ASimNetworkSessionLogs
Le schéma de normalisation de session réseau Microsoft Sentinel représente une activité réseau IP, telle que les connexions réseau et les sessions réseau. Ces événements sont signalés, par exemple, par les systèmes d’exploitation, les routeurs, les pare-feu et les systèmes de prévention des intrusions.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | microsoft.securityinsights/networksessionnormalized |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | - |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AdditionalFields | dynamique | Informations supplémentaires, représentées à l’aide de paires clé/valeur fournies par la source qui ne sont pas mappées à ASim. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| DstAppId | string | L'identifiant de l'application de destination, tel que signalé par le dispositif de reporting. |
| DstAppName | string | Nom de l’application de destination. |
| DstAppType | string | Type de l’application de destination. |
| DstBytes | long | Nombre d’octets envoyés de la destination à la source pour la connexion ou la session. Si l’événement est agrégé, DstBytes est la somme de toutes les sessions agrégées. |
| DstDescription | string | Texte descriptif associé à la destination. |
| DstDeviceType | string | Type de l’appareil de destination. |
| DstDomain | string | Domaine de l’appareil de destination. |
| DstDomainType | string | Type de DstDomain. |
| DstDvcId | string | ID de l’appareil de destination. |
| DstDvcIdType | string | Type de DstDvcId. |
| DstFQDN | string | Nom d’hôte de l’appareil de destination, y compris les informations de domaine, le cas échéant. |
| DstGeoCity | string | Ville associée à l’adresse IP de destination. |
| DstGeoCountry | string | Pays associé à l’adresse IP de destination. |
| DstGeoLatitude | real | Latitude de la coordonnée géographique associée à l’adresse IP de destination. |
| DstGeoLongitude | real | Longitude de la coordonnée géographique associée à l’adresse IP de destination. |
| DstGeoRegion | string | Région, ou état, au sein d’un pays associé à l’adresse IP de destination |
| DstHostname | string | Nom d’hôte de l’appareil de destination, à l’exception des informations de domaine. |
| DstInterfaceGuid | string | GUID de l’interface réseau utilisée sur le périphérique de destination. |
| DstInterfaceName | string | Interface réseau que l’appareil de destination utilise pour la connexion ou la session. |
| DstIpAddr | string | L'adresse IP de la destination de la connexion ou de la session. |
| DstMacAddr | string | Adresse MAC de l’interface réseau que l’appareil de destination utilise pour la connexion ou la session. |
| DstNatIpAddr | string | DstNatIpAddr représente l’une des : l’adresse d’origine de l’appareil de destination si la traduction d’adresses réseau a été utilisée ou l’adresse IP utilisée par l’appareil intermédiaire pour la communication avec la source. |
| DstNatPortNumber | int | S’il est signalé par un périphérique NAT intermédiaire tel qu’un pare-feu, le port utilisé par le périphérique NAT pour la communication avec la source. |
| DstOriginalUserType | string | Le type d'utilisateur de destination original, s'il est fourni par la source. |
| DstPackets | long | Nombre de paquets envoyés de la destination à la source pour la connexion ou la session. La signification d’un paquet est définie par le périphérique de création de rapport. Si l’événement est agrégé, DstPackets est la somme de toutes les sessions agrégées. |
| DstPortNumber | int | Port IP de destination. |
| DstSubscriptionId | string | ID d’abonnement à la plateforme cloud auquel appartient l’appareil de destination. DstSubscriptionId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DstUserId | string | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur de destination. |
| DstUserIdType | string | Type de l’ID stocké dans le champ DstUserId. |
| DstUsername | string | Nom d’utilisateur de destination, y compris les informations de domaine, le cas échéant. Utilisez la forme simple uniquement si les informations de domaine ne sont pas disponibles. |
| DstUsernameType | string | Spécifie le type du nom d’utilisateur stocké dans le champ DstUsername. |
| DstUserType | string | Type de l’utilisateur de destination. |
| DstVlanId | string | ID de réseau local virtuel (VLAN) associé à l’appareil de destination. |
| DstZone | string | Zone réseau de la destination, telle que définie par le périphérique de création de rapport. |
| Dvc | string | Identificateur unique de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcAction | string | L’action prise sur la session réseau. |
| DvcDescription | string | Obtient le texte descriptif associé à l’appareil. Par exemple : contrôleur de domaine principal. |
| DvcDomain | string | Domaine de l’appareil signalant l’événement. |
| DvcDomainType | string | Type de DvcDomain. Les valeurs possibles incluent « Windows » et « FQDN ». |
| DvcFQDN | string | Nom d’hôte de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcHostname | string | Nom d’hôte de l’appareil signalant l’événement. |
| DvcId | string | ID unique de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcIdType | string | Type de DvcId. |
| DvcInboundInterface | string | En cas de signalement par un périphérique intermédiaire, interface réseau utilisée par le périphérique NAT pour la connexion au périphérique source. |
| DvcInterface | string | Interface réseau sur laquelle les données ont été capturées. Ce champ est généralement adapté à une activité liée au réseau qui est capturée par un appareil intermédiaire ou point d’accès terminal. |
| DvcIpAddr | string | Adresse IP de l’appareil signalant l’événement. |
| DvcMacAddr | string | L'adresse MAC du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. Exemple : 00 :1B :44 :11 :3A :B7 |
| DvcOriginalAction | string | Le DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| DvcOs | string | Le système d’exploitation en cours d’exécution sur l’appareil signalant l’événement. |
| DvcOsVersion | string | Version du système d’exploitation sur l’appareil signalant l’événement. |
| DvcOutboundInterface | string | En cas de signalement par un périphérique intermédiaire, interface réseau utilisée par le périphérique NAT pour la connexion au périphérique de destination. |
| DvcSubscriptionId | string | ID d’abonnement à la plateforme cloud auquel appartient l’appareil source. DvcSubscriptionId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcZone | string | Réseau sur lequel l’événement s’est produit ou qui a signalé l’événement. La zone est définie par le dispositif de reporting. |
| EventCount | int | Cette valeur est utilisée quand la source prend en charge l’agrégation, et un seul enregistrement peut représenter plusieurs événements. |
| EventEndTime | DATETIME | Heure de fin de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventMessage | string | Message ou description général. |
| EventOriginalResultDetails | string | Détails des résultats d’origine fournis par la source. Cette valeur est utilisée pour dériver des EventResultDetails, qui ne doivent avoir qu’une seule des valeurs documentées pour chaque schéma. |
| EventOriginalSeverity | string | La gravité d’origine, telle que fournie par l’appareil de reporting. Cette valeur est utilisée pour dériver EventSeverity. |
| EventOriginalSubType | string | Sous-type ou ID d’événement d’origine, s’il est fourni par la source. Par exemple, ce champ sera utilisé pour stocker le type d’ouverture de session Windows d’origine. Cette valeur est utilisée pour dériver EventSubType, lequel ne doit avoir qu’une seule des valeurs documentées pour chaque schéma. |
| EventOriginalType | string | Type ou ID d’événement d’origine, s’il est fourni par la source. |
| EventOriginalUid | string | ID unique de l’enregistrement d’origine, s’il est fourni par la source. |
| EventProduct | string | Produit générant l’événement. |
| EventProductVersion | string | Version du produit générant l’événement. |
| EventReportUrl | string | URL fournie dans l’événement pour une ressource qui apporte plus d’informations sur l’événement. |
| EventResult | string | Résultat de l’événement, représenté par l’une des valeurs suivantes : Réussite, Partielle, Échec, NA (Non applicable). La valeur peut ne pas être fournie directement par les sources, auquel cas elle est dérivée d’autres champs d’événement, par exemple le champ EventResultDetails. |
| EventResultDetails | string | Raison ou détails du résultat rapporté dans le champ EventResult. |
| EventSchemaVersion | string | Version du schéma. |
| EventSeverity | string | La gravité de l’événement. Les valeurs valides sont les suivantes : Informational, Low, Medium ou High. |
| EventStartTime | DATETIME | Heure de début de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventSubType | string | Description supplémentaire du type, le cas échéant. |
| Type d’événement | string | Opération signalée par l’enregistrement. |
| EventVendor | string | Fournisseur du produit générant l’événement. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
| NetworkApplicationProtocol | string | Protocole de couche Application utilisé par la connexion ou la session. |
| NetworkBytes | long | Nombre d’octets envoyés dans les deux sens. Si les valeurs BytesReceived et BytesSent existent, la valeur BytesTotal doit être égale à leur somme. Si l’événement est agrégé, NetworkBytes est la somme de toutes les sessions agrégées. |
| NetworkConnectionHistory | string | Indicateurs TCP et autres informations d’en-tête IP potentielles. |
| NetworkDirection | string | Direction de la connexion ou de la session. |
| NetworkDuration | int | Durée, en millisecondes, de la session ou de la connexion réseau |
| NetworkIcmpCode | int | Pour un message ICMP, la valeur numérique du type de message ICMP tel que décrit dans la RFC 2780 pour les connexions réseau IPv4, ou dans la RFC 4443 pour les connexions réseau IPv6. |
| NetworkIcmpType | string | Pour un message ICMP, la représentation du texte du type de message ICMP tel que décrit dans la RFC 2780 pour les connexions réseau IPv4, ou dans la RFC 4443 pour les connexions réseau IPv6. |
| NetworkPackets | long | Nombre de paquets envoyés dans les deux sens. Si les valeurs PacketsReceived et PacketsSent existent, la valeur BytesTotal doit être égale à leur somme. La signification d’un paquet est définie par le périphérique de création de rapport. Si l’événement est agrégé, NetworkPackets est la somme de toutes les sessions agrégées. |
| NetworkProtocol | string | Protocole IP utilisé par la connexion ou la session, comme indiqué dans l’attribution de protocole IANA, qui est généralement TCP, UDP ou ICMP. |
| NetworkProtocolVersion | string | Version de NetworkProtocol. |
| NetworkRuleName | string | Nom ou ID de la règle en vertu de laquelle DvcAction a été décidé |
| NetworkRuleNumber | int | Numéro de la règle en vertu de laquelle DvcAction a été décidé |
| NetworkSessionId | string | Identificateur de session signalé par le périphérique de création de rapport. |
| _ResourceId | string | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| SrcAppId | string | L’identifiant de l’application source, tel que signalé par le dispositif de reporting. |
| SrcAppName | string | Fournir le nom de l’application source. |
| SrcAppType | string | Type de l’application source. |
| SrcBytes | long | Nombre d’octets envoyés de la source à la destination pour la connexion ou la session. Si l’événement est agrégé, SrcBytes est la somme de toutes les sessions agrégées. |
| SrcDescription | string | Texte descriptif associé à la source. |
| SrcDeviceType | string | Type de l’appareil source. |
| SrcDomain | string | Domaine de l’appareil source. |
| SrcDomainType | string | Type de SrcDomain. |
| SrcDvcId | string | ID de l’appareil source. |
| SrcDvcIdType | string | Type de SrcDvcId. |
| SrcFQDN | string | Nom d’hôte de l’appareil source, y compris les informations de domaine, le cas échéant. |
| SrcGeoCity | string | Ville associée à l’adresse IP source. |
| SrcGeoCountry | string | Pays associé à l’adresse IP source. |
| SrcGeoLatitude | real | Latitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoLongitude | real | Longitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoRegion | string | Région au sein d’un pays associé à l’adresse IP source. |
| SrcHostname | string | Nom d’hôte de l’appareil source, à l’exception des informations de domaine. Si aucun nom d’appareil n’est disponible, peut stocker l’adresse IP appropriée. |
| SrcInterfaceGuid | string | GUID de l’interface réseau utilisée sur le périphérique source. |
| SrcInterfaceName | string | Interface réseau que l’appareil source utilise pour la connexion ou la session. |
| SrcIpAddr | string | Adresse IP d’origine de la connexion ou de la session. |
| SrcMacAddr | string | Adresse MAC de l’interface réseau d’où provient la connexion ou la session. |
| SrcNatIpAddr | string | Le SrcNatIpAddr représente l’un des éléments suivants : l’adresse d’origine de l’appareil source si la traduction d’adresse réseau a été utilisée ou l’adresse IP utilisée par l’appareil intermédiaire pour la communication avec la destination. |
| SrcNatPortNumber | int | S’il est signalé par un périphérique NAT intermédiaire tel qu’un pare-feu, le port utilisé par le périphérique NAT pour la communication avec la destination. |
| SrcOriginalUserType | string | Type d’utilisateur de destination d’origine, s’il est fourni par le par l’appareil de création de rapports. |
| SrcPackets | long | Nombre de paquets envoyés de la source à la destination pour la connexion ou la session. La signification d’un paquet est définie par le périphérique de création de rapport. Si l’événement est agrégé, SrcPackets est la somme de toutes les sessions agrégées. |
| SrcPortNumber | int | Port IP d’où provient la connexion. Peut ne pas être pertinent pour une session comprenant plusieurs connexions. |
| SrcSubscriptionId | string | ID d’abonnement à la plateforme cloud auquel appartient l’appareil source. DstSubscriptionId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcUserId | string | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur source. |
| SrcUserIdType | string | Type de l’ID stocké dans le champ SrcUserId. |
| SrcUsername | string | Nom de l’utilisateur source, y compris les informations de domaine, le cas échéant. |
| SrcUsernameType | string | Spécifie le type du nom d’utilisateur stocké dans le champ SrcUsername. |
| SrcUserType | string | Type de l’utilisateur source |
| SrcVlanId | string | ID de réseau local virtuel associé à l’appareil source. |
| SrcZone | string | Zone réseau de la source, telle que définie par le périphérique de création de rapport. |
| _SubscriptionId | string | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| TcpFlagsAck | bool | Indicateur TCP ACK signalé. L’indicateur d’accusé de réception est utilisé pour confirmer la réception réussie d’un paquet. Comme nous pouvons le voir dans le diagramme ci-dessus, le destinataire envoie un ACK ainsi qu’un SYN à la deuxième étape du processus d’établissement d’une triple liaison pour indiquer à l’expéditeur qu’il a reçu son paquet initial. |
| TcpFlagsFin | bool | Indicateur FIN TCP signalé. L’indicateur Terminé signifie qu’il n’y a plus de données de l’expéditeur. Par conséquent, il est utilisé dans le dernier paquet envoyé par l’expéditeur. |
| TcpFlagsPsh | bool | Indicateur TCP PSH signalé. L’indicateur push est un peu similaire à l’indicateur URG et indique au récepteur de traiter ces paquets au fur et à mesure qu’ils sont reçus au lieu de les mettre en mémoire tampon. |
| TcpFlagsRst | bool | Indicateur TCP RST signalé. L’indicateur Réinitialisation est envoyé du destinataire à l’expéditeur lorsqu’un paquet est envoyé à un hôte particulier qui ne l’attend pas. |
| TcpFlagsSyn | bool | Indicateur TCP SYN signalé. L’indicateur de synchronisation est utilisé comme première étape pour établir une négociation à trois voies entre deux hôtes. Seul le premier paquet de l’expéditeur et du récepteur doit avoir cet indicateur défini. |
| TcpFlagsUrg | bool | Indicateur URG TCP signalé. L’indicateur Urgent est utilisé pour avertir le destinataire qu’il doit traiter les paquets urgents avant tous les autres paquets. Le destinataire sera averti lorsque toutes les données urgentes connues ont été reçues. Pour plus d’informations, consultez RFC 6093. |
| TenantId | string | ID de l’espace de travail Log Analytics |
| ThreatCategory | string | Catégorie de la menace ou programme malveillant identifié dans la session réseau. |
| ThreatConfidence | int | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatField | string | Champ pour lequel une menace a été identifiée. La valeur est SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
| ThreatFirstReportedTime | DATETIME | Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatId | string | ID de la menace ou programme malveillant identifié dans la session réseau. |
| ThreatIpAddr | string | Adresse IP pour laquelle une menace a été identifiée. Le champ ThreatField contient le nom du champ que ThreatIpAddr représente. |
| ThreatIsActive | bool | True ID de la menace identifiée qui est considérée comme une menace active. |
| ThreatLastReportedTime | DATETIME | La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatName | string | Nom de la menace ou des programmes malveillants identifiés dans la session réseau. |
| ThreatOriginalConfidence | string | Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatOriginalRiskLevel | string | Niveau de risque signalé par le périphérique de reporting. |
| ThreatRiskLevel | int | Niveau de risque associé à la session. Le niveau est un nombre compris entre 0 et 100. |
| TimeGenerated | DATETIME | Horodatage (UTC) qui reflète l’heure à laquelle l’événement a été généré. |
| Type | string | Le nom de la table |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour