ASimDhcpEventLogs
Le schéma DHCP ASIM représente l’activité du serveur DHCP, incluant le service des demandes pour l’adresse IP DHCP louée à des systèmes clients et la mise à jour d’un serveur DNS avec les baux accordés.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | microsoft.securityinsights/asimtables |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | - |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AdditionalFields | dynamique | Informations supplémentaires, représentées à l’aide de paires clé/valeur fournies par la source qui ne sont pas mappées à ASim. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| DhcpCircuitId | string | ID de circuit DHCP, tel que défini par RFC3046. |
| DhcpLeaseDuration | int | Durée du bail accordé à un client, exprimée en secondes. |
| DhcpSessionDuration | int | Durée, en millisecondes, de la session DHCP. |
| DhcpSessionId | string | Identificateur de session signalé par le périphérique de création de rapport. Pour le serveur DHCP Windows, défini sur le champ TransactionID. |
| DhcpSrcDHCId | string | ID client DHCP, tel que défini par RFC4701. |
| DhcpSubscriberId | string | ID d’abonné DHCP, tel que défini par RFC3993. |
| DhcpUserClass | string | Classe d’utilisateur DHCP, telle que définie par RFC3004. |
| DhcpUserClassId | string | ID de classe d’utilisateur DHCP, tel que défini par RFC3004. |
| DhcpVendorClass | string | Classe de fournisseur DHCP, telle que définie par RFC3925. |
| DhcpVendorClassId | string | ID de classe de fournisseur DHCP, tel que défini par RFC3925. |
| DvcAction | string | Pour les systèmes de sécurité déclarés, l'action prise par le système, le cas échéant. |
| DvcDescription | string | Obtient le texte descriptif associé à l’appareil. |
| DvcDomain | string | Domaine de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement, selon le schéma |
| DvcDomainType | string | Type de DvcDomain. |
| DvcFQDN | string | Le nom d'hôte du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. |
| DvcHostname | string | Le nom d'hôte du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. |
| DvcId | string | L'ID unique du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. |
| DvcIdType | string | Type de DvcId. |
| DvcInterface | string | Interface réseau sur laquelle les données ont été capturées. Ce champ est généralement adapté à une activité liée au réseau qui est capturée par un appareil intermédiaire ou point d’accès terminal. |
| DvcIpAddr | string | L'adresse IP du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. |
| DvcMacAddr | string | L'adresse MAC du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOriginalAction | string | Le DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| DvcOs | string | Le système d’exploitation exécuté sur le dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOsVersion | string | La version du système d’exploitation du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcScope | string | Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScope mappe à un nom d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcScopeId | string | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcZone | string | Le réseau sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. La zone est définie par le dispositif de reporting. |
| EventCount | int | Nombre d’événements décrits par l’enregistrement. Cette valeur est utilisée lorsque la source prend en charge l’agrégation, et un seul enregistrement peut représenter plusieurs événements. |
| EventEndTime | DATETIME | Heure de fin de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventMessage | string | Message général ou description, inclus dans l’enregistrement ou généré depuis l’enregistrement. |
| EventOriginalResultDetails | string | Détails des résultats d’origine fournis par la source. Cette valeur est utilisée pour dériver des EventResultDetails, qui ne doivent avoir qu’une seule des valeurs documentées pour chaque schéma. |
| EventOriginalSeverity | string | La gravité d’origine, telle que fournie par l’appareil de reporting. Cette valeur est utilisée pour dériver EventSeverity. |
| EventOriginalSubType | string | Sous-type ou ID d’événement d’origine, s’il est fourni par la source. |
| EventOriginalType | string | Type ou ID d’événement d’origine, s’il est fourni par la source. |
| EventOriginalUid | string | ID unique de l’enregistrement d’origine, s’il est fourni par la source. |
| EventOwner | string | Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré. |
| EventProduct | string | Produit générant l’événement. La valeur doit être l’une des valeurs indiquées dans Fournisseurs et produits. |
| EventProductVersion | string | Version du produit générant l’événement. |
| EventReportUrl | string | URL fournie dans l’événement pour une ressource qui apporte plus d’informations sur l’événement. |
| EventResult | string | Résultat de l’événement, représenté par l’une des valeurs suivantes : Réussite, Partielle, Échec, NA (Non applicable). |
| EventResultDetails | string | Raison ou détails du résultat rapporté dans le champ EventResult. |
| EventSchema | string | Schéma dans lequel l’événement est normalisé. Chaque schéma documente son nom de schéma. |
| EventSchemaVersion | string | Version du schéma. Chaque schéma documente sa version en cours. |
| EventSeverity | string | La gravité de l’événement. |
| EventStartTime | DATETIME | Heure de début de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventSubType | string | Décrit une subdivision de l’opération rapportée dans le champ EventType. |
| Type d’événement | string | Décrit l’opération signalée par l’enregistrement. |
| EventVendor | string | Fournisseur du produit générant l’événement. La valeur doit être l’une des valeurs indiquées dans Fournisseurs et produits. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
| RequestedIpAddr | string | Adresse IP demandée par le client DHCP, si disponible. |
| _ResourceId | string | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| RuleName | string | Nom ou ID de la règle associée aux résultats de l’inspection. |
| RuleNumber | int | Numéro de la règle associée aux résultats de l’inspection. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| SrcDescription | string | Obtient le texte descriptif associé à l’appareil. |
| SrcDeviceType | string | Type de l’appareil. |
| SrcDomain | string | Domaine de l’appareil. |
| SrcDomainType | string | Type du domaine. |
| SrcDvcId | string | ID de l’appareil. |
| SrcDvcIdType | string | Type du DvcId. |
| SrcDvcScope | string | Étendue de la plateforme cloud à laquelle appartient l’appareil source. |
| SrcDvcScopeId | string | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. |
| SrcFQDN | string | Nom d’hôte de l’appareil, y compris les informations de domaine lorsqu’elles sont disponibles. |
| SrcGeoCity | string | Ville associée à l’adresse IP source. |
| SrcGeoCountry | string | Pays associé à l’adresse IP source. |
| SrcGeoLatitude | real | Latitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoLongitude | real | Longitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoRegion | string | Région d’un pays associé à l’adresse IP source. |
| SrcHostname | string | Nom d’hôte de l’appareil, à l’exclusion des informations de domaine. |
| SrcIpAddr | string | Adresse IP de l’appareil source. |
| SrcMacAddr | string | Adresse MAC de l’interface réseau d’où provient la connexion ou la session. |
| SrcOriginalRiskLevel | string | Niveau de risque associé à la source identifiée comme indiqué par l’appareil de création de rapports. |
| SrcOriginalUserType | string | Le type d'utilisateur source original, s'il est fourni par la source. |
| SrcPortNumber | int | Port IP sur lequel l’appareil a communiqué, le cas échéant. |
| SrcRiskLevel | int | Niveau de risque associé à la source identifiée. |
| SrcUserId | string | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur. |
| SrcUserIdType | string | Type de SrcUserId. |
| SrcUsername | string | Nom d’utilisateur de l’utilisateur, y compris les informations de domaine lorsqu’elles sont disponibles. |
| SrcUsernameType | string | Type de nom d’utilisateur. |
| SrcUserScope | string | Type de nom d’utilisateur. |
| SrcUserScopeId | string | ID d’étendue, tel que l’ID de locataire Azure AD, dans lequel UserId et Username sont définis. |
| SrcUserSessionId | string | ID unique de la session de connexion de l’utilisateur. |
| SrcUserType | string | Type d’utilisateur |
| SrcUserUid | string | ID utilisateur Unix ou Linux de l’utilisateur. |
| _SubscriptionId | string | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| TenantId | string | ID de l’espace de travail Log Analytics |
| ThreatCategory | string | Catégorie de la menace ou du programme malveillant identifié dans l’activité. |
| ThreatConfidence | int | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatField | string | Champ pour lequel une menace a été identifiée. |
| ThreatFirstReportedTime | DATETIME | Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatId | string | ID de la menace ou du programme malveillant identifié dans l’activité. |
| ThreatIsActive | bool | True ID de la menace identifiée qui est considérée comme une menace active. |
| ThreatLastReportedTime | DATETIME | La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatName | string | Nom de la menace ou du programme malveillant identifié dans l’activité. |
| ThreatOriginalConfidence | string | Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatOriginalRiskLevel | string | Niveau de risque signalé par le périphérique de reporting. |
| ThreatRiskLevel | int | Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. |
| TimeGenerated | DATETIME | Horodatage (UTC) qui reflète l’heure à laquelle l’événement a été généré. |
| Type | string | Le nom de la table |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour