Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
ASim DNS-aktivitetsschemat representerar DNS-protokollaktivitet, som kan loggas antingen av en DNS-server eller av en enhet som skickar DNS-begäranden till en DNS-server. DNS-protokollaktiviteten omfattar DNS-frågor, DNS-serveruppdateringar och massöverföringar av DNS-data. Eftersom schemat representerar protokollaktiviteten styrs det av RFC:er och officiellt tilldelade parameterlistor. DNS-aktivitetsschemat representerar inte DNS-servergranskningshändelser.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/dnsnormalized |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Inmatningstidstransformation | Ja |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Ytterligare fält | dynamisk | Ytterligare information som representeras med hjälp av nyckel/värde-par som tillhandahålls av källan som inte mappas till ASim. |
| _Fakturastorlek | verklig | Poststorleken i byte |
| DnsFlags | sträng | DNS-begärandeflaggor, som tillhandahålls av rapporteringsenheten. Strukturen för DNS-flaggornas information kan variera mellan olika rapporteringsenheter. |
| DnsFlaggorAutentiserad | Bool | Den DNS-autentiserade svarflaggan, som är relaterad till DNSSEC, anger i ett svar att alla data som ingår i svars- och auktoritetsavsnitten i svaret har verifierats av servern enligt serverns policyer. Se RFC 3655 Avsnitt 6.1 för mer information. |
| DnsFlagsAuthoritative | Bool | Flaggan DNS-auktoritativt svar anger om svaret från servern var auktoritativt. |
| DnsFlaggkontrollDeaktiverad | Bool | DNS CD-flaggan, som är relaterad till DNSSEC, anger i en fråga att icke-verifierade data är godtagbara för systemet som skickar frågan. |
| DnsFlagsRekursionTillgänglig | Bool | DNS RA-flaggan anger i ett svar att servern stöder rekursiva frågor. |
| DnsFlaggorÅterkurserÖnskas | Bool | Flaggan FÖR DNS-rekursion anger i en begäran att klienten vill att servern ska använda rekursiva frågor. |
| DnsFlagsTruncated | Bool | DNS TC-flaggan anger att ett svar trunkerades eftersom det överskred den maximala svarsstorleken. |
| DnsFlagsZ | Bool | DNS Z-flaggan är en inaktuell DNS-flagga som kan rapporteras av äldre DNS-system. |
| Dns-nätverksvaraktighet | heltal | Hur lång tid, i millisekunder, för slutförande av DNS-begäran. |
| DnsQuery | sträng | Den domän som behöver upplösas. |
| DnsQueryClass | heltal | DNS-klass-ID:t enligt definitionen av IANA (Internet Assigned Numbers Authority). |
| DnsQueryClassName | sträng | DNS-klassnamnet enligt definitionen i IANA (Internet Assigned Numbers Authority). |
| DnsQueryType | heltal | DNS-resursens posttypkoder som definieras av IANA (Internet Assigned Numbers Authority). |
| DnsQueryTypeName | sträng | Namnet på DNS-resursposttyp som definierats av Internet Assigned Numbers Authority (IANA). |
| DNS-svarskod | heltal | Den numeriska DNS-svarskoden som definieras av IANA (Internet Assigned Numbers Authority). |
| DnsResponseIpCity | sträng | Den ort som är associerad med svars-IP-adressen. |
| Dns-svar Ip-land | sträng | Det land som är associerat med svars-IP-adressen. |
| DnsResponseIpLatitude | verklig | Latitud för den geografiska koordinat som är associerad med svars-IP-adressen. |
| DnsResponseIpLongitude | verklig | Longitud för den geografiska koordinat som är associerad med svars-IP-adressen. |
| DnsResponseIpRegion | sträng | Den region, eller delstat, inom ett land som är associerat med källans IP-adress. |
| DnsSvarNamn | sträng | Innehållet i svaret, som ingår i protokollet. Strukturen för DNS-svarsdata kan variera mellan olika rapporteringsenheter. |
| DnsSessionId | sträng | DNS-sessionsidentifieraren enligt rapporteringsenhetens rapport. |
| Dst | sträng | En unik identifierare för servern som tog emot DNS-begäran. |
| DstBeskrivning | sträng | En beskrivande text som är associerad med målet. |
| DstEnhetstyp | sträng | Typ av enhet för destinationen. |
| DstDomain | sträng | Målenhetens domän. |
| Typ av Dst-domän | sträng | Typ av DstDomain. |
| DstDvcId | sträng | Målenhetens ID. |
| DstDvcIdType | sträng | Typ av DstDvcId. |
| DstDvcScope | sträng | Det molnplattformområde som målenheten tillhör. DvcScope mappar till en prenumeration på Azure och till ett konto på AWS. |
| DstDvcScopeId | sträng | ID för den molnplattform som målenheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DstFQDN | sträng | Värdnamnet för målenheten, inklusive domäninformation när det är tillgängligt. |
| DstGeoCity | sträng | Den ort som är associerad med mål-IP-adressen. |
| DstGeoCountry | sträng | Det land som är associerat med mål-IP-adressen. |
| DstGeoLatitude | verklig | Latitud för den geografiska koordinat som är associerad med målets IP-adress. |
| DstGeoLongitude | verklig | Longitud för den geografiska koordinat som är associerad med målets IP-adress. |
| DstGeoRegion | sträng | Den region, eller delstat, inom ett land som är associerat med mål-IP-adressen. |
| DstHostname | sträng | Målenhetens värdnamn, exklusive domäninformation. |
| DstIpAddr | sträng | IP-adressen för servern som tar emot DNS-begäran. För en vanlig DNS-begäran skulle det här värdet vanligtvis vara rapporteringsenheten och i de flesta fall anges till 127.0.0.1. |
| DstOriginalRiskLevel | sträng | Den risknivå som är associerad med målenheten enligt rapporteringsenhetens rapporter. |
| DstPortNummer | heltal | Portnummer för destination. |
| DstFarsnivå | heltal | Den risknivå som är associerad med målenheten. |
| Dvc | sträng | En unik identifierare för enheten som rapporterar händelsen. Identifieraren kan vara antingen en IP-adress, ett värdnamn eller ett enhets-ID. |
| DvcAction | sträng | Den åtgärd som vidtagits av rapporteringsenheten på begäran, till exempel att blockera den. |
| DvcBeskrivning | sträng | En beskrivande text som är associerad med enheten. Till exempel: Primär domänkontrollant. |
| DvcDomain | sträng | Domänen för enheten som rapporterar händelsen. |
| DvcDomainType | sträng | Typ av DvcDomain. Möjliga värden är "Windows" och "FQDN". |
| DvcFQDN | sträng | Det fullständigt kvalificerade värdnamnet, inklusive domäninformation, för enheten som rapporterar händelsen. |
| DvcHostname | sträng | Värdnamnet för enheten som rapporterar händelsen. |
| DvcId | sträng | Det unika ID:t för enheten som rapporterar händelsen. |
| DvcIdType | sträng | Typ av DvcId. |
| DvcInterface | sträng | Nätverksgränssnittet som data har avbildats på. Det här fältet är vanligtvis relevant för nätverksrelaterad aktivitet som samlas in av en mellanliggande enhet eller en tryckenhet. |
| DvcIpAddr | sträng | IP-adressen för enheten som rapporterar händelsen. |
| DvcMacAddr | sträng | MAC-adressen för enheten som rapporterar händelsen. |
| DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| DvcOs | sträng | Operativsystemet som körs på enheten som rapporterar händelsen. |
| DvcOsVersion | sträng | Versionen av operativsystemet på enheten som rapporterar händelsen. |
| DvcScope | sträng | Molnplattformsomfånget som enheten tillhör. DvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcScopeId | sträng | Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcZone | sträng | Nätverkssegmentet för enheten som rapporterar händelsen. |
| Händelseräkning | heltal | Antalet händelser som beskrivs av posten. Det här värdet används när källan stöder aggregering och en enskild post kan representera flera händelser. |
| EventSluttid | datum och tid | Tidpunkt då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte tillhandahålls av källposten, fungerar det här fältet som ett alias för fältet TimeGenerated. |
| Händelsemeddelande | sträng | Ett allmänt meddelande eller en beskrivning. |
| EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. Det här värdet används för att härleda EventSeverity. |
| HändelseOriginaltyp | sträng | Den ursprungliga händelsetypen eller ID:t, till exempel det ursprungliga Windows-händelse-ID:t. |
| EventOriginalUid | sträng | Ett unikt identifierare för den ursprungliga posten. |
| Evenemangsägare | sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
| EventProduct | sträng | Produkten som genererar händelsen. |
| Evenemangsproduktversion | sträng | Den version av produkten som genererar händelsen. |
| EventrapportUrl | sträng | En URL till en resurs som innehåller ytterligare information om händelsen. |
| Händelseresultat | sträng | Resultatet av händelsen, som uttrycks med något av följande värden: Framgång, Delvis, Misslyckande, NA (Ej tillämpligt). Värdet kanske inte anges direkt av källorna, i vilket fall det härleds från andra händelsefält, till exempel fältet EventResultDetails. |
| Händelsedetaljer för resultat | sträng | DNS-svarskoden enligt definitionen i IANA (Internet Assigned Numbers Authority). |
| EventSchemaversion | sträng | Versionen av schemat. |
| EventSeverity | sträng | Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög. |
| Eventstarttid | datum och tid | Tidpunkt då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte tillhandahålls av källposten, fungerar det här fältet som ett alias för fältet TimeGenerated. |
| HändelseUndertyp | sträng | Antingen begäran eller svar. |
| Händelsetyp | sträng | Anger den verksamhet som rapporterats av posten. För DNS-aktivitetshändelser är det här värdet DNS-opcode enligt definitionen av IANA (Internet Assigned Numbers Authority). |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
| _ÄrDebiterbart | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false debiteras inte ditt Azure-konto för inmatningen. |
| nätverksprotokoll | sträng | Transportprotokollet som används av nätverksmatchningshändelsen. Värdet kan vara UDP eller TCP. |
| Nätverksprotokollversion | sträng | Versionen av nätverksprotokollet. Används vanligtvis för att skilja mellan IPv4 och Ipv6. |
| _Resurs-id | sträng | En unik ID för resursen som posten är kopplad till |
| Regelnamn | sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultatet. |
| Regelnummer | heltal | Antalet regler som är associerade med inspektionsresultatet. |
| SourceSystem | sträng | Agenttypen som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Src | sträng | En unik identifierare för källenheten. |
| SrcBeskrivning | sträng | Antalet regler som är associerade med inspektionsresultatet. |
| SrcDeviceType | sträng | Typ av källenhet. |
| SrcDomain | sträng | Källenhetens domän. |
| SrcDomäntyp | sträng | Typen av SrcDomain. |
| SrcDvcId | sträng | Källenhetens ID. |
| SrcDvcIdType | sträng | Typen av SrcDvcId. |
| SrcDvcScope | sträng | Molnplattformsomfånget som källenheten tillhör. DvcScope mappar till en prenumeration på Azure och till ett konto på AWS. |
| SrcDvcScopeId | sträng | Molnplattformens omfångs-ID som källenheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcFQDN | sträng | Källenhetens värdnamn, inklusive domäninformation. |
| SrcGeoCity | sträng | Den ort som är associerad med källans IP-adress. |
| SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude | verklig | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitud | verklig | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| KällaGeoRegion | sträng | Den region, eller delstat, inom ett land som är associerat med källans IP-adress. |
| SrcHostname | sträng | Källenhetens värdnamn, exklusive domäninformation. |
| SrcIpAddr | sträng | IP-adressen för klienten som skickar DNS-begäran. För en rekursiv DNS-begäran skulle det här värdet vanligtvis vara rapporteringsenheten, och i de flesta fall anges det till 127.0.0.1. |
| KällaUrsprungligRisknivå | sträng | Den risknivå som är associerad med källenheten enligt rapporteringsenhetens rapporter. |
| SrcOriginalAnvändartyp | sträng | Den ursprungliga källanvändartypen, som tillhandahålls av källan. |
| SrcPortNumber | heltal | Källporten för DNS-frågan. |
| SrcProcessGuid | sträng | En genererad unik identifierare (GUID) för den process som initierade DNS-begäran. |
| SrcProcessId | sträng | Process-ID (PID) för den process som initierade DNS-begäran. |
| SrcProcessName | sträng | Namnet på den process som initierade DNS-begäran. |
| Risknivå | heltal | Den risknivå som är associerad med källenheten. |
| SrcUserId | sträng | En maskinläsbar, alfanumerisk, unik representation av källanvändaren. |
| SrcUserIdType | sträng | Typen av ID som lagras i fältet SrcUserId. |
| SrcUsername | sträng | Källans användarnamn, inklusive domäninformation när det är tillgängligt. |
| SrcAnvändarnamnTyp | sträng | Typ av användarnamn som lagras i fältet SrcUsername. |
| SrcUserScope | sträng | Omfånget, till exempel Azure AD-klientorganisation, där SrcUserId och SrcUsername definieras. |
| SrcUserScopeId | sträng | ID:t för omfånget, till exempel Azure AD-klientorganisation, där SrcUserId och SrcUsername definieras. |
| SrcUserSessionId | sträng | Det unika ID:t för källanvändarens inloggningssession. |
| SrcUserType | sträng | Typ av källanvändare. |
| _PrenumerationsId | sträng | En unik identifierare för den prenumeration som posten är associerad med |
| HyresgästId | sträng | Log Analytics-arbetsytans-ID |
| Hotkategori | sträng | Om en DNS-händelsekälla även tillhandahåller DNS-säkerhet kan den även utvärdera DNS-händelsen. Den kan till exempel söka efter IP-adressen eller domänen i en databas för hotinformation och tilldela domänen eller IP-adressen med en hotkategori. |
| ThreatConfidence | heltal | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField | sträng | Fältet som ett hot identifierades för. Värdet är antingen SrcIpAddr, DstIpAddr, Domain eller DnsResponseName. |
| TidFörstRapporteradeHotet | sträng | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatFirstReportedTime_d | datum och tid | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId | sträng | ID:t för det hot eller den skadliga kod som identifierades i webbsessionen. |
| ThreatIpAddr | sträng | En IP-adress som ett hot identifierades för. Fältet ThreatField innehåller namnet på fältet ThreatIpAddr representerar. Om ett hot identifieras i fältet Domän bör det här fältet vara tomt. |
| Aktivt Hot | Bool | Identifierat hot anses vara ett aktivt hot. |
| TidFörSenasteRapporteradeHot | sträng | Senast IP-adressen eller domänen identifierades som ett hot. |
| SenastRapporteradeHotTid_d | datum och tid | Senast IP-adressen eller domänen identifierades som ett hot. |
| Hotnamn | sträng | Namnet på det identifierade hotet enligt rapporteringsenhetens rapporter. |
| Hotets Ursprungliga Självförtroende | sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| UrsprungsrisknivåFörHotet | heltal | Den ursprungliga risknivån som är associerad med det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| HotUrsprungligRiskNivå_s | sträng | Risknivån som är associerad med det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| Hotrisknivå | heltal | Risknivån som är associerad med det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| Tidpunkt för generering | datum och tid | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
| TransactionIdHex | sträng | unikt DNS-hextransaktions-ID. |
| Typ | sträng | Namnet på tabellen |
| Kategori för webbadresser | sträng | En DNS-händelsekälla kan också slå upp kategorin för de begärda domänerna. |