| AdditionalFields |
dynamic |
Informations supplémentaires, représentées à l’aide de paires clé/valeur fournies par la source qui ne sont pas mappées à ASim. |
| _BilledSize |
real |
Taille de l’enregistrement en octets |
| DnsFlags |
string |
Indicateurs de requête DNS, tels que fournis par l’appareil de création de rapports. La structure des informations sur les indicateurs DNS peut varier entre différents appareils de création de rapports. |
| DnsFlagsAuthenticated |
bool |
L’indicateur de réponse authentifié DNS, lié à DNSSEC, indique dans une réponse que toutes les données incluses dans les sections réponse et autorité de la réponse ont été vérifiées par le serveur en fonction des stratégies de ce serveur. Pour plus d’informations, consultez la RFC 3655 Section 6.1. |
| DnsFlagsAuthoritative |
bool |
L’indicateur de réponse faisant autorité DNS indique si la réponse du serveur faisait autorité. |
| DnsFlagsCheckingDisabled |
bool |
L’indicateur DE CD DNS, associé à DNSSEC, indique dans une requête que les données non vérifiées sont acceptables pour le système envoyant la requête. |
| DnsFlagsRecursionAvailable |
bool |
L’indicateur RA DNS indique dans une réponse que le serveur prend en charge les requêtes récursives. |
| DnsFlagsRecursionDesired |
bool |
L’indicateur souhaité de récursivité DNS indique dans une requête que le client souhaite que le serveur utilise des requêtes récursives. |
| DnsFlagsTruncated |
bool |
L’indicateur TC DNS indique qu’une réponse a été tronquée au fur et à mesure qu’elle a dépassé la taille maximale de la réponse. |
| DnsFlagsZ |
bool |
L’indicateur DNS Z est un indicateur DNS déconseillé, qui peut être signalé par des systèmes DNS plus anciens. |
| DnsNetworkDuration |
int |
Durée, en millisecondes, pour que la requête DNS s’achève. |
| DnsQuery |
string |
Le domaine qui doit être résolu. |
| DnsQueryClass |
int |
ID de classe DNS tel que défini par internet Assigned Numbers Authority (IANA). |
| DnsQueryClassName |
string |
Nom de la classe DNS tel que défini par internet Assigned Numbers Authority (IANA). |
| DnsQueryType |
int |
Codes de type d’enregistrement de ressource DNS définis par l’Autorité des numéros attribués à Internet (IANA). |
| DnsQueryTypeName |
string |
Nom du type d’enregistrement de ressource DNS tel que défini par l’IANA (Internet Assigned Numbers Authority). |
| DnsResponseCode |
int |
Code de réponse numérique DNS tel que défini par l’IANA (Internet Assigned Numbers Authority). |
| DnsResponseIpCity |
string |
Ville associée à l’adresse IP de réponse. |
| DnsResponseIpCountry |
string |
Pays associé à l’adresse IP de réponse. |
| DnsResponseIpLatitude |
real |
Latitude de la coordonnée géographique associée à l’adresse IP de réponse. |
| DnsResponseIpLongitude |
real |
Longitude de la coordonnée géographique associée à l’adresse IP de réponse. |
| DnsResponseIpRegion |
string |
Région ou état, dans un pays, associé à l’adresse IP source. |
| DnsResponseName |
string |
Contenu de la réponse, tel qu’il est inclus dans l’enregistrement. La structure des données de réponse DNS peut varier entre différents appareils de création de rapports. |
| DnsSessionId |
string |
Identificateur de session DNS signalé par le périphérique de création de rapport. |
| Dst |
string |
Identificateur unique du serveur qui a reçu la requête DNS. |
| DstDescription |
string |
Texte descriptif associé à la destination. |
| DstDeviceType |
string |
Type de l’appareil de destination. |
| DstDomain |
string |
Domaine de l’appareil de destination. |
| DstDomainType |
string |
Type de DstDomain. |
| DstDvcId |
string |
ID de l’appareil de destination. |
| DstDvcIdType |
string |
Type de DstDvcId. |
| DstDvcScope |
string |
L’étendue de la plateforme cloud à laquelle appartient l’appareil de destination. DvcScope mappe à un abonnement sur Azure et à un compte sur AWS. |
| DstDvcScopeId |
string |
ID d’étendue de la plateforme cloud auquel appartient l’appareil de destination. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DstFQDN |
string |
Nom d’hôte de l’appareil de destination, y compris les informations de domaine, le cas échéant. |
| DstGeoCity |
string |
Ville associée à l’adresse IP de destination. |
| DstGeoCountry |
string |
Pays associé à l’adresse IP de destination. |
| DstGeoLatitude |
real |
Latitude de la coordonnée géographique associée à l’adresse IP de destination. |
| DstGeoLongitude |
real |
Longitude de la coordonnée géographique associée à l’adresse IP de destination. |
| DstGeoRegion |
string |
Région ou état, dans un pays, associé à l’adresse IP de destination. |
| DstHostname |
string |
Nom d’hôte de l’appareil de destination, à l’exception des informations de domaine. |
| DstIpAddr |
string |
Adresse IP du serveur qui reçoit la requête DNS. Pour une requête DNS régulière, cette valeur correspond généralement à l’appareil de création de rapports et, dans la plupart des cas, à 127.0.0.1. |
| DstOriginalRiskLevel |
string |
Niveau de risque associé à l’appareil de destination, tel qu’il est signalé par l’appareil de création de rapports. |
| DstPortNumber |
int |
Numéro du port de destination. |
| DstRiskLevel |
int |
Niveau de risque associé à l’appareil de destination. |
| Dvc |
string |
Identificateur unique de l’appareil signalant l’événement. L’identificateur peut être une adresse IP, un nom d’hôte ou un ID d’appareil. |
| DvcAction |
string |
Action effectuée par l’appareil de création de rapports sur la demande, telle que le blocage. |
| DvcDescription |
string |
Obtient le texte descriptif associé à l’appareil. Par exemple : Contrôleur de domaine principal. |
| DvcDomain |
string |
Domaine de l’appareil signalant l’événement. |
| DvcDomainType |
string |
Type de DvcDomain. Les valeurs possibles incluent « Windows » et « FQDN ». |
| DvcFQDN |
string |
Nom d’hôte complet, y compris les informations de domaine, de l’appareil signalant l’événement. |
| DvcHostname |
string |
Nom d’hôte de l’appareil signalant l’événement. |
| DvcId |
string |
ID unique de l’appareil signalant l’événement. |
| DvcIdType |
string |
Type de DvcId. |
| DvcInterface |
string |
Interface réseau sur laquelle les données ont été capturées. Ce champ est généralement adapté à une activité liée au réseau qui est capturée par un appareil intermédiaire ou point d’accès terminal. |
| DvcIpAddr |
string |
Adresse IP de l’appareil signalant l’événement. |
| DvcMacAddr |
string |
Adresse MAC de l’appareil signalant l’événement. |
| DvcOriginalAction |
string |
Le DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| DvcOs |
string |
Système d’exploitation s’exécutant sur l’appareil signalant l’événement. |
| DvcOsVersion |
string |
Version du système d’exploitation sur l’appareil signalant l’événement. |
| DvcScope |
string |
Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScope correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcScopeId |
string |
ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcZone |
string |
Segment réseau de l’appareil signalant l’événement. |
| EventCount |
int |
Nombre d’événements décrits par l’enregistrement. Cette valeur est utilisée quand la source prend en charge l’agrégation, et un seul enregistrement peut représenter plusieurs événements. |
| EventEndTime |
DATETIME |
Heure de fin de l'événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventMessage |
string |
Message général ou description. |
| EventOriginalSeverity |
string |
La gravité d’origine, telle que fournie par l’appareil de reporting. Cette valeur est utilisée pour dériver EventSeverity. |
| EventOriginalType |
string |
Type ou ID d’événement d’origine, par exemple, l’ID d’événement Windows d’origine. |
| EventOriginalUid |
string |
ID unique de l’enregistrement d’origine. |
| EventOwner |
string |
Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré. |
| EventProduct |
string |
Produit générant l’événement. |
| EventProductVersion |
string |
Version du produit générant l’événement. |
| EventReportUrl |
string |
URL d’une ressource qui fournit des informations supplémentaires sur l’événement. |
| EventResult |
string |
Résultat de l’événement, représenté par l’une des valeurs suivantes : Réussite, Partial, Failure, NA (Non applicable). La valeur peut ne pas être fournie directement par les sources, auquel cas elle est dérivée d’autres champs d’événement, par exemple le champ EventResultDetails. |
| EventResultDetails |
string |
Code de réponse DNS tel que défini par l’IANA (Internet Assigned Numbers Authority). |
| EventSchemaVersion |
string |
Version du schéma. |
| EventSeverity |
string |
La gravité de l’événement. Les valeurs valides sont les suivantes : Informational, Low, Medium ou High. |
| EventStartTime |
DATETIME |
Heure à laquelle l’événement a démarré. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventSubType |
string |
requête ou réponse. |
| EventType |
string |
Indique l’opération signalée par l’enregistrement. Pour les événements d’activité DNS, cette valeur est le code opcode DNS tel que défini par l’autorité IANA (Internet Assigned Numbers Authority). |
| EventVendor |
string |
Fournisseur du produit générant l’événement. |
| _IsBillable |
string |
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| NetworkProtocol |
string |
Protocole de transport utilisé par l’événement de résolution de réseau. La valeur peut être UDP ou TCP. |
| NetworkProtocolVersion |
string |
Version du protocole réseau. Généralement utilisé pour différencier IPv4 et Ipv6. |
| _ResourceId |
string |
Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| RuleName |
string |
Nom ou ID de la règle associée aux résultats de l’inspection. |
| RuleNumber |
int |
Numéro de la règle associée aux résultats de l’inspection. |
| SourceSystem |
string |
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| Src |
string |
Identificateur unique de l’appareil source. |
| SrcDescription |
string |
Numéro de la règle associée aux résultats de l’inspection. |
| SrcDeviceType |
string |
Type de l’appareil source. |
| SrcDomain |
string |
Domaine de l’appareil source. |
| SrcDomainType |
string |
Type de SrcDomain. |
| SrcDvcId |
string |
ID de l’appareil source. |
| SrcDvcIdType |
string |
Type de SrcDvcId. |
| SrcDvcScope |
string |
L’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScope mappe à un abonnement sur Azure et à un compte sur AWS. |
| SrcDvcScopeId |
string |
ID d’étendue de la plateforme cloud auquel appartient l’appareil source. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcFQDN |
string |
Nom d’hôte de l’appareil source, y compris les informations de domaine. |
| SrcGeoCity |
string |
Ville associée à l’adresse IP source. |
| SrcGeoCountry |
string |
Pays associé à l’adresse IP source. |
| SrcGeoLatitude |
real |
Latitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoLongitude |
real |
Longitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoRegion |
string |
Région ou état, dans un pays, associé à l’adresse IP source. |
| SrcHostname |
string |
Nom d’hôte de l’appareil source, à l’exception des informations de domaine. |
| SrcIpAddr |
string |
L’adresse IP du client qui envoie la requête DNS. Pour une requête DNS récursive, cette valeur est généralement l’appareil de création de rapports et, dans la plupart des cas, définie sur 127.0.0.1. |
| SrcOriginalRiskLevel |
string |
Niveau de risque associé à l’appareil source, tel qu’il est signalé par l’appareil de création de rapports. |
| SrcOriginalUserType |
string |
Type d’utilisateur source d’origine, tel que fourni par la source. |
| SrcPortNumber |
int |
Port source de la requête DNS. |
| SrcProcessGuid |
string |
Identificateur unique généré (GUID) du processus qui a lancé la requête DNS. |
| SrcProcessId |
string |
ID de processus (PID) du processus qui a lancé la requête DNS. |
| SrcProcessName |
string |
Nom du processus qui a lancé la requête DNS. |
| SrcRiskLevel |
int |
Niveau de risque associé à l’appareil source. |
| SrcUserId |
string |
Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur source. |
| SrcUserIdType |
string |
Type de l’ID stocké dans le champ SrcUserId. |
| SrcUsername |
string |
Nom de l’utilisateur source, y compris les informations de domaine, le cas échéant. |
| SrcUsernameType |
string |
Type du nom d’utilisateur stocké dans le champ SrcUsername. |
| SrcUserScope |
string |
Étendue, par exemple le locataire Azure AD, dans laquelle SrcUserId et SrcUsername sont définis. |
| SrcUserScopeId |
string |
ID de l’étendue, tel que le locataire Azure AD, dans lequel SrcUserId et SrcUsername sont définis. |
| SrcUserSessionId |
string |
ID unique de la session de connexion de l’utilisateur source. |
| SrcUserType |
string |
Type de l’utilisateur source |
| _SubscriptionId |
string |
Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| TenantId |
string |
ID de l’espace de travail Log Analytics |
| ThreatCategory |
string |
Si une source d’événement DNS fournit également la sécurité DNS, elle peut également évaluer l’événement DNS. Par exemple, elle peut rechercher l’adresse IP ou le domaine dans une base de données de renseignement sur les menaces et peut affecter le domaine ou l’adresse IP avec une catégorie de menace. |
| ThreatConfidence |
int |
Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatField |
string |
Champ pour lequel une menace a été identifiée. La valeur est SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
| ThreatFirstReportedTime |
string |
Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatFirstReportedTime_d |
DATETIME |
Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatId |
string |
ID de la menace ou des programmes malveillants identifiés dans la session web. |
| ThreatIpAddr |
string |
Adresse IP pour laquelle une menace a été identifiée. Le champ ThreatField contient le nom du champ que ThreatIpAddr représente. Si une menace est identifiée dans le champ Domaine, ce champ doit être vide. |
| ThreatIsActive |
bool |
True ID de la menace identifiée qui est considérée comme une menace active. |
| ThreatLastReportedTime |
string |
La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatLastReportedTime_d |
DATETIME |
La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatName |
string |
Nom de la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatOriginalConfidence |
string |
Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatOriginalRiskLevel |
int |
Niveau de risque d’origine associé à la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatOriginalRiskLevel_s |
string |
Niveau de risque associé à la menace identifiée, normalisée à une valeur comprise entre 0 et 100. |
| ThreatRiskLevel |
int |
Niveau de risque associé à la menace identifiée, normalisée à une valeur comprise entre 0 et 100. |
| TimeGenerated |
DATETIME |
Horodatage (UTC) reflétant l’heure dans laquelle l’événement a été généré. |
| TransactionIdHex |
string |
ID de transaction hexadécimal unique DNS. |
| Type |
string |
Le nom de la table |
| UrlCategory |
string |
Une source d’événement DNS peut également rechercher la catégorie des domaines demandés. |