ASimDnsActivityLogs
ASim DNS etkinlik şeması, BIR DNS sunucusu veya DNS sunucusuna DNS istekleri gönderen bir cihaz tarafından günlüğe kaydedilebilen DNS protokolü etkinliğini temsil eder. DNS protokolü etkinliği DNS sorgularını, DNS sunucusu güncelleştirmelerini ve DNS toplu veri aktarımlarını içerir. Şema protokol etkinliğini temsil ettiğinden RFC'ler tarafından yönetilir ve resmi olarak parametre listeleri atanır. DNS etkinlik şeması DNS sunucusu denetim olaylarını temsil etmez.
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | microsoft.securityinsights/dnsnormalized |
| Kategoriler | Güvenlik |
| Çözümler | SecurityInsights |
| Temel günlük | No |
| Veri alımı-zaman dönüşümü | Yes |
| Örnek Sorgular | Evet |
Sütunlar
| Sütun | Tür | Description |
|---|---|---|
| EkAlanlar | dynamic | Kaynak tarafından sağlanan ve ASim ile eşlenmemiş anahtar/değer çiftleri kullanılarak temsil edilen ek bilgiler. |
| _BilledSize | real | Bayt cinsinden kayıt boyutu |
| DnsFlags | string | RAPORLAMA cihazı tarafından sağlanan DNS isteği bayrakları. DNS bayrak bilgilerinin yapısı farklı raporlama cihazları arasında farklılık gösterebilir. |
| DnsFlagsAuthenticated | bool | DNSSEC ile ilgili DNS kimliği doğrulanmış yanıt bayrağı, yanıtın yanıt ve yetkili bölümlerinde yer alan tüm verilerin sunucu tarafından ilgili sunucunun ilkelerine göre doğrulandığını belirtir. Daha fazla bilgi için bkz. RFC 3655 Bölüm 6.1. |
| DnsFlagsAuthoritative | bool | DNS yetkili yanıt bayrağı, sunucudan gelen yanıtın yetkili olup olmadığını gösterir. |
| DnsFlagsCheckingDisabled | bool | DNSSEC ile ilgili DNS CD bayrağı, bir sorguda doğrulanmamış verilerin sorguyu gönderen sistem tarafından kabul edilebilir olduğunu belirtir. |
| DnsFlagsRecursionAvailable | bool | DNS RA bayrağı, bir yanıtta sunucunun özyinelemeli sorguları desteklediğini belirtir. |
| DnsFlagsRecursionDesired | bool | DNS özyineleme istenen bayrağı, bir istekte istemcinin sunucunun özyinelemeli sorgular kullanmasını isteyebileceğini belirtir. |
| DnsFlagsTruncated | bool | DNS TC bayrağı, yanıt boyutunun üst sınırını aştığından yanıtın kesildiğini gösterir. |
| DnsFlagsZ | bool | DNS Z bayrağı, eski DNS sistemleri tarafından bildirilebilen kullanım dışı bir DNS bayrağıdır. |
| DnsNetworkDuration | int | DNS isteğinin tamamlanması için milisaniye cinsinden süre. |
| DnsQuery | string | Çözülmesi gereken etki alanı. |
| DnsQueryClass | int | İnternet Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS sınıf kimliği. |
| DnsQueryClassName | string | İnternet Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS sınıf adı. |
| DnsQueryType | int | İnternet Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS kaynak kaydı türü kodları. |
| DnsQueryTypeName | string | İnternet Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS kaynak kayıt türü adı. |
| DnsResponseCode | int | İnternet Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS sayısal yanıt kodu. |
| DnsResponseIpCity | string | Yanıt IP adresiyle ilişkili şehir. |
| DnsResponseIpCountry | string | Yanıt IP adresiyle ilişkili ülke. |
| DnsResponseIpLatitude | real | Yanıt IP adresiyle ilişkili coğrafi koordinatın Enlemi. |
| DnsResponseIpLongitude | real | Yanıt IP adresiyle ilişkili coğrafi koordinatın boylamı. |
| DnsResponseIpRegion | string | Kaynak IP adresiyle ilişkili bir ülke içindeki bölge veya eyalet. |
| DnsResponseName | string | Kayıtta yer aldığı gibi yanıtın içeriği. DNS yanıt verilerinin yapısı farklı raporlama cihazları arasında farklılık gösterebilir. |
| DnsSessionId | string | Raporlama cihazı tarafından bildirilen DNS oturum tanımlayıcısı. |
| Dst | string | DNS isteğini alan sunucunun benzersiz tanımlayıcısı. |
| DstDescription | string | Hedefle ilişkili açıklayıcı bir metin. |
| DstDeviceType | string | Hedef cihazın türü. |
| DstDomain | string | Hedef cihazın etki alanı. |
| DstDomainType | string | DstDomain türü. |
| DstDvcId | string | Hedef cihazın kimliği. |
| DstDvcIdType | string | DstDvcId türü. |
| DstDvcScope | string | Hedef cihazın ait olduğu bulut platformu kapsamı. DvcScope, Azure'da bir aboneliğe ve AWS'de bir hesaba eşler. |
| DstDvcScopeId | string | Hedef cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DstFQDN | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı. |
| DstGeoCity | string | Hedef IP adresiyle ilişkili şehir. |
| DstGeoCountry | string | Hedef IP adresiyle ilişkili ülke. |
| DstGeoLatitude | real | Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi. |
| DstGeoLongitude | real | Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı. |
| DstGeoRegion | string | Hedef IP adresiyle ilişkili bir ülke içindeki bölge veya eyalet. |
| DstHostname | string | Etki alanı bilgileri hariç, hedef cihaz ana bilgisayar adı. |
| DstIpAddr | string | DNS isteğini alan sunucunun IP adresi. Normal bir DNS isteği için bu değer genellikle raporlama cihazı olur ve çoğu durumda 127.0.0.1 olarak ayarlanır. |
| DstOriginalRiskLevel | string | Raporlama cihazı tarafından bildirilen hedef cihazla ilişkili risk düzeyi. |
| DstPortNumber | int | Hedef Bağlantı Noktası numarası. |
| DstRiskLevel | int | Hedef cihazla ilişkili risk düzeyi. |
| Dvc | string | Olayı bildiren cihazın benzersiz tanımlayıcısı. Tanımlayıcı bir IP Adresi, konak adı veya cihaz kimliği olabilir. |
| DvcAction | string | İstekte raporlama cihazı tarafından gerçekleştirilen eylem, örneğin cihazı engelleme. |
| DvcDescription | string | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Birincil Etki Alanı Denetleyicisi. |
| DvcDomain | string | Olayı bildiren cihazın etki alanı. |
| DvcDomainType | string | DvcDomain türü. Olası değerler arasında "Windows" ve "FQDN" bulunur. |
| DvcFQDN | string | Olayı bildiren cihazın etki alanı bilgileri de dahil olmak üzere tam konak adı. |
| DvcHostname | string | Olayı bildiren cihazın ana bilgisayar adı. |
| DvcId | string | Olayı bildiren cihazın benzersiz kimliği. |
| DvcIdType | string | DvcId türü. |
| DvcInterface | string | Verilerin yakalandığı ağ arabirimi. Bu alan genellikle bir ara veya dokunma cihazı tarafından yakalanan ağ ile ilgili etkinlikle ilgilidir. |
| DvcIpAddr | string | Olayı bildiren cihazın IP Adresi. |
| DvcMacAddr | string | Olayı bildiren cihazın MAC adresi. |
| DvcOriginalAction | string | Raporlama cihazı tarafından sağlanan özgün DvcAction. |
| DvcO'lar | string | Olayı bildiren cihazda çalışan işletim sistemi. |
| DvcOsVersion | string | Olayı bildiren cihazdaki işletim sisteminin sürümü. |
| DvcScope | string | Cihazın ait olduğu bulut platformu kapsamı. DvcScope, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DvcScopeId | string | Cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DvcZone | string | Olayı bildiren cihazın ağ kesimi. |
| EventCount | int | Kayıt tarafından açıklanan olay sayısı. Bu değer, kaynak toplamayı desteklediğinde kullanılır ve tek bir kayıt birden çok olayı temsil edebilir. |
| EventEndTime | datetime | Olayın sona erdiği saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, son olayın oluşturulduğu zaman. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer adlar ekler. |
| EventMessage | string | Genel bir ileti veya açıklama. |
| EventOriginalSeverity | string | Raporlama cihazı tarafından sağlanan özgün önem derecesi. Bu değer EventSeverity'yi türetmek için kullanılır. |
| EventOriginalType | string | Özgün olay türü veya kimliği, örneğin özgün Windows olay kimliği. |
| EventOriginalUid | string | Özgün kaydın benzersiz kimliği. |
| EventOwner | string | Genellikle oluşturulduğu departman veya yan kuruluş olan etkinliğin sahibi. |
| EventProduct | string | Olayı oluşturan ürün. |
| EventProductVersion | string | Olayı oluşturan ürünün sürümü. |
| EventReportUrl | string | Olay hakkında ek bilgi sağlayan bir kaynağın URL'si. |
| EventResult | string | Olayın sonucu, şu değerlerden biriyle gösterilir: Success, Partial, Failure, NA (Uygulanamaz). Değer doğrudan kaynaklar tarafından sağlanmayabilir; bu durumda, eventResultDetails alanı gibi diğer olay alanlarından türetilir. |
| EventResultDetails | string | İnternet Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS yanıt kodu. |
| EventSchemaVersion | string | Şema sürümü. |
| EventSeverity | string | Olayın önem derecesi. Geçerli değerler şunlardır: Bilgilendirsel, Düşük, Orta veya Yüksek. |
| EventStartTime | datetime | Olayın başlatıldığı saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, ilk olayın oluşturulduğu zaman. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer adlar ekler. |
| EventSubType | string | İstek veya yanıt. |
| Olay türü | string | Kayıt tarafından bildirilen işlemi gösterir. DNS etkinlik olayları için bu değer, İnternet Atanan Numaralar Yetkilisi (IANA) tarafından tanımlanan DNS işlem kodudur. |
| EventVendor | string | Olayı oluşturan ürünün satıcısı. |
| _IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
| Networkprotocol | string | Ağ çözümleme olayı tarafından kullanılan aktarım protokolü. Değer UDP veya TCP olabilir. |
| NetworkProtocolVersion | string | Ağ protokolünün sürümü. Genellikle IPv4 ile Ipv6 arasında ayrım yapmak için kullanılır. |
| _Resourceıd | string | Kaydın ilişkili olduğu kaynağın benzersiz tanımlayıcısı |
| Rulename | string | İnceleme sonuçlarıyla ilişkili kuralın adı veya kimliği. |
| RuleNumber | int | İnceleme sonuçlarıyla ilişkili kuralın sayısı. |
| SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
| Src | string | Kaynak cihazın benzersiz tanımlayıcısı. |
| SrcDescription | string | İnceleme sonuçlarıyla ilişkili kuralın sayısı. |
| SrcDeviceType | string | Kaynak cihazın türü. |
| SrcDomain | string | Kaynak cihazın etki alanı. |
| SrcDomainType | string | SrcDomain türü. |
| SrcDvcId | string | Kaynak cihazın kimliği. |
| SrcDvcIdType | string | SrcDvcId türü. |
| SrcDvcScope | string | Kaynak cihazın ait olduğu bulut platformu kapsamı. DvcScope, Azure'da bir aboneliğe ve AWS'de bir hesaba eşler. |
| SrcDvcScopeId | string | Kaynak cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcFQDN | string | Etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. |
| SrcGeoCity | string | Kaynak IP adresiyle ilişkili şehir. |
| SrcGeoCountry | string | Kaynak IP adresiyle ilişkili ülke. |
| SrcGeoLatitude | real | Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. |
| SrcGeoLongitude | real | Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. |
| SrcGeoRegion | string | Kaynak IP adresiyle ilişkili bir ülke içindeki bölge veya eyalet. |
| SrcHostname | string | Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı. |
| SrcIpAddr | string | DNS isteğini gönderen istemcinin IP adresi. Özyinelemeli bir DNS isteği için bu değer genellikle raporlama cihazı olur ve çoğu durumda 127.0.0.1 olarak ayarlanır. |
| SrcOriginalRiskLevel | string | Raporlama cihazı tarafından bildirilen kaynak cihazla ilişkili risk düzeyi. |
| SrcOriginalUserType | string | Kaynak tarafından sağlanan özgün kaynak kullanıcı türü. |
| SrcPortNumber | int | DNS sorgusunun kaynak bağlantı noktası. |
| SrcProcessGuid | string | DNS isteğini başlatan işlemin oluşturulmuş benzersiz tanımlayıcısı (GUID). |
| SrcProcessId | string | DNS isteğini başlatan işlemin işlem kimliği (PID). |
| SrcProcessName | string | DNS isteğini başlatan işlemin adı. |
| SrcRiskLevel | int | Kaynak cihazla ilişkili risk düzeyi. |
| SrcUserId | string | Kaynak kullanıcının makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. |
| SrcUserIdType | string | SrcUserId alanında depolanan kimliğin türü. |
| SrcUsername | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Kaynak kullanıcı adı. |
| SrcUsernameType | string | SrcUsername alanında depolanan kullanıcı adının türü. |
| SrcUserScope | string | SrcUserId ve SrcUsername'in tanımlandığı Azure AD kiracısı gibi kapsam. |
| SrcUserScopeId | string | SrcUserId ve SrcUsername'in tanımlandığı Azure AD kiracı gibi kapsamın kimliği. |
| SrcUserSessionId | string | Kaynak kullanıcının oturum açma oturumunun benzersiz kimliği. |
| SrcUserType | string | Kaynak kullanıcının türü. |
| _SubscriptionId | string | Kaydın ilişkili olduğu abonelik için benzersiz tanımlayıcı |
| TenantId | string | Log Analytics çalışma alanı kimliği |
| ThreatCategory | string | DNS olay kaynağı DNS güvenliği de sağlıyorsa DNS olayını da değerlendirebilir. Örneğin, bir tehdit bilgileri veritabanında IP adresini veya etki alanını arayabilir ve etki alanını veya IP adresini Bir Tehdit Kategorisi ile atayabilir. |
| ThreatConfidence | int | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
| ThreatField | string | Bir tehdidin tanımlandığı alan. Değer SrcIpAddr, DstIpAddr, Domain veya DnsResponseName şeklindedir. |
| ThreatFirstReportedTime | string | IP adresi veya etki alanı ilk kez tehdit olarak tanımlandı. |
| ThreatFirstReportedTime_d | datetime | IP adresi veya etki alanı ilk kez tehdit olarak tanımlandı. |
| ThreatId | string | Web oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. |
| ThreatIpAddr | string | Bir tehdidin tanımlandığı IP adresi. ThreatField alanı ThreatIpAddr'ın temsil ettiği alanın adını içerir. Etki Alanı alanında bir tehdit tanımlanırsa, bu alan boş olmalıdır. |
| ThreatIsActive | bool | Tanımlanan tehdidin gerçek kimliği etkin bir tehdit olarak kabul edilir. |
| ThreatLastReportedTime | string | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
| ThreatLastReportedTime_d | datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
| ThreatName | string | Raporlama cihazı tarafından bildirildiği gibi tanımlanan tehdidin adı. |
| ThreatOriginalConfidence | string | Raporlama cihazı tarafından bildirildiği gibi tanımlanan tehdidin özgün güvenilirlik düzeyi. |
| ThreatOriginalRiskLevel | int | Raporlama cihazı tarafından bildirilen tehditle ilişkili özgün risk düzeyi. |
| ThreatOriginalRiskLevel_s | string | Tanımlanan tehditle ilişkili risk düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
| ThreatRiskLevel | int | Tanımlanan tehditle ilişkili risk düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
| TimeGenerated | datetime | Olayın oluşturulduğu zamanı yansıtan zaman damgası (UTC). |
| TransactionIdHex | string | DNS benzersiz onaltılık işlem kimliği. |
| Tür | string | Tablonun adı |
| UrlCategory | string | DNS olay kaynağı, istenen Etki Alanlarının kategorisini de arayabilir. |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin