ASimDhcpEventLogs
AMIS DHCP 正規化結構描述中代表 DHCP 伺服器事件,包括為從用戶端系統租用的 DHCP IP 位址服務要求,以及更新已獲得租用的 DNS 伺服器。
數據表屬性
屬性 | 值 |
---|---|
資源類型 | microsoft.securityinsights/asimtables |
類別 | 安全性 |
方案 | SecurityInsights |
基本記錄檔 | No |
擷取時間轉換 | Yes |
範例查詢 | - |
資料行
資料行 | 類型 | Description |
---|---|---|
AdditionalFields | 動態 | 其他資訊,以未對應至 ASim 的來源所提供的索引鍵/值組表示。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
DhcpCircuitId | 字串 | DHCP 線路標識碼,如RFC3046所定義。 |
DhcpLeaseDuration | int | 授與給用戶端的租用長度 (以秒為單位)。 |
DhcpSessionDuration | int | 完成 DHCP 工作階段所需的時間長度 (以毫秒為單位)。 |
DhcpSessionId | 字串 | 報告裝置回報的工作階段識別碼。 針對 Windows DHCP 伺服器,請將此設定為 [TransactionID] 欄位。 |
DhcpSrcDHCId | 字串 | DHCP 用戶端識別碼,如RFC4701所定義。 |
DhcpSubscriberId | 字串 | DHCP 訂閱者標識碼,如RFC3993所定義。 |
DhcpUserClass | 字串 | 由 RFC3004 (英文) 定義的 DHCP 使用者類別。 |
DhcpUserClassId | 字串 | 由 RFC3004 (英文) 定義的 DHCP 使用者類別識別碼。 |
DhcpVendorClass | 字串 | 由 RFC3925 (英文) 定義的 DHCP 廠商類別。 |
DhcpVendorClassId | 字串 | 由 RFC3925 (英文) 定義的 DHCP 廠商類別識別碼。 |
DvcAction | 字串 | 針對報告安全性系統,如果適用,則為系統所採取的動作。 |
DvcDescription | 字串 | 與裝置相關聯的描述性文字。 |
DvcDomain | 字串 | 發生事件或報告事件之裝置的網域,視架構而定 |
DvcDomainType | 字串 | DvcDomain 的類型。 |
DvcFQDN | 字串 | 發生事件或報告事件裝置的主機名稱,視結構描述而定。 |
DvcHostname | 字串 | 發生事件或報告事件裝置的主機名稱,視結構描述而定。 |
DvcId | 字串 | 發生事件或報告事件裝置的唯一識別碼,視結構描述而定。 |
DvcIdType | 字串 | DvcId 的類型。 |
DvcInterface | 字串 | 擷取資料的網路介面。 此欄位通常與中繼或點選裝置所擷取的網路相關活動相關聯。 |
DvcIpAddr | 字串 | 發生事件或報告事件裝置的 IP 位址,視結構描述而定。 |
DvcMacAddr | 字串 | 發生事件或報告事件裝置的 MAC 位址,視結構描述而定。 |
DvcOriginalAction | 字串 | 報告裝置所提供原始的 DvcAction。 |
DvcOs | 字串 | 在發生事件或報告事件裝置的作業系統執行。 |
DvcOsVersion | 字串 | 在發生事件或報告事件裝置的作業系統版本。 |
DvcScope | 字串 | 裝置所屬的雲端平台範圍。 DvcScope 會對應至 Azure 上的訂用帳戶名稱,以及 AWS 上的帳戶標識碼。 |
DvcScopeId | 字串 | 裝置所屬的雲端平臺範圍標識碼。 DvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
DvcZone | 字串 | 發生事件或報告事件裝置的網路,視結構描述而定。 區域由報告裝置定義。 |
EventCount | int | 記錄所描述的事件數目。 當來源支援彙總,而單一記錄可能代表多個事件時,就會使用這個值。 |
EventEndTime | datetime | 事件結束的時間。 如果來源支持匯總,而記錄代表多個事件,則產生最後一個事件的時間。 如果來源記錄未提供,此欄位會別名為 TimeGenerated 欄位。 |
EventMessage | 字串 | 包含在記錄中或從記錄產生的一般訊息或資料列。 |
EventOriginalResultDetails | 字串 | 來源所提供的原始結果詳細資料。 此值用來衍生 EventResultDetails,這應該只有針對每個結構描述記載的其中一個值。 |
EventOriginalSeverity | 字串 | 報告裝置所提供的原始嚴重性。 此值用來衍生 EventSeverity。 |
EventOriginalSubType | 字串 | 如果由來源提供,則為原始事件子類型或識別碼。 |
EventOriginalType | 字串 | 如果由來源提供,則為原始事件類型或識別碼。 |
EventOriginalUid | 字串 | 如果由來源提供,則為原始資料列的唯一識別碼。 |
EventOwner | 字串 | 事件的擁有者,通常是產生事件的部門或子公司。 |
EventProduct | 字串 | 產生事件的產品。 此值應該為 [廠商和產品] 中列出的其中一個值。 |
EventProductVersion | 字串 | 產生事件的產品版本。 |
EventReportUrl | 字串 | 事件中所提供的 URL,提供該事件的詳細資訊。 |
EventResult | 字串 | 事件的結果,以下列其中一個值表示:成功、部分、失敗、NA (不適用) 。 |
EventResultDetails | 字串 | EventResult 欄位中所報告的原因或詳細資訊結果。 |
EventSchema | 字串 | 事件正規化的結構描述。 每個結構描述會記錄其結構描述的名稱。 |
EventSchemaVersion | 字串 | 結構描述的版本。 每個結構描述都會記錄其目前的版本。 |
EventSeverity | 字串 | 該事件的嚴重性。 |
EventStartTime | datetime | 事件開始的時間。 如果來源支持匯總,而記錄代表多個事件,則產生第一個事件的時間。 如果來源記錄未提供,此欄位會別名為 TimeGenerated 欄位。 |
EventSubType | 字串 | 描述 EventType 欄位中所報告的作業細分。 |
EventType | 字串 | 描述記錄所報告的作業。 |
EventVendor | 字串 | 產生事件的產品廠商。 此值應該為 [廠商和產品] 中列出的其中一個值。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
RequestedlpAddr | 字串 | 由 DHCP 用戶端在可用時所要求的 IP 位址。 |
_ResourceId | 字串 | 記錄相關資源的唯一識別碼。 |
RuleName | 字串 | 與檢查結果相關聯的規則名稱或標識碼。 |
RuleNumber | int | 與檢查結果相關聯的規則數目。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,OpsManager 針對 Windows 代理程式、直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
SrcDescription | 字串 | 與裝置相關聯的描述性文字。 |
SrcDeviceType | 字串 | 裝置的類型。 |
SrcDomain | 字串 | 裝置的網域。 |
SrcDomainType | 字串 | 網域類型。 |
SrcDvcId | 字串 | 裝置的標識碼。 |
SrcDvcIdType | 字串 | DvcId 的類型。 |
SrcDvcScope | 字串 | 裝置所屬的雲端平台範圍。 |
SrcDvcScopeId | 字串 | 裝置所屬的雲端平臺範圍標識碼。 |
SrcFQDN | 字串 | 裝置主機名,包括可用時的網域資訊。 |
SrcGeoCity | 字串 | 與來源 IP 位址相關聯的城市。 |
SrcGeoCountry | 字串 | 與來源 IP 位址相關聯的國家/地區。 |
SrcGeoLatitude | real | 與來源 IP 位址相關聯的地理座標緯度。 |
SrcGeoLongitude | real | 與來源 IP 位址相關聯的地理座標經度。 |
SrcGeoRegion | 字串 | 與來源IP位址相關聯的國家/地區。 |
SrcHostname | 字串 | 裝置主機名,不包括網域資訊。 |
SrcIpAddr | 字串 | 來源裝置的 IP 位址。 |
SrcMacAddr | 字串 | 連線或工作階段來源網路介面的 MAC 位址。 |
SrcOriginalRiskLevel | 字串 | 由報告裝置回報之已識別來源的風險層級。 |
SrcOriginalUserType | 字串 | 由來源所提供的原始來源使用者類型。 |
SrcPortNumber | int | 如果適用,裝置所通訊的IP埠。 |
SrcRiskLevel | int | 與識別的來源相關聯的風險層級。 |
SrcUserId | 字串 | 機器可讀取、英數字元且唯一的使用者表示法。 |
SrcUserIdType | 字串 | SrcUserId 的類型。 |
SrcUsername | 字串 | 使用者的用戶名稱,包括可用時的網域資訊。 |
SrcUsernameType | 字串 | 用戶名稱的類型。 |
SrcUserScope | 字串 | 用戶名稱的類型。 |
SrcUserScopeId | 字串 | 定義UserId和Username的範圍標識碼,例如 Azure AD 租使用者識別碼。 |
SrcUserSessionId | 字串 | 使用者登入會話的唯一標識符。 |
SrcUserType | 字串 | 用戶類型 |
SrcUserUid | 字串 | 使用者的 Unix 或 Linux 用戶識別碼。 |
_SubscriptionId | 字串 | 與記錄相關的訂用帳戶唯一識別碼 |
TenantId | 字串 | Log Analytics 工作區標識符 |
ThreatCategory | 字串 | 活動中所識別的威脅或惡意代碼類別。 |
ThreatConfidence | int | 已識別威脅的信賴等級,標準化為 0 到 100 之間的值。 |
ThreatField | 字串 | 已識別威脅的欄位。 |
ThreatFirstReportedTime | Datetime | 第一次 IP 位址或網域被識別為威脅的時間。 |
ThreatId | 字串 | 活動中所識別威脅或惡意代碼的標識碼。 |
ThreatIsActive | bool | 已識別威脅的 True ID 被視為作用中的威脅。 |
ThreatLastReportedTime | Datetime | 上次 IP 位址或網域被視為威脅的時間。 |
ThreatName | 字串 | 活動中所識別的威脅或惡意代碼名稱。 |
ThreatOriginalConfidence | 字串 | 已識別威脅的原始信賴等級,如報告裝置中所回報。 |
ThreatOriginalRiskLevel | 字串 | 報告裝置所報告的風險層級。 |
ThreatRiskLevel | int | 與識別的威脅相關聯的風險層級。 層級應該為 0 與 100 之間的數字。 |
TimeGenerated | Datetime | 時間戳 (UTC) 反映產生事件的時間。 |
類型 | 字串 | 資料表的名稱 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應