Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема ASIM DHCP представляет активность DHCP-сервера, включая обработку запросов на аренду IP-адресов DHCP, выделенных клиентским системам, и обновление DNS-сервера с учётом реестра аренд.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/asimtables |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Да |
| Преобразование во время приема | Да |
| Примеры запросов | - |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| ДополнительныеПоля | динамичный | Дополнительные сведения, представленные с помощью пар "ключ-значение", предоставляемых источником, который не сопоставляется с ASim. |
| _BilledSize (Размер счета) | реальный | Размер записи в байтах |
| DhcpCircuitId | строка | Идентификатор канала DHCP, определенный RFC3046. |
| Длительность аренды DHCP | INT | Длительность аренды, предоставленной клиенту, в секундах. |
| Длительность DHCP-сессии | INT | Время в миллисекундах, необходимое для завершения сеанса DHCP. |
| DhcpSessionId | строка | Идентификатор сеанса, сообщаемый устройством составления отчетов. Для DHCP-сервера Windows установите это в поле TransactionID. |
| DhcpSrcDHCId | строка | Идентификатор DHCP-клиента, определенный RFC4701. |
| DhcpSubscriberId | строка | Идентификатор подписчика DHCP, определенный RFC3993. |
| DhcpUserClass | строка | Класс пользователя DHCP в соответствии с определением в RFC3004. |
| DhcpUserClassId (Идентификатор класса пользователя DHCP) | строка | Идентификатор класса пользователя DHCP в соответствии с определением в RFC3004. |
| Класс поставщика DHCP | строка | Класс поставщика DHCP в соответствии с определением в RFC3925. |
| DhcpVendorClassId (Идентификатор класса производителя DHCP) | строка | Идентификатор класса поставщика DHCP в соответствии с определением в RFC3925. |
| DvcAction | строка | Для отчётных систем безопасности — действие, выполненное системой (если применимо). |
| DvcОписание | строка | Текст описания, связанный с устройством. |
| DvcDomain | строка | Домен устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы |
| DvcDomainType | строка | Тип DvcDomain. |
| DvcFQDN | строка | Имя узла устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. |
| DvcИмяХоста | строка | Имя узла устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. |
| DvcId | строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. |
| DvcIdType | строка | Тип DvcId. |
| DvcInterface | строка | Сетевой интерфейс, на котором были зафиксированы данные. Это поле обычно имеет отношение к сетевой активности, фиксируемой промежуточным устройством или устройством TAP. |
| DvcIpAddr | строка | IP-адрес устройства, на котором произошло событие или которое сообщило о событии, в зависимости от схемы. |
| DvcMacAddr | строка | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. |
| DvcOriginalAction | строка | Исходное действие DvcAction, предоставленное передающим устройством. |
| DvcOs | строка | Операционная система, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcOsVersion | строка | Версия операционной системы, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcScope | строка | Область облачной платформы, к которой принадлежит устройство. DvcScope связывает имя подписки в Azure с идентификатором учетной записи в AWS. |
| DvcScopeId | строка | Идентификатор области облачной платформы, к которому принадлежит устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcZone | строка | Сеть, в которой произошло событие или которая сообщила о событии, в зависимости от схемы. Зона определяется передающим устройством. |
| Количество событий | INT | Количество событий, описываемых записью. Это значение используется, когда источник поддерживает агрегирование, и одна запись может представлять несколько событий. |
| ВремяОкончанияМероприятия | дата и время | Время окончания события. Если источник поддерживает агрегирование и запись представляет несколько событий, время создания последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| Сообщение о событии | строка | Общее сообщение или описание, включенное в запись либо созданное на ее основе. |
| Детали исходного результата события | строка | Исходные сведения о результатах, предоставленные источником. Это значение используется для получения значения EventResultDetails, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| EventOriginalSeverity | строка | Исходная степень серьезности, предоставленная регистрирующим устройством. Это значение используется для получения EventSeverity. |
| Оригинальный подтип события | строка | Исходный идентификатор или подтип события, если предоставлен источником. |
| ОригинальныйТипСобытия | строка | Исходный идентификатор или тип события, если он указан источником. |
| СобытиеOriginalUid | строка | Уникальный идентификатор исходной записи, если он указан источником. |
| Владелец события | строка | Владельцем события обычно является отдел или дочерняя компания, в котором оно было создано. |
| EventProduct | строка | Продукт, создающий событие. Значение должно быть одним из значений, перечисленных в списке Поставщики и продукты. |
| Версия продукта мероприятия | строка | Версия продукта, создающего событие. |
| URL отчёта о событии | строка | URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
| Результат события | строка | Результат события, представленный одним из следующих значений: Успех, Частичный, Неудача, НП (Не применяется). |
| ДеталиРезультатаСобытия | строка | Причина или подробные сведения для результата, полученного в поле EventResult. |
| Схема события | строка | Схема, в которую было нормализовано событие. Каждая схема содержит имя схемы. |
| EventSchemaVersion | строка | Версия схемы. В каждой схеме документируется ее текущая версия. |
| EventSeverity | строка | Серьезность события. |
| ВремяНачалаСобытия | дата и время | Время начала события. Если источник поддерживает агрегирование и запись представляет несколько событий, время создания первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| ПодтипСобытия | строка | Описывает подразделение операции, записанной в поле EventType. |
| Тип события | строка | Описывает операцию, о которой сообщает эта запись. |
| EventVendor | строка | Поставщик продукта, создающего событие. Значение должно быть одним из значений, перечисленных в списке Поставщики и продукты. |
| _ПодлежитУчету | строка | Определяет, является ли загрузка данных платной услугой. Когда _IsBillable false, приём не учитывается на счете Azure. |
| Запрашиваемый IP-адрес | строка | IP-адрес, запрошенный клиентом DHCP, если он доступен. |
| _ResourceId (идентификатор ресурса) | строка | Уникальный идентификатор ресурса, с которым связана запись. |
| ИмяПравила | строка | Имя или идентификатор правила, связанного с результатами проверки. |
| НомерПравила | INT | Число правил, связанных с результатами проверки. |
| SourceSystem | строка | Тип агента, с помощью которого было собрано событие. Например, OpsManager для агента Windows прямого подключения или Operations Manager; Linux для всех агентов Linux; или Azure для средств диагностики Azure. |
| SrcDescription | строка | Текст описания, связанный с устройством. |
| ТипИсходногоУстройства | строка | Тип устройства. |
| SrcDomain | строка | Домен устройства. |
| ТипДоменИсходника | строка | Тип домена. |
| SrcDvcId | строка | Идентификатор устройства. |
| SrcDvcIdType | строка | Тип идентификатора DvcId. |
| SrcDvcScope | строка | Область облачной платформы, к которой принадлежит устройство. |
| SrcDvcScopeId | строка | Идентификатор области облачной платформы, к которому принадлежит устройство. |
| SrcFQDN | строка | Имя узла устройства, включая сведения о домене при наличии. |
| SrcGeoCity | строка | Город, связанный с исходным IP-адресом. |
| Страна происхождения (SrcGeoCountry) | строка | Страна, связанная с исходным IP-адресом. |
| SrcGeoLatitude | реальный | Географическая широта, связанная с исходным IP-адресом. |
| Исходная географическая долгота | реальный | Географическая долгота, связанная с исходным IP-адресом. |
| ИсточникГеоРегион | строка | Регион в пределах страны, связанной с исходным IP-адресом.. |
| SrcHostname | строка | Имя узла устройства, за исключением сведений о домене. |
| SrcIpAddr | строка | IP-адрес исходного устройства. |
| SrcMacAddr | строка | MAC-адрес сетевого интерфейса, из которого создано подключение или сеанс. |
| УровеньИсходногоРиска | строка | Уровень риска, связанный с выявленным источником, как сообщается устройством отслеживания. |
| ИсходныйТипПользователя | строка | Начальный тип исходного пользователя, если он указан источником. |
| SrcPortNumber (номер исходного порта) | INT | IP-порт, на котором устройство обменивается данными, если применимо. |
| Уровень риска | INT | Уровень риска, связанный с определенным источником. |
| SrcUserId | строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее пользователя. |
| SrcUserIdType | строка | Тип SrcUserId. |
| SrcUsername | строка | Имя пользователя, включая сведения о домене при наличии. |
| ТипИмениПользователяSrc | строка | Тип имени пользователя. |
| SrcUserScope | строка | Тип имени пользователя. |
| SrcUserScopeId | строка | Идентификатор области, например идентификатор клиента Azure AD, в котором определены Идентификатор пользователя и имя пользователя. |
| Идентификатор сессии пользователя (SrcUserSessionId) | строка | Уникальный идентификатор сеанса входа пользователя. |
| SrcТипПользователя | строка | Тип пользователя |
| SrcUserUid | строка | Идентификатор пользователя Unix или Linux. |
| _ИдентификаторПодписки | строка | Уникальный идентификатор подписки, с которой связана запись |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| Категория угроз | строка | Категория угроз или вредоносных программ, выявленных в рамках активности. |
| Уверенность в угрозе | INT | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| Поле угроз | строка | Поле, для которого была обнаружена угроза. |
| ВремяПервогоСообщенияУгрозы | дата и время | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| Идентификатор Угрозы | строка | Идентификатор угрозы или вредоносного ПО, определенного в действии. |
| УгрозаАктивна | булевая переменная (bool) | Истинный идентификатор обнаруженной угрозы считается активной угрозой. |
| ВремяПоследнегоОтчётаОбУгрозе | дата и время | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| Название угрозы | строка | Имя угрозы или вредоносной программы, выявленной в активности. |
| УгрозаОригинальнаяУверенность | строка | Исходный уровень достоверности для идентифицированной угрозы, сообщенный сообщающим устройством. |
| УровеньПервоначальногоРискаУгрозы | строка | Уровень риска, передаваемый устройством отчетности. |
| Уровень Риска Угрозы | INT | Уровень риска, связанный с идентифицированной угрозой. Уровень должен быть числом от 0 до 100. |
| Время генерации | дата и время | Метка времени (UTC), отражающая время создания события. |
| Тип | строка | Имя таблицы. |