ASimDnsActivityLogs
O esquema de atividade DNS do ASim representa a atividade do protocolo DNS, que pode ser registada por um servidor DNS ou por um dispositivo que envia pedidos DNS para um servidor DNS. A atividade do protocolo DNS inclui consultas DNS, atualizações do servidor DNS e transferências de dados em massa DNS. Uma vez que o esquema representa a atividade do protocolo, é regido por RFCs e listas de parâmetros oficialmente atribuídas. O esquema de atividade DNS não representa eventos de auditoria do servidor DNS.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | microsoft.securityinsights/dnsnormalized |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Registo básico | No |
| Transformação do tempo de ingestão | Yes |
| Consultas de Exemplo | Sim |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| Campos Adicionais | dynamic | Informações adicionais, representadas através de pares chave/valor fornecidos pela origem que não mapeiam para o ASim. |
| _BilledSize | real | O tamanho do registo em bytes |
| DnsFlags | string | Os sinalizadores de pedido DNS, conforme fornecido pelo dispositivo de relatório. A estrutura das informações dos sinalizadores DNS pode variar entre diferentes dispositivos de relatório. |
| DnsFlagsAuthenticated | bool | O sinalizador de resposta autenticado DNS, que está relacionado com DNSSEC, indica numa resposta que todos os dados incluídos nas secções de resposta e autoridade da resposta foram verificados pelo servidor de acordo com as políticas desse servidor. consulte RFC 3655 Secção 6.1 para obter mais informações. |
| DnsFlagsAuthoritative | bool | O sinalizador de resposta autoritativa do DNS indica se a resposta do servidor foi autoritativa. |
| DnsFlagsCheckingDisabled | bool | O sinalizador de CD DNS, que está relacionado com DNSSEC, indica numa consulta que os dados não verificados são aceitáveis para o sistema que envia a consulta. |
| DnsFlagsRecursion Disponível | bool | O sinalizador DNS RA indica numa resposta que o servidor suporta consultas recursivas. |
| DnsFlagsRecursionDesired | bool | O sinalizador pretendido de recursão DNS indica num pedido que esse cliente gostaria que o servidor utilizasse consultas recursivas. |
| DnsFlagsTruncated | bool | O sinalizador TC DNS indica que uma resposta foi truncado, uma vez que excedeu o tamanho máximo da resposta. |
| DnsFlagsZ | bool | O sinalizador DNS Z é um sinalizador DNS preterido, que pode ser reportado por sistemas DNS mais antigos. |
| DnsNetworkDuration | int | O período de tempo, em milissegundos, para a conclusão do pedido DNS. |
| DnsQuery | string | O domínio que tem de ser resolvido. |
| DnsQueryClass | int | O ID da classe DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
| DnsQueryClassName | string | O nome da classe DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
| DnsQueryType | int | Os códigos de tipo de registo de recursos DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
| DnsQueryTypeName | string | O nome do tipo de registo de recursos DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
| DnsResponseCode | int | O código de resposta numérica DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
| DnsResponseIpCity | string | A cidade associada ao endereço IP de resposta. |
| DnsResponseIpCountry | string | O país associado ao endereço IP de resposta. |
| DnsResponseIpLatitude | real | A Latitude da coordenada geográfica associada ao endereço IP de resposta. |
| DnsResponseIpLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de resposta. |
| DnsResponseIpRegion | string | A região ou o estado, num país, associado ao endereço IP de origem. |
| DnsResponseName | string | O conteúdo da resposta, conforme incluído no registo. A estrutura dos dados de resposta DNS pode variar entre diferentes dispositivos de relatórios. |
| DnsSessionId | string | O identificador de sessão DNS, conforme comunicado pelo dispositivo de relatório. |
| Dst | string | Um identificador exclusivo do servidor que recebeu o pedido DNS. |
| DstDescription | string | Um texto descritivo associado ao destino. |
| DstDeviceType | string | O tipo do dispositivo de destino. |
| DstDomain | string | O domínio do dispositivo de destino. |
| DstDomainType | string | O tipo de DstDomain. |
| DstDvcId | string | O ID do dispositivo de destino. |
| DstDvcIdType | string | O tipo de DstDvcId. |
| DstDvcScope | string | O âmbito da plataforma cloud a que pertence o dispositivo de destino. O DvcScope mapeia para uma subscrição no Azure e para uma conta no AWS. |
| DstDvcScopeId | string | O ID de âmbito da plataforma cloud ao qual o dispositivo de destino pertence. O DvcScopeId mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
| DstFQDN | string | O nome do anfitrião do dispositivo de destino, incluindo informações de domínio quando disponível. |
| DstGeoCity | string | A cidade associada ao endereço IP de destino. |
| DstGeoCountry | string | O país associado ao endereço IP de destino. |
| DstGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoRegion | string | A região ou o estado, num país, associado ao endereço IP de destino. |
| DstHostname | string | O nome do anfitrião do dispositivo de destino, excluindo as informações de domínio. |
| DstIpAddr | string | O endereço IP do servidor que recebe o pedido DNS. Para um pedido DNS normal, este valor seria normalmente o dispositivo de relatório e, na maioria dos casos, definido como 127.0.0.1. |
| DstOriginalRiskLevel | string | O nível de risco associado ao dispositivo de destino, conforme comunicado pelo dispositivo de relatório. |
| DstPortNumber | int | Número da Porta de Destino. |
| DstRiskLevel | int | O nível de risco associado ao dispositivo de destino. |
| Dvc | string | Um identificador exclusivo do dispositivo que reporta o evento. O identificador pode ser um Endereço IP, um nome de anfitrião ou um ID de dispositivo. |
| DvcAction | string | A ação efetuada pelo dispositivo de relatórios no pedido, como bloqueá-lo. |
| DvcDescription | string | Um texto descritivo associado ao dispositivo. Por exemplo: Controlador de Domínio Principal. |
| DvcDomain | string | O domínio do dispositivo que reporta o evento. |
| DvcDomainType | string | O tipo de DvcDomain. Os valores possíveis incluem "Windows" e "FQDN". |
| DvcFQDN | string | O nome de anfitrião completamente qualificado, incluindo informações de domínio, do dispositivo que reporta o evento. |
| DvcHostname | string | O nome do anfitrião do dispositivo que reporta o evento. |
| DvcId | string | O ID exclusivo do dispositivo que reporta o evento. |
| DvcIdType | string | O tipo de DvcId. |
| DvcInterface | string | A interface de rede na qual os dados foram capturados. Normalmente, este campo é relevante para a atividade relacionada com a rede que é capturada por um dispositivo intermédio ou toque. |
| DvcIpAddr | string | O Endereço IP do dispositivo que reporta o evento. |
| DvcMacAddr | string | O endereço MAC do dispositivo que reporta o evento. |
| DvcOriginalAction | string | O DvcAction original, conforme fornecido pelo dispositivo de relatórios. |
| DvcOs | string | O sistema operativo em execução no dispositivo que reporta o evento. |
| DvcOsVersion | string | A versão do sistema operativo no dispositivo que reporta o evento. |
| DvcScope | string | O âmbito da plataforma cloud a que o dispositivo pertence. O DvcScope mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
| DvcScopeId | string | O ID de âmbito da plataforma cloud ao qual o dispositivo pertence. O DvcScopeId mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
| DvcZone | string | O segmento de rede do dispositivo que reporta o evento. |
| EventCount | int | O número de eventos descritos pelo registo. Este valor é utilizado quando a origem suporta agregação e um único registo pode representar vários eventos. |
| EventEndTime | datetime | A hora em que o evento terminou. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
| EventMessage | string | Uma mensagem ou descrição geral. |
| EventOriginalSeverity | string | A gravidade original, conforme fornecido pelo dispositivo de relatórios. Este valor é utilizado para derivar EventSeverity. |
| EventOriginalType | string | O tipo de evento ou ID original, por exemplo, o ID de evento original do Windows. |
| EventOriginalUid | string | Um ID exclusivo do registo original. |
| EventOwner | string | O proprietário do evento, que é normalmente o departamento ou subsidiária em que foi gerado. |
| EventProduct | string | O produto que está a gerar o evento. |
| EventProductVersion | string | A versão do produto que está a gerar o evento. |
| EventReportUrl | string | Um URL de um recurso que fornece informações adicionais sobre o evento. |
| EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas origens, caso em que é derivado de outros campos de eventos, por exemplo, o campo EventResultDetails. |
| EventResultDetails | string | O código de resposta DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
| EventSchemaVersion | string | A versão do esquema. |
| EventSeverity | string | A gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
| EventStartTime | datetime | O momento em que o evento foi iniciado. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
| EventSubType | string | Pedido ou resposta. |
| EventType | string | Indica a operação comunicada pelo registo. Para eventos de atividade DNS, este valor é o código de opcode DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
| EventVendor | string | O fornecedor do produto que está a gerar o evento. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| NetworkProtocol | string | O protocolo de transporte utilizado pelo evento de resolução de rede. O valor pode ser UDP ou TCP. |
| NetworkProtocolVersion | string | A versão do protocolo de rede. Normalmente utilizado para diferenciar entre IPv4 e Ipv6. |
| _ResourceId | string | Um identificador exclusivo para o recurso ao qual o registo está associado |
| RuleName | string | O nome ou ID da regra associado aos resultados da inspeção. |
| RuleNumber | int | O número da regra associada aos resultados da inspeção. |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| Src | string | Um identificador exclusivo do dispositivo de origem. |
| SrcDescription | string | O número da regra associada aos resultados da inspeção. |
| SrcDeviceType | string | O tipo do dispositivo de origem. |
| SrcDomain | string | O domínio do dispositivo de origem. |
| SrcDomainType | string | O tipo de SrcDomain. |
| SrcDvcId | string | O ID do dispositivo de origem. |
| SrcDvcIdType | string | O tipo de SrcDvcId. |
| SrcDvcScope | string | O âmbito da plataforma cloud ao qual o dispositivo de origem pertence. O DvcScope mapeia para uma subscrição no Azure e para uma conta no AWS. |
| SrcDvcScopeId | string | O ID de âmbito da plataforma cloud ao qual o dispositivo de origem pertence. O DvcScopeId mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
| SrcFQDN | string | O nome do anfitrião do dispositivo de origem, incluindo informações de domínio. |
| SrcGeoCity | string | A cidade associada ao endereço IP de origem. |
| SrcGeoCountry | string | O país associado ao endereço IP de origem. |
| SrcGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoRegion | string | A região ou o estado, num país, associado ao endereço IP de origem. |
| SrcHostname | string | O nome do anfitrião do dispositivo de origem, excluindo as informações de domínio. |
| SrcIpAddr | string | O endereço IP do cliente que envia o pedido DNS. Para um pedido DNS recursivo, este valor seria normalmente o dispositivo de relatório e, na maioria dos casos, definido como 127.0.0.1. |
| SrcOriginalRiskLevel | string | O nível de risco associado ao dispositivo de origem, conforme comunicado pelo dispositivo de relatório. |
| SrcOriginalUserType | string | O tipo de utilizador de origem original, conforme fornecido pela origem. |
| SrcPortNumber | int | Porta de origem da consulta DNS. |
| SrcProcessGuid | string | Um identificador exclusivo gerado (GUID) do processo que iniciou o pedido DNS. |
| SrcProcessId | string | O ID do processo (PID) do processo que iniciou o pedido DNS. |
| SrcProcessName | string | O nome do processo que iniciou o pedido DNS. |
| SrcRiskLevel | int | O nível de risco associado ao dispositivo de origem. |
| SrcUserId | string | Uma representação exclusiva, alfanumérica e legível por computador do utilizador de origem. |
| SrcUserIdType | string | O tipo de ID armazenado no campo SrcUserId. |
| SrcUsername | string | O nome de utilizador de origem, incluindo informações de domínio quando disponível. |
| SrcUsernameType | string | O tipo de nome de utilizador armazenado no campo SrcUsername. |
| SrcUserScope | string | O âmbito, como Azure AD inquilino, no qual o SrcUserId e o SrcUsername são definidos. |
| SrcUserScopeId | string | O ID do âmbito, como Azure AD inquilino, no qual são definidos SrcUserId e SrcUsername. |
| SrcUserSessionId | string | O ID exclusivo da sessão de início de sessão do utilizador de origem. |
| SrcUserType | string | O tipo de utilizador de origem. |
| _SubscriptionId | string | Um identificador exclusivo para a subscrição à qual o registo está associado |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| ThreatCategory | string | Se uma origem de evento DNS também fornecer segurança DNS, também poderá avaliar o evento DNS. Por exemplo, pode procurar o endereço IP ou domínio numa base de dados de informações sobre ameaças e atribuir o domínio ou endereço IP com uma Categoria de Ameaça. |
| ThreatConfidence | int | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatField | string | O campo para o qual foi identificada uma ameaça. O valor é SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
| ThreatFirstReportedTime | string | A primeira vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatFirstReportedTime_d | datetime | A primeira vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatId | string | O ID da ameaça ou software maligno identificado na sessão Web. |
| ThreatIpAddr | string | Um endereço IP para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. Se for identificada uma ameaça no campo Domínio, este campo deverá estar vazio. |
| ThreatIsActive | bool | ID verdadeiro a ameaça identificada é considerada uma ameaça ativa. |
| ThreatLastReportedTime | string | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime_d | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatName | string | O nome da ameaça identificada, conforme comunicado pelo dispositivo de relatório. |
| ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
| ThreatOriginalRiskLevel | int | O nível de risco original associado à ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
| ThreatOriginalRiskLevel_s | string | O nível de risco associado à ameaça identificada, normalizado com um valor entre 0 e 100. |
| ThreatRiskLevel | int | O nível de risco associado à ameaça identificada, normalizado com um valor entre 0 e 100. |
| TimeGenerated | datetime | O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
| TransactionIdHex | string | O ID de transação hexadecimal exclusivo do DNS. |
| Tipo | string | O nome da tabela |
| UrlCategory | string | Uma origem de eventoS DNS também pode procurar a categoria dos Domínios pedidos. |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários