ASimWebSessionLogs
Skema normalisasi Sesi Web Model Informasi Keamanan Tingkat Lanjut (ASIM) - menjelaskan aktivitas jaringan IP. Misalnya, aktivitas jaringan IP dilaporkan oleh server web, web proksi, dan gateway keamanan web.
Atribut tabel
| Atribut | Nilai |
|---|---|
| Jenis sumber daya | microsoft.securityinsights/websessionlogs |
| Kategori | Keamanan |
| Solusi | SecurityInsights |
| Log dasar | Tidak |
| Transformasi waktu penyerapan | Ya |
| Kueri Sampel | - |
Kolom
| Kolom | Jenis | Deskripsi |
|---|---|---|
| AdditionalFields | dinamis | Informasi tambahan, diwakili menggunakan pasangan kunci/nilai yang disediakan oleh sumber yang tidak dipetakan ke ASim. |
| _BilledSize | nyata | Ukuran rekaman dalam byte |
| DstAppId | string | ID aplikasi tujuan, seperti yang dilaporkan oleh perangkat pelapor. |
| DstAppName | string | Nama aplikasi tujuan. |
| DstAppType | string | Tipe aplikasi tujuan. |
| DstBytes | long | Jumlah byte yang dikirim dari tujuan ke sumber untuk sambungan atau sesi. Jika peristiwa diagregasi, DstBytes adalah jumlah dari semua sesi agregat. |
| DstDeviceType | string | Jenis perangkat tujuan. |
| DstDomain | string | Domain perangkat tujuan. |
| DstDomainType | string | Jenis DstDomain. |
| DstDvcId | string | ID perangkat tujuan. |
| DstDvcIdType | string | Jenis DstDvcId. |
| DstDvcScope | string | Platform cloud mencakup perangkat tujuan miliknya. DvcScope memetakan ke langganan di Azure dan ke akun di AWS. |
| DstDvcScopeId | string | ID cakupan platform cloud milik perangkat tujuan. DvcScopeId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| DstFQDN | string | Nama host perangkat target, termasuk informasi domain saat tersedia. |
| DstGeoCity | string | Kota yang terkait dengan alamat IP tujuan. |
| DstGeoCountry | string | Negara yang terkait dengan alamat IP tujuan. |
| DstGeoLatitude | nyata | Garis lintang koordinat geografis yang terkait dengan alamat IP tujuan. |
| DstGeoLongitude | nyata | Garis bujur koordinat geografis yang terkait dengan alamat IP tujuan. |
| DstGeoRegion | string | Wilayah, atau negara bagian, dalam negara yang terkait dengan alamat IP tujuan. |
| DstHostname | string | Nama host perangkat tujuan, tidak termasuk informasi domain. |
| DstIpAddr | string | Alamat IP koneksi atau tujuan sesi. |
| DstMacAddr | string | Alamat MAC dari antarmuka jaringan yang digunakan untuk koneksi atau sesi oleh perangkat tujuan. |
| DstNatIpAddr | string | DstNatIpAddr mewakili salah satu dari: Alamat asli perangkat tujuan jika terjemahan alamat jaringan digunakan atau alamat IP yang digunakan oleh perangkat perantara untuk komunikasi dengan sumber. |
| DstNatPortNumber | int | Jika dilaporkan oleh perangkat NAT perantara, port yang digunakan oleh perangkat NAT untuk komunikasi dengan sumbernya. |
| DstOriginalUserType | string | Jenis pengguna tujuan asli, jika disediakan oleh sumbernya. |
| DstPackets | long | Jumlah paket yang dikirim dari tujuan ke sumber untuk sambungan atau sesi. Arti dari paket didefinisikan oleh perangkat pelaporan. Jika peristiwa diagregasi, DstPackets adalah jumlah dari semua sesi agregat. |
| DstPortNumber | int | Port IP tujuan. |
| DstUserId | string | Representasi unik, alfanumerik, dan dapat dibaca mesin dari pengguna tujuan. |
| DstUserIdType | string | Jenis ID yang disimpan di bidang DstUserId. |
| DstUsername | string | Nama pengguna Tujuan, termasuk informasi domain bila ada. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia. |
| DstUsernameType | string | Menentukan jenis nama pengguna yang disimpan di bidang DstUsername. |
| DstUserType | string | Jenis pengguna tujuan. |
| Dvc | string | Pengidentifikasi unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcAction | string | Tindakan yang diambil pada sesi web. |
| DvcDomain | string | Domain perangkat yang melaporkan peristiwa. |
| DvcDomainType | string | Jenis DvcDomain. Nilai yang mungkin termasuk 'Windows' dan 'FQDN'. |
| DvcFQDN | string | Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcHostname | string | Nama host perangkat yang melaporkan peristiwa. |
| DvcId | string | ID unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcIdType | string | Jenis DvcId. |
| DvcIpAddr | string | Alamat IP perangkat yang melaporkan peristiwa. |
| DvcOriginalAction | string | DvcAction asli seperti yang disediakan oleh perangkat pelaporan. |
| EventCount | int | Nilai ini digunakan ketika sumber mendukung agregasi, dan satu rekaman dapat mewakili beberapa kejadian. |
| EventEndTime | tanggalwaktu | Waktu saat peristiwa berakhir. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa terakhir dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventMessage | string | Pesan atau deskripsi umum. |
| EventOriginalResultDetails | string | Detail hasil asli disediakan oleh sumber. Nilai ini digunakan untuk memperoleh EventResultDetails, yang seharusnya hanya memiliki satu nilai yang didokumentasikan untuk setiap skema. |
| EventOriginalSeverity | string | Tingkat keparahan asli seperti yang disediakan oleh perangkat pelaporan. Nilai ini digunakan untuk mendapatkan EventSeverity. |
| EventOriginalSubType | string | Subjenis atau ID peristiwa asli, jika disediakan oleh sumbernya. Misalnya, bidang ini akan digunakan untuk menyimpan jenis logon Windows asli. Nilai ini digunakan untuk mendapatkan EventSubType, yang seharusnya hanya memiliki salah satu nilai yang didokumentasikan untuk setiap skema. |
| EventOriginalType | string | Jenis acara asli atau ID, jika disediakan oleh sumber. |
| EventOriginalUid | string | ID unik dari rekaman asli, jika disediakan oleh sumbernya. |
| EventOwner | string | Pemilik acara, yang biasanya merupakan departemen atau anak perusahaan tempatnya dihasilkan. |
| EventProduct | string | Produk yang menghasilkan peristiwa. |
| EventProductVersion | string | Versi produk yang menghasilkan peristiwa. |
| EventReportUrl | string | URL yang disediakan dalam peristiwa untuk sumber daya yang memberikan informasi lebih lanjut tentang peristiwa tersebut. |
| EventResult | string | Hasil peristiwa, diwakili oleh salah satu nilai berikut: Sukses, Parsial, Kegagalan, NA (Tidak Berlaku). Nilai mungkin tidak disediakan langsung oleh sumber, dalam hal ini berasal dari bidang peristiwa lain, misalnya, bidang EventResultDetails. |
| EventResultDetails | string | Kode status HTTP. |
| EventSchemaVersion | string | Versi skema. |
| EventSeverity | string | Tingkat keparahan peristiwa. Nilai yang valid adalah: Informasi, Rendah, Sedang, atau Tinggi. |
| EventStartTime | tanggalwaktu | Waktu saat peristiwa dimulai. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa pertama dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventSubType | string | Deskripsi tambahan tentang jenis peristiwa, jika berlaku. |
| EventType | string | Operasi yang dilaporkan oleh rekaman. |
| EventVendor | string | Vendor dari produk yang menghasilkan peristiwa. |
| FileContentType | string | Untuk upload HTTP, jenis konten file yang diunggah. |
| FileMD5 | string | Untuk unggahan HTTP, hash MD5 dari file yang diunggah. |
| FileName | string | Untuk unggahan HTTP, nama file yang diunggah. |
| FileSHA1 | string | Untuk unggahan HTTP, hash SHA1 dari file yang diunggah. |
| FileSHA256 | string | Untuk unggahan HTTP, hash SHA256 dari file yang diunggah. |
| FileSHA512 | string | Untuk unggahan HTTP, hash SHA512 dari file yang diunggah. |
| FileSize | int | Untuk upload HTTP, ukuran dalam byte file yang diunggah. |
| HttpContentFormat | string | Bagian format konten HttpContentType |
| HttpContentType | string | Header jenis konten Respons HTTP. |
| HttpHost | string | Server web virtual yang ditargetkan permintaan HTTP. |
| HttpReferrer | string | Header referen HTTP. |
| HttpRequestMethod | string | Metode HTTP. |
| HttpRequestTime | int | Jumlah waktu, dalam milidetik, yang diperlukan untuk mengirim permintaan ke server. |
| HttpRequestXff | string | Header HTTP X-Forwarded-For. |
| HttpResponseTime | int | Jumlah waktu, dalam milidetik, yang diperlukan untuk menerima respons di server. |
| HttpUserAgent | string | Header agen pengguna HTTP. |
| HttpVersion | string | Versi Permintaan HTTP. |
| _IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable penyerapan false tidak ditagih ke akun Azure Anda |
| NetworkApplicationProtocol | string | Protokol lapisan aplikasi yang digunakan oleh sambungan atau sesi. |
| NetworkBytes | long | Jumlah byte yang dikirim ke kedua arah. Jika baik BytesReceived dan BytesSent sudah ada, BytesTotal harus sama dengan jumlahnya. Jika peristiwa diagregasi, NetworkBytes adalah jumlah dari semua sesi agregat. |
| NetworkConnectionHistory | string | Bendera TCP dan informasi header IP potensial lainnya. |
| NetworkDirection | string | Arah koneksi atau sesi. |
| NetworkDuration | int | Jumlah waktu, dalam milidetik, untuk penyelesaian sesi web atau koneksi. |
| NetworkIcmpCode | int | Untuk pesan ICMP, nilai numerik jenis pesan ICMP seperti yang dijelaskan dalam RFC 2780 untuk koneksi jaringan IPv4, atau dalam RFC 4443 untuk koneksi jaringan IPv6. |
| NetworkIcmpType | string | Untuk pesan ICMP, representasi teks jenis pesan ICMP, seperti yang dijelaskan dalam RFC 2780 untuk koneksi jaringan IPv4, atau di RFC 4443 untuk koneksi jaringan IPv6. |
| NetworkPackets | long | Jumlah paket yang dikirim ke kedua arah. Jika baik PacketsReceived dan PacketsSent sudah ada, BytesTotal harus sama dengan jumlah total keduanya. Arti dari paket didefinisikan oleh perangkat pelaporan. Jika peristiwa diagregasi, NetworkPackets adalah jumlah dari semua sesi agregat. |
| NetworkProtocol | string | Protokol IP yang digunakan oleh koneksi atau sesi seperti yang tercantum dalam penetapan protokol IANA, yang biasanya TCP, UDP, atau ICMP. |
| NetworkProtocolVersion | string | Versi NetworkProtocol. |
| NetworkSessionId | string | Pengidentifikasi sesi seperti yang dilaporkan oleh perangkat pelaporan. |
| _ResourceId | string | Pengidentifikasi unik untuk sumber daya yang terkait dengan rekaman |
| Aturan | string | NetworkRuleName atau NetworkRuleNumber |
| RuleName | string | Nama atau ID aturan yang digunakan untuk memutuskan DvcAction. Contoh: AnyAnyDrop |
| RuleNumber | int | Jumlah aturan yang digunakan untuk memutuskan DvcAction. Contoh: 23 |
| SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik koneksi langsung atau Manajer Operasi, Linux untuk semua agen Linux, atau Azure untuk Diagnostik Azure |
| SrcAppId | string | ID aplikasi sumber, seperti yang dilaporkan oleh perangkat pelapor. |
| SrcAppName | string | Nama aplikasi sumber. |
| SrcAppType | string | Jenis aplikasi sumber. |
| SrcBytes | long | Jumlah byte yang dikirim dari sumber ke tujuan untuk sambungan atau sesi. Jika peristiwa diagregasi, SrcBytes adalah jumlah dari semua sesi agregat. |
| SrcDeviceType | string | Jenis perangkat sumber |
| SrcDomain | string | Domain perangkat sumber. |
| SrcDomainType | string | Jenis SrcDomain. |
| SrcDvcId | string | ID perangkat sumber. |
| SrcDvcIdType | string | Jenis SrcDvcId. |
| SrcDvcScope | string | Lingkup platform cloud milik perangkat sumber. DvcScope memetakan ke langganan di Azure dan ke akun di AWS. |
| SrcDvcScopeId | string | ID cakupan platform cloud milik perangkat sumber. Peta DvcScopeId ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcFQDN | string | Nama host perangkat sumber, termasuk informasi domain saat tersedia. |
| SrcGeoCity | string | Kota yang terkait dengan alamat IP sumber. |
| SrcGeoCountry | string | Negara yang terkait dengan alamat IP sumber. |
| SrcGeoLatitude | nyata | Garis lintang koordinat geografis yang terkait dengan alamat IP sumber. |
| SrcGeoLongitude | nyata | Garis bujur koordinat geografis yang terkait dengan alamat IP sumber. |
| SrcGeoRegion | string | Wilayah dalam negara yang terkait dengan alamat IP sumber. |
| SrcHostname | string | Nama host perangkat sumber, tidak termasuk informasi domain. Jika tidak ada nama perangkat yang tersedia, dapat menyimpan alamat IP yang relevan. |
| SrcIpAddr | string | Alamat IP tempat koneksi atau sesi berasal. |
| SrcMacAddr | string | Alamat MAC antarmuka jaringan dari mana koneksi atau sesi berasal. |
| SrcNatIpAddr | string | SrcNatIpAddr mewakili salah satu dari: Alamat asli perangkat sumber jika terjemahan alamat jaringan digunakan atau alamat IP yang digunakan oleh perangkat perantara untuk komunikasi dengan tujuan. |
| SrcNatPortNumber | int | Jika dilaporkan oleh perangkat NAT perantara, port yang digunakan oleh perangkat NAT untuk komunikasi dengan tujuan. |
| SrcOriginalUserType | string | Jenis pengguna tujuan asli, jika disediakan oleh perangkat pelaporan. |
| SrcPackets | long | Jumlah paket yang dikirim dari sumber ke tujuan untuk sambungan atau sesi. Arti dari paket didefinisikan oleh perangkat pelaporan. Jika peristiwa diagregasi, SrcPackets adalah jumlah dari semua sesi agregat. |
| SrcPortNumber | int | Port IP tempat sambungan berasal. Mungkin tidak relevan untuk sesi yang terdiri dari beberapa sambungan. |
| SrcProcessGuid | string | Pengidentifikasi unik (GUID) yang dihasilkan dari proses sumber. |
| SrcProcessId | string | ID proses (PID) dari proses sumber. |
| SrcProcessName | string | Nama proses sumber. |
| SrcUserId | string | Representasi unik, alfanumerik, dan dapat dibaca komputer dari pengguna sumber. |
| SrcUserIdType | string | Jenis ID yang disimpan pada bidang ActorUserId. |
| SrcUsername | string | Nama pengguna Sumber, termasuk informasi domain jika tersedia. |
| SrcUsernameType | string | Menentukan jenis nama pengguna yang disimpan di bidang TargetUsername. |
| SrcUserScope | string | Cakupan, seperti penyewa Azure AD, di mana SrcUserId dan SrcUsername ditentukan. |
| SrcUserScopeId | string | ID cakupan, seperti penyewa Azure AD, di mana SrcUserId dan SrcUsername ditentukan. |
| SrcUserType | string | Jenis pengguna sumber. |
| _SubscriptionId | string | Pengidentifikasi unik untuk langganan yang dikaitkan dengan catatan |
| TenantId | string | ID ruang kerja Analitik Log |
| ThreatCategory | string | Kategori ancaman atau malware yang diidentifikasi dalam sesi web. |
| ThreatConfidence | int | Tingkat keyakinan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
| ThreatField | string | Bidang yang ancamannya diidentifikasi. Nilainya adalah SrcIpAddr, DstIpAddr, Domain, atau DnsResponseName. |
| ThreatFirstReportedTime | datetime | Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatId | string | ID ancaman atau malware yang diidentifikasi dalam sesi web. |
| ThreatIpAddr | string | Alamat IP yang ancamannya diidentifikasi. Bidang ThreatField berisi nama bidang yang diwakili ThreatIpAddr. |
| ThreatIsActive | bool | True ID ancaman yang diidentifikasi dianggap sebagai ancaman aktif. |
| ThreatLastReportedTime | datetime | Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatName | string | Nama ancaman atau malware yang diidentifikasi dalam sesi web. |
| ThreatOriginalConfidence | string | Tingkat keyakinan asli ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatOriginalRiskLevel | string | Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatRiskLevel | int | Tingkat risiko yang terkait dengan sesi. Tingkatnya adalah angka antara 0 hingga 100. |
| TimeGenerated | tanggalwaktu | Tanda waktu (UTC) yang mencerminkan waktu di mana peristiwa dihasilkan. |
| Jenis | string | Nama tabel |
| Url | string | URL permintaan HTTP lengkap, termasuk parameter. |
| UrlCategory | string | Pengelompokan URL yang ditentukan atau bagian domain dari URL. |
| UrlOriginal | string | Nilai asli URL, saat URL diubah oleh perangkat pelaporan dan kedua nilai diberikan. |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk