ASimWebSessionLogs
Az Advanced Security Information Model (ASIM) webes munkamenet normalizálási sémája egy IP-hálózati tevékenységet ír le. Az IP-hálózati tevékenységeket például webkiszolgálók, webes proxyk és webes biztonsági átjárók jelentik.
Táblaattribútumok
Attribútum | Érték |
---|---|
Erőforrástípusok | microsoft.securityinsights/websessionlogs |
Kategóriák | Biztonság |
Megoldások | SecurityInsights |
Alapszintű napló | No |
Betöltési idő átalakítás | Yes |
Mintalekérdezések | - |
Oszlopok
Oszlop | Típus | Description |
---|---|---|
AdditionalFields | dinamikus | További információk, amelyeket a forrás által biztosított kulcs/érték párok jelölnek, amelyek nem képeznek le ASim-hez. |
_BilledSize | valós szám | A rekord mérete bájtban |
DstAppId | sztring | A célalkalmazás azonosítója a jelentéskészítő eszköz által jelentett módon. |
DstAppName | sztring | A célalkalmazás neve. |
DstAppType | sztring | A célalkalmazás típusa. |
DstBytes | hosszú | A célhelyről a kapcsolat vagy munkamenet forrására küldött bájtok száma. Ha az esemény összesítve van, a DstBytes az összes összesített munkamenet összege. |
DstDeviceType | sztring | A céleszköz típusa. |
DstDomain | sztring | A céleszköz tartománya. |
DstDomainType | sztring | A DstDomain típusa. |
DstDvcId | sztring | A céleszköz azonosítója. |
DstDvcIdType | sztring | A DstDvcId típusa. |
DstDvcScope | sztring | Az a felhőplatform-hatókör, amelyhez a céleszköz tartozik. A DvcScope egy Azure-előfizetésre és egy AWS-fiókra képezi le a térképet. |
DstDvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez a céleszköz tartozik. A DvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképazva. |
DstFQDN | sztring | A céleszköz állomásneve, beleértve a tartományadatokat, ha elérhetők. |
DstGeoCity | sztring | A cél IP-címéhez társított város. |
DstGeoCountry | sztring | A cél IP-címhez társított ország. |
DstGeoL hála | valós szám | A cél IP-címéhez társított földrajzi koordináták szélessége. |
DstGeoLongitude | valós szám | A cél IP-címéhez társított földrajzi koordináták hosszúsága. |
DstGeoRegion | sztring | A cél IP-címhez társított országon belüli régió vagy állam. |
DstHostname | sztring | A céleszköz állomásneve, a tartományi adatok kivételével. |
DstIpAddr | sztring | A kapcsolat vagy a munkamenet célhelyének IP-címe. |
DstMacAddr | sztring | A céleszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter MAC-címe. |
DstNatIpAddr | sztring | A DstNatIpAddr a következők egyikét jelöli: A céleszköz eredeti címe, ha hálózati címfordítást használtak, vagy a közvetítő eszköz által a forrással való kommunikációhoz használt IP-cím. |
DstNatPortNumber | int | Ha egy köztes NAT-eszköz jelenti, a NAT-eszköz által a forrással való kommunikációhoz használt port. |
DstOriginalUserType | sztring | Az eredeti célfelhasználó típusa, ha a forrás megadja. |
DstPackets | hosszú | A célhelyről a kapcsolat vagy munkamenet forrásának küldött csomagok száma. A csomagok jelentését a jelentéskészítő eszköz határozza meg. Ha az esemény összesítve van, a DstPackets az összes összesített munkamenet összegének összege. |
DstPortNumber | int | A cél IP-port. |
DstUserId | sztring | A célfelhasználó gépi olvasható, alfanumerikus, egyedi ábrázolása. |
DstUserIdType | sztring | A DstUserId mezőben tárolt azonosító típusa. |
DstUsername | sztring | A cél felhasználónév, beleértve a tartomány adatait, ha elérhető. Csak akkor használja az egyszerű űrlapot, ha a tartomány adatai nem érhetők el. |
DstUsernameType | sztring | A DstUsername mezőben tárolt felhasználónév típusát adja meg. |
DstUserType | sztring | A célfelhasználó típusa. |
Dvc | sztring | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcAction | sztring | A webes munkameneten végrehajtott művelet. |
DvcDomain | sztring | Az eseményt jelentő eszköz tartománya. |
DvcDomainType | sztring | A DvcDomain típusa. Lehetséges értékek: "Windows" és "FQDN". |
DvcFQDN | sztring | Annak az eszköznek a gazdaneve, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcHostname | sztring | Az eseményt jelentő eszköz állomásneve. |
DvcId | sztring | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcIdType | sztring | A DvcId típusa. |
DvcIpAddr | sztring | Az eseményt jelentő eszköz IP-címe. |
DvcOriginalAction | sztring | A jelentéskészítő eszköz által biztosított eredeti DvcAction. |
EventCount | int | Ez az érték akkor használatos, ha a forrás támogatja az összesítést, és egyetlen rekord több eseményt is jelölhet. |
EventEndTime | dátum/idő | Az esemény befejezésének időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
EventMessage | sztring | Általános üzenet vagy leírás. |
EventOriginalResultDetails | sztring | A forrás által megadott eredeti eredményadatok. Ez az érték az EventResultDetails származtatására szolgál, amelynek az egyes sémákhoz csak az egyik értéknek kell dokumentálnia. |
EventOriginalSeverity | sztring | A jelentéskészítő eszköz által megadott eredeti súlyosság. Ez az érték az EventSeverity származtatására szolgál. |
EventOriginalSubType | sztring | Az eredeti esemény altípusa vagy azonosítója, ha a forrás megadja. Ez a mező például az eredeti Windows bejelentkezési típus tárolására szolgál. Ez az érték az EventSubType származtatására szolgál, amelynek csak az egyik értéknek kell dokumentálnia az egyes sémákhoz. |
EventOriginalType | sztring | Az eredeti eseménytípus vagy -azonosító, ha a forrás megadja. |
EventOriginalUid | sztring | Az eredeti rekord egyedi azonosítója, ha a forrás megadja. |
EventOwner | sztring | Az esemény tulajdonosa, amely általában az a részleg vagy leányvállalat, amelyben létrehozták. |
EventProduct | sztring | Az eseményt létrehozó termék. |
EventProductVersion | sztring | Az eseményt létrehozó termék verziója. |
EventReportUrl | sztring | Az eseményben megadott URL-cím egy erőforráshoz, amely további információt nyújt az eseményről. |
EventResult | sztring | Az esemény kimenete, amelyet a következő értékek egyike jelöl: Success, Partial, Failure, NA (Not Applicable). Előfordulhat, hogy az értéket nem adják meg közvetlenül a források, ebben az esetben más eseménymezőkből származik, például az EventResultDetails mezőből. |
EventResultDetails | sztring | A HTTP-állapotkód. |
EventSchemaVersion | sztring | A séma verziója. |
EventSeverity | sztring | Az esemény súlyossága. Az érvényes értékek a következők: Tájékoztató, Alacsony, Közepes vagy Magas. |
EventStartTime | dátum/idő | Az esemény indításának időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
EventSubType | sztring | Szükség esetén az eseménytípus további leírása. |
EventType | sztring | A rekord által jelentett művelet. |
EventVendor | sztring | Az eseményt létrehozó termék szállítója. |
FileContentType | sztring | HTTP-feltöltések esetén a feltöltött fájl tartalomtípusa. |
FileMD5 | sztring | HTTP-feltöltések esetén a feltöltött fájl MD5 kivonata. |
Fájlnév | sztring | HTTP-feltöltések esetén a feltöltött fájl neve. |
FileSHA1 | sztring | HTTP-feltöltések esetén a feltöltött fájl SHA1 kivonata. |
FileSHA256 | sztring | HTTP-feltöltések esetén a feltöltött fájl SHA256-kivonata. |
FileSHA512 | sztring | HTTP-feltöltések esetén a feltöltött fájl SHA512 kivonata. |
Fájlméretet | int | HTTP-feltöltések esetén a feltöltött fájl mérete bájtban. |
HttpContentFormat | sztring | A HttpContentType tartalomformátum-része |
HttpContentType | sztring | A HTTP-válasz tartalomtípus fejléce. |
HttpHost | sztring | A HTTP-kérés által megcélzott virtuális webkiszolgáló. |
HttpReferrer | sztring | A HTTP-hivatkozó fejléce. |
HttpRequestMethod | sztring | A HTTP-metódus. |
HttpRequestTime | int | Ennyi idő alatt, ezredmásodpercben kellett elküldeni a kérést a kiszolgálónak. |
HttpRequestXff | sztring | A HTTP X-Forwarded-For fejléc. |
HttpResponseTime | int | Ezredmásodpercben a válasz fogadása a kiszolgálón. |
HttpUserAgent | sztring | A HTTP-felhasználói ügynök fejléce. |
HttpVersion | sztring | A HTTP-kérelem verziója. |
_IsBillable | sztring | Meghatározza, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés történik false , a számla nem az Azure-fiókjába kerül. |
NetworkApplicationProtocol | sztring | A kapcsolat vagy munkamenet által használt alkalmazásréteg-protokoll. |
Hálózati bájtok | hosszú | A két irányban küldött bájtok száma. Ha a BytesReceived és a BytesSent is létezik, a BytesTotal értéknek meg kell egyeznie az összeggel. Ha az esemény összesítve van, a NetworkBytes az összes összesített munkamenet összegének összege. |
NetworkConnectionHistory | sztring | TCP-jelzők és egyéb lehetséges IP-fejlécadatok. |
NetworkDirection | sztring | A kapcsolat vagy munkamenet iránya. |
NetworkDuration | int | A webes munkamenet vagy kapcsolat befejezéséhez szükséges idő ezredmásodpercben. |
NetworkIcmpCode | int | ICMP-üzenet esetén az ICMP-üzenet típusának numerikus értéke az RFC 2780 IPv4-hálózati kapcsolatok esetében, illetve az RFC 4443 IPv6-hálózati kapcsolatok esetében című cikkben leírtak szerint. |
NetworkIcmpType | sztring | ICMP-üzenet esetén az ICMP-üzenet szövegként jelenik meg az IPv4-hálózati kapcsolatok RFC 2780-as verziójában vagy az IPv6-hálózati kapcsolatok RFC 4443-as verziójában leírtak szerint. |
NetworkPackets | hosszú | Az elküldött csomagok száma mindkét irányban. Ha a PacketsReceived és a PacketsSent is létezik, a BytesTotal értéknek meg kell egyeznie az összeggel. A csomag jelentését a jelentéskészítő eszköz határozza meg. Ha az esemény összesítve van, a NetworkPackets az összes összesített munkamenet összesítése. |
NetworkProtocol | sztring | A kapcsolat vagy munkamenet által használt IP-protokoll az IANA protokoll-hozzárendelésben felsoroltak szerint, amely általában TCP, UDP vagy ICMP. |
NetworkProtocolVersion | sztring | A NetworkProtocol verziója. |
NetworkSessionId | sztring | A jelentéskészítő eszköz által jelentett munkamenet-azonosító. |
_ResourceId | sztring | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
Szabály | sztring | NetworkRuleName vagy NetworkRuleNumber |
RuleName | sztring | Annak a szabálynak a neve vagy azonosítója, amely alapján a DvcAction döntésre került. Példa: AnyAnyDrop |
RuleNumber | int | Annak a szabálynak a száma, amellyel a DvcAction döntésre került. Példa: 23 |
SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure Azure Diagnostics |
SrcAppId | sztring | A forrásalkalmazás azonosítója a jelentéskészítő eszköz által jelentett módon. |
SrcAppName | sztring | A forrásalkalmazás neve. |
SrcAppType | sztring | A forrásalkalmazás típusa. |
SrcBytes | hosszú | A forrásból a kapcsolat vagy munkamenet célhelyére küldött bájtok száma. Ha az esemény összesítve van, az SrcBytes az összes összesített munkamenet összesítése. |
SrcDeviceType | sztring | A forráseszköz típusa. |
SrcDomain | sztring | A forráseszköz tartománya. |
SrcDomainType | sztring | Az SrcDomain típusa. |
SrcDvcId | sztring | A forráseszköz azonosítója. |
SrcDvcIdType | sztring | Az SrcDvcId típusa. |
SrcDvcScope | sztring | A felhőplatform hatóköre, amelyhez a forráseszköz tartozik. A DvcScope egy Azure-előfizetésre és egy AWS-fiókra képezi le a térképet. |
SrcDvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez a forráseszköz tartozik. A DvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképazva. |
SrcFQDN | sztring | A forráseszköz állomásneve, beleértve a tartományadatokat, ha elérhetők. |
SrcGeoCity | sztring | A forrás IP-címéhez társított város. |
SrcGeoCountry | sztring | A forrás IP-címéhez társított ország. |
SrcGeoL hála | valós szám | A forrás IP-címéhez társított földrajzi koordináták szélessége. |
SrcGeoLongitude | valós szám | A forrás IP-címéhez társított földrajzi koordináták hosszúsága. |
SrcGeoRegion | sztring | A forrás IP-címhez társított országon belüli régió. |
SrcHostname | sztring | A forráseszköz gazdaneve, a tartományi adatok kivételével. Ha nem áll rendelkezésre eszköznév, akkor a megfelelő IP-címet tárolhatja. |
SrcIpAddr | sztring | Az IP-cím, amelyről a kapcsolat vagy munkamenet származik. |
SrcMacAddr | sztring | Annak a hálózati adapternek a MAC-címe, amelyről a kapcsolat vagy a munkamenet származik. |
SrcNatIpAddr | sztring | A SrcNatIpAddr a következők valamelyikét jelöli: A forráseszköz eredeti címe, ha a hálózati címfordítást használták, vagy az IP-címet, amelyet a közvetítő eszköz használt a célhellyel való kommunikációhoz. |
SrcNatPortNumber | int | Ha egy köztes NAT-eszköz jelenti, a NAT-eszköz által a célhelygel való kommunikációhoz használt port. |
SrcOriginalUserType | sztring | Az eredeti célfelhasználó típusa, ha a jelentéskészítő eszköz biztosítja. |
SrcPackets | hosszú | A forrásból a kapcsolat vagy munkamenet célhelyére küldött csomagok száma. A csomagok jelentését a jelentéskészítő eszköz határozza meg. Ha az esemény összesítve van, az SrcPackets az összes összesített munkamenet összegének összege. |
SrcPortNumber | int | Az IP-port, amelyről a kapcsolat származik. Előfordulhat, hogy nem releváns több kapcsolatot tartalmazó munkamenet esetén. |
SrcProcessGuid | sztring | A forrásfolyamat létrehozott egyedi azonosítója (GUID). |
SrcProcessId | sztring | A forrásfolyamat folyamatazonosítója (PID). |
SrcProcessName | sztring | A forrásfolyamat neve. |
SrcUserId | sztring | A forrásfelhasználó gépi olvasható, alfanumerikus, egyedi ábrázolása. |
SrcUserIdType | sztring | A SrcUserId mezőben tárolt azonosító típusa. |
SrcUsername | sztring | A forrás felhasználóneve, beleértve a tartomány adatait, ha elérhető. |
SrcUsernameType | sztring | A SrcUsername mezőben tárolt felhasználónév típusát adja meg. |
SrcUserScope | sztring | A hatókör, például Azure AD bérlő, amelyben az SrcUserId és a SrcUsername definiálva van. |
SrcUserScopeId | sztring | A hatókör azonosítója, például Azure AD bérlő, amelyben az SrcUserId és a SrcUsername definiálva van. |
SrcUserType | sztring | A forrásfelhasználó típusa. |
_SubscriptionId | sztring | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
TenantId | sztring | A Log Analytics-munkaterület azonosítója |
ThreatCategory | sztring | A webes munkamenetben azonosított fenyegetés vagy kártevő kategóriája. |
ThreatConfidence | int | Az azonosított fenyegetés megbízhatósági szintje, 0 és 100 közötti értékre normalizálva. |
ThreatField | sztring | Az a mező, amelyhez fenyegetést azonosítottak. Az érték vagy SrcIpAddr, DstIpAddr, Domain vagy DnsResponseName. |
ThreatFirstReportedTime | dátum/idő | Az IP-cím vagy tartomány első észlelése fenyegetésként. |
ThreatId | sztring | A webes munkamenetben azonosított fenyegetés vagy kártevő azonosítója. |
ThreatIpAddr | sztring | Egy IP-cím, amelyhez fenyegetést azonosítottak. A ThreatField mező a ThreatIpAddr által képviselt mező nevét tartalmazza. |
ThreatIsActive | logikai | Az azonosított fenyegetés valós azonosítója aktív fenyegetésnek minősül. |
ThreatLastReportedTime | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
ThreatName | sztring | A webes munkamenetben azonosított fenyegetés vagy kártevő neve. |
ThreatOriginalConfidence | sztring | Az azonosított fenyegetés eredeti megbízhatósági szintje, amelyet a jelentéskészítő eszköz jelentett. |
ThreatOriginalRiskLevel | sztring | A jelentéskészítő eszköz által jelentett kockázati szint. |
ThreatRiskLevel | int | A munkamenethez társított kockázati szint. A szint egy 0 és 100 közötti szám. |
TimeGenerated | dátum/idő | Az esemény létrehozásának idejét tükröző időbélyeg (UTC). |
Típus | sztring | A tábla neve |
URL-cím | sztring | A teljes HTTP-kérelem URL-címe, beleértve a paramétereket is. |
UrlCategory | sztring | Az URL-cím vagy az URL tartományrészének definiált csoportosítása. |
UrlOriginal | sztring | Az URL eredeti értéke, amikor a jelentéskészítő eszköz módosította az URL-címet, és mindkét érték meg van adva. |
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: