Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le schéma de normalisation de session web ASIM (Advanced Security Information Model) décrit une activité réseau IP. Par exemple, les activités de réseau IP sont signalées par des serveurs web, des proxys web et des passerelles de sécurité web.
Attributs de la table
| Attribut | Valeur |
|---|---|
| Types de ressources | microsoft.securityinsights/websessionlogs |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | - |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| AdditionalFields | dynamique | Informations supplémentaires, représentées à l’aide de paires clé/valeur fournies par la source qui ne sont pas mappées à ASim. |
| _BilledSize | réel | Taille de l’enregistrement en octets |
| DstAppId | chaîne | L'identifiant de l'application de destination, tel que signalé par le dispositif de reporting. |
| DstAppName | chaîne | Nom de l’application de destination. |
| DstAppType | chaîne | Type de l’application de destination. |
| DstBytes | long | Nombre d’octets envoyés de la destination à la source pour la connexion ou la session. Si l’événement est agrégé, DstBytes est la somme sur toutes les sessions agrégées. |
| DstDeviceType | chaîne | Type de l’appareil de destination. |
| DstDomain | chaîne | Domaine de l’appareil de destination. |
| DstDomainType | chaîne | Type de DstDomain. |
| DstDvcId | chaîne | ID de l’appareil de destination. |
| DstDvcIdType | chaîne | Type de DstDvcId. |
| DstDvcScope | chaîne | L’étendue de la plateforme cloud à laquelle appartient l’appareil de destination. DvcScope correspond à un abonnement sur Azure et à un compte sur AWS. |
| DstDvcScopeId | chaîne | ID d’étendue de la plateforme cloud à laquelle appartient l’appareil de destination. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DstFQDN | chaîne | Nom d’hôte de l’appareil de destination, y compris les informations de domaine, le cas échéant. |
| DstGeoCity | chaîne | Ville associée à l’adresse IP de destination. |
| DstGeoCountry | chaîne | Pays associé à l’adresse IP de destination. |
| DstGeoLatitude | réel | Latitude de la coordonnée géographique associée à l’adresse IP de destination. |
| DstGeoLongitude | réel | Longitude de la coordonnée géographique associée à l’adresse IP de destination. |
| DstGeoRegion | chaîne | Région, ou état, au sein d’un pays associé à l’adresse IP de destination |
| DstHostname | chaîne | Nom d’hôte de l’appareil de destination, à l’exception des informations de domaine. |
| DstIpAddr | chaîne | L'adresse IP de la destination de la connexion ou de la session. |
| DstMacAddr | chaîne | Adresse MAC de l’interface réseau que l’appareil de destination utilise pour la connexion ou la session. |
| DstNatIpAddr | chaîne | Le DstNatIpAddr représente l’une des adresses d’origine de l’appareil de destination si la traduction d’adresses réseau a été utilisée ou l’adresse IP utilisée par l’appareil intermédiaire pour la communication avec la source. |
| DstNatPortNumber | Int | S'il est signalé par un dispositif NAT intermédiaire, le port utilisé par le dispositif NAT pour la communication avec la source. |
| DstOriginalUserType | chaîne | Le type d'utilisateur de destination original, s'il est fourni par la source. |
| DstPackets | long | Nombre de paquets envoyés de la destination à la source pour la connexion ou la session. La signification d’un paquet est définie par le périphérique de création de rapport. Si l’événement est agrégé, DstPackets est la somme sur toutes les sessions agrégées. |
| DstPortNumber | Int | Port IP de destination. |
| DstUserId | chaîne | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur de destination. |
| DstUserIdType | chaîne | Type de l’ID stocké dans le champ DstUserId. |
| DstUsername | chaîne | Nom d’utilisateur de destination, y compris les informations de domaine, le cas échéant. Utilisez la forme simple uniquement si les informations de domaine ne sont pas disponibles. |
| DstUsernameType | chaîne | Spécifie le type du nom d’utilisateur stocké dans le champ DstUsername. |
| DstUserType | chaîne | Type de l’utilisateur de destination. |
| Dvc | chaîne | Identificateur unique de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcAction | chaîne | L'action effectuée sur la session web. |
| DvcDomain | chaîne | Domaine de l’appareil signalant l’événement. |
| DvcDomainType | chaîne | Type de DvcDomain. Les valeurs possibles incluent « Windows » et « FQDN ». |
| DvcFQDN | chaîne | Nom d’hôte de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcHostname | chaîne | Nom d’hôte de l’appareil signalant l’événement. |
| DvcId | chaîne | ID unique de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcIdType | chaîne | Type de DvcId. |
| DvcIpAddr | chaîne | Adresse IP de l’appareil signalant l’événement. |
| DvcOriginalAction | chaîne | DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| Nombre d'événements | Int | Cette valeur est utilisée quand la source prend en charge l’agrégation, et un seul enregistrement peut représenter plusieurs événements. |
| HeureDeFinDeL'Événement | date et heure | Heure de fin de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| Message d'événement | chaîne | Message général ou description. |
| DétailsDuRésultatOriginalDeL'Événement | chaîne | Détails des résultats d’origine fournis par la source. Cette valeur est utilisée pour dériver des EventResultDetails, qui ne doivent avoir qu’une seule des valeurs documentées pour chaque schéma. |
| EventOriginalSeverity | chaîne | Gravité d’origine, telle que fournie par l’appareil de reporting. Cette valeur est utilisée pour dériver EventSeverity. |
| SousTypeOriginalDeL'Événement | chaîne | Sous-type ou ID d’événement d’origine, s’il est fourni par la source. Par exemple, ce champ sera utilisé pour stocker le type d’ouverture de session Windows d’origine. Cette valeur est utilisée pour dériver EventSubType, lequel ne doit avoir qu’une seule des valeurs documentées pour chaque schéma. |
| TypeOriginalDeL'Événement | chaîne | Type ou ID d’événement d’origine, s’il est fourni par la source. |
| EventOriginalUid | chaîne | ID unique de l’enregistrement d’origine, s’il est fourni par la source. |
| Propriétaire de l'événement | chaîne | Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré. |
| EventProduct | chaîne | Produit générant l’événement. |
| EventProductVersion | chaîne | Version du produit générant l’événement. |
| URL du Rapport d'Événement | chaîne | URL fournie dans l’événement pour une ressource qui apporte plus d’informations sur l’événement. |
| Résultat de l'événement | chaîne | Résultat de l’événement, représenté par l’une des valeurs suivantes : Réussite, Partial, Failure, NA (Non applicable). La valeur peut ne pas être fournie directement par les sources, auquel cas elle est dérivée d’autres champs d’événement, par exemple le champ EventResultDetails. |
| DétailsDuRésultatDeL'Événement | chaîne | Code d’état HTTP. |
| EventSchemaVersion | chaîne | Version du schéma. |
| EventSeverity | chaîne | La gravité de l’événement. Les valeurs valides sont les suivantes : Informational, Low, Medium ou High. |
| HeureDébutÉvénement | date et heure | Heure de début de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| Sous-type d'événement | chaîne | Description supplémentaire du type d'événement, si applicable. |
| Type d'Événement | chaîne | Opération signalée par l’enregistrement. |
| EventVendor | chaîne | Fournisseur du produit générant l’événement. |
| TypeDeContenuDeFichier | chaîne | Pour les chargements HTTP, type de contenu du fichier téléchargé. |
| FileMD5 | chaîne | Pour les chargements HTTP, hachage MD5 du fichier chargé. |
| Nom de fichier | chaîne | Pour les chargements HTTP, nom du fichier téléchargé. |
| FileSHA1 | chaîne | Pour les chargements HTTP, hachage SHA1 du fichier chargé. |
| FileSHA256 | chaîne | Pour les chargements HTTP, hachage SHA256 du fichier chargé. |
| FileSHA512 | chaîne | Pour les chargements HTTP, hachage SHA512 du fichier chargé. |
| Taille de fichier | Int | Pour les chargements HTTP, taille en octets du fichier téléchargé. |
| HttpContentFormat | chaîne | Partie du format de contenu de HttpContentType |
| Type de Contenu HTTP | chaîne | En-tête de type de contenu de la réponse HTTP. |
| HttpHost | chaîne | Serveur web virtuel ciblé par la requête HTTP. |
| Référent HTTP | chaîne | En-tête de référent HTTP. |
| Méthode de requête HTTP | chaîne | Méthode HTTP. |
| HttpRequestTime | Int | Durée, en millisecondes, nécessaire pour envoyer la demande au serveur. |
| HttpRequestXff | chaîne | En-tête HTTP X-Forwarded-For. |
| Temps de réponse HTTP | Int | Durée, en millisecondes, nécessaire pour recevoir une réponse sur le serveur. |
| Agent utilisateur HTTP | chaîne | En-tête de l’agent utilisateur HTTP. |
| HttpVersion | chaîne | Version de la requête HTTP. |
| _IsBillable | chaîne | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| Protocole d'application réseau | chaîne | Protocole de la couche application utilisé par la connexion ou la session. |
| NetworkBytes | long | Nombre d’octets envoyés dans les deux sens. Si les valeurs BytesReceived et BytesSent existent, la valeur BytesTotal doit être égale à leur somme. Si l’événement est agrégé, NetworkBytes est la somme sur toutes les sessions agrégées. |
| Historique de connexion réseau | chaîne | Indicateurs TCP et autres informations d’en-tête IP potentielles. |
| Direction du Réseau | chaîne | Direction de la connexion ou de la session. |
| Durée du réseau | Int | Durée, en millisecondes, de la fin de la session web ou de la connexion. |
| NetworkIcmpCode | Int | Pour un message ICMP, la valeur numérique du type de message ICMP tel que décrit dans la RFC 2780 pour les connexions réseau IPv4, ou dans la RFC 4443 pour les connexions réseau IPv6. |
| NetworkIcmpType | chaîne | Pour un message ICMP, la représentation du texte du type de message ICMP tel que décrit dans la RFC 2780 pour les connexions réseau IPv4, ou dans la RFC 4443 pour les connexions réseau IPv6. |
| Paquets réseau | long | Nombre de paquets envoyés dans les deux sens. Si les valeurs PacketsReceived et PacketsSent existent, la valeur BytesTotal doit être égale à leur somme. La signification d’un paquet est définie par le périphérique de création de rapport. Si l’événement est agrégé, NetworkPackets est la somme sur toutes les sessions agrégées. |
| Protocole réseau | chaîne | Protocole IP utilisé par la connexion ou la session comme indiqué dans l’attribution de protocole IANA, qui est généralement TCP, UDP ou ICMP. |
| Version du protocole réseau | chaîne | Version de NetworkProtocol. |
| NetworkSessionId | chaîne | Identificateur de session signalé par le périphérique de création de rapport. |
| _ResourceId (Identifiant de Ressource) | chaîne | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| Règle | chaîne | NetworkRuleName ou NetworkRuleNumber |
| Nom de la Règle | chaîne | Nom ou ID de la règle en vertu de laquelle DvcAction a été décidé. Exemple : AnyAnyDrop |
| NuméroDeRègle | Int | Numéro de la règle en vertu de laquelle DvcAction a été décidé. Exemple : 23 |
| SourceSystem | chaîne | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| SrcAppId | chaîne | L’identifiant de l’application source, tel que signalé par le dispositif de reporting. |
| SrcAppName | chaîne | Fournir le nom de l’application source. |
| SrcAppType | chaîne | Type de l’application source. |
| SrcBytes | long | Nombre d’octets envoyés de la source à la destination pour la connexion ou la session. Si l’événement est agrégé, SrcBytes est la somme sur toutes les sessions agrégées. |
| Type d'appareil source (SrcDeviceType) | chaîne | Type de l’appareil source. |
| SrcDomain | chaîne | Domaine de l’appareil source. |
| SrcDomainType | chaîne | Type de SrcDomain. |
| SrcDvcId | chaîne | ID de l’appareil source. |
| SrcDvcIdType | chaîne | Type de SrcDvcId. |
| SrcDvcScope | chaîne | L’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScope correspond à un abonnement sur Azure et à un compte sur AWS. |
| SrcDvcScopeId | chaîne | ID d’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcFQDN | chaîne | Nom d’hôte de l’appareil source, y compris les informations de domaine, le cas échéant. |
| SrcGeoVille | chaîne | Ville associée à l’adresse IP source. |
| SrcGeoCountry | chaîne | Pays associé à l’adresse IP source. |
| SrcGeoLatitude | réel | Latitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoLongitude | réel | Longitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoRegion | chaîne | Région au sein d’un pays associé à l’adresse IP source. |
| SrcHostname | chaîne | Nom d’hôte de l’appareil source, à l’exception des informations de domaine. Si aucun nom d’appareil n’est disponible, il peut stocker l’adresse IP appropriée. |
| SrcIpAddr | chaîne | Adresse IP d’origine de la connexion ou de la session. |
| SrcMacAddr | chaîne | Adresse MAC de l’interface réseau d’où provient la connexion ou la session. |
| SrcNatIpAddr | chaîne | Le SrcNatIpAddr représente l’une des adresses d’origine de l’appareil source si la traduction d’adresses réseau a été utilisée ou l’adresse IP utilisée par l’appareil intermédiaire pour la communication avec la destination. |
| Numéro de Port SrcNat | Int | Si signalé par un appareil NAT intermédiaire, le port que l'appareil NAT utilise pour la communication avec la destination. |
| SrcOriginalUserType | chaîne | Type d’utilisateur de destination d’origine, s’il est fourni par le dispositif de rapport. |
| SrcPackets | long | Nombre de paquets envoyés de la source à la destination pour la connexion ou la session. La signification d’un paquet est définie par le périphérique de création de rapport. Si l’événement est agrégé, SrcPackets est la somme sur toutes les sessions agrégées. |
| SrcPortNumber | Int | Port IP d’où provient la connexion. Peut ne pas être pertinent pour une session comprenant plusieurs connexions. |
| SrcProcessGuid | chaîne | Identificateur unique (GUID) généré du processus source. |
| SrcProcessId | chaîne | ID de processus (PID) du processus source. |
| SrcProcessName | chaîne | Nom du processus source. |
| SrcUserId | chaîne | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur source. |
| SrcUserIdType | chaîne | Type de l’ID stocké dans le champ SrcUserId. |
| SrcUsername | chaîne | Nom de l’utilisateur source, y compris les informations de domaine, le cas échéant. |
| SrcUsernameType | chaîne | Spécifie le type du nom d’utilisateur stocké dans le champ SrcUsername. |
| SrcUserScope | chaîne | Étendue, par exemple le locataire Azure AD, dans laquelle SrcUserId et SrcUsername sont définis. |
| SrcUserScopeId | chaîne | Identifiant de l’étendue, par exemple le locataire Azure AD, dans laquelle SrcUserId et SrcUsername sont définis. |
| SrcUserType | chaîne | Type de l’utilisateur source |
| _IdentifiantDeSouscription | chaîne | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| ID locataire | chaîne | ID de l’espace de travail Log Analytics |
| Catégorie de Menace | chaîne | Catégorie des menaces ou programmes malveillants identifiés dans la session web. |
| ThreatConfidence | Int | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatField | chaîne | Champ pour lequel une menace a été identifiée. La valeur est SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
| ThreatFirstReportedTime | date et heure | Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| Identifiant de menace | chaîne | ID de la menace ou des programmes malveillants identifiés dans la session web. |
| ThreatIpAddr | chaîne | Adresse IP pour laquelle une menace a été identifiée. Le champ ThreatField contient le nom du champ que ThreatIpAddr représente. |
| La menace est active | booléen | Vraie identification, la menace identifiée est considérée comme une menace active. |
| ThreatLastReportedTime | date et heure | La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| Nom de la menace | chaîne | Nom de la menace ou des programmes malveillants identifiés dans la session web. |
| ThreatOriginalConfidence | chaîne | Niveau de confiance initial de la menace identifiée, tel que rapporté par le dispositif de rapport. |
| Niveau de risque initial de la menace | chaîne | Niveau de risque signalé par le périphérique de reporting. |
| Niveau de Risque de Menace | Int | Niveau de risque associé à la session. Le niveau est un nombre compris entre 0 et 100. |
| TimeGenerated | date et heure | Horodatage (UTC) reflétant l’heure dans laquelle l’événement a été généré. |
| Catégorie | chaîne | Le nom de la table |
| URL | chaîne | URL complète de la requête HTTP, paramètres inclus. |
| Catégorie d'URL | chaîne | Regroupement défini d’une URL ou de la partie domaine de l’URL. |
| UrlOriginal | chaîne | Valeur d’origine de l’URL, lorsque l’URL a été modifiée par le périphérique de création de rapports et que les deux valeurs sont fournies. |