ASimDhcpEventLogs
Схема DHCP ASIM представляет активность DHCP-сервера, включают обслуживание запросов для IP-адресов DHCP, арендуемых у клиентских систем, и обновление DNS-сервера с учетом IP-адресов, предоставленных в аренду.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/asimtables |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | - |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| AdditionalFields | Динамический | Дополнительные сведения, представленные с помощью пар "ключ-значение", предоставленных источником, которые не сопоставлены с ASim. |
| _BilledSize | real | Размер записи в байтах |
| DhcpCircuitId | строка | Идентификатор канала DHCP, как определено в RFC3046. |
| DhcpLeaseDuration | INT | Длительность аренды, предоставленной клиенту, в секундах. |
| DhcpSessionDuration | INT | Время в миллисекундах, необходимое для завершения сеанса DHCP. |
| DhcpSessionId | строка | Идентификатор сеанса, сообщаемый устройством составления отчетов. Для DHCP-сервера Windows установите значение в поле TransactionID. |
| DhcpSrcDHCId | строка | Идентификатор DHCP-клиента, определенный в RFC4701. |
| DhcpSubscriberId | строка | Идентификатор подписчика DHCP, как определено в RFC3993. |
| DhcpUserClass | строка | Класс пользователя DHCP в соответствии с определением в RFC3004. |
| DhcpUserClassId | строка | Идентификатор класса пользователя DHCP в соответствии с определением в RFC3004. |
| DhcpVendorClass | строка | Класс поставщика DHCP в соответствии с определением в RFC3925. |
| DhcpVendorClassId | строка | Идентификатор класса поставщика DHCP в соответствии с определением в RFC3925. |
| DvcAction | строка | Для передающих систем безопасности — действие, предпринимаемое системой (если применимо). |
| DvcDescription | строка | Текст описания, связанный с устройством. |
| DvcDomain | строка | Домен устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы |
| DvcDomainType | строка | Тип DvcDomain. |
| DvcFQDN | строка | Имя узла устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. |
| DvcHostname | строка | Имя узла устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. |
| DvcId | строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. |
| DvcIdType | строка | Тип DvcId. |
| DvcInterface | строка | Сетевой интерфейс, в котором были фиксируются данные. Это поле обычно относится к сетевой активности, которая фиксируется промежуточным устройством или устройством TAP. |
| DvcIpAddr | строка | IP-адрес устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. |
| DvcMacAddr | строка | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. |
| DvcOriginalAction | строка | Исходное действие DvcAction, предоставленное передающим устройством. |
| DvcOs | строка | Операционная система, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcOsVersion | строка | Версия операционной системы, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcScope | строка | Облачная платформа область принадлежит устройство. DvcScope сопоставляет имя подписки в Azure и идентификатор учетной записи в AWS. |
| DvcScopeId | строка | Идентификатор область облачной платформы, к которому принадлежит устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcZone | строка | Сеть, в которой произошло событие или которая сообщила о событии, в зависимости от схемы. Зона определяется передающим устройством. |
| EventCount | INT | Количество событий, описываемых записью. Это значение используется, когда источник поддерживает агрегирование, и одна запись может представлять несколько событий. |
| EventEndTime | DATETIME | Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, то время создания последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventMessage | строка | Общее сообщение или описание, либо включенное в запись, либо созданное на основе записи. |
| EventOriginalResultDetails | строка | Исходные сведения о результатах, предоставленные источником. Это значение используется для получения значения EventResultDetails, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| EventOriginalSeverity | строка | Исходная степень серьезности, предоставленная передающим устройством. Это значение используется для получения EventSeverity. |
| EventOriginalSubType | строка | Исходный идентификатор или подтип события, если предоставлен источником. |
| EventOriginalType | строка | Исходный идентификатор или тип события, если он указан источником. |
| EventOriginalUid | строка | Уникальный идентификатор исходной записи, если он указан источником. |
| EventOwner | строка | Владелец события, который обычно является отделом или дочерним подразделением, в котором оно было создано. |
| EventProduct | строка | Продукт, создающий событие. Значение должно быть одним из значений, перечисленных в списке Поставщики и продукты. |
| EventProductVersion | строка | Версия продукта, создающего событие. |
| EventReportUrl | строка | URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
| EventResult | строка | Результат события, представленный одним из следующих значений: Success, Partial, Failure, NA (неприменимо). |
| EventResultDetails | строка | Причина или подробные сведения для результата, полученного в поле EventResult. |
| EventSchema | строка | Схема, в которую было нормализовано событие. Каждая схема документирует имя схемы. |
| EventSchemaVersion | строка | Номер версии схемы. В каждой схеме документируется ее текущая версия. |
| EventSeverity | строка | Серьезность события. |
| EventStartTime | DATETIME | Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, то время создания первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventSubType | строка | Описывает подразделение операции, записанной в поле EventType. |
| EventType | строка | Описывает операцию, о которой сообщает эта запись. |
| EventVendor | строка | Поставщик продукта, создающего событие. Значение должно быть одним из значений, перечисленных в списке Поставщики и продукты. |
| _IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
| RequestedIpAddr | строка | IP-адрес, запрошенный клиентом DHCP, если он доступен. |
| _ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись |
| RuleName | строка | Имя или идентификатор правила, связанного с результатами проверки. |
| RuleNumber | INT | Номер правила, связанного с результатами проверки. |
| SourceSystem | строка | Тип агента, которым было выполнено событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| SrcDescription | строка | Текст описания, связанный с устройством. |
| SrcDeviceType | строка | Тип устройства. |
| SrcDomain | строка | Домен устройства. |
| SrcDomainType | строка | Тип домена. |
| SrcDvcId | строка | Идентификатор устройства. |
| SrcDvcIdType | строка | Тип DvcId. |
| SrcDvcScope | строка | Облачная платформа область принадлежит устройству. |
| SrcDvcScopeId | строка | Идентификатор область облачной платформы, к которому принадлежит устройство. |
| SrcFQDN | строка | Имя узла устройства, включая сведения о домене, если они доступны. |
| SrcGeoCity | строка | Город, связанный с исходным IP-адресом. |
| SrcGeoCountry | строка | Страна, связанная с исходным IP-адресом. |
| SrcGeoLatitude | real | Географическая широта, связанная с исходным IP-адресом. |
| SrcGeoLongitude | real | Географическая долгота, связанная с исходным IP-адресом. |
| SrcGeoRegion | строка | Регион в стране, связанной с исходным IP-адресом. |
| SrcHostname | строка | Имя узла устройства, за исключением сведений о домене. |
| SrcIpAddr | строка | IP-адрес исходного устройства. |
| SrcMacAddr | строка | MAC-адрес сетевого интерфейса, из которого создано подключение или сеанс. |
| SrcOriginalRiskLevel | строка | Уровень риска, ассоциируемый с идентифицированным источником, сообщается устройством отчетности. |
| SrcOriginalUserType | строка | Начальный тип исходного пользователя, если он указан источником. |
| SrcPortNumber | INT | IP-порт, по которому устройство обменивается данными, если применимо. |
| SrcRiskLevel | INT | Уровень риска, связанный с идентифицированным источником. |
| SrcUserId | строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее пользователя. |
| SrcUserIdType | строка | Тип SrcUserId. |
| SrcUsername | строка | Имя пользователя, включая сведения о домене, если они доступны. |
| SrcUsernameType | строка | Тип имени пользователя. |
| SrcUserScope | строка | Тип имени пользователя. |
| SrcUserScopeId | строка | Идентификатор область, например идентификатор клиента Azure AD, в котором определены UserId и Username. |
| SrcUserSessionId | строка | Уникальный идентификатор сеанса входа пользователя. |
| SrcUserType | строка | Тип пользователя |
| SrcUserUid | строка | Идентификатор пользователя Unix или Linux. |
| _SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| ThreatCategory | строка | Категория угрозы или вредоносной программы, идентифицированной в действии. |
| ThreatConfidence | INT | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatField | строка | Поле, для которого была обнаружена угроза. |
| ThreatFirstReportedTime | DATETIME | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatId | строка | Идентификатор угрозы или вредоносной программы, идентифицированной в действии. |
| ThreatIsActive | bool | Истинный идентификатор обнаруженной угрозы считается активной угрозой. |
| ThreatLastReportedTime | DATETIME | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| ThreatName | строка | Имя угрозы или вредоносной программы, идентифицированной в действии. |
| ThreatOriginalConfidence | строка | Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatOriginalRiskLevel | строка | Уровень риска, сообщаемый устройством отчетов. |
| ThreatRiskLevel | INT | Уровень риска, связанный с обнаруженной угрозой. Уровень должен быть числом от 0 до 100. |
| TimeGenerated | DATETIME | Метка времени (UTC), отражающая время создания события. |
| Тип | строка | Имя таблицы. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по