| AdditionalFields |
dinámico |
Información adicional, representada mediante pares clave-valor proporcionados por el origen que no se asignan a ASim. |
| _BilledSize |
real |
Tamaño del registro en bytes |
| DnsFlags |
string |
Marcas de solicitud DNS, según lo proporcionado por el dispositivo de informes. La estructura de la información de las marcas DNS puede variar entre diferentes dispositivos de informes. |
| DnsFlagsAuthenticated |
bool |
La marca de respuesta autenticada de DNS, que está relacionada con DNSSEC, indica en una respuesta que todos los datos incluidos en las secciones de respuesta y autoridad de la respuesta han sido comprobados por el servidor según las directivas de ese servidor. Consulte la sección 6.1 de RFC 3655 para obtener más información. |
| DnsFlagsAuthoritative |
bool |
La marca de respuesta autoritativa dns indica si la respuesta del servidor era autoritativa. |
| DnsFlagsCheckingDisabled |
bool |
La marca de CD dns, que está relacionada con DNSSEC, indica en una consulta que los datos no comprobados son aceptables para el sistema que envía la consulta. |
| DnsFlagsRecursionAvailable |
bool |
La marca de RA de DNS indica en una respuesta que ese servidor admite consultas recursivas. |
| DnsFlagsRecursionDesired |
bool |
La marca deseada de recursividad DNS indica en una solicitud que el cliente desea que el servidor use consultas recursivas. |
| DnsFlagsTruncated |
bool |
La marca TC de DNS indica que una respuesta se trunca a medida que supera el tamaño máximo de la respuesta. |
| DnsFlagsZ |
bool |
La marca DNS Z es una marca DNS en desuso, que podría ser notificada por sistemas DNS anteriores. |
| DnsNetworkDuration |
int |
Cantidad de tiempo, en milisegundos, para la finalización de la solicitud de DNS. |
| DnsQuery |
string |
Dominio que debe resolverse. |
| DnsQueryClass |
int |
Identificador de clase DNS tal como se define en la Entidad de números asignados a Internet (IANA). |
| DnsQueryClassName |
string |
Nombre de la clase DNS tal como se define en la Entidad de números asignados a Internet (IANA). |
| DnsQueryType |
int |
Códigos de tipo de registro de recursos DNS definidos por la Entidad de números asignados a Internet (IANA). |
| DnsQueryTypeName |
string |
Nombre del tipo de registro de recursos DNS definido por la Autoridad de números asignados a Internet (IANA). |
| DnsResponseCode |
int |
El código de respuesta numérica dns tal como se define en la Entidad de números asignados a Internet (IANA). |
| DnsResponseIpCity |
string |
Ciudad asociada a la dirección IP de respuesta. |
| DnsResponseIpCountry |
string |
País asociado a la dirección IP de respuesta. |
| DnsResponseIpLatitude |
real |
Latitud de la coordenada geográfica asociada a la dirección IP de respuesta. |
| DnsResponseIpLongitude |
real |
Longitud de la coordenada geográfica asociada a la dirección IP de respuesta. |
| DnsResponseIpRegion |
string |
Región, o estado, dentro de un país, asociado a la dirección IP de origen. |
| DnsResponseName |
string |
Contenido de la respuesta, tal como se incluye en el registro. La estructura de los datos de respuesta DNS puede variar entre diferentes dispositivos de informes. |
| DnsSessionId |
string |
Identificador de sesión DNS notificado por el dispositivo de informes. |
| Dst |
string |
Identificador único del servidor que recibió la solicitud de DNS. |
| DstDescription |
string |
Texto descriptivo asociado al destino. |
| DstDeviceType |
string |
Tipo del dispositivo de destino. |
| DstDomain |
string |
Dominio del dispositivo de destino. |
| DstDomainType |
string |
Tipo de DstDomain. |
| DstDvcId |
string |
Identificador del dispositivo de destino. |
| DstDvcIdType |
string |
Tipo de DstDvcId. |
| DstDvcScope |
string |
Ámbito de la plataforma en la nube al que pertenece el dispositivo de destino. DvcScope se asigna a una suscripción en Azure y a una cuenta en AWS. |
| DstDvcScopeId |
string |
El identificador de ámbito de la plataforma en la nube al que pertenece el dispositivo de destino. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DstFQDN |
string |
Nombre de host del dispositivo de destino, incluida la información de dominio cuando esté disponible. |
| DstGeoCity |
string |
Ciudad asociada con la dirección IP de destino. |
| DstGeoCountry |
string |
País asociado con la dirección IP de destino. |
| DstGeoLatitude |
real |
Latitud de la coordenada geográfica asociada con la dirección IP de destino. |
| DstGeoLongitude |
real |
Longitud de la coordenada geográfica asociada con la dirección IP de destino. |
| DstGeoRegion |
string |
Región, o estado, dentro de un país, asociado a la dirección IP de destino. |
| DstHostname |
string |
Nombre de host del dispositivo de destino, excepto la información de dominio. |
| DstIpAddr |
string |
Dirección IP del servidor que recibe la solicitud de DNS. En una solicitud de DNS normal, este valor suele ser el dispositivo de informes y, en la mayoría de los casos, está establecido en 127.0.0.1. |
| DstOriginalRiskLevel |
string |
Nivel de riesgo asociado al dispositivo de destino, tal como lo notifica el dispositivo de informes. |
| DstPortNumber |
int |
Número de puerto de destino. |
| DstRiskLevel |
int |
Nivel de riesgo asociado al dispositivo de destino. |
| Dvc |
string |
Identificador único del dispositivo que informa del evento. El identificador puede ser una dirección IP, un nombre de host o un identificador de dispositivo. |
| DvcAction |
string |
La acción realizada por el dispositivo de informes en la solicitud, como bloquearlo. |
| DvcDescription |
string |
Texto descriptivo asociado al dispositivo. Por ejemplo: Controlador de dominio principal. |
| DvcDomain |
string |
Dominio del dispositivo que informa del evento. |
| DvcDomainType |
string |
Tipo de DvcDomain. Los valores posibles incluyen "Windows" y "FQDN". |
| DvcFQDN |
string |
El nombre de host completo, incluida la información de dominio, del dispositivo que informa del evento. |
| DvcHostname |
string |
Nombre de host del dispositivo que informa del evento. |
| DvcId |
string |
Identificador único del dispositivo que informa del evento. |
| DvcIdType |
string |
Tipo de DvcId. |
| DvcInterface |
string |
Interfaz de red en la que se capturaron los datos. Este campo suele ser pertinente para la actividad relacionada con la red, que captura un dispositivo intermedio o de derivación. |
| DvcIpAddr |
string |
Dirección IP del dispositivo que informa del evento. |
| DvcMacAddr |
string |
Dirección MAC del dispositivo que informa del evento. |
| DvcOriginalAction |
string |
El valor original de DvcAction, como se proporciona en el dispositivo de informes. |
| DvcOs |
string |
Sistema operativo que se ejecuta en el dispositivo que informa del evento. |
| DvcOsVersion |
string |
La versión del sistema operativo en el dispositivo que informa del evento. |
| DvcScope |
string |
Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. DvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcScopeId |
string |
Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcZone |
string |
Segmento de red del dispositivo que informa del evento. |
| EventCount |
int |
Número de eventos descritos por el registro. Este valor se usa cuando el origen admite agregación y un único registro puede representar varios eventos. |
| EventEndTime |
datetime |
Hora a la que finalizó el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el último evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| EventMessage |
string |
Mensaje o descripción general. |
| EventOriginalSeverity |
string |
La gravedad del original, como se especifica en el dispositivo de informes. Este valor se usa para derivar EventSeverity. |
| EventOriginalType |
string |
El tipo de evento o identificador original, por ejemplo, el identificador de evento de Windows original. |
| EventOriginalUid |
string |
Identificador único del registro original. |
| EventOwner |
string |
Es el propietario del evento, que suele ser el departamento o subsidiario en el que se generó. |
| EventProduct |
string |
Producto que genera el evento. |
| EventProductVersion |
string |
Versión del producto que genera el evento. |
| EventReportUrl |
string |
Dirección URL de un recurso que proporciona información adicional sobre el evento. |
| EventResult |
string |
Resultado del evento, representado por uno de los siguientes valores: Success, Partial, Failure, NA (Not Applicable). Los orígenes no pueden proporcionar directamente el valor, en cuyo caso se deriva de otros campos de evento, por ejemplo, el campo EventResultDetails. |
| EventResultDetails |
string |
El código de respuesta DNS definido por la Autoridad de números asignados a Internet (IANA). |
| EventSchemaVersion |
string |
Versión del esquema. |
| EventSeverity |
string |
La gravedad del evento. Los valores válidos son: Informativo, Bajo, Medio o Alto. |
| EventStartTime |
datetime |
Hora a la que se inició el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el primer evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| EventSubType |
string |
request o response. |
| EventType |
string |
Indica la operación notificada por el registro. En el caso de los eventos de actividad DNS, este valor es el código de operación DNS definido por la Entidad de números asignados a Internet (IANA). |
| EventVendor |
string |
Proveedor del producto que genera el evento. |
| _IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
| NetworkProtocol |
string |
El protocolo de transporte utilizado por el evento de resolución de red. El valor puede ser UDP o TCP. |
| NetworkProtocolVersion |
string |
Versión del protocolo de red. Normalmente se usa para diferenciar entre IPv4 e Ipv6. |
| _ResourceId |
string |
Identificador único del recurso al que está asociado el registro. |
| RuleName |
string |
Nombre o identificador de la regla asociado a los resultados de la inspección. |
| RuleNumber |
int |
Número de la regla asociado a los resultados de la inspección. |
| SourceSystem |
string |
Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| Src |
string |
Identificador único del dispositivo de destino. |
| SrcDescription |
string |
Número de la regla asociado a los resultados de la inspección. |
| SrcDeviceType |
string |
Tipo del dispositivo de origen. |
| SrcDomain |
string |
Dominio del dispositivo de origen. |
| SrcDomainType |
string |
Tipo de SrcDomain. |
| SrcDvcId |
string |
Identificador del dispositivo de origen. |
| SrcDvcIdType |
string |
Tipo de SrcDvcId. |
| SrcDvcScope |
string |
Ámbito de la plataforma en la nube al que pertenece el dispositivo de origen. DvcScope se asigna a una suscripción en Azure y a una cuenta en AWS. |
| SrcDvcScopeId |
string |
El identificador de ámbito de la plataforma en la nube al que pertenece el dispositivo de origen. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcFQDN |
string |
Nombre de host del dispositivo de origen, incluida la información de dominio. |
| SrcGeoCity |
string |
Ciudad asociada con la dirección IP de origen. |
| SrcGeoCountry |
string |
País asociado con la dirección IP de origen. |
| SrcGeoLatitude |
real |
Latitud de la coordenada geográfica asociada con la dirección IP de origen. |
| SrcGeoLongitude |
real |
Longitud de la coordenada geográfica asociada con la dirección IP de origen. |
| SrcGeoRegion |
string |
Región, o estado, dentro de un país, asociado a la dirección IP de origen. |
| SrcHostname |
string |
Nombre de host del dispositivo de origen, excepto la información de dominio. |
| SrcIpAddr |
string |
Dirección IP del cliente que envía la solicitud de DNS. En el caso de una solicitud DNS recursiva, este valor normalmente sería el dispositivo de informes y, en la mayoría de los casos, se establece en 127.0.0.1. |
| SrcOriginalRiskLevel |
string |
Nivel de riesgo asociado al dispositivo de origen, tal como lo notifica el dispositivo de informes. |
| SrcOriginalUserType |
string |
Tipo de usuario de origen original, tal como lo proporciona el origen. |
| SrcPortNumber |
int |
Puerto de origen de la consulta de DNS. |
| SrcProcessGuid |
string |
Identificador único (GUID) generado del proceso que inició la solicitud de DNS. |
| SrcProcessId |
string |
Identificador de proceso (PID) del proceso que inició la solicitud de DNS. |
| SrcProcessName |
string |
Nombre del proceso que inició la solicitud DNS. |
| SrcRiskLevel |
int |
Nivel de riesgo asociado al dispositivo de origen. |
| SrcUserId |
string |
Representación única, alfanumérica y legible por una máquina del usuario de origen. |
| SrcUserIdType |
string |
Tipo del identificador almacenado en el campo SrcUserId. |
| SrcUsername |
string |
Nombre de usuario de origen, incluida la información de dominio cuando esté disponible. |
| SrcUsernameType |
string |
Tipo del nombre de usuario almacenado en el campo SrcUsername. |
| SrcUserScope |
string |
Ámbito, como el inquilino de Azure AD, en el que se definen SrcUserId y SrcUsername. |
| SrcUserScopeId |
string |
Identificador del ámbito, como el inquilino de Azure AD, en el que se definen SrcUserId y SrcUsername. |
| SrcUserSessionId |
string |
Identificador único de la sesión de inicio de sesión del usuario de origen. |
| SrcUserType |
string |
Tipo del usuario de origen. |
| _SubscriptionId |
string |
Identificador único de la suscripción a la que está asociado el registro. |
| TenantId |
string |
Id. del área de trabajo de Log Analytics |
| ThreatCategory |
string |
Si un origen de eventos de DNS también proporciona seguridad DNS, puede además evaluar el evento de DNS. Por ejemplo, puede buscar la dirección IP o el dominio en una base de datos de inteligencia sobre amenazas y asignar al dominio o la dirección IP una categoría de amenazas. |
| ThreatConfidence |
int |
Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatField |
string |
Campo para el que se identificó una amenaza. El valor es SrcIpAddr, DstIpAddr, Domain o DnsResponseName. |
| ThreatFirstReportedTime |
string |
La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatFirstReportedTime_d |
datetime |
La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatId |
string |
Identificador de la amenaza o malware identificado en la sesión web. |
| ThreatIpAddr |
string |
Dirección IP para la que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatIpAddr que representa. Si se identifica una amenaza en el campo Dominio, este campo debe estar vacío. |
| ThreatIsActive |
bool |
True ID: la amenaza identificada se considera una amenaza activa. |
| ThreatLastReportedTime |
string |
La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatLastReportedTime_d |
datetime |
La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatName |
string |
El nombre de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatOriginalConfidence |
string |
El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatOriginalRiskLevel |
int |
Nivel de riesgo original asociado a la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatOriginalRiskLevel_s |
string |
Nivel de riesgo asociado a la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatRiskLevel |
int |
Nivel de riesgo asociado a la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| TimeGenerated |
datetime |
Marca de tiempo (UTC) que refleja la hora en la que se generó el evento. |
| TransactionIdHex |
string |
El identificador de transacción hexadecimal único de DNS. |
| Tipo |
string |
Nombre de la tabla. |
| UrlCategory |
string |
Un origen de eventos de DNS también puede buscar la categoría de los dominios solicitados. |