ASimDnsActivityLogs
ASim DNS 活動架構代表 DNS 通訊協定活動,此活動可由 DNS 伺服器或傳送 DNS 要求的裝置記錄到 DNS 伺服器。 DNS 通訊協定活動包括 DNS 查詢、DNS 伺服器更新和 DNS 大量資料傳輸。 由於架構代表通訊協議活動,因此會受到 RFC 和正式指派的參數清單所控管。 DNS 活動架構不代表 DNS 伺服器稽核事件。
數據表屬性
屬性 | 值 |
---|---|
資源類型 | microsoft.securityinsights/dnsnormalized |
類別 | 安全性 |
方案 | SecurityInsights |
基本記錄檔 | No |
擷取時間轉換 | Yes |
範例查詢 | 是 |
資料行
資料行 | 類型 | Description |
---|---|---|
AdditionalFields | 動態 | 其他資訊,使用未對應至 ASim 的來源所提供的索引鍵/值組來表示。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
DnsFlags | 字串 | DNS 要求旗標,如報告裝置提供。 DNS 旗標信息的結構可能會因不同的報告裝置而異。 |
DnsFlagsAuthenticated | bool | DNS 驗證的響應旗標與 DNSSEC 相關,會在回應中指出回應的回應和授權區段中所包含的所有數據都已根據該伺服器的原則由伺服器驗證。 如需詳細資訊,請參閱 RFC 3655 第 6.1 節。 |
DnsFlagsAuthoritative | bool | DNS 授權回應旗標指出來自伺服器的回應是否為授權。 |
DnsFlagsCheckingDisabled | bool | DNS CD 旗標與 DNSSEC 相關,會在查詢中指出傳送查詢的系統可接受未驗證的數據。 |
DnsFlagsRecursionAvailable | bool | DNS RA 旗標會在伺服器支援遞歸查詢的回應中指出。 |
DnsFlagsRecursionDesired | bool | DNS 遞歸所需旗標會在要求中指出用戶端希望伺服器使用遞歸查詢。 |
DnsFlagsTruncated | bool | DNS TC 旗標表示回應已截斷,因為它超過回應大小上限。 |
DnsFlagsZ | bool | DNS Z 旗標是已被取代的 DNS 旗標,可能會由較舊的 DNS 系統報告。 |
DnsNetworkDuration | int | 完成 DNS 要求的時間長度,以毫秒為單位。 |
DnsQuery | 字串 | 需要解析的網域。 |
DnsQueryClass | int | 由因特網指派號碼授權單位所定義的 DNS 類別標識碼, (IANA) 。 |
DnsQueryClassName | 字串 | 由因特網指派號碼授權單位所定義的 DNS 類別名稱, (IANA) 。 |
DnsQueryType | int | 由因特網指派號碼授權單位所定義的 DNS 資源記錄類型代碼, (IANA) 。 |
DnsQueryTypeName | 字串 | 由因特網指派號碼授權單位所定義的 DNS 資源記錄類型名稱, (IANA) 。 |
DnsResponseCode | int | 由因特網指派號碼授權單位所定義的 DNS 數值回應碼, (IANA) 。 |
DnsResponseIpCity | 字串 | 與回應IP位址相關聯的城市。 |
DnsResponseIpCountry | 字串 | 與回應IP位址相關聯的國家/地區。 |
DnsResponseIpLatitude | real | 與回應IP位址相關聯的地理座標緯度。 |
DnsResponseIpLongitude | real | 與回應IP位址相關聯的地理座標經度。 |
DnsResponseIpRegion | 字串 | 與來源IP位址相關聯的國家/地區或州/地區。 |
DnsResponseName | 字串 | 回應的內容,如記錄中包含的內容。 DNS 回應數據的結構可能會因不同的報告裝置而異。 |
DnsSessionId | 字串 | 報告裝置回報的 DNS 工作階段識別碼。 |
目的地 | 字串 | 接收 DNS 要求的伺服器的唯一識別碼。 |
DstDescription | 字串 | 與目的地相關聯的描述性文字。 |
DstDeviceType | 字串 | 目的地裝置的類型。 |
DstDomain | 字串 | 目的地裝置的網域。 |
DstDomainType | 字串 | DstDomain 的類型。 |
DstDvcId | 字串 | 目的地裝置的識別碼。 |
DstDvcIdType | 字串 | DstDvcId 的類型。 |
DstDvcScope | 字串 | 目的地裝置所屬的雲端平台範圍。 DvcScope 會對應至 Azure 上的訂用帳戶和 AWS 上的帳戶。 |
DstDvcScopeId | 字串 | 目的地裝置所屬的雲端平臺範圍標識碼。 DvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
DstFQDN | 字串 | 目的地裝置主機名稱,包括網域資訊 (如果可用)。 |
DstGeoCity | 字串 | 與目的地 IP 位址相關聯的城市。 |
DstGeoCountry | 字串 | 與目的地 IP 位址相關聯的國家/地區。 |
DstGeoLatitude | real | 與目的地 IP 位址相關聯的地理座標緯度。 |
DstGeoLongitude | real | 與目的地 IP 位址相關聯的地理座標經度。 |
DstGeoRegion | 字串 | 與目的地 IP 位址相關聯的國家/地區或州/地區。 |
DstHostname | 字串 | 目的地裝置主機名稱,不包括網域資訊。 |
DstIpAddr | 字串 | 接收 DNS 要求之伺服器的 IP 位址。 針對一般 DNS 要求,此值通常是報告裝置,而且在大部分情況下設定為 127.0.0.1。 |
DstOriginalRiskLevel | 字串 | 與目的地裝置相關聯的風險層級,如報告裝置所報告。 |
DstPortNumber | int | 目的地連接埠號碼。 |
DstRiskLevel | int | 與目的地裝置相關聯的風險層級。 |
Dvc | 字串 | 報告事件之裝置的唯一標識符。 標識碼可以是IP位址、主機名或裝置標識碼。 |
DvcAction | 字串 | 報告裝置對要求所採取的動作,例如封鎖它。 |
DvcDescription | 字串 | 與裝置相關聯的描述性文字。 例如:主要域控制器。 |
DvcDomain | 字串 | 報告事件的裝置網域。 |
DvcDomainType | 字串 | DvcDomain 的類型。 可能的值為 「Windows」 和 「FQDN」。 |
DvcFQDN | 字串 | 報告事件之裝置的完整主機名,包括網域資訊。 |
DvcHostname | 字串 | 報告事件的裝置主機名。 |
DvcId | 字串 | 報告事件之裝置的唯一標識符。 |
DvcIdType | 字串 | DvcId 的類型。 |
DvcInterface | 字串 | 擷取資料的網路介面。 此欄位通常與中繼或點選裝置所擷取的網路相關活動相關聯。 |
DvcIpAddr | 字串 | 報告事件的裝置IP位址。 |
DvcMacAddr | 字串 | 報告事件的裝置 MAC 位址。 |
DvcOriginalAction | 字串 | 報告裝置所提供原始的 DvcAction。 |
DvcOs | 字串 | 在報告事件的裝置上執行的作業系統。 |
DvcOsVersion | 字串 | 報告事件的裝置上的作業系統版本。 |
DvcScope | 字串 | 裝置所屬的雲端平台範圍。 DvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
DvcScopeId | 字串 | 裝置所屬的雲端平臺範圍標識碼。 DvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
DvcZone | 字串 | 報告事件的裝置網路區段。 |
EventCount | int | 記錄所描述的事件數目。 當來源支持匯總時,會使用這個值,而單一記錄可能代表多個事件。 |
EventEndTime | datetime | 事件結束的時間。 如果來源支援彙總,而記錄代表多個事件,則會產生最後一個事件的時間。 如果來源記錄未提供,此欄位會別名為 TimeGenerated 欄位。 |
EventMessage | 字串 | 一般訊息或描述。 |
EventOriginalSeverity | 字串 | 報告裝置所提供的原始嚴重性。 此值用來衍生 EventSeverity。 |
EventOriginalType | 字串 | 原始事件類型或標識碼,例如原始 Windows 事件識別碼。 |
EventOriginalUid | 字串 | 原始記錄的唯一標識碼。 |
EventOwner | 字串 | 事件的擁有者,通常是產生事件的部門或子公司。 |
EventProduct | 字串 | 產生事件的產品。 |
EventProductVersion | 字串 | 產生事件的產品版本。 |
EventReportUrl | 字串 | 資源的 URL,提供事件的其他資訊。 |
EventResult | 字串 | 事件的結果,以下列其中一個值表示:成功、部分、失敗、NA (不適用) 。 值可能不會由來源直接提供,在此情況下,它衍生自其他事件欄位,例如 EventResultDetails 字段。 |
EventResultDetails | 字串 | 由因特網指派號碼授權單位所定義的 DNS 回應碼, (IANA) 。 |
EventSchemaVersion | 字串 | 結構描述的版本。 |
EventSeverity | 字串 | 該事件的嚴重性。 有效值為:資訊、低、中或高。 |
EventStartTime | datetime | 事件開始的時間。 如果來源支援彙總,而記錄代表多個事件,則會產生第一個事件的時間。 如果來源記錄未提供,此欄位會別名為 TimeGenerated 欄位。 |
EventSubType | 字串 | 要求或回應。 |
EventType | 字串 | 表示記錄所報告的作業。 針對 DNS 活動事件,此值是由因特網指派號碼授權單位所定義的 DNS opcode (IANA) 。 |
EventVendor | 字串 | 產生事件的產品廠商。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
NetworkProtocol | 字串 | 網路解析事件所使用的傳輸通訊協定。 此值可以是UDP或TCP。 |
NetworkProtocolVersion | 字串 | 網路協定的版本。 通常用來區分 IPv4 和 Ipv6。 |
_ResourceId | 字串 | 記錄相關資源的唯一識別碼。 |
RuleName | 字串 | 與檢查結果相關聯的規則名稱或標識碼。 |
RuleNumber | int | 與檢查結果相關聯的規則數目。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,針對 Windows 代理程式、OpsManager 直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
來源 | 字串 | 來源裝置的唯一識別碼。 |
SrcDescription | 字串 | 與檢查結果相關聯的規則數目。 |
SrcDeviceType | 字串 | 來源裝置的類型。 |
SrcDomain | 字串 | 來源裝置的網域。 |
SrcDomainType | 字串 | SrcDomain 的類型。 |
SrcDvcId | 字串 | 來源裝置的識別碼。 |
SrcDvcIdType | 字串 | SrcDvcId 的類型。 |
SrcDvcScope | 字串 | 來源裝置所屬的雲端平台範圍。 DvcScope 會對應至 Azure 上的訂用帳戶和 AWS 上的帳戶。 |
SrcDvcScopeId | 字串 | 來源裝置所屬的雲端平臺範圍標識碼。 DvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
SrcFQDN | 字串 | 來源裝置主機名,包括網域資訊。 |
SrcGeoCity | 字串 | 與來源 IP 位址相關聯的城市。 |
SrcGeoCountry | 字串 | 與來源 IP 位址相關聯的國家/地區。 |
SrcGeoLatitude | real | 與來源 IP 位址相關聯的地理座標緯度。 |
SrcGeoLongitude | real | 與來源 IP 位址相關聯的地理座標經度。 |
SrcGeoRegion | 字串 | 與來源IP位址相關聯的國家/地區或州/地區。 |
SrcHostname | 字串 | 來源裝置主機名稱,不包括網域資訊。 |
SrcIpAddr | 字串 | 傳送 DNS 要求的用戶端 IP 位址。 對於遞歸 DNS 要求,此值通常是報告裝置,而且在大部分情況下,設定為 127.0.0.1。 |
SrcOriginalRiskLevel | 字串 | 與報告裝置報告的來源裝置相關聯的風險層級。 |
SrcOriginalUserType | 字串 | 原始來源用戶類型,如來源所提供。 |
SrcPortNumber | int | DNS 查詢的來源埠。 |
SrcProcessGuid | 字串 | 起始 DNS 要求的流程所產生的唯一識別碼 (GUID)。 |
SrcProcessId | 字串 | 起始 DNS 要求的流程識別碼 (PID)。 |
SrcProcessName | 字串 | 起始 DNS 要求的進程名稱。 |
SrcRiskLevel | int | 與來源裝置相關聯的風險層級。 |
SrcUserId | 字串 | 機器可讀取、英數字元且唯一的來源使用者表示法。 |
SrcUserIdType | 字串 | SrcUserId 欄位中所儲存識別碼的類型。 |
SrcUsername | 字串 | 來源使用者名稱,包括網域資訊 (如適用)。 |
SrcUsernameType | 字串 | 儲存在 SrcUsername 欄位中的使用者名稱類型。 |
SrcUserScope | 字串 | 定義 SrcUserId 和 SrcUsername 的 Azure AD 租使用者等範圍。 |
SrcUserScopeId | 字串 | 定義 SrcUserId 和 SrcUsername 之範圍的標識碼,例如 Azure AD 租使用者。 |
SrcUserSessionId | 字串 | 來源使用者登入會話的唯一標識符。 |
SrcUserType | 字串 | 來源使用者的型別。 |
_SubscriptionId | 字串 | 與記錄相關的訂用帳戶唯一識別碼 |
TenantId | 字串 | Log Analytics 工作區標識符 |
ThreatCategory | 字串 | 如果 DNS 事件來源也提供 DNS 安全性,它也可能評估 DNS 事件。 例如,它可以在威脅情報資料庫中搜尋 IP 位址或網域,並使用威脅類別指派網域或 IP 位址。 |
ThreatConfidence | int | 已識別威脅的信賴等級,標準化為 0 到 100 之間的值。 |
ThreatField | 字串 | 已識別威脅的欄位。 此值為 SrcIpAddr、DstIpAddr、Domain 或 DnsResponseName。 |
ThreatFirstReportedTime | 字串 | 第一次 IP 位址或網域被識別為威脅的時間。 |
ThreatFirstReportedTime_d | Datetime | 第一次 IP 位址或網域被識別為威脅的時間。 |
ThreatId | 字串 | Web 會話中識別的威脅或惡意代碼標識碼。 |
ThreatIpAddr | 字串 | 已識別威脅的 IP 位址。 ThreatField 欄位包含 ThreatIpAddr 所代表的欄位名稱。 如果在 Domain 欄位中識別威脅,則此欄位應為空白。 |
ThreatIsActive | bool | 已識別威脅的 True ID 被視為作用中的威脅。 |
ThreatLastReportedTime | 字串 | 上次 IP 位址或網域被視為威脅的時間。 |
ThreatLastReportedTime_d | Datetime | 上次 IP 位址或網域被視為威脅的時間。 |
ThreatName | 字串 | 已識別威脅的名稱,如報告裝置所回報。 |
ThreatOriginalConfidence | 字串 | 已識別威脅的原始信賴等級,如報告裝置中所回報。 |
ThreatOriginalRiskLevel | int | 已識別威脅相關聯的原始風險層級,如報告裝置所回報。 |
ThreatOriginalRiskLevel_s | 字串 | 與已識別威脅相關聯的風險層級,標準化為 0 到 100 之間的值。 |
ThreatRiskLevel | int | 與已識別威脅相關聯的風險層級,標準化為 0 到 100 之間的值。 |
TimeGenerated | Datetime | 時間戳 (UTC) 反映產生事件的時間。 |
TransactionIdHex | 字串 | DNS 唯一的十六進位交易標識碼。 |
類型 | 字串 | 資料表的名稱 |
UrlCategory | 字串 | DNS 事件來源也可能查閱要求的網域類別。 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應