ASimDnsActivityLogs
O esquema de atividade DNS do ASim representa a atividade do protocolo DNS, que pode ser registada por um servidor DNS ou por um dispositivo que envia pedidos DNS para um servidor DNS. A atividade do protocolo DNS inclui consultas DNS, atualizações do servidor DNS e transferências de dados em massa DNS. Uma vez que o esquema representa a atividade do protocolo, é regido por RFCs e listas de parâmetros oficialmente atribuídas. O esquema de atividade DNS não representa eventos de auditoria do servidor DNS.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | microsoft.securityinsights/dnsnormalized |
Categorias | Segurança |
Soluções | SecurityInsights |
Registo básico | No |
Transformação do tempo de ingestão | Yes |
Consultas de Exemplo | Sim |
Colunas
Coluna | Tipo | Description |
---|---|---|
Campos Adicionais | dynamic | Informações adicionais, representadas através de pares chave/valor fornecidos pela origem que não mapeiam para o ASim. |
_BilledSize | real | O tamanho do registo em bytes |
DnsFlags | string | Os sinalizadores de pedido DNS, conforme fornecido pelo dispositivo de relatório. A estrutura das informações dos sinalizadores DNS pode variar entre diferentes dispositivos de relatório. |
DnsFlagsAuthenticated | bool | O sinalizador de resposta autenticado DNS, que está relacionado com DNSSEC, indica numa resposta que todos os dados incluídos nas secções de resposta e autoridade da resposta foram verificados pelo servidor de acordo com as políticas desse servidor. consulte RFC 3655 Secção 6.1 para obter mais informações. |
DnsFlagsAuthoritative | bool | O sinalizador de resposta autoritativa do DNS indica se a resposta do servidor foi autoritativa. |
DnsFlagsCheckingDisabled | bool | O sinalizador de CD DNS, que está relacionado com DNSSEC, indica numa consulta que os dados não verificados são aceitáveis para o sistema que envia a consulta. |
DnsFlagsRecursion Disponível | bool | O sinalizador DNS RA indica numa resposta que o servidor suporta consultas recursivas. |
DnsFlagsRecursionDesired | bool | O sinalizador pretendido de recursão DNS indica num pedido que esse cliente gostaria que o servidor utilizasse consultas recursivas. |
DnsFlagsTruncated | bool | O sinalizador TC DNS indica que uma resposta foi truncado, uma vez que excedeu o tamanho máximo da resposta. |
DnsFlagsZ | bool | O sinalizador DNS Z é um sinalizador DNS preterido, que pode ser reportado por sistemas DNS mais antigos. |
DnsNetworkDuration | int | O período de tempo, em milissegundos, para a conclusão do pedido DNS. |
DnsQuery | string | O domínio que tem de ser resolvido. |
DnsQueryClass | int | O ID da classe DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
DnsQueryClassName | string | O nome da classe DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
DnsQueryType | int | Os códigos de tipo de registo de recursos DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
DnsQueryTypeName | string | O nome do tipo de registo de recursos DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
DnsResponseCode | int | O código de resposta numérica DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
DnsResponseIpCity | string | A cidade associada ao endereço IP de resposta. |
DnsResponseIpCountry | string | O país associado ao endereço IP de resposta. |
DnsResponseIpLatitude | real | A Latitude da coordenada geográfica associada ao endereço IP de resposta. |
DnsResponseIpLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de resposta. |
DnsResponseIpRegion | string | A região ou o estado, num país, associado ao endereço IP de origem. |
DnsResponseName | string | O conteúdo da resposta, conforme incluído no registo. A estrutura dos dados de resposta DNS pode variar entre diferentes dispositivos de relatórios. |
DnsSessionId | string | O identificador de sessão DNS, conforme comunicado pelo dispositivo de relatório. |
Dst | string | Um identificador exclusivo do servidor que recebeu o pedido DNS. |
DstDescription | string | Um texto descritivo associado ao destino. |
DstDeviceType | string | O tipo do dispositivo de destino. |
DstDomain | string | O domínio do dispositivo de destino. |
DstDomainType | string | O tipo de DstDomain. |
DstDvcId | string | O ID do dispositivo de destino. |
DstDvcIdType | string | O tipo de DstDvcId. |
DstDvcScope | string | O âmbito da plataforma cloud a que pertence o dispositivo de destino. O DvcScope mapeia para uma subscrição no Azure e para uma conta no AWS. |
DstDvcScopeId | string | O ID de âmbito da plataforma cloud ao qual o dispositivo de destino pertence. O DvcScopeId mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
DstFQDN | string | O nome do anfitrião do dispositivo de destino, incluindo informações de domínio quando disponível. |
DstGeoCity | string | A cidade associada ao endereço IP de destino. |
DstGeoCountry | string | O país associado ao endereço IP de destino. |
DstGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de destino. |
DstGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de destino. |
DstGeoRegion | string | A região ou o estado, num país, associado ao endereço IP de destino. |
DstHostname | string | O nome do anfitrião do dispositivo de destino, excluindo as informações de domínio. |
DstIpAddr | string | O endereço IP do servidor que recebe o pedido DNS. Para um pedido DNS normal, este valor seria normalmente o dispositivo de relatório e, na maioria dos casos, definido como 127.0.0.1. |
DstOriginalRiskLevel | string | O nível de risco associado ao dispositivo de destino, conforme comunicado pelo dispositivo de relatório. |
DstPortNumber | int | Número da Porta de Destino. |
DstRiskLevel | int | O nível de risco associado ao dispositivo de destino. |
Dvc | string | Um identificador exclusivo do dispositivo que reporta o evento. O identificador pode ser um Endereço IP, um nome de anfitrião ou um ID de dispositivo. |
DvcAction | string | A ação efetuada pelo dispositivo de relatórios no pedido, como bloqueá-lo. |
DvcDescription | string | Um texto descritivo associado ao dispositivo. Por exemplo: Controlador de Domínio Principal. |
DvcDomain | string | O domínio do dispositivo que reporta o evento. |
DvcDomainType | string | O tipo de DvcDomain. Os valores possíveis incluem "Windows" e "FQDN". |
DvcFQDN | string | O nome de anfitrião completamente qualificado, incluindo informações de domínio, do dispositivo que reporta o evento. |
DvcHostname | string | O nome do anfitrião do dispositivo que reporta o evento. |
DvcId | string | O ID exclusivo do dispositivo que reporta o evento. |
DvcIdType | string | O tipo de DvcId. |
DvcInterface | string | A interface de rede na qual os dados foram capturados. Normalmente, este campo é relevante para a atividade relacionada com a rede que é capturada por um dispositivo intermédio ou toque. |
DvcIpAddr | string | O Endereço IP do dispositivo que reporta o evento. |
DvcMacAddr | string | O endereço MAC do dispositivo que reporta o evento. |
DvcOriginalAction | string | O DvcAction original, conforme fornecido pelo dispositivo de relatórios. |
DvcOs | string | O sistema operativo em execução no dispositivo que reporta o evento. |
DvcOsVersion | string | A versão do sistema operativo no dispositivo que reporta o evento. |
DvcScope | string | O âmbito da plataforma cloud a que o dispositivo pertence. O DvcScope mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
DvcScopeId | string | O ID de âmbito da plataforma cloud ao qual o dispositivo pertence. O DvcScopeId mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
DvcZone | string | O segmento de rede do dispositivo que reporta o evento. |
EventCount | int | O número de eventos descritos pelo registo. Este valor é utilizado quando a origem suporta agregação e um único registo pode representar vários eventos. |
EventEndTime | datetime | A hora em que o evento terminou. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
EventMessage | string | Uma mensagem ou descrição geral. |
EventOriginalSeverity | string | A gravidade original, conforme fornecido pelo dispositivo de relatórios. Este valor é utilizado para derivar EventSeverity. |
EventOriginalType | string | O tipo de evento ou ID original, por exemplo, o ID de evento original do Windows. |
EventOriginalUid | string | Um ID exclusivo do registo original. |
EventOwner | string | O proprietário do evento, que é normalmente o departamento ou subsidiária em que foi gerado. |
EventProduct | string | O produto que está a gerar o evento. |
EventProductVersion | string | A versão do produto que está a gerar o evento. |
EventReportUrl | string | Um URL de um recurso que fornece informações adicionais sobre o evento. |
EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas origens, caso em que é derivado de outros campos de eventos, por exemplo, o campo EventResultDetails. |
EventResultDetails | string | O código de resposta DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
EventSchemaVersion | string | A versão do esquema. |
EventSeverity | string | A gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
EventStartTime | datetime | O momento em que o evento foi iniciado. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
EventSubType | string | Pedido ou resposta. |
EventType | string | Indica a operação comunicada pelo registo. Para eventos de atividade DNS, este valor é o código de opcode DNS, conforme definido pela Autoridade de Números Atribuídos à Internet (IANA). |
EventVendor | string | O fornecedor do produto que está a gerar o evento. |
_IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
NetworkProtocol | string | O protocolo de transporte utilizado pelo evento de resolução de rede. O valor pode ser UDP ou TCP. |
NetworkProtocolVersion | string | A versão do protocolo de rede. Normalmente utilizado para diferenciar entre IPv4 e Ipv6. |
_ResourceId | string | Um identificador exclusivo para o recurso ao qual o registo está associado |
RuleName | string | O nome ou ID da regra associado aos resultados da inspeção. |
RuleNumber | int | O número da regra associada aos resultados da inspeção. |
SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
Src | string | Um identificador exclusivo do dispositivo de origem. |
SrcDescription | string | O número da regra associada aos resultados da inspeção. |
SrcDeviceType | string | O tipo do dispositivo de origem. |
SrcDomain | string | O domínio do dispositivo de origem. |
SrcDomainType | string | O tipo de SrcDomain. |
SrcDvcId | string | O ID do dispositivo de origem. |
SrcDvcIdType | string | O tipo de SrcDvcId. |
SrcDvcScope | string | O âmbito da plataforma cloud ao qual o dispositivo de origem pertence. O DvcScope mapeia para uma subscrição no Azure e para uma conta no AWS. |
SrcDvcScopeId | string | O ID de âmbito da plataforma cloud ao qual o dispositivo de origem pertence. O DvcScopeId mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
SrcFQDN | string | O nome do anfitrião do dispositivo de origem, incluindo informações de domínio. |
SrcGeoCity | string | A cidade associada ao endereço IP de origem. |
SrcGeoCountry | string | O país associado ao endereço IP de origem. |
SrcGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoRegion | string | A região ou o estado, num país, associado ao endereço IP de origem. |
SrcHostname | string | O nome do anfitrião do dispositivo de origem, excluindo as informações de domínio. |
SrcIpAddr | string | O endereço IP do cliente que envia o pedido DNS. Para um pedido DNS recursivo, este valor seria normalmente o dispositivo de relatório e, na maioria dos casos, definido como 127.0.0.1. |
SrcOriginalRiskLevel | string | O nível de risco associado ao dispositivo de origem, conforme comunicado pelo dispositivo de relatório. |
SrcOriginalUserType | string | O tipo de utilizador de origem original, conforme fornecido pela origem. |
SrcPortNumber | int | Porta de origem da consulta DNS. |
SrcProcessGuid | string | Um identificador exclusivo gerado (GUID) do processo que iniciou o pedido DNS. |
SrcProcessId | string | O ID do processo (PID) do processo que iniciou o pedido DNS. |
SrcProcessName | string | O nome do processo que iniciou o pedido DNS. |
SrcRiskLevel | int | O nível de risco associado ao dispositivo de origem. |
SrcUserId | string | Uma representação exclusiva, alfanumérica e legível por computador do utilizador de origem. |
SrcUserIdType | string | O tipo de ID armazenado no campo SrcUserId. |
SrcUsername | string | O nome de utilizador de origem, incluindo informações de domínio quando disponível. |
SrcUsernameType | string | O tipo de nome de utilizador armazenado no campo SrcUsername. |
SrcUserScope | string | O âmbito, como Azure AD inquilino, no qual o SrcUserId e o SrcUsername são definidos. |
SrcUserScopeId | string | O ID do âmbito, como Azure AD inquilino, no qual são definidos SrcUserId e SrcUsername. |
SrcUserSessionId | string | O ID exclusivo da sessão de início de sessão do utilizador de origem. |
SrcUserType | string | O tipo de utilizador de origem. |
_SubscriptionId | string | Um identificador exclusivo para a subscrição à qual o registo está associado |
TenantId | string | O ID da área de trabalho do Log Analytics |
ThreatCategory | string | Se uma origem de evento DNS também fornecer segurança DNS, também poderá avaliar o evento DNS. Por exemplo, pode procurar o endereço IP ou domínio numa base de dados de informações sobre ameaças e atribuir o domínio ou endereço IP com uma Categoria de Ameaça. |
ThreatConfidence | int | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
ThreatField | string | O campo para o qual foi identificada uma ameaça. O valor é SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
ThreatFirstReportedTime | string | A primeira vez que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatFirstReportedTime_d | datetime | A primeira vez que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatId | string | O ID da ameaça ou software maligno identificado na sessão Web. |
ThreatIpAddr | string | Um endereço IP para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. Se for identificada uma ameaça no campo Domínio, este campo deverá estar vazio. |
ThreatIsActive | bool | ID verdadeiro a ameaça identificada é considerada uma ameaça ativa. |
ThreatLastReportedTime | string | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatLastReportedTime_d | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatName | string | O nome da ameaça identificada, conforme comunicado pelo dispositivo de relatório. |
ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
ThreatOriginalRiskLevel | int | O nível de risco original associado à ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
ThreatOriginalRiskLevel_s | string | O nível de risco associado à ameaça identificada, normalizado com um valor entre 0 e 100. |
ThreatRiskLevel | int | O nível de risco associado à ameaça identificada, normalizado com um valor entre 0 e 100. |
TimeGenerated | datetime | O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
TransactionIdHex | string | O ID de transação hexadecimal exclusivo do DNS. |
Tipo | string | O nome da tabela |
UrlCategory | string | Uma origem de eventoS DNS também pode procurar a categoria dos Domínios pedidos. |
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários