ASimDnsActivityLogs

Az ASim DNS-tevékenységséma a DNS protokolltevékenységet jelöli, amelyet egy DNS-kiszolgáló vagy egy DNS-kiszolgálónak küldött DNS-kéréseket küldő eszköz naplózhat. A DNS-protokolltevékenység magában foglalja a DNS-lekérdezéseket, a DNS-kiszolgáló frissítéseit és a TÖMEGES DNS-adatátvitelt. Mivel a séma a protokolltevékenységet jelöli, az RFC-k és a hivatalosan hozzárendelt paraméterlisták szabályozzák. A DNS-tevékenységséma nem felel meg a DNS-kiszolgáló naplózási eseményeinek.

Táblaattribútumok

Attribútum Érték
Erőforrástípusok microsoft.securityinsights/dnsnormalized
Kategóriák Biztonság
Megoldások SecurityInsights
Alapszintű napló No
Betöltési idő átalakítás Yes
Mintalekérdezések Igen

Oszlopok

Oszlop Típus Description
További mezők dinamikus További információk, amelyek a forrás által biztosított kulcs/érték párok használatával jelennek meg, amelyek nem képeznek le ASim-et.
_BilledSize valós szám A rekord mérete bájtban
DnsFlags sztring A DNS-kérés jelzői a jelentéskészítő eszköz által biztosított módon. A DNS-jelzők információinak szerkezete eltérő lehet a különböző jelentéskészítő eszközök között.
DnsFlagsAuthenticated logikai A DNS-hitelesítésű válaszjelző, amely a DNSSEC-hez kapcsolódik, egy válaszban jelzi, hogy a válasz válasz- és szolgáltatói szakaszaiban szereplő összes adatot a kiszolgáló az adott kiszolgáló házirendjeinek megfelelően ellenőrizte. További információt az RFC 3655 6.1. szakaszában talál.
DnsFlagsAuthoritative logikai A DNS mérvadó válaszjelölője azt jelzi, hogy a kiszolgáló válasza mérvadó volt-e.
DnsFlagsCheckingDisabled logikai A DNSSEC-hez kapcsolódó DNS CD-jelző azt jelzi egy lekérdezésben, hogy a nem ellenőrzött adatok elfogadhatók a lekérdezést küldő rendszer számára.
DnsFlagsRecursionAvailable logikai A DNS RA jelző egy válaszban jelzi, hogy a kiszolgáló támogatja a rekurzív lekérdezéseket.
DnsFlagsRecursionDesired logikai A DNS-rekurzió kívánt jelzője azt jelzi egy kérésben, hogy az ügyfél szeretné, ha a kiszolgáló rekurzív lekérdezéseket használna.
DnsFlagsTruncated logikai A DNS TC jelzője azt jelzi, hogy a válasz csonkult, mivel túllépte a válasz maximális méretét.
DnsFlagsZ logikai A DNS Z jelző elavult DNS-jelző, amelyet a régebbi DNS-rendszerek jelenthetnek.
DnsNetworkDuration int A DNS-kérelem befejezéséhez szükséges idő ezredmásodpercben.
DnsQuery sztring A feloldandó tartomány.
DnsQueryClass int Az Internet Assigned Numbers Authority (IANA) által meghatározott DNS-osztályazonosító.
DnsQueryClassName sztring Az Internet Assigned Numbers Authority (IANA) által meghatározott DNS-osztálynév.
DnsQueryType int Az Internet Assigned Numbers Authority (IANA) által meghatározott DNS-erőforrásrekord-típuskódok.
DnsQueryTypeName sztring Az Internet Assigned Numbers Authority (IANA) által meghatározott DNS-erőforrásrekord-típus neve.
DnsResponseCode int Az Internet Assigned Numbers Authority (IANA) által meghatározott DNS numerikus válaszkód.
DnsResponseIpCity sztring A válasz IP-címéhez társított város.
DnsResponseIpCountry sztring A válasz IP-címéhez társított ország.
DnsResponseIpLatitude valós szám A válasz IP-címéhez társított földrajzi koordináták szélessége.
DnsResponseIpLongitude valós szám A válasz IP-címéhez társított földrajzi koordináták hosszúsága.
DnsResponseIpRegion sztring A forrás IP-címéhez társított régió vagy állam egy országon belül.
DnsResponseName sztring A válasz tartalma a rekordban szereplő módon. A DNS-válaszadatok struktúrája eltérő lehet a különböző jelentéskészítő eszközök között.
DnsSessionId sztring A DNS-munkamenet azonosítója a jelentéskészítő eszköz által jelentett módon.
Dst sztring A DNS-kérést megkapó kiszolgáló egyedi azonosítója.
DstDescription sztring A célhoz társított leíró szöveg.
DstDeviceType sztring A céleszköz típusa.
DstDomain sztring A céleszköz tartománya.
DstDomainType sztring A DstDomain típusa.
DstDvcId sztring A céleszköz azonosítója.
DstDvcIdType sztring A DstDvcId típusa.
DstDvcScope sztring Az a felhőplatform-hatókör, amelyhez a céleszköz tartozik. A DvcScope leképz egy Azure-előfizetésre és egy AWS-fiókra.
DstDvcScopeId sztring A felhőplatform hatókörazonosítója, amelyhez a céleszköz tartozik. A DvcScopeId egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le.
DstFQDN sztring A céleszköz állomásneve, beleértve a tartományadatokat, ha elérhető.
DstGeoCity sztring A cél IP-címéhez társított város.
DstGeoCountry sztring A cél IP-címhez társított ország.
DstGeoL hála valós szám A cél IP-címéhez társított földrajzi koordináták szélessége.
DstGeoLongitude valós szám A cél IP-címéhez társított földrajzi koordináták hosszúsága.
DstGeoRegion sztring A cél IP-címhez társított régió vagy állam egy országon belül.
DstHostname sztring A céleszköz állomásneve, a tartományadatok kivételével.
DstIpAddr sztring A DNS-kérést fogadó kiszolgáló IP-címe. Normál DNS-kérés esetén ez az érték általában a jelentéskészítő eszköz, és a legtöbb esetben a 127.0.0.1 értékre van állítva.
DstOriginalRiskLevel sztring A céleszközhöz társított kockázati szint a jelentéskészítő eszköz által jelentett módon.
DstPortNumber int Célport száma.
DstRiskLevel int A céleszközhöz társított kockázati szint.
Dvc sztring Az eseményt jelentő eszköz egyedi azonosítója. Az azonosító lehet IP-cím, állomásnév vagy eszközazonosító.
DvcAction sztring A jelentéskészítő eszköz által a kérelemben végrehajtott művelet, például a blokkolása.
DvcDescription sztring Az eszközhöz társított leíró szöveg. Például: Elsődleges tartományvezérlő.
DvcDomain sztring Az eseményt jelentő eszköz tartománya.
DvcDomainType sztring A DvcDomain típusa. A lehetséges értékek közé tartozik a "Windows" és az "FQDN".
DvcFQDN sztring Az eseményt jelentő eszköz teljes állomásneve, beleértve a tartományadatokat is.
DvcHostname sztring Az eseményt jelentő eszköz állomásneve.
DvcId sztring Az eseményt jelentő eszköz egyedi azonosítója.
DvcIdType sztring A DvcId típusa.
DvcInterface sztring Az a hálózati adapter, amelyen az adatokat rögzítették. Ez a mező általában a hálózattal kapcsolatos tevékenységekre vonatkozik, amelyeket egy köztes vagy koppintásos eszköz rögzít.
DvcIpAddr sztring Az eseményt jelentő eszköz IP-címe.
DvcMacAddr sztring Az eseményt jelentő eszköz MAC-címe.
DvcOriginalAction sztring A jelentéskészítő eszköz által biztosított eredeti DvcAction.
DvcOs sztring Az eszközön futó operációs rendszer jelenti az eseményt.
DvcOsVersion sztring Az eseményt jelentő eszköz operációs rendszerének verziója.
DvcScope sztring A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le.
DvcScopeId sztring A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DvcScopeId egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le.
DvcZone sztring Az eseményt jelentő eszköz hálózati szegmense.
EventCount int A rekord által leírt események száma. Ez az érték akkor használatos, ha a forrás támogatja az összesítést, és egyetlen rekord több eseményt is jelölhet.
EventEndTime dátum/idő Az esemény befejezésének időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja.
EventMessage sztring Általános üzenet vagy leírás.
EventOriginalSeverity sztring A jelentéskészítő eszköz által megadott eredeti súlyosság. Ez az érték az EventSeverity származtatására szolgál.
EventOriginalType sztring Az eredeti eseménytípus vagy -azonosító, például az eredeti Windows-eseményazonosító.
EventOriginalUid sztring Az eredeti rekord egyedi azonosítója.
EventOwner sztring Az esemény tulajdonosa, amely általában az a részleg vagy leányvállalat, amelyben létrehozták.
EventProduct sztring Az eseményt létrehozó termék.
EventProductVersion sztring Az eseményt létrehozó termék verziója.
EventReportUrl sztring Egy erőforrás URL-címe, amely további információkat nyújt az eseményről.
EventResult sztring Az esemény kimenete, amelyet a következő értékek egyike jelöl: Success, Partial, Failure, NA (Not Applicable). Előfordulhat, hogy az értéket nem adják meg közvetlenül a források, ebben az esetben más eseménymezőkből származik, például az EventResultDetails mezőből.
EventResultDetails sztring Az Internet Assigned Numbers Authority (IANA) által meghatározott DNS-válaszkód.
EventSchemaVersion sztring A séma verziója.
EventSeverity sztring Az esemény súlyossága. Az érvényes értékek a következők: Tájékoztató, Alacsony, Közepes vagy Magas.
EventStartTime dátum/idő Az az időpont, amikor az esemény elindult. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja.
EventSubType sztring Kérés vagy válasz.
EventType sztring A rekord által jelentett műveletet jelzi. A DNS-tevékenységesemények esetében ez az érték az Internet Assigned Numbers Authority (IANA) által meghatározott DNS-opkód.
EventVendor sztring Az eseményt létrehozó termék szállítója.
_IsBillable sztring Meghatározza, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés történik false , a számla nem az Azure-fiókjába kerül.
NetworkProtocol sztring A hálózati feloldási esemény által használt átviteli protokoll. Az érték lehet UDP vagy TCP.
NetworkProtocolVersion sztring A hálózati protokoll verziója. Általában az IPv4 és az Ipv6 megkülönböztetésére szolgál.
_ResourceId sztring Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van
RuleName sztring A szabály neve vagy azonosítója a vizsgálati eredmények alapján.
RuleNumber int A vizsgálati eredményekhez társított szabály száma.
SourceSystem sztring Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure Azure Diagnostics
Src sztring A forráseszköz egyedi azonosítója.
SrcDescription sztring A vizsgálati eredményekhez társított szabály száma.
SrcDeviceType sztring A forráseszköz típusa.
SrcDomain sztring A forráseszköz tartománya.
SrcDomainType sztring Az SrcDomain típusa.
SrcDvcId sztring A forráseszköz azonosítója.
SrcDvcIdType sztring Az SrcDvcId típusa.
SrcDvcScope sztring A felhőplatform hatóköre, amelyhez a forráseszköz tartozik. A DvcScope egy Azure-előfizetésre és egy AWS-fiókra képezi le a térképet.
SrcDvcScopeId sztring A felhőplatform hatókörazonosítója, amelyhez a forráseszköz tartozik. A DvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképazva.
SrcFQDN sztring A forráseszköz állomásneve, beleértve a tartományadatokat is.
SrcGeoCity sztring A forrás IP-címéhez társított város.
SrcGeoCountry sztring A forrás IP-címéhez társított ország.
SrcGeoL hála valós szám A forrás IP-címéhez társított földrajzi koordináták szélessége.
SrcGeoLongitude valós szám A forrás IP-címéhez társított földrajzi koordináták hosszúsága.
SrcGeoRegion sztring A forrás IP-címéhez társított régió vagy állam egy országban.
SrcHostname sztring A forráseszköz gazdaneve, a tartományi adatok kivételével.
SrcIpAddr sztring A DNS-kérést küldő ügyfél IP-címe. Rekurzív DNS-kérés esetén ez az érték általában a jelentéskészítő eszköz, és a legtöbb esetben a 127.0.0.1 értékre van állítva.
SrcOriginalRiskLevel sztring A forráseszközhöz társított kockázati szint a jelentéskészítő eszköz által jelentett módon.
SrcOriginalUserType sztring Az eredeti forrásfelhasználó típusa, a forrás által megadott módon.
SrcPortNumber int A DNS-lekérdezés forrásportja.
SrcProcessGuid sztring A DNS-kérést kezdeményező folyamat létrehozott egyedi azonosítója (GUID).
SrcProcessId sztring A DNS-kérést kezdeményező folyamat folyamatazonosítója (PID).
SrcProcessName sztring A DNS-kérést kezdeményező folyamat neve.
SrcRiskLevel int A forráseszközhöz társított kockázati szint.
SrcUserId sztring A forrásfelhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása.
SrcUserIdType sztring A SrcUserId mezőben tárolt azonosító típusa.
SrcUsername sztring A forrás felhasználóneve, beleértve a tartományadatokat, ha elérhetők.
SrcUsernameType sztring A SrcUsername mezőben tárolt felhasználónév típusa.
SrcUserScope sztring A hatókör, például Azure AD bérlő, amelyben az SrcUserId és az SrcUsername definiálva van.
SrcUserScopeId sztring Annak a hatókörnek az azonosítója, például Azure AD bérlő, amelyben az SrcUserId és az SrcUsername definiálva van.
SrcUserSessionId sztring A forrásfelhasználó bejelentkezési munkamenetének egyedi azonosítója.
SrcUserType sztring A forrásfelhasználó típusa.
_SubscriptionId sztring Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van
TenantId sztring A Log Analytics-munkaterület azonosítója
ThreatCategory sztring Ha egy DNS-eseményforrás DNS-biztonságot is biztosít, akkor kiértékelheti a DNS-eseményt is. Megkeresheti például az IP-címet vagy tartományt egy fenyegetésfelderítési adatbázisban, és hozzárendelheti a tartományt vagy IP-címet egy fenyegetéskategóriával.
ThreatConfidence int Az azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva.
ThreatField sztring Az a mező, amelyhez fenyegetést azonosítottak. Az érték lehet SrcIpAddr, DstIpAddr, Domain vagy DnsResponseName.
ThreatFirstReportedTime sztring Az IP-cím vagy tartomány első azonosítása fenyegetésként.
ThreatFirstReportedTime_d dátum/idő Az IP-cím vagy tartomány első azonosítása fenyegetésként.
ThreatId sztring A webes munkamenetben azonosított fenyegetés vagy kártevő azonosítója.
ThreatIpAddr sztring Egy IP-cím, amelyhez fenyegetést azonosítottak. A ThreatField mező annak a mezőnek a nevét tartalmazza, amelyet a ThreatIpAddr képvisel. Ha a Tartomány mezőben fenyegetést talál, ennek a mezőnek üresnek kell lennie.
ThreatIsActive logikai Az azonosított fenyegetés valódi azonosítója aktív fenyegetésnek minősül.
ThreatLastReportedTime sztring Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként.
ThreatLastReportedTime_d dátum/idő Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként.
ThreatName sztring Az azonosított fenyegetés neve, amelyet a jelentéskészítő eszköz jelentett.
ThreatOriginalConfidence sztring Az azonosított fenyegetés eredeti megbízhatósági szintje, amelyet a jelentéskészítő eszköz jelentett.
ThreatOriginalRiskLevel int Az azonosított fenyegetéshez tartozó eredeti kockázati szint, amelyet a jelentéskészítő eszköz jelentett.
ThreatOriginalRiskLevel_s sztring Az azonosított fenyegetéshez társított kockázati szint, 0 és 100 közötti értékre normalizálva.
ThreatRiskLevel int Az azonosított fenyegetéshez társított kockázati szint, 0 és 100 közötti értékre normalizálva.
TimeGenerated dátum/idő Az esemény létrehozásának időpontját tükröző időbélyeg (UTC).
TransactionIdHex sztring A DNS egyedi hexadecimális tranzakcióazonosítója.
Típus sztring A tábla neve
UrlCategory sztring A DNS-eseményforrás a kért tartományok kategóriáját is megkeresheti.