Compartir a través de


ASimDnsActivityLogs

El esquema de actividad dns de ASim representa la actividad del protocolo DNS, que puede registrar un servidor DNS o un dispositivo que envía solicitudes DNS a un servidor DNS. La actividad del protocolo DNS incluye consultas de DNS, actualizaciones del servidor DNS y transferencias masivas de datos DNS. Dado que el esquema representa la actividad de protocolo, se rige por rfC y listas de parámetros asignadas oficialmente. El esquema de actividad DNS no representa eventos de auditoría del servidor DNS.

Atributos de tabla

Attribute Valor
Tipos de recursos microsoft.securityinsights/dnsnormalized
Categorías Seguridad
Soluciones Información de seguridad
Registro básico No
Transformación en tiempo de ingesta
Consultas de ejemplo

Columnas

Columna Type Descripción
AdditionalFields dinámico Información adicional, representada mediante pares clave-valor proporcionados por el origen que no se asignan a ASim.
_BilledSize real Tamaño del registro en bytes
DnsFlags string Marcas de solicitud DNS, según lo proporcionado por el dispositivo de informes. La estructura de la información de las marcas DNS puede variar entre diferentes dispositivos de informes.
DnsFlagsAuthenticated bool La marca de respuesta autenticada de DNS, que está relacionada con DNSSEC, indica en una respuesta que todos los datos incluidos en las secciones de respuesta y autoridad de la respuesta han sido comprobados por el servidor según las directivas de ese servidor. Consulte la sección 6.1 de RFC 3655 para obtener más información.
DnsFlagsAuthoritative bool La marca de respuesta autoritativa dns indica si la respuesta del servidor era autoritativa.
DnsFlagsCheckingDisabled bool La marca de CD dns, que está relacionada con DNSSEC, indica en una consulta que los datos no comprobados son aceptables para el sistema que envía la consulta.
DnsFlagsRecursionAvailable bool La marca de RA de DNS indica en una respuesta que ese servidor admite consultas recursivas.
DnsFlagsRecursionDesired bool La marca deseada de recursividad DNS indica en una solicitud que el cliente desea que el servidor use consultas recursivas.
DnsFlagsTruncated bool La marca TC de DNS indica que una respuesta se trunca a medida que supera el tamaño máximo de la respuesta.
DnsFlagsZ bool La marca DNS Z es una marca DNS en desuso, que podría ser notificada por sistemas DNS anteriores.
DnsNetworkDuration int Cantidad de tiempo, en milisegundos, para la finalización de la solicitud de DNS.
DnsQuery string Dominio que debe resolverse.
DnsQueryClass int Identificador de clase DNS tal como se define en la Entidad de números asignados a Internet (IANA).
DnsQueryClassName string Nombre de la clase DNS tal como se define en la Entidad de números asignados a Internet (IANA).
DnsQueryType int Códigos de tipo de registro de recursos DNS definidos por la Entidad de números asignados a Internet (IANA).
DnsQueryTypeName string Nombre del tipo de registro de recursos DNS definido por la Autoridad de números asignados a Internet (IANA).
DnsResponseCode int El código de respuesta numérica dns tal como se define en la Entidad de números asignados a Internet (IANA).
DnsResponseIpCity string Ciudad asociada a la dirección IP de respuesta.
DnsResponseIpCountry string País asociado a la dirección IP de respuesta.
DnsResponseIpLatitude real Latitud de la coordenada geográfica asociada a la dirección IP de respuesta.
DnsResponseIpLongitude real Longitud de la coordenada geográfica asociada a la dirección IP de respuesta.
DnsResponseIpRegion string Región, o estado, dentro de un país, asociado a la dirección IP de origen.
DnsResponseName string Contenido de la respuesta, tal como se incluye en el registro. La estructura de los datos de respuesta DNS puede variar entre diferentes dispositivos de informes.
DnsSessionId string Identificador de sesión DNS notificado por el dispositivo de informes.
Dst string Identificador único del servidor que recibió la solicitud de DNS.
DstDescription string Texto descriptivo asociado al destino.
DstDeviceType string Tipo del dispositivo de destino.
DstDomain string Dominio del dispositivo de destino.
DstDomainType string Tipo de DstDomain.
DstDvcId string Identificador del dispositivo de destino.
DstDvcIdType string Tipo de DstDvcId.
DstDvcScope string Ámbito de la plataforma en la nube al que pertenece el dispositivo de destino. DvcScope se asigna a una suscripción en Azure y a una cuenta en AWS.
DstDvcScopeId string El identificador de ámbito de la plataforma en la nube al que pertenece el dispositivo de destino. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
DstFQDN string Nombre de host del dispositivo de destino, incluida la información de dominio cuando esté disponible.
DstGeoCity string Ciudad asociada con la dirección IP de destino.
DstGeoCountry string País asociado con la dirección IP de destino.
DstGeoLatitude real Latitud de la coordenada geográfica asociada con la dirección IP de destino.
DstGeoLongitude real Longitud de la coordenada geográfica asociada con la dirección IP de destino.
DstGeoRegion string Región, o estado, dentro de un país, asociado a la dirección IP de destino.
DstHostname string Nombre de host del dispositivo de destino, excepto la información de dominio.
DstIpAddr string Dirección IP del servidor que recibe la solicitud de DNS. En una solicitud de DNS normal, este valor suele ser el dispositivo de informes y, en la mayoría de los casos, está establecido en 127.0.0.1.
DstOriginalRiskLevel string Nivel de riesgo asociado al dispositivo de destino, tal como lo notifica el dispositivo de informes.
DstPortNumber int Número de puerto de destino.
DstRiskLevel int Nivel de riesgo asociado al dispositivo de destino.
Dvc string Identificador único del dispositivo que informa del evento. El identificador puede ser una dirección IP, un nombre de host o un identificador de dispositivo.
DvcAction string La acción realizada por el dispositivo de informes en la solicitud, como bloquearlo.
DvcDescription string Texto descriptivo asociado al dispositivo. Por ejemplo: Controlador de dominio principal.
DvcDomain string Dominio del dispositivo que informa del evento.
DvcDomainType string Tipo de DvcDomain. Los valores posibles incluyen "Windows" y "FQDN".
DvcFQDN string El nombre de host completo, incluida la información de dominio, del dispositivo que informa del evento.
DvcHostname string Nombre de host del dispositivo que informa del evento.
DvcId string Identificador único del dispositivo que informa del evento.
DvcIdType string Tipo de DvcId.
DvcInterface string Interfaz de red en la que se capturaron los datos. Este campo suele ser pertinente para la actividad relacionada con la red, que captura un dispositivo intermedio o de derivación.
DvcIpAddr string Dirección IP del dispositivo que informa del evento.
DvcMacAddr string Dirección MAC del dispositivo que informa del evento.
DvcOriginalAction string El valor original de DvcAction, como se proporciona en el dispositivo de informes.
DvcOs string Sistema operativo que se ejecuta en el dispositivo que informa del evento.
DvcOsVersion string La versión del sistema operativo en el dispositivo que informa del evento.
DvcScope string Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. DvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
DvcScopeId string Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
DvcZone string Segmento de red del dispositivo que informa del evento.
EventCount int Número de eventos descritos por el registro. Este valor se usa cuando el origen admite agregación y un único registro puede representar varios eventos.
EventEndTime datetime Hora a la que finalizó el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el último evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated.
EventMessage string Mensaje o descripción general.
EventOriginalSeverity string La gravedad del original, como se especifica en el dispositivo de informes. Este valor se usa para derivar EventSeverity.
EventOriginalType string El tipo de evento o identificador original, por ejemplo, el identificador de evento de Windows original.
EventOriginalUid string Identificador único del registro original.
EventOwner string Es el propietario del evento, que suele ser el departamento o subsidiario en el que se generó.
EventProduct string Producto que genera el evento.
EventProductVersion string Versión del producto que genera el evento.
EventReportUrl string Dirección URL de un recurso que proporciona información adicional sobre el evento.
EventResult string Resultado del evento, representado por uno de los siguientes valores: Success, Partial, Failure, NA (Not Applicable). Los orígenes no pueden proporcionar directamente el valor, en cuyo caso se deriva de otros campos de evento, por ejemplo, el campo EventResultDetails.
EventResultDetails string El código de respuesta DNS definido por la Autoridad de números asignados a Internet (IANA).
EventSchemaVersion string Versión del esquema.
EventSeverity string La gravedad del evento. Los valores válidos son: Informativo, Bajo, Medio o Alto.
EventStartTime datetime Hora a la que se inició el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el primer evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated.
EventSubType string request o response.
EventType string Indica la operación notificada por el registro. En el caso de los eventos de actividad DNS, este valor es el código de operación DNS definido por la Entidad de números asignados a Internet (IANA).
EventVendor string Proveedor del producto que genera el evento.
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure
NetworkProtocol string El protocolo de transporte utilizado por el evento de resolución de red. El valor puede ser UDP o TCP.
NetworkProtocolVersion string Versión del protocolo de red. Normalmente se usa para diferenciar entre IPv4 e Ipv6.
_ResourceId string Identificador único del recurso al que está asociado el registro.
RuleName string Nombre o identificador de la regla asociado a los resultados de la inspección.
RuleNumber int Número de la regla asociado a los resultados de la inspección.
SourceSystem string Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics
Src string Identificador único del dispositivo de destino.
SrcDescription string Número de la regla asociado a los resultados de la inspección.
SrcDeviceType string Tipo del dispositivo de origen.
SrcDomain string Dominio del dispositivo de origen.
SrcDomainType string Tipo de SrcDomain.
SrcDvcId string Identificador del dispositivo de origen.
SrcDvcIdType string Tipo de SrcDvcId.
SrcDvcScope string Ámbito de la plataforma en la nube al que pertenece el dispositivo de origen. DvcScope se asigna a una suscripción en Azure y a una cuenta en AWS.
SrcDvcScopeId string El identificador de ámbito de la plataforma en la nube al que pertenece el dispositivo de origen. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcFQDN string Nombre de host del dispositivo de origen, incluida la información de dominio.
SrcGeoCity string Ciudad asociada con la dirección IP de origen.
SrcGeoCountry string País asociado con la dirección IP de origen.
SrcGeoLatitude real Latitud de la coordenada geográfica asociada con la dirección IP de origen.
SrcGeoLongitude real Longitud de la coordenada geográfica asociada con la dirección IP de origen.
SrcGeoRegion string Región, o estado, dentro de un país, asociado a la dirección IP de origen.
SrcHostname string Nombre de host del dispositivo de origen, excepto la información de dominio.
SrcIpAddr string Dirección IP del cliente que envía la solicitud de DNS. En el caso de una solicitud DNS recursiva, este valor normalmente sería el dispositivo de informes y, en la mayoría de los casos, se establece en 127.0.0.1.
SrcOriginalRiskLevel string Nivel de riesgo asociado al dispositivo de origen, tal como lo notifica el dispositivo de informes.
SrcOriginalUserType string Tipo de usuario de origen original, tal como lo proporciona el origen.
SrcPortNumber int Puerto de origen de la consulta de DNS.
SrcProcessGuid string Identificador único (GUID) generado del proceso que inició la solicitud de DNS.
SrcProcessId string Identificador de proceso (PID) del proceso que inició la solicitud de DNS.
SrcProcessName string Nombre del proceso que inició la solicitud DNS.
SrcRiskLevel int Nivel de riesgo asociado al dispositivo de origen.
SrcUserId string Representación única, alfanumérica y legible por una máquina del usuario de origen.
SrcUserIdType string Tipo del identificador almacenado en el campo SrcUserId.
SrcUsername string Nombre de usuario de origen, incluida la información de dominio cuando esté disponible.
SrcUsernameType string Tipo del nombre de usuario almacenado en el campo SrcUsername.
SrcUserScope string Ámbito, como el inquilino de Azure AD, en el que se definen SrcUserId y SrcUsername.
SrcUserScopeId string Identificador del ámbito, como el inquilino de Azure AD, en el que se definen SrcUserId y SrcUsername.
SrcUserSessionId string Identificador único de la sesión de inicio de sesión del usuario de origen.
SrcUserType string Tipo del usuario de origen.
_SubscriptionId string Identificador único de la suscripción a la que está asociado el registro.
TenantId string Id. del área de trabajo de Log Analytics
ThreatCategory string Si un origen de eventos de DNS también proporciona seguridad DNS, puede además evaluar el evento de DNS. Por ejemplo, puede buscar la dirección IP o el dominio en una base de datos de inteligencia sobre amenazas y asignar al dominio o la dirección IP una categoría de amenazas.
ThreatConfidence int Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100.
ThreatField string Campo para el que se identificó una amenaza. El valor es SrcIpAddr, DstIpAddr, Domain o DnsResponseName.
ThreatFirstReportedTime string La primera vez que la dirección IP o el dominio se identificaron como una amenaza.
ThreatFirstReportedTime_d datetime La primera vez que la dirección IP o el dominio se identificaron como una amenaza.
ThreatId string Identificador de la amenaza o malware identificado en la sesión web.
ThreatIpAddr string Dirección IP para la que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatIpAddr que representa. Si se identifica una amenaza en el campo Dominio, este campo debe estar vacío.
ThreatIsActive bool True ID: la amenaza identificada se considera una amenaza activa.
ThreatLastReportedTime string La primera vez que la dirección IP o el dominio se identificaron como una amenaza.
ThreatLastReportedTime_d datetime La primera vez que la dirección IP o el dominio se identificaron como una amenaza.
ThreatName string El nombre de la amenaza identificada, tal como lo notifica el dispositivo que informa.
ThreatOriginalConfidence string El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa.
ThreatOriginalRiskLevel int Nivel de riesgo original asociado a la amenaza identificada, tal como lo notifica el dispositivo que informa.
ThreatOriginalRiskLevel_s string Nivel de riesgo asociado a la amenaza identificada, normalizada en un valor comprendido entre 0 y 100.
ThreatRiskLevel int Nivel de riesgo asociado a la amenaza identificada, normalizada en un valor comprendido entre 0 y 100.
TimeGenerated datetime Marca de tiempo (UTC) que refleja la hora en la que se generó el evento.
TransactionIdHex string El identificador de transacción hexadecimal único de DNS.
Tipo string Nombre de la tabla.
UrlCategory string Un origen de eventos de DNS también puede buscar la categoría de los dominios solicitados.