Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Lo schema DHCP di ASIM rappresenta l'attività del server DHCP, inclusa la gestione delle richieste per l'indirizzo IP DHCP concesso dai sistemi client e l'aggiornamento di un server DNS con i lease concessi.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | microsoft.securityinsights/asimtables |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | Sì |
| Trasformazione del tempo di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | TIPO | Descrizione |
|---|---|---|
| Campi aggiuntivi | dinamico | Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non eseguono il mapping ad ASim. |
| _BilledSize | autentico | Dimensioni del record in byte |
| DhcpCircuitId | corda | ID circuito DHCP, come definito da RFC3046. |
| Durata del Lease DHCP | INT | Durata del lease concesso a un client, in secondi. |
| DhcpSessionDuration | INT | Quantità di tempo, espressa in millisecondi, per il completamento della sessione DHCP. |
| DhcpSessionId | corda | Identificatore di sessione segnalato dal dispositivo di report. Per il server DHCP Di Windows, impostarlo sul campo TransactionID. |
| DhcpSrcDHCId | corda | L'ID client DHCP, come definito da RFC4701. |
| DhcpSubscriberId | corda | ID sottoscrittore DHCP, come definito da RFC3993. |
| DhcpUserClass | corda | Classe utente DHCP, come definito da RFC3004. |
| DhcpUserClassId | corda | ID classe utente DHCP, come definito da RFC3004. |
| DhcpClasseDelFornitore | corda | Classe fornitore DHCP, come definito da RFC3925. |
| DhcpVendorClassId | corda | ID classe fornitore DHCP, come definito da RFC3925. |
| DvcAction | corda | Per i sistemi di segnalazione della sicurezza, l'azione intrapresa dal sistema, se applicabile. |
| DvcDescription | corda | Un testo descrittivo associato al dispositivo. |
| DvcDomain | corda | Dominio del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema |
| DvcDomainType | corda | Tipo di DvcDomain. |
| DvcFQDN | corda | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
| DvcHostname | corda | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
| DvcId | corda | ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
| DvcIdType | corda | Il tipo di DvcId. |
| DvcInterface | corda | Interfaccia di rete in cui sono stati acquisiti i dati. Questo campo è in genere rilevante per l'attività correlata alla rete acquisita da un dispositivo intermedio o di tocco. |
| DvcIpAddr | corda | Indirizzo IP del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
| DvcMacAddr | corda | Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOriginalAction | corda | Il DvcAction originale così come fornito dal dispositivo di creazione di report. |
| DvcOs | corda | Il sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOsVersion | corda | La versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcScope | corda | L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping su un nome di sottoscrizione in Azure e su un ID account in AWS. |
| DvcScopeId | corda | L’ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping su un ID sottoscrizione in Azure e su un ID account in AWS. |
| DvcZone | corda | La rete in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. La zona è definita dal dispositivo di report. |
| Conteggio eventi | INT | Numero di eventi descritti dal record. Questo valore viene usato quando l'origine supporta l'aggregazione e un singolo record può rappresentare più eventi. |
| Ora di Fine Evento | data e ora | Ora di fine dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| Messaggio dell'Evento | corda | Messaggio o descrizione generale, incluso o generato dal record. |
| DettagliOriginaliDelRisultatoDell'Evento | corda | Dettagli del risultato originale forniti dall'origine. Questo valore viene usato per derivare EventResultDetails, che deve avere solo uno dei valori documentati per ogni schema. |
| EventOriginalSeverity | corda | Gravità originale fornita dal dispositivo di report. Questo valore viene usato per derivare EventSeverity. |
| EventOriginalSubType | corda | Sottotipo o ID dell'evento originale, se specificato dall'origine. |
| EventOriginalType | corda | Tipo di evento o ID originale, se specificato dall'origine. |
| EventOriginalUid | corda | ID univoco del record originale, se specificato dall'origine. |
| Proprietario dell'evento | corda | Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
| EventProduct | corda | Prodotto che genera l'evento. Il valore deve essere uno dei valori elencati in Fornitori e prodotti. |
| EventProductVersion | corda | Versione del prodotto che genera l'evento. |
| EventReportUrl | corda | URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
| Risultato dell'evento | corda | Risultato dell'evento, rappresentato da uno dei valori seguenti: Operazione riuscita, Parziale, Errore, N/D (non disponibile). |
| Dettagli dei Risultati dell'Evento | corda | Motivo o dettagli per il risultato segnalato nel campo EventResult. |
| EventSchema | corda | Lo schema in cui viene normalizzato l'evento. Ogni schema documenta il proprio nome. |
| EventSchemaVersion | corda | La versione dello schema. Ogni schema documenta la versione corrente. |
| EventSeverity | corda | Gravità dell'evento. |
| OraInizioEvento | data e ora | Ora di avvio dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| EventSubtype | corda | Descrive una suddivisione dell'operazione segnalata nel campo EventType. |
| TipoDiEvento | corda | Descrive l'operazione descritta dal record. |
| EventVendor | corda | Fornitore del prodotto che genera l'evento. Il valore deve essere uno dei valori elencati in Fornitori e prodotti. |
| _ÈFatturabile | corda | Specifica se l'ingestione dei dati è fatturabile. Quando _IsBillable è false, l'inserimento non viene fatturato all'account Azure |
| RequestedIpAddr (Indirizzo IP Richiesto) | corda | Indirizzo IP richiesto dal client DHCP, se disponibile. |
| _ResourceId | corda | Identificatore univoco della risorsa a cui è associato il record. |
| Nome della Regola | corda | Nome o ID della regola associata ai risultati dell'ispezione. |
| NumeroRegola | INT | Numero della regola associata ai risultati dell'ispezione. |
| SourceSystem | corda | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta oppure Operations Manager, Linux per tutti gli agenti Linux, o Azure per Diagnostica di Azure |
| SrcDescription | corda | Un testo descrittivo associato al dispositivo. |
| SrcDeviceType | corda | Tipo di dispositivo. |
| SrcDomain | corda | Dominio del dispositivo. |
| SrcDomainType | corda | Tipo del dominio. |
| SrcDvcId | corda | ID del dispositivo. |
| SrcDvcIdType | corda | Tipo di DvcId. |
| SrcDvcScope | corda | L'ambito della piattaforma cloud a cui appartiene il dispositivo. |
| SrcDvcScopeId | corda | L’ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. |
| SrcFQDN | corda | Nome host del dispositivo, incluse le informazioni sul dominio, se disponibili. |
| SrcGeoCity | corda | Città associata all'indirizzo IP di origine. |
| SrcGeoCountry | corda | Paese associato all'indirizzo IP di origine. |
| SrcGeoLatitude | autentico | Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoLongitude | autentico | Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoRegion | corda | Area all'interno di un paese associato all'indirizzo IP di origine. |
| SrcHostname | corda | Nome host del dispositivo, escluse le informazioni sul dominio. |
| SrcIpAddr | corda | Indirizzo IP del dispositivo di origine. |
| SrcMacAddr | corda | Indirizzo MAC dell'interfaccia di rete da cui ha avuto origine la connessione o la sessione. |
| SrcOriginalRiskLevel | corda | Livello di rischio associato all'origine identificata come segnalato dal dispositivo di report. |
| SrcOriginalUserType | corda | Tipo di utente di origine originale, se fornito dall'origine. |
| SrcPortNumber | INT | Porta IP in cui il dispositivo ha comunicato, se applicabile. |
| SrcRiskLevel | INT | Livello di rischio associato all'origine identificata. |
| SrcUserId | corda | Rappresentazione univoca dell'utente leggibile, alfanumerica e leggibile dal computer. |
| SrcUserIdType | corda | Tipo di SrcUserId. |
| SrcUsername | corda | Nome utente dell'utente, incluse le informazioni sul dominio, se disponibili. |
| SrcUsernameType | corda | Tipo di nome utente. |
| SrcUserScope | corda | Tipo di nome utente. |
| SrcUserScopeId | corda | ID dell’ambito, ad esempio ID tenant di Azure AD, in cui vengono definiti UserId e AUsername. |
| SrcUserSessionId | corda | ID univoco della sessione di accesso dell'utente. |
| SrcUserType | corda | Tipo di utente |
| SrcUserUid | corda | ID utente Unix o Linux dell'utente. |
| _SubscriptionId (ID sottoscrizione) | corda | Identificatore univoco della sottoscrizione a cui è associato il record |
| ID dell'inquilino | corda | L'ID dell'area di lavoro Log Analytics |
| Categoria di minaccia | corda | Categoria della minaccia o del malware identificato nell'attività. |
| Livello di fiducia nella minaccia | INT | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatField | corda | Campo per il quale è stata identificata una minaccia. |
| TempoDellaPrimaSegnalazioneDiMinaccia | data e ora | La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatId (Identificatore di Minaccia) | corda | ID della minaccia o del malware identificato nell'attività. |
| La minaccia è attiva | Bool | True ID la minaccia identificata è considerata una minaccia attiva. |
| TempoUltimaSegnalazioneMinaccia | data e ora | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| NomeMinaccia | corda | Nome della minaccia o del malware identificato nell'attività. |
| MinacciaOriginaleFiducia | corda | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
| Livello di Rischio Originale della Minaccia | corda | Livello di rischio segnalato dal dispositivo di report. |
| Livello di Rischio di Minaccia | INT | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. |
| TimeGenerated | data e ora | Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
| TIPO | corda | Nome della tabella |