ASimNetworkSessionLogs
Skema normalisasi sesi jaringan Microsoft Azure Sentinel mewakili aktivitas jaringan IP, seperti koneksi jaringan dan sesi jaringan. Peristiwa tersebut dilaporkan, misalnya, oleh sistem operasi, router, firewall, dan sistem pencegahan intrusi.
Atribut tabel
| Atribut | Nilai |
|---|---|
| Jenis sumber daya | microsoft.securityinsights/networksessionnormalized |
| Kategori | Keamanan |
| Solusi | SecurityInsights |
| Log dasar | Tidak |
| Transformasi waktu penyerapan | Ya |
| Kueri Sampel | - |
Kolom
| Kolom | Jenis | Deskripsi |
|---|---|---|
| AdditionalFields | dinamis | Informasi tambahan, diwakili menggunakan pasangan kunci/nilai yang disediakan oleh sumber yang tidak dipetakan ke ASim. |
| _BilledSize | nyata | Ukuran rekaman dalam byte |
| DstAppId | string | ID aplikasi tujuan, seperti yang dilaporkan oleh perangkat pelapor. |
| DstAppName | string | Nama aplikasi tujuan. |
| DstAppType | string | Tipe aplikasi tujuan. |
| DstBytes | long | Jumlah byte yang dikirim dari tujuan ke sumber untuk sambungan atau sesi. Jika peristiwa diagregasi, DstBytes adalah jumlah dari semua sesi agregat. |
| DstDescription | string | Teks deskriptif yang terkait dengan tujuan. |
| DstDeviceType | string | Jenis perangkat tujuan. |
| DstDomain | string | Domain perangkat tujuan. |
| DstDomainType | string | Jenis DstDomain. |
| DstDvcId | string | ID perangkat tujuan. |
| DstDvcIdType | string | Jenis DstDvcId. |
| DstFQDN | string | Nama host perangkat target, termasuk informasi domain saat tersedia. |
| DstGeoCity | string | Kota yang terkait dengan alamat IP tujuan. |
| DstGeoCountry | string | Negara yang terkait dengan alamat IP tujuan. |
| DstGeoLatitude | nyata | Garis lintang koordinat geografis yang terkait dengan alamat IP tujuan. |
| DstGeoLongitude | nyata | Garis bujur koordinat geografis yang terkait dengan alamat IP tujuan. |
| DstGeoRegion | string | Wilayah, atau negara bagian, dalam negara yang terkait dengan alamat IP tujuan. |
| DstHostname | string | Nama host perangkat tujuan, tidak termasuk informasi domain. |
| DstInterfaceGuid | string | GUID dari antarmuka jaringan yang digunakan pada perangkat tujuan. |
| DstInterfaceName | string | Antarmuka jaringan yang digunakan untuk sambungan atau sesi oleh perangkat tujuan. |
| DstIpAddr | string | Alamat IP koneksi atau tujuan sesi. |
| DstMacAddr | string | Alamat MAC dari antarmuka jaringan yang digunakan untuk koneksi atau sesi oleh perangkat tujuan. |
| DstNatIpAddr | string | DstNatIpAddr mewakili salah satu dari: Alamat asli perangkat tujuan jika terjemahan alamat jaringan digunakan atau alamat IP yang digunakan oleh perangkat perantara untuk komunikasi dengan sumber. |
| DstNatPortNumber | int | Jika dilaporkan oleh perangkat NAT perantara, port yang digunakan oleh perangkat NAT untuk komunikasi dengan sumbernya. |
| DstOriginalUserType | string | Jenis pengguna tujuan asli, jika disediakan oleh sumbernya. |
| DstPackets | long | Jumlah paket yang dikirim dari tujuan ke sumber untuk sambungan atau sesi. Arti dari paket didefinisikan oleh perangkat pelaporan. Jika peristiwa diagregasi, DstPackets adalah jumlah dari semua sesi agregat. |
| DstPortNumber | int | Port IP tujuan. |
| DstSubscriptionId | string | ID langganan platform cloud tempat perangkat tujuan berada. DvcSubscriptionId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| DstUserId | string | Representasi unik, alfanumerik, dan dapat dibaca mesin dari pengguna tujuan. |
| DstUserIdType | string | Jenis ID yang disimpan di bidang DstUserId. |
| DstUsername | string | Nama pengguna Tujuan, termasuk informasi domain bila ada. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia. |
| DstUsernameType | string | Menentukan jenis nama pengguna yang disimpan di bidang DstUsername. |
| DstUserType | string | Jenis pengguna tujuan. |
| DstVlanId | string | ID VLAN yang terkait dengan perangkat tujuan. |
| DstZone | string | Zona jaringan dari tujuan, seperti yang didefinisikan oleh perangkat pelaporan. |
| Dvc | string | Pengidentifikasi unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcAction | string | Tindakan yang diambil pada sesi jaringan. |
| DvcDescription | string | Teks deskriptif yang terkait dengan perangkat. Misalnya: Pengendali Domain Utama. |
| DvcDomain | string | Domain perangkat yang melaporkan peristiwa. |
| DvcDomainType | string | Jenis DvcDomain. Nilai yang mungkin termasuk 'Windows' dan 'FQDN'. |
| DvcFQDN | string | Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcHostname | string | Nama host perangkat yang melaporkan peristiwa. |
| DvcId | string | ID unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcIdType | string | Jenis DvcId. |
| DvcInboundInterface | string | Jika dilaporkan oleh perangkat perantara, antarmuka jaringan digunakan oleh perangkat NAT untuk koneksi ke perangkat sumber. |
| DvcInterface | string | Antarmuka jaringan tempat data diambil. Bidang ini biasanya relevan dengan aktivitas terkait jaringan yang diambil oleh perangkat perantara atau perangkat tap. |
| DvcIpAddr | string | Alamat IP perangkat yang melaporkan peristiwa. |
| DvcMacAddr | string | Alamat MAC perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. Contoh: 00:1B:44:11:3A:B7 |
| DvcOriginalAction | string | DvcAction asli seperti yang disediakan oleh perangkat pelaporan. |
| DvcOs | string | Sistem operasi yang berjalan pada perangkat yang melaporkan peristiwa. |
| DvcOsVersion | string | Versi sistem operasi pada perangkat yang melaporkan peristiwa. |
| DvcOutboundInterface | string | Jika dilaporkan oleh perangkat perantara, antarmuka jaringan digunakan oleh perangkat NAT untuk koneksi ke perangkat tujuan. |
| DvcSubscriptionId | string | ID langganan platform cloud milik perangkat. DvcSubscriptionId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| DvcZone | string | Jaringan tempat peristiwa terjadi atau yang melaporkan peristiwa. Zona ini ditentukan oleh perangkat pelaporan. |
| EventCount | int | Nilai ini digunakan ketika sumber mendukung agregasi, dan satu rekaman dapat mewakili beberapa kejadian. |
| EventEndTime | tanggalwaktu | Waktu saat peristiwa berakhir. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa terakhir dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventMessage | string | Pesan atau deskripsi umum. |
| EventOriginalResultDetails | string | Detail hasil asli disediakan oleh sumber. Nilai ini digunakan untuk memperoleh EventResultDetails, yang seharusnya hanya memiliki satu nilai yang didokumentasikan untuk setiap skema. |
| EventOriginalSeverity | string | Tingkat keparahan asli seperti yang disediakan oleh perangkat pelaporan. Nilai ini digunakan untuk mendapatkan EventSeverity. |
| EventOriginalSubType | string | Subjenis atau ID peristiwa asli, jika disediakan oleh sumbernya. Misalnya, bidang ini akan digunakan untuk menyimpan jenis logon Windows asli. Nilai ini digunakan untuk mendapatkan EventSubType, yang seharusnya hanya memiliki salah satu nilai yang didokumentasikan untuk setiap skema. |
| EventOriginalType | string | Jenis acara asli atau ID, jika disediakan oleh sumber. |
| EventOriginalUid | string | ID unik dari rekaman asli, jika disediakan oleh sumbernya. |
| EventProduct | string | Produk yang menghasilkan peristiwa. |
| EventProductVersion | string | Versi produk yang menghasilkan peristiwa. |
| EventReportUrl | string | URL yang disediakan dalam peristiwa untuk sumber daya yang memberikan informasi lebih lanjut tentang peristiwa tersebut. |
| EventResult | string | Hasil peristiwa, diwakili oleh salah satu nilai berikut: Sukses, Parsial, Kegagalan, NA (Tidak Berlaku). Nilai mungkin tidak disediakan langsung oleh sumber, dalam hal ini berasal dari bidang peristiwa lain, misalnya, bidang EventResultDetails. |
| EventResultDetails | string | Alasan atau detail hasil yang dilaporkan di EventResult. |
| EventSchemaVersion | string | Versi skema. |
| EventSeverity | string | Tingkat keparahan peristiwa. Nilai yang valid adalah: Informasi, Rendah, Sedang, atau Tinggi. |
| EventStartTime | tanggalwaktu | Waktu saat peristiwa dimulai. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa pertama dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventSubType | string | Deskripsi tambahan tentang jenis peristiwa, jika berlaku. |
| EventType | string | Operasi yang dilaporkan oleh rekaman. |
| EventVendor | string | Vendor dari produk yang menghasilkan peristiwa. |
| _IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable penyerapan false tidak ditagih ke akun Azure Anda |
| NetworkApplicationProtocol | string | Protokol lapisan aplikasi yang digunakan oleh sambungan atau sesi. |
| NetworkBytes | long | Jumlah byte yang dikirim ke kedua arah. Jika baik BytesReceived dan BytesSent sudah ada, BytesTotal harus sama dengan jumlahnya. Jika peristiwa diagregasi, NetworkBytes adalah jumlah dari semua sesi agregat. |
| NetworkConnectionHistory | string | Bendera TCP dan informasi header IP potensial lainnya. |
| NetworkDirection | string | Arah koneksi atau sesi. |
| NetworkDuration | int | Jumlah waktu, dalam milidetik, untuk penyelesaian sesi jaringan atau sambungan. |
| NetworkIcmpCode | int | Untuk pesan ICMP, nilai numerik jenis pesan ICMP seperti yang dijelaskan dalam RFC 2780 untuk koneksi jaringan IPv4, atau dalam RFC 4443 untuk koneksi jaringan IPv6. |
| NetworkIcmpType | string | Untuk pesan ICMP, representasi teks jenis pesan ICMP, seperti yang dijelaskan dalam RFC 2780 untuk koneksi jaringan IPv4, atau di RFC 4443 untuk koneksi jaringan IPv6. |
| NetworkPackets | long | Jumlah paket yang dikirim ke kedua arah. Jika baik PacketsReceived dan PacketsSent sudah ada, BytesTotal harus sama dengan jumlah total keduanya. Arti dari paket didefinisikan oleh perangkat pelaporan. Jika peristiwa diagregasi, NetworkPackets adalah jumlah dari semua sesi agregat. |
| NetworkProtocol | string | Protokol IP yang digunakan oleh koneksi atau sesi seperti yang tercantum dalam penetapan protokol IANA, yang biasanya TCP, UDP, atau ICMP. |
| NetworkProtocolVersion | string | Versi NetworkProtocol. |
| NetworkRuleName | string | Nama atau ID aturan yang digunakan untuk memutuskan DvcAction. |
| NetworkRuleNumber | int | Jumlah aturan yang digunakan untuk memutuskan DvcAction. |
| NetworkSessionId | string | Pengidentifikasi sesi seperti yang dilaporkan oleh perangkat pelaporan. |
| _ResourceId | string | Pengidentifikasi unik untuk sumber daya yang terkait dengan rekaman |
| SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik koneksi langsung atau Manajer Operasi, Linux untuk semua agen Linux, atau Azure untuk Diagnostik Azure |
| SrcAppId | string | ID aplikasi sumber, seperti yang dilaporkan oleh perangkat pelapor. |
| SrcAppName | string | Nama aplikasi sumber. |
| SrcAppType | string | Jenis aplikasi sumber. |
| SrcBytes | long | Jumlah byte yang dikirim dari sumber ke tujuan untuk sambungan atau sesi. Jika peristiwa diagregasi, SrcBytes adalah jumlah dari semua sesi agregat. |
| SrcDescription | string | Teks deskriptif yang terkait dengan sumbernya. |
| SrcDeviceType | string | Jenis perangkat sumber |
| SrcDomain | string | Domain perangkat sumber. |
| SrcDomainType | string | Jenis SrcDomain. |
| SrcDvcId | string | ID perangkat sumber. |
| SrcDvcIdType | string | Jenis SrcDvcId. |
| SrcFQDN | string | Nama host perangkat sumber, termasuk informasi domain saat tersedia. |
| SrcGeoCity | string | Kota yang terkait dengan alamat IP sumber. |
| SrcGeoCountry | string | Negara yang terkait dengan alamat IP sumber. |
| SrcGeoLatitude | nyata | Garis lintang koordinat geografis yang terkait dengan alamat IP sumber. |
| SrcGeoLongitude | nyata | Garis bujur koordinat geografis yang terkait dengan alamat IP sumber. |
| SrcGeoRegion | string | Wilayah dalam negara yang terkait dengan alamat IP sumber. |
| SrcHostname | string | Nama host perangkat sumber, tidak termasuk informasi domain. Jika tidak ada nama perangkat yang tersedia, dapat menyimpan alamat IP yang relevan. |
| SrcInterfaceGuid | string | GUID antarmuka jaringan yang digunakan pada perangkat sumber. |
| SrcInterfaceName | string | Antarmuka jaringan yang digunakan untuk sambungan atau sesi oleh perangkat sumber. |
| SrcIpAddr | string | Alamat IP tempat koneksi atau sesi berasal. |
| SrcMacAddr | string | Alamat MAC antarmuka jaringan dari mana koneksi atau sesi berasal. |
| SrcNatIpAddr | string | SrcNatIpAddr mewakili salah satu dari: Alamat asli perangkat sumber jika terjemahan alamat jaringan digunakan atau alamat IP yang digunakan oleh perangkat perantara untuk komunikasi dengan tujuan. |
| SrcNatPortNumber | int | Jika dilaporkan oleh perangkat NAT perantara, port yang digunakan oleh perangkat NAT untuk komunikasi dengan tujuan. |
| SrcOriginalUserType | string | Jenis pengguna tujuan asli, jika disediakan oleh perangkat pelaporan. |
| SrcPackets | long | Jumlah paket yang dikirim dari sumber ke tujuan untuk sambungan atau sesi. Arti dari paket didefinisikan oleh perangkat pelaporan. Jika peristiwa diagregasi, SrcPackets adalah jumlah dari semua sesi agregat. |
| SrcPortNumber | int | Port IP tempat sambungan berasal. Mungkin tidak relevan untuk sesi yang terdiri dari beberapa sambungan. |
| SrcSubscriptionId | string | ID langganan platform cloud milik perangkat sumber. DvcSubscriptionId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcUserId | string | Representasi unik, alfanumerik, dan dapat dibaca komputer dari pengguna sumber. |
| SrcUserIdType | string | Jenis ID yang disimpan pada bidang ActorUserId. |
| SrcUsername | string | Nama pengguna Sumber, termasuk informasi domain jika tersedia. |
| SrcUsernameType | string | Menentukan jenis nama pengguna yang disimpan di bidang TargetUsername. |
| SrcUserType | string | Jenis pengguna sumber. |
| SrcVlanId | string | ID VLAN yang terkait dengan perangkat sumber. |
| SrcZone | string | Zona jaringan dari sumber, seperti yang didefinisikan oleh perangkat pelaporan. |
| _SubscriptionId | string | Pengidentifikasi unik untuk langganan yang dikaitkan dengan catatan |
| TcpFlagsAck | bool | Bendera ACK TCP dilaporkan. Bendera konfirmasi digunakan untuk mengonfirmasi penerimaan paket yang berhasil. Seperti yang dapat kita lihat dari diagram di atas, penerima mengirim ACK serta SYN pada langkah kedua dari proses jabat tangan tiga arah untuk memberi tahu pengirim bahwa ia menerima paket awalnya. |
| TcpFlagsFin | bool | Bendera FIN TCP dilaporkan. Bendera selesai berarti tidak ada lagi data dari pengirim. Oleh karena itu, bendera ini digunakan dalam paket terakhir yang dikirim dari pengirim. |
| TcpFlagsPsh | bool | Bendera TCP PSH dilaporkan. Bendera push agak mirip dengan bendera URG dan memberi tahu penerima untuk memproses paket ini saat diterima alih-alih buffering. |
| TcpFlagsRst | bool | Bendera RST TCP dilaporkan. Bendera reset dikirim dari penerima ke pengirim ketika paket dikirim ke host tertentu yang tidak mengharapkannya. |
| TcpFlagsSyn | bool | Bendera TCP SYN dilaporkan. Bendera sinkronisasi digunakan sebagai langkah pertama dalam membuat jabat tangan tiga arah antara dua host. Hanya paket pertama dari pengirim dan penerima yang boleh mengatur bendera ini. |
| TcpFlagsUrg | bool | Bendera URG TCP dilaporkan. Bendera mendesak digunakan untuk memberi tahu penerima guna memproses paket mendesak sebelum memproses semua paket lainnya. Penerima akan diberi tahu ketika semua data mendesak yang diketahui telah diterima. Lihat RFC 6093 untuk mengetahui detail selengkapnya. |
| TenantId | string | ID ruang kerja Analitik Log |
| ThreatCategory | string | Kategori ancaman atau malware yang diidentifikasi dalam sesi jaringan. |
| ThreatConfidence | int | Tingkat keyakinan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
| ThreatField | string | Bidang yang ancamannya diidentifikasi. Nilainya adalah SrcIpAddr, DstIpAddr, Domain, atau DnsResponseName. |
| ThreatFirstReportedTime | datetime | Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatId | string | ID ancaman atau malware yang diidentifikasi dalam sesi jaringan. |
| ThreatIpAddr | string | Alamat IP yang ancamannya diidentifikasi. Bidang ThreatField berisi nama bidang yang diwakili ThreatIpAddr. |
| ThreatIsActive | bool | True ID ancaman yang diidentifikasi dianggap sebagai ancaman aktif. |
| ThreatLastReportedTime | datetime | Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatName | string | Nama ancaman atau malware yang diidentifikasi dalam sesi jaringan. |
| ThreatOriginalConfidence | string | Tingkat keyakinan asli ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatOriginalRiskLevel | string | Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatRiskLevel | int | Tingkat risiko yang terkait dengan sesi. Tingkatnya adalah angka antara 0 hingga 100. |
| TimeGenerated | tanggalwaktu | Tanda waktu (UTC) yang mencerminkan waktu di mana peristiwa dihasilkan. |
| Jenis | string | Nama tabel |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk