ASimDhcpEventLogs
O esquema DHCP do ASIM representa a atividade do servidor DHCP, incluindo pedidos de entrega de endereços IP DHCP concedidos a partir de sistemas cliente e atualização de um servidor DNS com as concessões concedidas.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | microsoft.securityinsights/asimtables |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Registo básico | No |
| Transformação em tempo de ingestão | Yes |
| Consultas de Exemplo | - |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| Campos Adicionais | dynamic | Informações adicionais, representadas através de pares chave/valor fornecidos pela origem que não mapeiam para o ASim. |
| _BilledSize | real | O tamanho do registo em bytes |
| DhcpCircuitId | string | O ID do circuito DHCP, conforme definido por RFC3046. |
| DhcpLeaseDuration | int | O comprimento da concessão concedida a um cliente, em segundos. |
| DhcpSessionDuration | int | A quantidade de tempo, em milissegundos, para a conclusão da sessão DHCP. |
| DhcpSessionId | string | O identificador da sessão, conforme comunicado pelo dispositivo de relatório. Para o servidor DHCP do Windows, defina-o como o campo TransactionID. |
| DhcpSrcDHCId | string | O ID de cliente DHCP, conforme definido por RFC4701. |
| DhcpSubscriberId | string | O ID de subscritor DHCP, conforme definido por RFC3993. |
| DhcpUserClass | string | A Classe de Utilizador DHCP, conforme definido por RFC3004. |
| DhcpUserClassId | string | O ID de Classe de Utilizador DHCP, conforme definido por RFC3004. |
| DhcpVendorClass | string | A Classe de Fornecedor DHCP, conforme definido por RFC3925. |
| DhcpVendorClassId | string | O ID de Classe do Fornecedor DHCP, conforme definido por RFC3925. |
| DvcAction | string | Para os sistemas de segurança de relatórios, a ação tomada pelo sistema, se aplicável. |
| DvcDescription | string | Um texto descritivo associado ao dispositivo. |
| DvcDomain | string | O domínio do dispositivo no qual ocorreu o evento ou que comunicou o evento, dependendo do esquema |
| DvcDomainType | string | O tipo de DvcDomain. |
| DvcFQDN | string | O nome do anfitrião do dispositivo no qual ocorreu o evento ou que reportou o evento, dependendo do esquema. |
| DvcHostname | string | O nome do anfitrião do dispositivo no qual ocorreu o evento ou que reportou o evento, dependendo do esquema. |
| DvcId | string | O ID exclusivo do dispositivo no qual ocorreu o evento ou que reportou o evento, dependendo do esquema. |
| DvcIdType | string | O tipo de DvcId. |
| DvcInterface | string | A interface de rede na qual os dados foram capturados. Normalmente, este campo é relevante para a atividade relacionada com a rede que é capturada por um dispositivo intermédio ou de toque. |
| DvcIpAddr | string | O endereço IP do dispositivo no qual ocorreu o evento ou que comunicou o evento, dependendo do esquema. |
| DvcMacAddr | string | O endereço MAC do dispositivo no qual ocorreu o evento ou que comunicou o evento. |
| DvcOriginalAction | string | O DvcAction original, conforme fornecido pelo dispositivo de relatório. |
| DvcOs | string | O sistema operativo em execução no dispositivo no qual ocorreu o evento ou que comunicou o evento. |
| DvcOsVersion | string | A versão do sistema operativo no dispositivo no qual ocorreu o evento ou que reportou o evento. |
| DvcScope | string | O âmbito da plataforma cloud a que o dispositivo pertence. O DvcScope mapeia para um nome de subscrição no Azure e para um ID de conta no AWS. |
| DvcScopeId | string | O ID de âmbito da plataforma cloud ao qual o dispositivo pertence. O DvcScopeId mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
| DvcZone | string | A rede na qual ocorreu o evento ou que reportou o evento, dependendo do esquema. A zona é definida pelo dispositivo de relatórios. |
| EventCount | int | O número de eventos descritos pelo registo. Este valor é utilizado quando a origem suporta agregação e um único registo pode representar vários eventos. |
| EventEndTime | datetime | A hora em que o evento terminou. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
| EventMessage | string | Uma mensagem ou descrição geral, incluída ou gerada a partir do registo. |
| EventOriginalResultDetails | string | Os detalhes originais do resultado fornecidos pela origem. Este valor é utilizado para derivar EventResultDetails, que deve ter apenas um dos valores documentados para cada esquema. |
| EventOriginalSeverity | string | A gravidade original, conforme fornecido pelo dispositivo de relatórios. Este valor é utilizado para derivar EventSeverity. |
| EventOriginalSubType | string | O subtipo ou ID de evento original, se fornecido pela origem. |
| EventOriginalType | string | O tipo de evento ou ID original, se fornecido pela origem. |
| EventOriginalUid | string | Um ID exclusivo do registo original, se fornecido pela origem. |
| EventOwner | string | O proprietário do evento, que é normalmente o departamento ou subsidiária em que foi gerado. |
| EventProduct | string | O produto que está a gerar o evento. O valor deve ser um dos valores listados em Fornecedores e Produtos. |
| EventProductVersion | string | A versão do produto que está a gerar o evento. |
| EventReportUrl | string | Um URL fornecido no evento para um recurso que fornece mais informações sobre o evento. |
| EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). |
| EventResultDetails | string | Motivo ou detalhes do resultado comunicado no campo EventResult. |
| EventSchema | string | O esquema ao que o evento está normalizado. Cada esquema documenta o respetivo nome de esquema. |
| EventSchemaVersion | string | A versão do esquema. Cada esquema documenta a versão atual. |
| EventSeverity | string | A gravidade do evento. |
| EventStartTime | datetime | A hora em que o evento foi iniciado. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
| EventSubType | string | Descreve uma subdivisão da operação reportada no campo EventType. |
| EventType | string | Descreve a operação comunicada pelo registo. |
| EventVendor | string | O fornecedor do produto que está a gerar o evento. O valor deve ser um dos valores listados em Fornecedores e Produtos. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| RequestedIpAddr | string | O endereço IP pedido pelo cliente DHCP, quando disponível. |
| _ResourceId | string | Um identificador exclusivo para o recurso ao qual o registo está associado |
| RuleName | string | O nome ou ID da regra associado aos resultados da inspeção. |
| RuleNumber | int | O número da regra associada aos resultados da inspeção. |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| SrcDescription | string | Um texto descritivo associado ao dispositivo. |
| SrcDeviceType | string | O tipo do dispositivo. |
| SrcDomain | string | O domínio do dispositivo. |
| SrcDomainType | string | O tipo de domínio. |
| SrcDvcId | string | O ID do dispositivo. |
| SrcDvcIdType | string | O tipo de DvcId. |
| SrcDvcScope | string | O âmbito da plataforma cloud a que o dispositivo pertence. |
| SrcDvcScopeId | string | O ID de âmbito da plataforma cloud ao qual o dispositivo pertence. |
| SrcFQDN | string | O nome do anfitrião do dispositivo, incluindo informações de domínio quando disponível. |
| SrcGeoCity | string | A cidade associada ao endereço IP de origem. |
| SrcGeoCountry | string | O país associado ao endereço IP de origem. |
| SrcGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoRegion | string | A região num país associado ao endereço IP de origem.. |
| SrcHostname | string | O nome do anfitrião do dispositivo, excluindo as informações de domínio. |
| SrcIpAddr | string | O endereço IP do dispositivo de origem. |
| SrcMacAddr | string | O endereço MAC da interface de rede a partir da qual a ligação ou sessão teve origem. |
| SrcOriginalRiskLevel | string | O nível de risco associado à Origem identificada, conforme comunicado pelo dispositivo de relatório. |
| SrcOriginalUserType | string | O tipo de utilizador de origem original, se for fornecido pela origem. |
| SrcPortNumber | int | A porta IP na qual o dispositivo comunicou, se aplicável. |
| SrcRiskLevel | int | O nível de risco associado à Origem identificada. |
| SrcUserId | string | Uma representação exclusiva, alfanumérica e legível pelo computador do utilizador. |
| SrcUserIdType | string | O tipo de SrcUserId. |
| SrcUsername | string | O nome de utilizador do utilizador, incluindo informações de domínio quando disponível. |
| SrcUsernameType | string | O tipo de nome de utilizador. |
| SrcUserScope | string | O tipo de nome de utilizador. |
| SrcUserScopeId | string | O ID de âmbito, como Azure AD ID do inquilino, no qual o UserId e o Nome de Utilizador são definidos. |
| SrcUserSessionId | string | O ID exclusivo da sessão de início de sessão do utilizador. |
| SrcUserType | string | O tipo de utilizador |
| SrcUserUid | string | O ID de utilizador Unix ou Linux do utilizador. |
| _SubscriptionId | string | Um identificador exclusivo para a subscrição à qual o registo está associado |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| ThreatCategory | string | A categoria da ameaça ou software maligno identificado na atividade. |
| ThreatConfidence | int | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatField | string | O campo para o qual foi identificada uma ameaça. |
| ThreatFirstReportedTime | datetime | A primeira vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatId | string | O ID da ameaça ou software maligno identificado na atividade. |
| ThreatIsActive | bool | ID verdadeiro a ameaça identificada é considerada uma ameaça ativa. |
| ThreatLastReportedTime | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatName | string | O nome da ameaça ou software maligno identificado na atividade. |
| ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
| ThreatOriginalRiskLevel | string | O nível de risco, conforme comunicado pelo dispositivo de relatório. |
| ThreatRiskLevel | int | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. |
| TimeGenerated | datetime | O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
| Tipo | string | O nome da tabela |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários