| AdditionalFields |
ダイナミック |
ASim にマップされないソースによって提供されるキーと値のペアを使用して表される追加情報。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| DNSフラグ |
ひも |
レポート デバイスによって提供される DNS 要求フラグ。 DNS フラグ情報の構造は、レポート デバイスによって異なる場合があります。 |
| DNSフラグ認証済み |
ブール |
DNSSEC に関連する DNS 認証応答フラグは、応答で、応答の応答セクションと機関セクションに含まれるすべてのデータが、そのサーバーのポリシーに従ってサーバーによって検証されたことを示します。 詳細については、RFC 3655 セクション 6.1 を参照してください。 |
| DnsFlagsAuthoritative |
ブール |
DNS 権限のある応答フラグは、サーバーからの応答が権限を持っていたかどうかを示します。 |
| DNSフラグのチェックが無効 |
ブール |
DNSSEC に関連する DNS CD フラグは、検証されていないデータがクエリを送信するシステムで許容されることをクエリで示します。 |
| DnsFlagsRecursionAvailable |
ブール |
DNS RA フラグは、サーバーが再帰クエリをサポートしていることを応答で示します。 |
| DnsFlagsRecursionDesired |
ブール |
DNS 再帰の必要なフラグは、クライアントがサーバーで再帰クエリを使用することを要求で示します。 |
| DnsFlagsTruncated |
ブール |
DNS TC フラグは、応答が最大応答サイズを超えたため、応答が切り捨てられたことを示します。 |
| DnsFlagsZ |
ブール |
DNS Z フラグは非推奨の DNS フラグであり、古い DNS システムによって報告される可能性があります。 |
| DNSネットワーク持続時間 |
整数 (int) |
DNS 要求の完了にかかる時間 (ミリ秒単位)。 |
| DnsQuery |
ひも |
解決する必要があるドメイン。 |
| DnsQueryClass |
整数 (int) |
インターネット割り当て番号機関 (IANA) で定義されている DNS クラス ID。 |
| DNSクエリのクラス名 (DnsQueryClassName) |
ひも |
インターネット割り当て番号機関 (IANA) で定義されている DNS クラス名。 |
| DNSクエリタイプ |
整数 (int) |
インターネット割り当て番号機関 (IANA) で定義されている DNS リソース レコードの種類コード。 |
| DnsQueryTypeName |
ひも |
インターネット割り当て番号機関 (IANA) で定義されている DNS リソース レコードの種類名。 |
| DNS応答コード |
整数 (int) |
インターネット割り当て番号機関 (IANA) で定義されている DNS 数値応答コード。 |
| DnsResponseIpCity |
ひも |
応答 IP アドレスに関連付けられている市区町村。 |
| DNSレスポンスIP国 |
ひも |
応答 IP アドレスに関連付けられている国。 |
| DnsResponseIpLatitude |
real |
応答 IP アドレスに関連付けられている地理的座標の緯度。 |
| DnsResponseIpLongitude |
real |
応答 IP アドレスに関連付けられている地理的座標の経度。 |
| DnsResponseIpRegion |
ひも |
送信元 IP アドレスに関連付けられている、国内のリージョン (または州)。 |
| DnsResponseName |
ひも |
レコードに含まれる応答の内容。 DNS 応答データの構造は、レポート デバイスによって異なる場合があります。 |
| DnsSessionId |
ひも |
レポート デバイスによって報告された DNS セッション識別子。 |
| Dst |
ひも |
DNS 要求を受信するサーバーの一意の識別子です。 |
| Dstの説明 |
ひも |
目的地に関連付けられた説明文。 |
| 送信先デバイスタイプ |
ひも |
ターゲット デバイスの種類。 |
| DstDomain |
ひも |
ターゲット デバイスのドメイン。 |
| ドメインタイプ (DstDomainType) |
ひも |
DstDomain の種類。 |
| DstDvcId |
ひも |
ターゲット デバイスの ID。 |
| DstDvcIdType |
ひも |
DstDvcId の種類。 |
| DstDvcScope |
ひも |
宛先デバイスが属するクラウド プラットフォーム スコープ。 DvcScope は、Azure のサブスクリプションと AWS のアカウントにマップされます。 |
| DstDvcScopeId |
ひも |
宛先デバイスが属するクラウド プラットフォーム スコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| DstFQDN |
ひも |
使用可能な場合はドメイン情報を含む、ターゲット デバイスのホスト名。 |
| DstGeoCity |
ひも |
ターゲット IP アドレスに関連付けられている都市。 |
| DstGeoCountry |
ひも |
ターゲット IP アドレスに関連付けられている国。 |
| DstGeoLatitude |
real |
ターゲット IP アドレスに関連付けられている地理的座標の緯度。 |
| DstGeoLongitude |
real |
ターゲット IP アドレスに関連付けられている地理的座標の経度。 |
| DstGeoRegion |
ひも |
宛先 IP アドレスに関連付けられている、国内のリージョン (または州)。 |
| DstHostname |
ひも |
ドメイン情報を除いた、ターゲット デバイスのホスト名。 |
| DstIpAddr |
ひも |
DNS 要求を受信しているサーバーの IP アドレス。 通常の DNS 要求の場合、この値は通常はレポート デバイスであり、ほとんどの場合、127.0.0.1 に設定されます。 |
| DstOriginalRiskLevel |
ひも |
レポート デバイスによって報告される宛先デバイスに関連付けられているリスク レベル。 |
| 送信先ポート番号 |
整数 (int) |
送信先ポート番号。 |
| DstRiskLevel |
整数 (int) |
宛先デバイスに関連付けられているリスク レベル。 |
| Dvc |
ひも |
イベントを報告する装置の独自の識別子。 識別子には、IP アドレス、ホスト名、またはデバイス ID のいずれかを指定できます。 |
| DvcAction |
ひも |
要求に対して報告端末によって実行されたアクション(ブロックなど)。 |
| DvcDescription |
ひも |
デバイスに関連付けられる説明のテキスト。 たとえば、プライマリ ドメイン コントローラーです。 |
| DvcDomain |
ひも |
イベントを報告するデバイスのドメイン。 |
| Dvcドメインタイプ |
ひも |
DvcDomain の種類。 指定できる値には、"Windows" と "FQDN" があります。 |
| DvcFQDN |
ひも |
イベントを報告するデバイスの完全修飾ホスト名 (ドメイン情報を含む)。 |
| Dvcホスト名 |
ひも |
イベントを報告するデバイスのホスト名。 |
| DvcId |
ひも |
イベントを報告するデバイスの一意の ID。 |
| DvcIdType |
ひも |
DvcId の種類。 |
| DvcInterface |
ひも |
データがキャプチャされたネットワーク インターフェイス。 通常、このフィールドは、中間またはタップ デバイスによってキャプチャされるネットワーク関連のアクティビティに関連しています。 |
| DvcIpAddr |
ひも |
イベントを報告するデバイスの IP アドレス。 |
| DvcMacAddr |
ひも |
イベントを報告するデバイスの MAC アドレス。 |
| DvcOriginalAction |
ひも |
レポート デバイスによって提供された元の DvcAction。 |
| DvcOs |
ひも |
イベントを報告するデバイスで実行されているオペレーティング システム。 |
| DvcOsVersion |
ひも |
イベントを報告するデバイス上のオペレーティング システムのバージョン。 |
| DvcScope |
ひも |
デバイスが属するクラウド プラットフォームの範囲。 DvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| DvcScopeId |
ひも |
デバイスが属するクラウド プラットフォームのスコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| DvcZone |
ひも |
イベントを報告するデバイスのネットワーク セグメント。 |
| イベント数 |
整数 (int) |
レコードによって記述されるイベントの数。 この値は、ソースが集計に対応しており、1 つのレコードが複数のイベントを表す可能性があるときに使用されます。 |
| イベント終了時間 |
datetime |
イベントが終了した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| イベントメッセージ |
ひも |
一般的なメッセージまたは説明。 |
| EventOriginalSeverity |
ひも |
レポート デバイスによって提供された元の重大度。 この値は EventSeverity を導出するために使用されます。 |
| EventOriginalType |
ひも |
元のイベントの種類または ID (たとえば、元の Windows イベント ID)。 |
| EventOriginalUid (イベントオリジナルUID) |
ひも |
元のレコードの一意の ID。 |
| イベント所有者 |
ひも |
イベントの所有者。通常は、イベントが生成された部門または子会社です。 |
| EventProduct |
ひも |
イベントを生成している製品。 |
| EventProductVersion |
ひも |
イベントを生成している製品のバージョン。 |
| イベントレポートURL |
ひも |
イベントに関する追加情報を提供するリソースの URL。 |
| イベント結果 |
ひも |
イベントの結果。Success、Partial、Failure、NA (Not Applicable) のいずれかの値で表されます。 この値はソースによって直接提供されない場合があります。その場合は、EventResultDetails フィールドなどの他のイベント フィールドから派生します。 |
| イベント結果の詳細 |
ひも |
インターネット割り当て番号機関 (IANA) によって定義されている DNS 応答コード。 |
| EventSchemaVersion |
ひも |
スキーマのバージョン。 |
| EventSeverity |
ひも |
イベントの重大度。 有効な値は、Informational、Low、Medium、High です。 |
| イベント開始時間 |
datetime |
イベントが開始された時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| イベントサブタイプ |
ひも |
リクエストまたはレスポンス。 |
| イベントタイプ |
ひも |
レコードによって報告される操作を示します。 DNS アクティビティ イベントの場合、この値は、インターネット割り当て番号機関 (IANA) によって定義されている DNS オペコードです。 |
| EventVendor |
ひも |
イベントを生成している製品のベンダー。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データのインジェストが課金対象であるかどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| ネットワークプロトコル |
ひも |
ネットワーク解決イベントによって使用されるトランスポート プロトコル。 値には UDP または TCP を指定できます。 |
| ネットワークプロトコルバージョン |
ひも |
ネットワーク プロトコルのバージョン。 通常、IPv4 と Ipv6 を区別するために使用されます。 |
| _リソースID |
ひも |
レコードが関連付けられているリソースの一意識別子 |
| ルール名 |
ひも |
検査結果に関連付けられたルールの名前または ID。 |
| ルール番号 |
整数 (int) |
検査結果に関連付けられたルールの番号。 |
| SourceSystem |
ひも |
イベントが収集されたエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| Src |
ひも |
ソースデバイスの固有識別子。 |
| SrcDescription |
ひも |
検査結果に関連付けられたルールの番号。 |
| SrcDeviceType |
ひも |
ソース デバイスの種類。 |
| SrcDomain |
ひも |
ソース デバイスのドメイン。 |
| SrcDomainType |
ひも |
SrcDomain の種類。 |
| SrcDvcId |
ひも |
ソース デバイスの ID。 |
| SrcDvcIdType |
ひも |
SrcDvcId の種類。 |
| SrcDvcScope |
ひも |
ソース デバイスが属するクラウド プラットフォーム スコープ。 DvcScope は、Azure のサブスクリプションと AWS のアカウントにマップされます。 |
| SrcDvcScopeId |
ひも |
ソース デバイスが属しているクラウド プラットフォーム スコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcFQDN |
ひも |
ドメイン情報を含むソース デバイスのホスト名。 |
| SrcGeoCity |
ひも |
発信元 IP アドレスに関連付けられている都市。 |
| SrcGeoCountry |
ひも |
発信元 IP アドレスに関連付けられている国。 |
| SrcGeoLatitude |
real |
発信元 IP アドレスに関連付けられている地理的座標の緯度。 |
| SrcGeoLongitude |
real |
発信元 IP アドレスに関連付けられている地理的座標の経度。 |
| SrcGeoRegion |
ひも |
送信元 IP アドレスに関連付けられている、国内のリージョン (または州)。 |
| SrcHostname |
ひも |
ドメイン情報を除いた、ソース デバイスのホスト名。 |
| SrcIpAddr |
ひも |
DNS 要求を送信しているクライアントの IP アドレス。 再帰 DNS 要求の場合、通常、この値はレポート デバイスであり、ほとんどの場合、127.0.0.1 に設定されます。 |
| SrcOriginalRiskLevel |
ひも |
レポート デバイスによって報告されるソース デバイスに関連付けられているリスク レベル。 |
| SrcOriginalUserType |
ひも |
ソースによって提供される元のソース ユーザーの種類。 |
| SrcPortNumber |
整数 (int) |
DNS クエリの送信元ポート。 |
| SrcProcessGuid |
ひも |
DNS 要求を開始したプロセスの生成された一意の識別子 (GUID) です。 |
| SrcProcessId |
ひも |
DNS 要求を開始するプロセスのプロセス ID (PID) です。 |
| SrcProcessName |
ひも |
DNS 要求を開始したプロセスの名前。 |
| SrcRiskLevel |
整数 (int) |
ソース デバイスに関連付けられているリスク レベル。 |
| SrcUserId |
ひも |
ソース ユーザーの、コンピューターが判読できる英数字の一意表現。 |
| SrcUserIdType |
ひも |
SrcUserId フィールドに格納されている ID の種類。 |
| SrcUsername |
ひも |
使用可能な場合はドメイン情報を含む、ソースのユーザー名。 |
| SrcUsernameType |
ひも |
SrcUsername フィールドに格納されているユーザー名の型。 |
| ユーザー範囲 (SrcUserScope) |
ひも |
SrcUserId と SrcUsername が定義されているスコープ (Azure AD テナントなど)。 |
| SrcUserScopeId |
ひも |
SrcUserId と SrcUsername が定義されているスコープの ID (Azure AD テナントなど)。 |
| SrcUserSessionId |
ひも |
ソース ユーザーのサインイン セッションの一意の ID。 |
| SrcUserType |
ひも |
送信元ユーザーの種類。 |
| _サブスクリプションID |
ひも |
レコードが関連付けられているサブスクリプションの一意識別子 |
| テナントID |
ひも |
Log Analytics ワークスペース ID |
| 脅威カテゴリ |
ひも |
DNS イベント ソースで DNS セキュリティも提供される場合は、DNS イベントも評価されている可能性があります。 たとえば、脅威インテリジェンス データベースで IP アドレスまたはドメインが検索され、脅威カテゴリでドメインまたは IP アドレスに割り当られる場合があります。 |
| ThreatConfidence |
整数 (int) |
識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatField |
ひも |
脅威が特定されたフィールド。 値は SrcIpAddr、DstIpAddr、Domain、または DnsResponseName です。 |
| 脅威最初報告日時 |
ひも |
IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatFirstReportedTime_d |
datetime |
IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| 脅威識別子 |
ひも |
Web セッションで識別された脅威またはマルウェアの ID。 |
| 脅威IPアドレス |
ひも |
脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。 [ドメイン] フィールドで脅威が特定された場合、このフィールドは空である必要があります。 |
| 脅威が活動中です |
ブール |
特定された脅威がアクティブな脅威と見なされる真の ID。 |
| 脅威が最後に報告された時間 |
ひも |
最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
| ThreatLastReportedTime_d |
datetime |
最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
| ThreatName |
ひも |
レポート デバイスによって報告される、特定された脅威の名前。 |
| ThreatOriginalConfidence |
ひも |
レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
| ThreatOriginalRiskLevel |
整数 (int) |
レポート デバイスによって報告された、特定された脅威に関連付けられている元のリスク レベル。 |
| ThreatOriginalRiskLevel_s |
ひも |
特定された脅威に関連するリスク レベルを、0 から 100 の値に正規化します。 |
| 脅威リスクレベル |
整数 (int) |
特定された脅威に関連するリスク レベルを、0 から 100 の値に正規化します。 |
| タイムジェネレーテッド |
datetime |
イベントが生成された時刻を反映するタイムスタンプ (UTC)。 |
| TransactionIdHex |
ひも |
DNS の一意の 16 進トランザクション ID。 |
| タイプ |
ひも |
テーブルの名前 |
| UrlCategory |
ひも |
DNS イベント ソースで、要求されたドメインのカテゴリが検索されることもあります。 |