 DNS 请求的进程的名称。 |
SrcRiskLevel | int | 与源设备关联的风险级别。 |
SrcUserId | 字符串 | 源用户的计算机可读的唯一字母数字表示形式。 |
SrcUserIdType | 字符串 | SrcUserId 字段中存储的 ID 的类型。 |
SrcUsername | 字符串 | 源用户名,包括域信息(如果可用)。 |
SrcUsernameType | 字符串 | 存储在 SrcUsername 字段中的用户名的类型。 |
SrcUserScope | 字符串 | 定义 SrcUserId 和 SrcUsername 的范围,例如 Azure AD 租户。 |
SrcUserScopeId | 字符串 | 定义 SrcUserId 和 SrcUsername 的范围(例如 Azure AD 租户)的 ID。 |
SrcUserSessionId | 字符串 | 源用户的登录会话的唯一 ID。 |
SrcUserType | 字符串 | 源用户的类型。 |
_SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
TenantId | 字符串 | Log Analytics 工作区 ID |
ThreatCategory | 字符串 | 如果 DNS 事件源还提供 DNS 安全性,它还可以评估 DNS 事件。 例如,它可以在威胁情报数据库中搜索 IP 地址或域,并为域或 IP 地址分配威胁类别。 |
ThreatConfidence | int | 已识别威胁的可信度,规范化为 0 到 100 之间的值。 |
ThreatField | 字符串 | 已识别出威胁的字段。 该值为 SrcIpAddr、DstIpAddr、Domain 或 DnsResponseName。 |
ThreatFirstReportedTime | 字符串 | IP 地址或域首次被识别为威胁的时间。 |
ThreatFirstReportedTime_d | datetime | IP 地址或域首次被识别为威胁的时间。 |
ThreatId | 字符串 | 在 Web 会话中标识的威胁或恶意软件的 ID。 |
ThreatIpAddr | 字符串 | 已识别出威胁的 IP 地址。 字段 ThreatField 包含 ThreatIpAddr 表示的字段的名称。 如果在 Domain 字段中识别出威胁,则此字段应为空。 |
ThreatIsActive | bool | 已识别威胁被视为活动威胁的真实 ID。 |
ThreatLastReportedTime | 字符串 | 上次将 IP 地址或域识别为威胁的时间。 |
ThreatLastReportedTime_d | datetime | 上次将 IP 地址或域识别为威胁的时间。 |
ThreatName | 字符串 | 报告设备报告的已识别威胁的名称。 |
ThreatOriginalConfidence | 字符串 | 报告设备报告的已识别威胁的原始可信度。 |
ThreatOriginalRiskLevel | int | 由报告设备报告的、与已识别威胁相关联的原始风险级别。 |
ThreatOriginalRiskLevel_s | 字符串 | 与已识别威胁关联的风险级别,规范化为 0 到 100 之间的值。 |
ThreatRiskLevel | int | 与已识别威胁关联的风险级别,规范化为 0 到 100 之间的值。 |
TimeGenerated | datetime | 时间戳 (UTC) 反映生成事件的时间。 |
TransactionIdHex | 字符串 | DNS 唯一十六进制事务 ID。 |
类型 | 字符串 | 表的名称 |
UrlCategory | 字符串 | DNS 事件源还可以查找所请求域的类别。 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈