| Dodatkowe pola |
dynamiczna |
Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość udostępniane przez źródło, które nie są mapowane na kartę ASim. |
| _BilledSize |
rzeczywiste |
Rozmiar rekordu w bajtach |
| DnsFlags |
string |
Flagi żądania DNS podane przez urządzenie raportowania. Struktura informacji o flagach DNS może się różnić między różnymi urządzeniami raportowania. |
| DnsFlagsAuthenticated |
bool |
Flaga uwierzytelnionej odpowiedzi DNS, która jest powiązana z protokołem DNSSEC, wskazuje w odpowiedzi, że wszystkie dane zawarte w sekcjach odpowiedzi i urzędu odpowiedzi zostały zweryfikowane przez serwer zgodnie z zasadami tego serwera. Aby uzyskać więcej informacji, zobacz RFC 3655 Sekcja 6.1. |
| DnsFlagsAuthoritative |
bool |
Flaga odpowiedzi autorytatywnej DNS wskazuje, czy odpowiedź z serwera była autorytatywna. |
| DnsFlagsCheckingDisabled |
bool |
Flaga usługi DNS CD, która jest powiązana z protokołem DNSSEC, wskazuje w zapytaniu, że nie zweryfikowane dane są akceptowalne dla systemu wysyłającego zapytanie. |
| DnsFlagsRecursionAvailable |
bool |
Flaga urzędu rejestrowania DNS wskazuje w odpowiedzi, że serwer obsługuje zapytania cykliczne. |
| DnsFlagsRecursionDesired |
bool |
Żądana flaga rekursji DNS wskazuje w żądaniu, że klient chce, aby serwer używał zapytań cyklicznych. |
| DnsFlagsTruncated |
bool |
Flaga TC DNS wskazuje, że odpowiedź została obcięta, ponieważ przekroczyła maksymalny rozmiar odpowiedzi. |
| DnsFlagsZ |
bool |
Flaga DNS Z jest przestarzałą flagą DNS, która może być zgłaszana przez starsze systemy DNS. |
| DnsNetworkDuration |
int |
Czas ukończenia żądania DNS w milisekundach. |
| DnsQuery |
string |
Domena, którą należy rozwiązać. |
| DnsQueryClass |
int |
Identyfikator klasy DNS zdefiniowany przez urząd IANA (Internet Assigned Numbers Authority). |
| DnsQueryClassName |
string |
Nazwa klasy DNS zdefiniowana przez urząd IANA (Internet Assigned Numbers Authority). |
| DnsQueryType |
int |
Kody typów rekordów zasobów DNS zdefiniowane przez urząd IANA (Internet Assigned Numbers Authority). |
| DnsQueryTypeName |
string |
Nazwa typu rekordu zasobu DNS zdefiniowana przez urząd IANA (Internet Assigned Numbers Authority). |
| DnsResponseCode |
int |
Kod odpowiedzi liczbowej DNS zdefiniowany przez urząd IANA (Internet Assigned Numbers Authority). |
| DnsResponseIpCity |
string |
Miasto skojarzone z adresem IP odpowiedzi. |
| DnsResponseIpCountry |
string |
Kraj skojarzony z adresem IP odpowiedzi. |
| DnsResponseIpLatitude |
rzeczywiste |
Szerokość geograficzna współrzędnej geograficznej skojarzonej z adresem IP odpowiedzi. |
| DnsResponseIpLongitude |
rzeczywiste |
Długość geograficzna współrzędnej geograficznej skojarzonej z adresem IP odpowiedzi. |
| DnsResponseIpRegion |
string |
Region lub stan w kraju skojarzony z źródłowym adresem IP. |
| DnsResponseName |
string |
Zawartość odpowiedzi, jak zawarto w rekordzie. Struktura danych odpowiedzi DNS może się różnić między różnymi urządzeniami raportowania. |
| DnsSessionId |
string |
Identyfikator sesji DNS zgłoszony przez urządzenie raportowania. |
| Docelowy |
string |
Unikatowy identyfikator serwera, który otrzymał żądanie DNS. |
| DstDescription |
string |
Tekst opisowy skojarzony z miejscem docelowym. |
| DstDeviceType |
string |
Typ urządzenia docelowego. |
| DstDomain |
string |
Domena urządzenia docelowego. |
| DstDomainType |
string |
Typ DstDomain. |
| DstDvcId |
string |
Identyfikator urządzenia docelowego. |
| DstDvcIdType |
string |
Typ DstDvcId. |
| DstDvcScope |
string |
Zakres platformy w chmurze, do którego należy urządzenie docelowe. DvcScope mapuje subskrypcję na platformę Azure i na konto na platformie AWS. |
| DstDvcScopeId |
string |
Identyfikator zakresu platformy w chmurze, do którego należy urządzenie docelowe. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| Nazwa DstFQDN |
string |
Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne. |
| DstGeoCity |
string |
Miasto skojarzone z docelowym adresem IP. |
| DstGeoCountry |
string |
Kraj skojarzony z docelowym adresem IP. |
| DstGeoLatitude |
rzeczywiste |
Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
| DstGeoLongitude |
rzeczywiste |
Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
| DstGeoRegion |
string |
Region lub stan w kraju skojarzony z docelowym adresem IP. |
| Nazwa hosta Dst |
string |
Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. |
| DstIpAddr |
string |
Adres IP serwera odbierającego żądanie DNS. W przypadku zwykłego żądania DNS ta wartość zazwyczaj będzie urządzeniem raportowania, a w większości przypadków ustawiona na 127.0.0.1. |
| DstOriginalRiskLevel |
string |
Poziom ryzyka skojarzony z urządzeniem docelowym zgodnie z raportem urządzenia raportowania. |
| DstPortNumber |
int |
Numer portu docelowego. |
| DstRiskLevel |
int |
Poziom ryzyka skojarzony z urządzeniem docelowym. |
| Dvc |
string |
Unikatowy identyfikator urządzenia zgłaszający zdarzenie. Identyfikator może być adresem IP, nazwą hosta lub identyfikatorem urządzenia. |
| DvcAction |
string |
Akcja podjęta przez urządzenie raportowania w żądaniu, na przykład blokująca je. |
| DvcDescription |
string |
Tekst opisowy skojarzony z urządzeniem. Na przykład: Podstawowy kontroler domeny. |
| DvcDomain |
string |
Domena urządzenia zgłasza zdarzenie. |
| DvcDomainType |
string |
Typ DvcDomain. Możliwe wartości to "Windows" i "FQDN". |
| DvcFQDN |
string |
W pełni kwalifikowana nazwa hosta, w tym informacje o domenie, urządzenia zgłasza zdarzenie. |
| DvcHostname |
string |
Nazwa hosta urządzenia zgłasza zdarzenie. |
| DvcId |
string |
Unikatowy identyfikator urządzenia zgłasza zdarzenie. |
| DvcIdType |
string |
Typ DvcId. |
| DvcInterface |
string |
Interfejs sieciowy, na którym zostały przechwycone dane. To pole jest zwykle istotne dla działania związanego z siecią, które jest przechwytywane przez urządzenie pośrednie lub naciśnij. |
| DvcIpAddr |
string |
Adres IP urządzenia zgłasza zdarzenie. |
| DvcMacAddr |
string |
Adres MAC urządzenia zgłasza zdarzenie. |
| DvcOriginalAction |
string |
Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania. |
| DvcOs |
string |
System operacyjny uruchomiony na urządzeniu zgłasza zdarzenie. |
| DvcOsVersion |
string |
Wersja systemu operacyjnego na urządzeniu zgłasza zdarzenie. |
| DvcScope |
string |
Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje identyfikator subskrypcji na platformę Azure i na identyfikator konta na platformie AWS. |
| DvcScopeId |
string |
Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| DvcZone |
string |
Segment sieci urządzenia zgłasza zdarzenie. |
| EventCount |
int |
Liczba zdarzeń opisanych przez rekord. Ta wartość jest używana, gdy źródło obsługuje agregację, a pojedynczy rekord może reprezentować wiele zdarzeń. |
| EventEndTime |
datetime |
Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
| EventMessage |
string |
Ogólny komunikat lub opis. |
| EventOriginalSeverity |
string |
Oryginalna ważność podana przez urządzenie raportowania. Ta wartość służy do uzyskiwania wartości EventSeverity. |
| EventOriginalType |
string |
Oryginalny typ zdarzenia lub identyfikator, na przykład oryginalny identyfikator zdarzenia systemu Windows. |
| EventOriginalUid |
string |
Unikatowy identyfikator oryginalnego rekordu. |
| Właściciel zdarzenia |
string |
Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
| EventProduct |
string |
Produkt generujący zdarzenie. |
| EventProductVersion |
string |
Wersja produktu generująca zdarzenie. |
| EventReportUrl |
string |
Adres URL zasobu, który zawiera dodatkowe informacje o zdarzeniu. |
| EventResult |
string |
Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
| EventResultDetails |
string |
Kod odpowiedzi DNS zdefiniowany przez urząd IANA (Internet Assigned Numbers Authority). |
| EventSchemaVersion |
string |
Wersja schematu. |
| EventSeverity |
string |
Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High. |
| EventStartTime |
datetime |
Godzina rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
| EventSubType |
string |
Żądanie lub odpowiedź. |
| EventType |
string |
Wskazuje operację zgłoszoną przez rekord. W przypadku zdarzeń działania DNS ta wartość jest kodem operacji DNS zdefiniowanym przez urząd IANA (Internet Assigned Numbers Authority). |
| EventVendor |
string |
Dostawca produktu generującego zdarzenie. |
| _IsBillable |
string |
Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| NetworkProtocol |
string |
Protokół transportowy używany przez zdarzenie rozpoznawania sieci. Wartość może być UDP lub TCP. |
| NetworkProtocolVersion |
string |
Wersja protokołu sieciowego. Zazwyczaj służy do rozróżniania protokołów IPv4 i Ipv6. |
| _ResourceId |
string |
Unikatowy identyfikator zasobu skojarzonego z rekordem |
| RuleName |
string |
Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
| RuleNumber |
int |
Liczba reguł skojarzonych z wynikami inspekcji. |
| SourceSystem |
string |
Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| Źródłowy |
string |
Unikatowy identyfikator urządzenia źródłowego. |
| SrcDescription |
string |
Liczba reguł skojarzonych z wynikami inspekcji. |
| SrcDeviceType |
string |
Typ urządzenia źródłowego. |
| SrcDomain |
string |
Domena urządzenia źródłowego. |
| SrcDomainType |
string |
Typ SrcDomain. |
| SrcDvcId |
string |
Identyfikator urządzenia źródłowego. |
| SrcDvcIdType |
string |
Typ SrcDvcId. |
| SrcDvcScope |
string |
Zakres platformy w chmurze, do którego należy urządzenie źródłowe. DvcScope mapuje subskrypcję na platformę Azure i na konto na platformie AWS. |
| SrcDvcScopeId |
string |
Identyfikator zakresu platformy w chmurze, do którego należy urządzenie źródłowe. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcFQDN |
string |
Nazwa hosta urządzenia źródłowego, w tym informacje o domenie. |
| SrcGeoCity |
string |
Miasto skojarzone ze źródłowym adresem IP. |
| SrcGeoCountry |
string |
Kraj skojarzony ze źródłowym adresem IP. |
| SrcGeoLatitude |
rzeczywiste |
Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. |
| SrcGeoLongitude |
rzeczywiste |
Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. |
| SrcGeoRegion |
string |
Region lub stan w kraju skojarzony z źródłowym adresem IP. |
| SrcHostname |
string |
Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. |
| SrcIpAddr |
string |
Adres IP klienta wysyłającego żądanie DNS. W przypadku cyklicznego żądania DNS ta wartość zazwyczaj będzie urządzeniem raportowania, a w większości przypadków ustawiono wartość 127.0.0.1. |
| SrcOriginalRiskLevel |
string |
Poziom ryzyka skojarzony z urządzeniem źródłowym zgłoszony przez urządzenie raportowania. |
| SrcOriginalUserType |
string |
Oryginalny typ użytkownika źródłowego, podany przez źródło. |
| SrcPortNumber |
int |
Port źródłowy zapytania DNS. |
| SrcProcessGuid |
string |
Wygenerowany unikatowy identyfikator (GUID) procesu, który zainicjował żądanie DNS. |
| SrcProcessId |
string |
Identyfikator procesu (PID) procesu, który zainicjował żądanie DNS. |
| SrcProcessName |
string |
Nazwa procesu, który zainicjował żądanie DNS. |
| SrcRiskLevel |
int |
Poziom ryzyka skojarzony z urządzeniem źródłowym. |
| SrcUserId |
string |
Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego. |
| SrcUserIdType |
string |
Typ identyfikatora przechowywanego w polu SrcUserId. |
| SrcUsername |
string |
Nazwa użytkownika źródła, w tym informacje o domenie, gdy są dostępne. |
| SrcUsernameType |
string |
Typ nazwy użytkownika przechowywanej w polu SrcUsername. |
| SrcUserScope |
string |
Zakres, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano wartości SrcUserId i SrcUsername. |
| SrcUserScopeId |
string |
Identyfikator zakresu, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano identyfikator SrcUserId i SrcUsername. |
| SrcUserSessionId |
string |
Unikatowy identyfikator sesji logowania użytkownika źródłowego. |
| SrcUserType |
string |
Typ użytkownika źródłowego. |
| _SubscriptionId |
string |
Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
| TenantId |
string |
Identyfikator obszaru roboczego usługi Log Analytics |
| ThreatCategory |
string |
Jeśli źródło zdarzeń DNS zapewnia również zabezpieczenia DNS, może również ocenić zdarzenie DNS. Może na przykład wyszukać adres IP lub domenę w bazie danych analizy zagrożeń i przypisać domenę lub adres IP z kategorią zagrożeń. |
| ThreatConfidence |
int |
Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatField |
string |
Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcIpAddr, DstIpAddr, Domain lub DnsResponseName. |
| ThreatFirstReportedTime |
string |
Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatFirstReportedTime_d |
datetime |
Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatId |
string |
Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowany w sesji internetowej. |
| ThreatIpAddr |
string |
Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje. Jeśli w polu Domena zostanie zidentyfikowane zagrożenie, to pole powinno być puste. |
| ThreatIsActive |
bool |
Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uznawany za aktywne zagrożenie. |
| ThreatLastReportedTime |
string |
Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatLastReportedTime_d |
datetime |
Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatName |
string |
Nazwa zidentyfikowanego zagrożenia zgłoszonego przez urządzenie raportowania. |
| ThreatOriginalConfidence |
string |
Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania. |
| ThreatOriginalRiskLevel |
int |
Oryginalny poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem, zgodnie z raportem urządzenia raportowania. |
| ThreatOriginalRiskLevel_s |
string |
Poziom ryzyka skojarzony ze zidentyfikowanym zagrożeniem znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatRiskLevel |
int |
Poziom ryzyka skojarzony ze zidentyfikowanym zagrożeniem znormalizowany do wartości z zakresu od 0 do 100. |
| TimeGenerated |
datetime |
Znacznik czasu (UTC) odzwierciedla czas wygenerowania zdarzenia. |
| TransactionIdHex |
string |
Unikatowy identyfikator transakcji szesnastkowy DNS. |
| Typ |
string |
Nazwa tabeli |
| UrlCategory |
string |
Źródło zdarzeń DNS może również wyszukać kategorię żądanych domen. |