Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Lo schema dell'attività DNS ASim rappresenta l'attività del protocollo DNS, che può essere registrata da un server DNS o da un dispositivo che invia richieste DNS a un server DNS. L'attività del protocollo DNS include query DNS, aggiornamenti del server DNS e trasferimenti di dati in blocco DNS. Poiché lo schema rappresenta l'attività del protocollo, è regolato dalle RFC e dagli elenchi di parametri assegnati ufficialmente. Lo schema dell'attività DNS non rappresenta gli eventi di controllo del server DNS.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | microsoft.securityinsights/dnsnormalized |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | Sì |
| Trasformazione del tempo di inserimento | Sì |
| Query di esempio | Sì |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| Campi aggiuntivi | dinamico | Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non eseguono il mapping ad ASim. |
| _BilledSize | autentico | Dimensioni del record in byte |
| DnsFlags | corda | Flag di richiesta DNS forniti dal dispositivo di report. La struttura delle informazioni sui flag DNS può variare tra dispositivi di report diversi. |
| DnsFlagsAuthenticated | Bool | Il flag di risposta autenticato DNS, correlato a DNSSEC, indica in una risposta che tutti i dati inclusi nelle sezioni di risposta e autorità della risposta sono stati verificati dal server in base ai criteri di tale server. per altre informazioni, vedere RFC 3655 Sezione 6.1. |
| DnsFlagsAuthoritative | Bool | Il flag di risposta autorevole DNS indica se la risposta dal server è autorevole. |
| DnsFlagsCheckingDisabled | Bool | Il flag CD DNS, correlato a DNSSEC, indica in una query che i dati non verificati sono accettabili per il sistema che invia la query. |
| DnsFlagsRecursionAvailable | Bool | Il flag RA DNS indica in una risposta che il server supporta query ricorsive. |
| DnsFlagsRecursionDesired | Bool | Il flag desiderato di ricorsione DNS indica in una richiesta che il client desidera che il server usi query ricorsive. |
| DnsFlagsTruncated | Bool | Il flag TC DNS indica che una risposta è stata troncata perché ha superato le dimensioni massime della risposta. |
| DnsFlagsZ | Bool | Il flag DNS Z è un flag DNS deprecato, che potrebbe essere segnalato dai sistemi DNS meno recenti. |
| DurataDellaReteDns | INT | Quantità di tempo, espressa in millisecondi, per il completamento della richiesta DNS. |
| DnsQuery | corda | Dominio che deve essere risolto. |
| DnsQueryClass | INT | ID della classe DNS definito dall'autorità IANA (Internet Assigned Numbers Authority). |
| DnsQueryClassName | corda | Nome della classe DNS definito dall'autorità IANA (Internet Assigned Numbers Authority). |
| DnsQueryType | INT | Codici del tipo di record di risorsa DNS definiti dall'autorità IANA (Internet Assigned Numbers Authority). |
| DnsQueryTypeName | corda | Nome del tipo di record di risorse DNS definito dall'autorità IANA (Internet Assigned Numbers Authority). |
| DnsResponseCode | INT | Codice di risposta numerico DNS definito dall'autorità IANA (Internet Assigned Numbers Authority). |
| DnsResponseIpCity | corda | Città associata all'indirizzo IP della risposta. |
| DnsResponseIpCountry | corda | Paese associato all'indirizzo IP della risposta. |
| DnsResponseIpLatitude | autentico | Latitudine della coordinata geografica associata all'indirizzo IP della risposta. |
| DnsResponseIpLongitude | autentico | Longitudine della coordinata geografica associata all'indirizzo IP della risposta. |
| DnsResponseIpRegion | corda | Area, o stato, all'interno di un paese, associato all'indirizzo IP di origine. |
| DnsResponseName | corda | Contenuto della risposta, come incluso nel record. La struttura dei dati di risposta DNS può variare tra dispositivi di report diversi. |
| DnsSessionId | corda | Identificatore di sessione DNS segnalato dal dispositivo di report. |
| Dst | corda | Identificatore univoco del server che ha ricevuto la richiesta DNS. |
| DstDescription | corda | Testo descrittivo associato alla destinazione. |
| DstDeviceType | corda | Tipo del dispositivo di destinazione. |
| DstDomain | corda | Dominio del dispositivo di destinazione. |
| DstDomainType | corda | Tipo di DstDomain. |
| DstDvcId | corda | ID del dispositivo di destinazione. |
| DstDvcIdType | corda | Tipo di DstDvcId. |
| DstDvcScope | corda | L'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. DvcScope esegue il mapping a una sottoscrizione in Azure e a un account in AWS. |
| DstDvcScopeId | corda | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DstFQDN | corda | Nome host del dispositivo di destinazione, incluse le informazioni sul dominio, se disponibili. |
| DstGeoCity | corda | Città associata all'indirizzo IP di destinazione. |
| DstGeoCountry | corda | Paese associato all'indirizzo IP di destinazione. |
| DstGeoLatitude | autentico | Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
| DstGeoLongitude | autentico | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
| Regione Geografica DST | corda | Area o stato, all'interno di un paese, associato all'indirizzo IP di destinazione. |
| DstHostname | corda | Nome host del dispositivo di destinazione, escluse le informazioni sul dominio. |
| DstIpAddr | corda | Indirizzo IP del server che riceve la richiesta DNS. Per una normale richiesta DNS, questo valore è in genere il dispositivo di report e nella maggior parte dei casi è impostato su 127.0.0.1. |
| DstOriginalRiskLevel | corda | Livello di rischio associato al dispositivo di destinazione come segnalato dal dispositivo di report. |
| DstPortNumber | INT | Numero della porta di destinazione. |
| DstRiskLevel | INT | Livello di rischio associato al dispositivo di destinazione. |
| Dvc | corda | Identificatore univoco del dispositivo che segnala l'evento. L'identificatore può essere un indirizzo IP, un nome host o un ID dispositivo. |
| DvcAction | corda | Azione eseguita dal dispositivo di report sulla richiesta, ad esempio bloccandola. |
| DvcDescription | corda | Un testo descrittivo associato al dispositivo. Ad esempio: Controller di dominio primario. |
| DvcDomain | corda | Dominio del dispositivo che segnala l'evento. |
| DvcDomainType | corda | Tipo di DvcDomain. I valori possibili includono "Windows" e "FQDN". |
| DvcFQDN | corda | Nome host completo, incluse le informazioni sul dominio, del dispositivo che segnala l'evento. |
| DvcHostname | corda | Nome host del dispositivo che segnala l'evento. |
| DvcId | corda | ID univoco del dispositivo che segnala l'evento. |
| DvcIdType | corda | Il tipo di DvcId. |
| DvcInterface | corda | Interfaccia di rete in cui sono stati acquisiti i dati. Questo campo è in genere rilevante per l'attività correlata alla rete acquisita da un dispositivo intermedio o di tocco. |
| DvcIpAddr | corda | Indirizzo IP del dispositivo che segnala l'evento. |
| DvcMacAddr | corda | Indirizzo MAC del dispositivo che segnala l'evento. |
| DvcOriginalAction | corda | Il DvcAction originale fornito dal dispositivo di segnalazione. |
| DvcOs | corda | Il sistema operativo in esecuzione nel dispositivo segnala l'evento. |
| DvcOsVersion | corda | Versione del sistema operativo nel dispositivo che segnala l'evento. |
| DvcScope | corda | L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping su un ID sottoscrizione in Azure e su un ID account in AWS. |
| DvcScopeId | corda | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcZone | corda | Segmento di rete del dispositivo che segnala l'evento. |
| Conteggio eventi | INT | Numero di eventi descritti dal record. Questo valore viene usato quando l'origine supporta l'aggregazione e un singolo record può rappresentare più eventi. |
| Ora di Fine Evento | data e ora | Ora di fine dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| Messaggio dell'Evento | corda | Messaggio o descrizione generali. |
| EventOriginalSeverity | corda | Gravità originale fornita dal dispositivo di report. Questo valore viene usato per derivare EventSeverity. |
| EventOriginalType | corda | Il tipo di evento o l'ID originale, ad esempio l'ID evento di Windows originale. |
| EventOriginalUid | corda | ID univoco del record originale. |
| Proprietario dell'evento | corda | Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
| EventProduct | corda | Prodotto che genera l'evento. |
| EventProductVersion | corda | Versione del prodotto che genera l'evento. |
| EventReportUrl | corda | URL di una risorsa che fornisce informazioni aggiuntive sull'evento. |
| Risultato dell'evento | corda | Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Non Applicabile). Il valore potrebbe non essere fornito direttamente dalle origini, nel qual caso è derivato da altri campi evento, ad esempio il campo EventResultDetails. |
| Dettagli dei Risultati dell'Evento | corda | Codice di risposta DNS definito dall'autorità IANA (Internet Assigned Numbers Authority). |
| EventSchemaVersion | corda | La versione dello schema. |
| EventSeverity | corda | Gravità dell'evento. I valori validi sono: Informativo, Basso, Medio o Alto. |
| OraInizioEvento | data e ora | Ora di avvio dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| SottotipoEvento | corda | Richiesta o risposta. |
| Tipo di Evento | corda | Indica l'operazione segnalata dal record. Per gli eventi di attività DNS, questo valore è il codice operativo DNS definito dall'autorità IANA (Internet Assigned Numbers Authority).For DNS activity events, this value is the DNS opcode as defined by the Internet Assigned Numbers Authority (IANA). |
| EventVendor | corda | Fornitore del prodotto che genera l'evento. |
| _ÈFatturabile | corda | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure |
| Protocollo di Rete | corda | Protocollo di trasporto utilizzato dall'evento di risoluzione di rete. Il valore può essere UDP o TCP. |
| VersioneDelProtocolloDiRete | corda | Versione del protocollo di rete. In genere usato per distinguere IPv4 e Ipv6. |
| _ResourceId | corda | Identificatore univoco della risorsa a cui è associato il record. |
| NomeDellaRegola | corda | Nome o ID della regola associata ai risultati dell'ispezione. |
| NumeroRegola | INT | Numero della regola associata ai risultati dell'ispezione. |
| SourceSystem | corda | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows o connessione diretta oppure Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| Fonte | corda | Identificatore univoco del dispositivo di origine. |
| SrcDescription | corda | Numero della regola associata ai risultati dell'ispezione. |
| SrcDeviceType | corda | Tipo del dispositivo di origine. |
| SrcDomain | corda | Dominio del dispositivo di origine. |
| SrcDomainType | corda | Tipo di SrcDomain. |
| SrcDvcId | corda | ID del dispositivo di origine. |
| SrcDvcIdType | corda | Tipo di SrcDvcId. |
| SrcDvcScope | corda | L'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. DvcScope esegue il mapping a una sottoscrizione in Azure e a un account in AWS. |
| SrcDvcScopeId | corda | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcFQDN | corda | Nome host del dispositivo di origine, incluse le informazioni sul dominio. |
| SrcGeoCity | corda | Città associata all'indirizzo IP di origine. |
| SrcGeoCountry | corda | Paese associato all'indirizzo IP di origine. |
| SrcGeoLatitude | autentico | Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoLongitude | autentico | Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoRegion | corda | Area, o stato, all'interno di un paese, associato all'indirizzo IP di origine. |
| SrcHostname | corda | Nome host del dispositivo di origine, escluse le informazioni sul dominio. |
| SrcIpAddr | corda | Indirizzo IP del client che invia la richiesta DNS. Per una richiesta DNS ricorsiva, questo valore è in genere il dispositivo di report e nella maggior parte dei casi è impostato su 127.0.0.1. |
| SrcOriginalRiskLevel | corda | Livello di rischio associato al dispositivo di origine come segnalato dal dispositivo di report. |
| SrcOriginalUserType | corda | Tipo di utente di origine originale, come fornito dall'origine. |
| SrcPortNumber | INT | Porta di origine della query DNS. |
| SrcProcessGuid | corda | Identificatore univoco generato (GUID) del processo che ha avviato la richiesta DNS. |
| SrcProcessId | corda | ID del processo (PID) del processo che ha avviato la richiesta DNS. |
| SrcProcessName | corda | Nome del processo che ha avviato la richiesta DNS. |
| SrcRiskLevel | INT | Livello di rischio associato al dispositivo di origine. |
| SrcUserId | corda | Rappresentazione univoca e alfanumerica dell'utente di origine, leggibile dal computer. |
| SrcUserIdType | corda | Tipo dell'ID archiviato nel campo SrcUserId. |
| SrcUsername | corda | Nome utente di origine, incluse le informazioni sul dominio, se disponibili. |
| SrcUsernameType | corda | Tipo del nome utente archiviato nel campo SrcUsername. |
| SrcUserScope | corda | L'ambito, come ad esempio il tenant di Azure AD, in cui sono definiti SrcUserId e SrcUsername. |
| SrcUserScopeId | corda | ID dell'ambito, ad esempio il tenant di Azure AD, in cui sono definiti SrcUserId e SrcUsername. |
| SrcUserSessionId | corda | ID univoco della sessione di accesso dell'utente di origine. |
| SrcUserType | corda | Tipo dell'utente di origine. |
| _SubscriptionId (ID sottoscrizione) | corda | Identificatore univoco della sottoscrizione a cui è associato il record |
| ID dell'inquilino | corda | L'ID dell'area di lavoro Log Analytics |
| Categoria di minaccia | corda | Se un'origine evento DNS fornisce anche la sicurezza DNS, può anche valutare l'evento DNS. Ad esempio, può cercare l'indirizzo IP o il dominio in un database di Intelligence per le minacce e assegnare il dominio o l'indirizzo IP con una categoria di minacce. |
| Livello di fiducia nella minaccia | INT | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatField | corda | Campo per il quale è stata identificata una minaccia. Il valore è SrcIpAddr, DstIpAddr, Domain o DnsResponseName. |
| TempoDellaPrimaSegnalazioneDiMinaccia | corda | La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| TempoDiPrimaSegnalazioneDiMinaccia_d | data e ora | La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatId (Identificatore di Minaccia) | corda | ID della minaccia o del malware identificato nella sessione Web. |
| Indirizzo IP di minaccia | corda | Indirizzo IP per il quale è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo rappresentato da ThreatIpAddr. Se nel campo Dominio viene identificata una minaccia, questo campo deve essere vuoto. |
| La minaccia è attiva | Bool | True ID la minaccia identificata è considerata una minaccia attiva. |
| TempoUltimaSegnalazioneMinaccia | corda | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatLastReportedTime_d | data e ora | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| Nome della Minaccia | corda | Nome della minaccia identificata, come segnalato dal dispositivo di report. |
| MinacciaOriginaleFiducia | corda | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
| Livello di Rischio Originale della Minaccia | INT | Livello di rischio originale associato alla minaccia identificata, come segnalato dal dispositivo di report. |
| ThreatLivelloRischioOriginale_s | corda | Livello di rischio associato alla minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| Livello di Rischio di Minaccia | INT | Livello di rischio associato alla minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| TimeGenerated | data e ora | Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
| TransactionIdHex | corda | ID transazione hex univoco del DNS. |
| Tipo | corda | Nome della tabella |
| CategoriaURL | corda | Un'origine evento DNS può anche cercare la categoria dei domini richiesti. |