ASimNetworkSessionLogs
Schéma normalizace síťových relací služby Microsoft Sentinel představuje aktivitu sítě IP, jako jsou síťová připojení a síťové relace. Takové události jsou hlášeny například operačními systémy, směrovači, branami firewall a systémy pro prevenci neoprávněných vniknutí.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/networksessionnormalized |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | No |
| Transformace doby příjmu dat | Yes |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| Další pole | dynamic | Další informace reprezentované pomocí párů klíč/hodnota od zdroje, které se nemapují na ASim. |
| _BilledSize | real | Velikost záznamu v bajtech |
| DstAppId | řetězec | ID cílové aplikace hlášené zařízením pro generování sestav. |
| Název aplikace DstApp | řetězec | Název cílové aplikace. |
| Typ aplikace DstApp | řetězec | Typ cílové aplikace. |
| DstBytes | long | Počet bajtů odeslaných z cíle do zdroje pro připojení nebo relaci. Pokud je událost agregovaná, hodnota DstBytes představuje součet všech agregovaných relací. |
| Popis dst | řetězec | Popisný text přidružený k cíli. |
| DstDeviceType | řetězec | Typ cílového zařízení. |
| Doména DstDomain | řetězec | Doména cílového zařízení. |
| Typ domény DstDomainType | řetězec | Typ domény DstDomain. |
| Id DstDvc | řetězec | ID cílového zařízení. |
| DstDvcIdType | řetězec | Typ DstDvcId. |
| DstFQDN | řetězec | Název hostitele cílového zařízení, včetně informací o doméně, pokud jsou k dispozici. |
| DstGeoCity | řetězec | Město přidružené k cílové IP adrese. |
| DstGeoCountry | řetězec | Země přidružená k cílové IP adrese. |
| DstGeoLatitude | real | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. |
| DstGeoLongitude | real | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. |
| Oblast DstGeoRegion | řetězec | Oblast nebo stát v rámci země přidružené k cílové IP adrese. |
| Název hostitele | řetězec | Název hostitele cílového zařízení s výjimkou informací o doméně. |
| DstInterfaceGuid | řetězec | Identifikátor GUID síťového rozhraní použitého na cílovém zařízení. |
| DstInterfaceName | řetězec | Síťové rozhraní používané pro připojení nebo relaci cílovým zařízením. |
| DstIpAddr | řetězec | IP adresa připojení nebo cíle relace. |
| DstMacAddr | řetězec | Adresa MAC síťového rozhraní, které cílové zařízení používá pro připojení nebo relaci. |
| DstNatIpAddr | řetězec | DstNatIpAddr představuje jednu z těchto možností: Původní adresu cílového zařízení, pokud byl použit překlad síťové adresy, nebo IP adresu používanou zprostředkujícím zařízením pro komunikaci se zdrojem. |
| DstNatPortNumber | int | Pokud je nahlášeno zprostředkujícím zařízením NAT, port používaný zařízením NAT ke komunikaci se zdrojem. |
| Typ uživatele DstOriginalUserType | řetězec | Typ původního cílového uživatele, pokud ho zdroj poskytuje. |
| DstPackety | long | Počet paketů odeslaných z cíle do zdroje pro připojení nebo relaci. Význam paketu definuje zařízení pro hlášení. Pokud je událost agregovaná, je DstPackets součtem všech agregovaných relací. |
| Číslo DstPortNumber | int | Cílový port IP. |
| DstSubscriptionId | řetězec | ID předplatného cloudové platformy, ke které cílové zařízení patří. DstSubscriptionId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DstUserId | řetězec | Strojově čitelné alfanumerické, jedinečné znázornění cílového uživatele. |
| DstUserIdType | řetězec | Typ ID uloženého v poli DstUserId. |
| DstUsername | řetězec | Cílové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. Jednoduchý formulář použijte jenom v případě, že nejsou k dispozici informace o doméně. |
| Typ názvu uživatele | řetězec | Určuje typ uživatelského jména uloženého v poli DstUsername. |
| Typ uživatele DstUserType | řetězec | Typ cílového uživatele. |
| DstVlanId | řetězec | ID sítě VLAN související s cílovým zařízením. |
| DstZone | řetězec | Síťová zóna cíle definovaná zařízením pro vytváření sestav. |
| Dvc | řetězec | Jedinečný identifikátor zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| DvcAction | řetězec | Akce podniknutá v síťové relaci. |
| Popis dvcdescription | řetězec | Popisný text přidružený k zařízení. Například: Primární řadič domény. |
| Doména DvcDomain | řetězec | Doména zařízení, které událost hlásí. |
| DvcDomainType | řetězec | Typ DvcDomain. Mezi možné hodnoty patří Windows a FQDN. |
| Plně kvalifikovaný název domény | řetězec | Název hostitele zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| Název hostitele dvc | řetězec | Název hostitele zařízení, které událost hlásí. |
| Id dvc | řetězec | Jedinečné ID zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| Typ dvcId | řetězec | Typ DvcId. |
| DvcInboundInterface | řetězec | Pokud je hlášeno zprostředkujícím zařízením, síťové rozhraní používané zařízením NAT pro připojení ke zdrojovému zařízení. |
| DvcInterface | řetězec | Síťové rozhraní, na kterém byla data zachycena. Toto pole je obvykle relevantní pro aktivitu související se sítí, která je zachycena zprostředkujícím zařízením nebo zařízením pro klepnutí. |
| DvcIpAddr | řetězec | IP adresa zařízení, které událost hlásí. |
| DvcMacAddr | řetězec | Adresa MAC zařízení, na kterém k události došlo nebo které událost nahlásilo. Příklad: 00:1B:44:11:3A:B7 |
| Akce dvcOriginalAction | řetězec | Původní DvcAction poskytovaná zařízením pro generování sestav. |
| DvcOs | řetězec | Operační systém spuštěný na zařízení, které událost hlásí. |
| Verze dvcOs | řetězec | Verze operačního systému na zařízení, které událost hlásí. |
| DvcOutboundInterface | řetězec | Pokud je hlášeno zprostředkujícím zařízením, síťové rozhraní, které zařízení NAT používá pro připojení k cílovému zařízení. |
| Id předplatného dvc | řetězec | ID předplatného cloudové platformy, do které zařízení patří. DvcSubscriptionId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DvcZone | řetězec | Síť, ve které k události došlo nebo která událost nahlásila. Zóna je definovaná zařízením pro vytváření sestav. |
| Počet událostí | int | Tato hodnota se používá, když zdroj podporuje agregaci a jeden záznam může představovat více událostí. |
| EventEndTime | datetime | Čas, ve kterém událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování poslední události. Pokud zdrojový záznam nezadá, toto pole aliasuje pole TimeGenerated. |
| EventMessage | řetězec | Obecná zpráva nebo popis. |
| EventOriginalResultDetails | řetězec | Původní podrobnosti o výsledku poskytnuté zdrojem. Tato hodnota se používá k odvození EventResultDetails, který by měl mít pouze jednu z hodnot zdokumentovaných pro každé schéma. |
| EventOriginalSeverity | řetězec | Původní závažnost poskytovaná zařízením pro vytváření sestav. Tato hodnota se používá k odvození hodnoty EventSeverity. |
| EventOriginalSubType | řetězec | Původní podtyp události nebo ID, pokud je zadaný zdrojem. Toto pole se například použije k uložení původního typu přihlášení systému Windows. Tato hodnota se používá k odvození třídy EventSubType, která by měla obsahovat pouze jednu z hodnot zdokumentovaných pro každé schéma. |
| EventOriginalType | řetězec | Původní typ události nebo ID, pokud je zadaný zdrojem. |
| EventOriginalUid | řetězec | Jedinečné ID původního záznamu, pokud je zadaný zdrojem. |
| EventProduct | řetězec | Produkt generující událost. |
| EventProductVersion | řetězec | Verze produktu, který generuje událost. |
| EventReportUrl | řetězec | Adresa URL zadaná v události pro prostředek, která poskytuje další informace o události. |
| EventResult | řetězec | Výsledek události reprezentovaný jednou z následujících hodnot: Success, Partial, Failure, NA (Not Applicable). Hodnota nemusí být poskytována přímo zdroji, v takovém případě je odvozena z jiných polí událostí, například pole EventResultDetails. |
| EventResultDetails | řetězec | Důvod nebo podrobnosti o výsledku hlášeného v poli EventResult |
| EventSchemaVersion | řetězec | Verze schématu. |
| EventSeverity | řetězec | Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
| EventStartTime | datetime | Čas, ve kterém událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování první události. Pokud zdrojový záznam nezadá, toto pole aliasuje pole TimeGenerated. |
| EventSubType | řetězec | Další popis typu události, pokud je k dispozici. |
| Typ události | řetězec | Operace hlášená záznamem. |
| EventVendor | řetězec | Dodavatel produktu, který událost generuje. |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud se _IsBillable false příjem dat neúčtuje na váš účet Azure |
| NetworkApplicationProtocol | řetězec | Protokol aplikační vrstvy používaný připojením nebo relací. |
| Síťové bajty | long | Počet bajtů odeslaných oběma směry Pokud existují bajtyReceived i BytesSent, měl by se jejich součet rovnat BytesTotal. Pokud je událost agregovaná, hodnota NetworkBytes je součet všech agregovaných relací. |
| NetworkConnectionHistory | řetězec | Příznaky protokolu TCP a další informace o potenciální hlavičce PROTOKOLU IP. |
| NetworkDirection | řetězec | Směr připojení nebo relace. |
| Doba trvání sítě | int | Doba v milisekundách pro dokončení síťové relace nebo připojení. |
| NetworkIcmpCode | int | Pro zprávu ICMP zadejte číselnou hodnotu zprávy ICMP, jak je popsáno v rfc 2780 pro síťová připojení IPv4 nebo v RFC 4443 pro síťová připojení IPv6. |
| NetworkIcmpType | řetězec | U zprávy ICMP je textová reprezentace zprávy ICMP popsaná v dokumentu RFC 2780 pro síťová připojení IPv4 nebo v dokumentu RFC 4443 pro síťová připojení IPv6. |
| NetworkPackety | long | Počet paketů odeslaných oběma směry. Pokud existují paketyReceived i PacketsSent, měl by se jejich součet rovnat hodnotě BytesTotal. Význam paketu definuje zařízení pro generování sestav. Pokud je událost agregovaná, networkPackets je součet všech agregovaných relací. |
| NetworkProtocol | řetězec | Protokol IP používaný připojením nebo relací, jak je uvedeno v přiřazení protokolu IANA, což je obvykle TCP, UDP nebo ICMP. |
| NetworkProtocolVersion | řetězec | Verze NetworkProtocol. |
| NetworkRuleName | řetězec | Název nebo ID pravidla, podle kterého byla dvcAction rozhodována. |
| NetworkRuleNumber | int | Číslo pravidla, podle kterého byla akce DvcAction rozhodována. |
| NetworkSessionId | řetězec | Identifikátor relace nahlášený zařízením pro vytváření sestav. |
| _Resourceid | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| SourceSystem | řetězec | Typ agenta, pro který byla událost shromážděna. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| SrcAppId | řetězec | ID zdrojové aplikace, jak je hlášeno zařízením pro vytváření sestav. |
| SrcAppName | řetězec | Název zdrojové aplikace. |
| SrcAppType | řetězec | Typ zdrojové aplikace. |
| SrcBytes | long | Počet bajtů odeslaných ze zdroje do cíle pro připojení nebo relaci. Pokud je událost agregovaná, SrcBytes je součet všech agregovaných relací. |
| SrcDescription | řetězec | Popisný text přidružený ke zdroji. |
| SrcDeviceType | řetězec | Typ zdrojového zařízení. |
| SrcDomain | řetězec | Doména zdrojového zařízení. |
| SrcDomainType | řetězec | Typ SrcDomain. |
| SrcDvcId | řetězec | ID zdrojového zařízení. |
| SrcDvcIdType | řetězec | Typ SrcDvcId. |
| SrcFQDN | řetězec | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud jsou k dispozici. |
| SrcGeoCity | řetězec | Město přidružené ke zdrojové IP adrese. |
| SrcGeoCountry | řetězec | Země přidružená ke zdrojové IP adrese. |
| SrcGeoLatitude | real | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| SrcGeoLongitude | real | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| Oblast SrcGeo | řetězec | Oblast v rámci země přidružené ke zdrojové IP adrese. |
| SrcHostname | řetězec | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, může uložit příslušnou IP adresu. |
| SrcInterfaceGuid | řetězec | Identifikátor GUID síťového rozhraní použitého na zdrojovém zařízení |
| SrcInterfaceName | řetězec | Síťové rozhraní používané pro připojení nebo relaci zdrojovým zařízením. |
| SrcIpAddr | řetězec | IP adresa, ze které pochází připojení nebo relace. |
| SrcMacAddr | řetězec | Adresa MAC síťového rozhraní, ze kterého připojení nebo relace pochází. |
| SrcNatIpAddr | řetězec | SrcNatIpAddr představuje jednu z těchto možností: Původní adresa zdrojového zařízení, pokud byl použit překlad síťových adres, nebo IP adresu používanou zprostředkujícím zařízením pro komunikaci s cílem. |
| SrcNatPortNumber | int | Pokud hlásí zprostředkující zařízení NAT, port používaný zařízením NAT pro komunikaci s cílem. |
| SrcOriginalUserType | řetězec | Původní cílový typ uživatele, pokud ho poskytuje zařízení pro vytváření sestav. |
| SrcPackety | long | Počet paketů odeslaných ze zdroje do cíle pro připojení nebo relaci. Význam paketu definuje zařízení pro generování sestav. Pokud je událost agregovaná, SrcPackets je součet všech agregovaných relací. |
| SrcPortNumber | int | Port IP, ze kterého připojení pochází. Nemusí být relevantní pro relaci obsahující více připojení. |
| SrcSubscriptionId | řetězec | ID předplatného cloudové platformy, do které zdrojové zařízení patří. SrcSubscriptionId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcUserId | řetězec | Strojově čitelná, alfanumerická, jedinečná reprezentace zdrojového uživatele. |
| SrcUserIdType | řetězec | Typ ID uloženého v poli SrcUserId. |
| SrcUsername | řetězec | Zdrojové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. |
| SrcUsernameType | řetězec | Určuje typ uživatelského jména uloženého v poli SrcUsername. |
| SrcUserType | řetězec | Typ zdrojového uživatele. |
| SrcVlanId | řetězec | ID sítě VLAN související se zdrojovým zařízením. |
| SrcZone | řetězec | Síťová zóna zdroje definovaná zařízením pro vytváření sestav. |
| _SubscriptionId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| TcpFlagsAck | bool | Příznak TCP ACK byl nahlášen. Příznak potvrzení se používá k potvrzení úspěšného přijetí paketu. Jak vidíme z výše uvedeného diagramu, příjemce odešle ACK i SYN v druhém kroku třícestného procesu handshake, aby odesílateli řekl, že obdržel počáteční paket. |
| TcpFlagsFin | bool | Příznak TCP FIN byl nahlášen. Příznak dokončeno znamená, že od odesílatele nejsou žádná další data. Proto se používá v posledním paketu odeslaném od odesílatele. |
| TcpFlagsPsh | bool | Příznak PROTOKOLU TCP PSH byl nahlášen. Příznak nabízeného oznámení se poněkud podobá příznaku URG a říká příjemci, aby tyto pakety zpracovával při jejich přijetí místo ukládání do vyrovnávací paměti. |
| TcpFlagsRst | bool | Příznak protokolu TCP RST byl nahlášen. Příznak resetování se odešle od příjemce odesílateli, když je paket odeslán konkrétnímu hostiteli, který ho neočekával. |
| TcpFlagsSyn | bool | Příznak TCP SYN byl nahlášen. Příznak synchronizace se používá jako první krok při vytvoření třícestné metody handshake mezi dvěma hostiteli. Tento příznak by měl mít nastavený pouze první paket od odesílatele i příjemce. |
| TcpFlagsUrg | bool | Příznak TCP URG byl nahlášen. Příznak urgentu se používá k upozornění příjemce, aby před zpracováním všech ostatních paketů zpracovali naléhavé pakety. Příjemce bude upozorněn na přijetí všech známých naléhavých dat. Další podrobnosti najdete v dokumentu RFC 6093. |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| ThreatCategory | řetězec | Kategorie hrozby nebo malwaru zjištěného v síťové relaci. |
| ThreatConfidence | int | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatField | řetězec | Pole, pro které byla identifikována hrozba. Hodnota je SrcIpAddr, DstIpAddr, Domain nebo DnsResponseName. |
| ThreatFirstReportedTime | datetime | Při prvním zjištění IP adresy nebo domény jako hrozby. |
| Id hrozby | řetězec | ID hrozby nebo malwaru zjištěného v síťové relaci. |
| ThreatIpAddr | řetězec | IP adresa, pro kterou byla identifikována hrozba. Pole ThreatField obsahuje název pole ThreatIpAddr představuje. |
| ThreatIsActive | bool | True ID identifikované hrozby se považuje za aktivní hrozbu. |
| ThreatLastReportedTime | datetime | Čas, kdy byla IP adresa nebo doména naposledy identifikovány jako hrozba. |
| ThreatName | řetězec | Název hrozby nebo malwaru zjištěného v síťové relaci. |
| ThreatOriginalConfidence | řetězec | Původní úroveň spolehlivosti zjištěné hrozby nahlášená zařízením pro hlášení. |
| ThreatOriginalRiskLevel | řetězec | Úroveň rizika hlášená zařízením pro hlášení. |
| ThreatRiskLevel | int | Úroveň rizika přidružená k relaci. Úroveň je číslo mezi 0 a 100. |
| TimeGenerated | datetime | Časové razítko (UTC) odrážející čas, ve kterém byla událost vygenerována. |
| Typ | řetězec | Název tabulky |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro