Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
ASIM DHCP-schemat representerar DHCP-serveraktivitet, inklusive att hantera begäranden om DHCP IP-adress som leasas från klientsystem och uppdatera en DNS-server med de lån som beviljats.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/asimtables |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Inmatningstidsomvandling | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Ytterligare fält | dynamisk | Ytterligare information som representeras med hjälp av nyckel/värde-par som tillhandahålls av källan som inte mappas till ASim. |
| _Fakturastorlek | verklig / äkta | Poststorleken i byte |
| DhcpCircuitId | sträng | DHCP-krets-ID:t enligt definitionen i RFC3046. |
| DHCP-leasingtidens varaktighet | heltal | Längden på lånet som beviljats en klient i sekunder. |
| DHCP-sessionens varaktighet | heltal | Hur lång tid, i millisekunder, för slutförandet av DHCP-sessionen. |
| DhcpSessionId | sträng | Sessionsidentifieraren som rapporteras av rapporteringsenheten. För Windows DHCP-servern anger du detta till fältet TransactionID. |
| DhcpSrcDHCId | sträng | DHCP-klient-ID:t enligt definitionen i RFC4701. |
| DhcpSubscriberId | sträng | DHCP-prenumerant-ID:t enligt definitionen i RFC3993. |
| DhcpAnvändarklass | sträng | DHCP-användarklassen, som definieras av RFC3004. |
| DhcpUserClassId | sträng | DHCP-användarklass-ID:t enligt definitionen i RFC3004. |
| DHCP-leverantörsklass | sträng | DHCP-leverantörsklassen enligt definitionen i RFC3925. |
| DHCP-leverantörsklass-ID | sträng | DHCP-leverantörsklass-ID:t enligt definitionen i RFC3925. |
| DvcAction | sträng | För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet, om tillämpligt. |
| DvcBeskrivning | sträng | En beskrivande text som är associerad med enheten. |
| DvcDomain | sträng | Domänen för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat |
| DvcDomainType | sträng | Typ av DvcDomain. |
| DvcFQDN | sträng | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. |
| DvcHostname | sträng | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. |
| DvcId | sträng | Det unika ID för enheten där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. |
| DvcIdType | sträng | Typ av DvcId. |
| DvcInterface | sträng | Nätverksgränssnittet som data har avbildats på. Det här fältet är vanligtvis relevant för nätverksrelaterad aktivitet som samlas in av en mellanliggande enhet eller en tryckenhet. |
| DvcIpAddr | sträng | IP-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. |
| DvcMacAddr | sträng | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| DvcOs | sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOsVersion | sträng | Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcScope | sträng | Molnplattformsomfånget som enheten tillhör. DvcScope mappas till ett prenumerationsnamn i Azure och till ett konto-ID på AWS. |
| DvcScopeId | sträng | Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Zonen definieras av rapporteringsenheten. |
| Antal evenemang | heltal | Antalet händelser som beskrivs av posten. Det här värdet används när källan stöder aggregering, och en enskild post kan representera flera händelser. |
| Sluttid för evenemang | tidpunkt | Tiden då händelsen avslutades. Om källan stöder sammansättning och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated. |
| Händelsemeddelande | sträng | Ett allmänt meddelande eller en beskrivning som antingen ingår i eller genereras från posten. |
| HändelseUrsprungligaResultatDetaljer | sträng | Den ursprungliga resultatinformationen som tillhandahålls av källan. Det här värdet används för att härleda EventResultDetails, som bara ska ha ett av de värden som dokumenteras för varje schema. |
| EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. Det här värdet används för att härleda EventSeverity. |
| HändelseOriginalSubTyp | sträng | Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. |
| EvenemangOriginalTyp | sträng | Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. |
| EventOriginalUid | sträng | Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan. |
| Evenemangsarrangör | sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
| EventProduct | sträng | Produkten som genererar händelsen. Värdet bör vara ett av de värden som anges i Leverantörer och produkter. |
| Evenemangsproduktversion | sträng | Den version av produkten som genererar händelsen. |
| EventrapportUrl | sträng | En URL som anges i händelsen för en resurs som ger mer information om händelsen. |
| Evenemangsresultat | sträng | Resultatet av händelsen, som representeras av något av följande värden: Success, Partial, Failure, NA (Not Applicable). |
| Evenemangsresultatdetaljer | sträng | Orsak eller information för resultatet som rapporteras i fältet EventResult. |
| EventSchema | sträng | Schemat som händelsen normaliseras till. Varje schema dokumenterar sitt schemanamn. |
| EventSchemaversion | sträng | Versionen av schemat. Varje schema dokumenterar sin aktuella version. |
| EventSeverity | sträng | Händelsens allvarlighetsgrad. |
| Händelsens starttid | tidpunkt | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated. |
| Eventunderkategori | sträng | Beskriver en indelning av åtgärden som rapporteras i fältet EventType. |
| Evenemangstyp | sträng | Beskriver den åtgärd som rapporterats av posten. |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. Värdet bör vara ett av de värden som anges i Leverantörer och produkter. |
| _ÄrFakturabar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| RequestedIpAddr | sträng | IP-adressen som begärs av DHCP-klienten när den är tillgänglig. |
| _Resurs-id | sträng | En unik identifierare för resursen som posten är associerad med |
| Regelnamn | sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultatet. |
| Regelnummer | heltal | Antalet regler som är associerade med inspektionsresultatet. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcBeskrivning | sträng | En beskrivande text som är associerad med enheten. |
| SrcDeviceType | sträng | Enhetens typ. |
| SrcDomain | sträng | Enhetens domän. |
| SrcDomäntyp | sträng | Typ av domän. |
| SrcDvcId | sträng | Enhetens ID. |
| SrcDvcIdType | sträng | Typ av DvcId. |
| SrcDvcScope | sträng | Molnplattformsomfånget som enheten tillhör. |
| SrcDvcScopeId | sträng | Molnplattformens omfångs-ID som enheten tillhör. |
| SrcFQDN | sträng | Enhetens värdnamn, inklusive domäninformation när det är tillgängligt. |
| SrcGeoCity | sträng | Den ort som är associerad med källans IP-adress. |
| SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude | verklig / äkta | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitud | verklig / äkta | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| KällaGeoRegion | sträng | Regionen inom ett land som är associerat med källans IP-adress.. |
| SrcHostname | sträng | Enhetens värdnamn, exklusive domäninformation. |
| SrcIpAddr | sträng | Källenhetens IP-adress. |
| SrcMacAddr | sträng | MAC-adressen för nätverksgränssnittet som anslutningen eller sessionen kommer från. |
| SrcUrsprungligRisknivå | sträng | Den risknivå som associeras med den identifierade källan enligt rapporteringsenhetens rapporter. |
| SrcOriginalAnvändartyp | sträng | Den ursprungliga källanvändartypen, om den tillhandahålls av källan. |
| SrcPortNumber | heltal | IP-porten som enheten kommunicerade på, om tillämpligt. |
| Risknivå | heltal | Den risknivå som är associerad med den identifierade källan. |
| SrcUserId | sträng | En maskinläsbar, alfanumerisk, unik representation av användaren. |
| SrcUserIdType | sträng | Typen av SrcUserId. |
| SrcUsername | sträng | Användarens användarnamn, inklusive domäninformation när det är tillgängligt. |
| SrcAnvändarnamnTyp | sträng | Typ av användarnamn. |
| SrcUserScope | sträng | Typ av användarnamn. |
| SrcUserScopeId | sträng | Omfångs-ID:t, till exempel Azure AD-klientorganisations-ID, där UserId och Username definieras. |
| SrcUserSessionId | sträng | Det unika ID:t för användarens inloggningssession. |
| SrcUserType | sträng | Typ av användare |
| SrcUserUid | sträng | Användarens Unix- eller Linux-användar-ID. |
| _Prenumerations-ID | sträng | En unik identifierare för prenumerationen som posten är associerad med |
| Hyresgivares-id | sträng | Log Analytics-arbetsytans ID |
| Hotkategori | sträng | Kategorin för det hot eller skadlig kod som identifieras i aktiviteten. |
| ThreatConfidence | heltal | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField | sträng | Fältet som ett hot identifierades för. |
| TidFörstRapporteradeHotet | tidpunkt | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId | sträng | ID:t för det hot eller den skadliga kod som identifieras i aktiviteten. |
| Hotet är aktivt | Bool | Sant ID som det identifierade hotet betraktas som ett aktivt hot. |
| TidpunktFörSenasteRapporteradeHotet | tidpunkt | Senast IP-adressen eller domänen identifierades som ett hot. |
| Hotnamn | sträng | Namnet på det hot eller den skadliga kod som identifieras i aktiviteten. |
| Hotets Ursprungliga Självförtroende | sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| UrsprungsrisknivåFörHotet | sträng | Risknivån som rapporteras av rapporteringsenheten. |
| Hotrisknivå | heltal | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. |
| Tidpunkt för generering | tidpunkt | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
| Typ | sträng | Namnet på tabellen |