Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Hálózati kapcsolatok vagy munkamenetek, például tűzfalak, vezetékes adatok, NSG, Netflow, proxyrendszerek és webes biztonsági átjárók által naplózott munkamenetek.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | SecurityInsights |
| Alapszintű napló | Igen |
| Adatbetöltési folyamat átalakítás | Nem |
| Mintalekérdezések | Igen |
Oszlopok
| Oszlop | Típus | Leírás |
|---|---|---|
| További mezők | dinamikus | Ha a séma egyik oszlopa sem egyezik, további mezők is tárolhatók egy JSON-zsákban. |
| _BilledSize | valódi | A rekord mérete bájtban |
| CloudAppId | húr | Egy HTTP-alkalmazás célalkalmazásának azonosítója a proxy által azonosított módon. Ez az érték általában a használt proxyra jellemző. |
| CloudAppName | húr | Egy HTTP-alkalmazás célalkalmazásának neve a proxy által azonosított módon. |
| Felhőalkalmazásművelet | húr | A felhasználó által a proxy által azonosított HTTP-alkalmazás célalkalmazásának kontextusában végrehajtott művelet. Ez az érték általában a használt proxyra jellemző. |
| Felhőalkalmazás-Kockázati Szint | húr | A proxy által azonosított HTTP-alkalmazáshoz társított kockázati szint. Ez az érték általában a használt proxyra jellemző. |
| DstBytes | hosszú | A célhelyről a kapcsolat vagy munkamenet forrásának küldött bájtok száma. |
| DstDomainHostname | húr | A célállomás gazdagép tartománya. |
| DstDvcDomain | húr | A céleszköz tartománya. |
| DstDvcFqdn | húr | Azon a gépen lévő teljesen minősített domainnév, ahol a naplót létrehozták. |
| DstDvcHostname | húr | A céleszköz eszközneve. |
| DstDvcIpAddr | húr | Egy olyan eszköz cél IP-címe, amely nincs közvetlenül társítva a hálózati csomaggal. |
| DstDvcMacAddr | húr | Egy olyan eszköz cél MAC-címe, amely nincs közvetlenül társítva a hálózati csomaggal. |
| DstGeoCity | húr | A cél IP-címéhez társított város. |
| DstGeoCountry | húr | A forrás IP-címéhez társított ország. |
| DstGeoLatitude | valódi | A cél IP-címéhez társított földrajzi koordináták szélessége. |
| Földrajzi hosszúság (DstGeo) | valódi | A cél IP-címhez társított földrajzi koordináták hosszúsága |
| DstGeoRégió | húr | A cél IP-címhez társított országon belüli régió. |
| DstInterfaceGuid | húr | A hitelesítési kérelemhez használt hálózati adapter GUID azonosítója. |
| DstInterfaceName | húr | A céleszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. |
| DstIpAddr | húr | A kapcsolat vagy a munkamenet célhelyének IP-címe. |
| DstMacAddr | húr | Annak a hálózati adapternek a MAC-címe, amelyen a kapcsolat vagy a munkamenet megszakadt. |
| DstNatIpAddr | húr | Ha egy köztes NAT-eszköz (például tűzfal) jelenti, akkor a NAT-eszköz által a forrással történő kommunikációhoz használt IP-cím. |
| DstNatPortNumber | egész | Ha egy köztes NAT-eszköz, például tűzfal jelenti, akkor az a port, amelyet a NAT-eszköz a forrással való kommunikációhoz használ. |
| DstPackets | hosszú | A célhelyről a kapcsolat vagy munkamenet forrásának küldött csomagok száma. A csomagok jelentését a jelentéskészítő eszköz határozza meg. |
| DstPortNumber (célport száma) | egész | Az IP-célport. |
| DstErőforrásAzonosító | húr | A céleszköz erőforrás-azonosítója. |
| DstUserAadId | húr | A felhasználó Azure AD-fiók objektumazonosítója a munkamenet célállomásán. |
| DstUserDomain | húr | A munkamenet célpontján lévő fiók tartománya vagy számítógép neve. |
| DstUserName | húr | A munkamenet célhelyéhez társított identitás felhasználóneve. |
| DstUserSid | húr | A munkamenet célhelyéhez társított identitás felhasználói azonosítója. Általában a kiszolgáló hitelesítéséhez használt identitás. |
| DstUserUpn | húr | Az ülés célhelyéhez társított identitás UPN-je. |
| DstZone | húr | A célhely hálózati zónája a jelentéskészítő eszköz által meghatározott módon. |
| DvcAction | húr | Ha egy közvetítő eszköz, például egy tűzfal, jelenti, akkor a cselekvés az eszköz által végrehajtott. |
| DvcHostname | húr | Az üzenetet létrehozó eszköz neve. |
| DvcInboundInterface | húr | Ha egy közvetítő eszköz, például egy tűzfal jelenti be, akkor a forráseszközhöz való csatlakozáshoz használt hálózati interfész. |
| DvcIpAddr | húr | A rekordot létrehozó eszköz IP-címe. |
| DvcMacAddr | húr | Annak a jelentéskészítő eszköznek a hálózati adapterének MAC-címe, amelyről az eseményt elküldték. |
| DvcOutboundInterface | húr | Ha egy közvetítő eszköz, például egy tűzfal jelenti, az általa a céleszközhöz való csatlakozáshoz használt hálózati interfész. |
| Eseményszám | egész | Az összesítve lévő események száma, ha van. |
| EseményVégIdő | dátum/idő | Az esemény befejezésének időpontja. |
| Eseményüzenet | húr | A rekordban szereplő vagy abból létrehozott általános üzenet vagy leírás. |
| EseményEredetiAzonosító | húr | A jelentéskészítő eszköz rekordazonosítója. |
| EventProduct | húr | Az eseményt létrehozó termék. |
| EseményTermékVerzió | húr | Az eseményt létrehozó termék verziója. |
| Eseményjelentés URL | húr | A jelentéskészítő eszköz által létrehozott teljes jelentésre mutató hivatkozás. |
| EseményForrásAzonosító | húr | Az üzenetet létrehozó eszköz erőforrás-azonosítója. |
| EseményEredmény | húr | A tevékenységhez jelentett eredmény. Üres érték, ha nem alkalmazható. |
| Eseményeredmény-részletek | húr | Az EventResult-ban jelentett eredmény oka |
| EventSchemaVersion | húr | Az Azure Sentinel verziója. |
| EventSeverity | húr | Ha a jelentett tevékenységnek van biztonsági hatása, akkor a hatás súlyosságát jelöli. |
| EseményKezdésIdeje | dátum/idő | Az esemény bekövetkeztének időpontja. |
| Eseménytípus-altípus | húr | Szükség esetén a típus további leírása. |
| EseményIdőFelvett | dátum/idő | Az esemény Azure Sentinelbe való betöltésének időpontja. Az Azure Sentinel hozzáadja. |
| Eseménytípus | húr | Az összegyűjtött esemény típusa. |
| EventUid | húr | A Sentinel által egy sor megjelöléséhez használt egyedi azonosító. |
| EventVendor | húr | Az eseményt létrehozó termék szállítója. |
| fájlkiterjesztés | húr | Az olyan protokollok hálózati kapcsolatain keresztül továbbított fájl típusa, mint az FTP és a HTTP. |
| FileHashMd5 | húr | A protokollok hálózati kapcsolatain keresztül továbbított fájl MD5 kivonatértéke. |
| FileHashSha1 | húr | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA1 kivonatértéke. |
| FileHashSha256 | húr | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA256 kivonatértéke. |
| FileHashSha512 | húr | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA512 kivonatértéke. |
| FájlMIME-típus | húr | A hálózati kapcsolatokon keresztül továbbított fájl MIME-típusa olyan protokollok esetében, mint az FTP és a HTTP. |
| fájlnév | húr | Az olyan protokollok hálózati kapcsolatain keresztül továbbított fájlnév, mint az FTP és a HTTP, amelyek a fájlnév adatait adják meg. |
| FilePath | húr | A fájl teljes elérési útja, beleértve a fájl nevét is. |
| Fájlméret | egész | A protokollok hálózati kapcsolatain keresztül továbbított fájl mérete bájtban kifejezve. |
| HttpContentType | húr | HTTP-válasz tartalomtípus fejléce HTTP/HTTPS hálózati munkamenetekhez. |
| HttpReferrerOriginal (Eredeti hivatkozó HTTP) | húr | A HTTP-/HTTPS-hálózati munkamenetekhez tartozó HTTP-hivatkozó fejléce. |
| HTTP kérés módszer | húr | A HTTP/HTTPS hálózati munkamenetek HTTP-metódusa. |
| HTTP kérés ideje | egész | A kérés kiszolgálónak való elküldéséhez szükséges idő, ha lehetséges. |
| HttpRequestXff | húr | Az HTTP X-Forwarded-For fejléc HTTP/HTTPS hálózati munkamenetekhez. |
| HTTP válaszidő | egész | Adott esetben a válasz fogadásához szükséges idő a kiszolgálón. |
| HTTP állapotkód | húr | A HTTP/HTTPS hálózati munkamenetek HTTP-állapotkódja. |
| HttpUserAgentOriginal | húr | A HTTP-/HTTPS-hálózati munkamenetek HTTP-felhasználói ügynökének fejléce. |
| HTTP verzió | húr | HTTP-/HTTPS-hálózati kapcsolatok HTTP-kérelemverziója. |
| _Felszámítható-e | húr | Meghatározza, hogy az adatok betöltése számlázható-e. Amikor a _IsBillable értéke false, a feldolgozást nem számlázzák ki az Azure-fiókjára |
| Hálózati Alkalmazás Protokoll | húr | A kapcsolat vagy munkamenet által használt alkalmazásréteg-protokoll. |
| NetworkBytes | hosszú | A két irányban küldött bájtok száma. Ha a BytesReceived és a BytesSent is létezik, a BytesTotalnak egyenlőnek kell lennie az összeggel. |
| Hálózatirány | húr | A kapcsolat vagy munkamenet iránya: befelé vagy kifelé a szervezetből. |
| HálózatiIdőtartam | egész | A hálózati munkamenet vagy kapcsolat befejezéséhez szükséges idő ezredmásodpercben. |
| Hálózati ICMP-kód | egész | ICMP-üzenet esetén az ICMP-üzenet típusa numerikus érték (RFC 2780 vagy RFC 4443). |
| Hálózati ICMP típus | húr | ICMP-üzenet esetén az ICMP-üzenettípus szöveges ábrázolása (RFC 2780 vagy RFC 4443). |
| Hálózati csomagok | hosszú | Mindkét irányban küldött csomagok száma. Ha a PacketsReceived és a PacketsSent is létezik, a BytesTotalnak egyenlőnek kell lennie az összegükkel. |
| hálózati protokoll | húr | A kapcsolat vagy munkamenet által használt IP-protokoll. Általában TCP, UDP vagy ICMP. |
| HálózatiSzabályNév | húr | Annak a szabálynak a neve vagy azonosítója, amely alapján a DeviceAction-t meghozták. |
| HálózatiSzabálySzám | egész | Egyező szabályszám. |
| HálózatiMunkamenetAzonositó | húr | A jelentéskészítő eszköz által jelentett munkamenet-azonosító. |
| SourceSystem | húr | Az ügynök típusa, amely által az eseményt gyűjtötték. Windows-ügynök esetében például OpsManager közvetlen csatlakozás vagy Operations Manager, Linux az összes Linux-ügynök esetében, vagy Azure az Azure Diagnostics esetében. |
| SrcBytes | hosszú | A forrásból a kapcsolat vagy munkamenet célhelyére küldött bájtok száma. |
| SrcDvcDomain | húr | Annak az eszköznek a tartománya, amelyről a munkamenetet kezdeményezték. |
| SrcDvcFqdn | húr | Azon a gépen lévő teljesen minősített domainnév, ahol a naplót létrehozták. |
| SrcDvcHostname | húr | A forráseszköz eszközneve. |
| SrcDvcIpAddr | húr | A hálózati csomaghoz közvetlenül nem társított eszköz forrás IP-címe (amelyet egy szolgáltató gyűjt vagy explicit módon kiszámít). |
| SrcDvcMacAddr | húr | Egy olyan eszköz forrás MAC-címe, amely nincs közvetlenül társítva a hálózati csomaggal. |
| SrcDvcModelName | húr | A forráseszköz modellje. |
| SrcDvcModelNumber | húr | A forráseszköz modellszáma. |
| SrcDvcOs | húr | A forráseszköz operációs rendszere. |
| SrcDvcType | húr | A forráseszköz típusa. |
| SrcGeoCity | húr | A forrás IP-címéhez társított város. |
| ForrásFöldrajziOrszág | húr | A forrás IP-címéhez társított ország. |
| SrcGeoLatitude | valódi | A forrás IP-címhez társított földrajzi koordináták szélessége. |
| SrcGeoHosszúság | valódi | A forrás IP-címhez társított földrajzi koordináták hosszúsága. |
| ForrásFöldrajziRégió | húr | A forrás IP-címhez társított országon belüli régió. |
| SrcInterfaceGuid | húr | A használt hálózati adapter GUID azonosítója. |
| SrcInterfaceName | húr | A forráseszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. |
| SrcIpAddr | húr | Az IP-cím, amelyről a kapcsolat vagy a munkamenet származik. |
| SrcMacAddr | húr | Annak a hálózati adapternek a MAC-címe, amelyről a kapcsolat vagy munkamenet származik. |
| SrcNatIpAddr | húr | Ha egy köztes NAT-eszköz, például tűzfal jelenti, a NAT-eszköz által a célhellyel való kommunikációhoz használt IP-cím. |
| SrcNatPortNumber | egész | Ha egy köztes NAT-eszköz( például tűzfal) jelenti, a NAT-eszköz által a célhellyel való kommunikációhoz használt port. |
| SrcPackets | hosszú | A forrásból a kapcsolat vagy munkamenet célhelyére küldött csomagok száma. A csomagok jelentését a jelentéskészítő eszköz határozza meg. |
| SrcPortNumber | egész | Az IP-port, ahonnan a kapcsolat származik. Előfordulhat, hogy több kapcsolatot tartalmazó munkamenet esetében nem releváns. |
| SrcResourceId | húr | Az üzenetet létrehozó eszköz erőforrás-azonosítója. |
| SrcUserAadId | húr | A felhasználó Azure AD-fiók objektumazonosítója a munkamenet forrás végén. |
| SrcUserDomain | húr | A munkamenetet kezdeményező fiók tartománya. |
| SrcUserName | húr | A munkamenet-forráshoz társított identitás felhasználóneve. A felhasználó általában műveletet hajt végre az ügyfélen. |
| SrcUserSid | húr | A munkameneti forráshoz kapcsolt identitás felhasználói azonosítója. A felhasználó általában műveletet hajt végre az ügyfélen. |
| SrcUserUpn | húr | A munkamenetet kezdeményező fiók UPN-azonosítója. |
| SrcZone | húr | A forrás hálózati zónája a jelentéskészítő eszköz által meghatározott módon. |
| Bérlőazonosító | húr | A Log Analytics-munkaterület azonosítója |
| Fenyegetéskategória | húr | Egy biztonsági rendszer, például egy IPS webbiztonsági átjárója által azonosított fenyegetés kategóriája, amely ehhez a hálózati munkamenethez van társítva. |
| VeszélyAzonosító | húr | Egy biztonsági rendszer, például egy IPS webbiztonsági átjárója által azonosított és ehhez a hálózati munkamenethez társított fenyegetés azonosítója. |
| FenyegetésNév | húr | Az azonosított fenyegetés vagy kártevő neve. |
| Generált időpont | dátum/idő | Az esemény bekövetkezésének időpontja a jelentéskészítési forrás által jelentett módon. |
| Típus | húr | A tábla neve |
| URL-kategória | húr | Az URL-címek előre meghatározott csoportosítása (vagy lehet csak a tartomány alapján) kapcsolódóan azok jellegére, például felnőtt tartalom, hírek, hirdetések, parkolt tartományok, stb. |
| URL-hosztnév | húr | A HTTP-kérés URL-címének tartományrésze HTTP/HTTPS hálózati munkamenetekhez. |
| UrlOriginal | húr | A HTTP-/HTTPS-hálózati munkamenetek HTTP-kérési URL-címe. |