ASimNetworkSessionLogs
Lo schema di normalizzazione della sessione di rete di Microsoft Sentinel rappresenta un'attività di rete IP, ad esempio connessioni di rete e sessioni di rete. Tali eventi vengono segnalati, ad esempio, da sistemi operativi, router, firewall e sistemi di prevenzione delle intrusioni.
Attributi di tabella
Attributo | Valore |
---|---|
Tipi di risorsa | microsoft.securityinsights/networksessionnormalized |
Categorie | Sicurezza |
Soluzioni | SecurityInsights |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | - |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
Campi aggiuntivi | dinamico | Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non eseguono il mapping a ASim. |
_BilledSize | real | Dimensioni del record in byte |
DstAppId | string | ID dell'applicazione di destinazione, come indicato dal dispositivo di report. |
DstAppName | string | Nome dell'applicazione di destinazione. |
DstAppType | string | Tipo dell'applicazione di destinazione. |
DstBytes | long | Numero di byte inviati dalla destinazione all'origine per la connessione o la sessione. Se l'evento è aggregato, DstBytes corrisponde alla somma di tutte le sessioni aggregate. |
DstDescription | string | Testo descrittivo associato alla destinazione. |
DstDeviceType | string | Tipo del dispositivo di destinazione. |
DstDomain | string | Dominio del dispositivo di destinazione. |
DstDomainType | string | Tipo di DstDomain. |
DstDvcId | string | ID del dispositivo di destinazione. |
DstDvcIdType | string | Tipo di DstDvcId. |
DstFQDN | string | Nome host del dispositivo di destinazione, incluse le informazioni sul dominio, se disponibili. |
DstGeoCity | string | Città associata all'indirizzo IP di destinazione. |
DstGeoCountry | string | Paese associato all'indirizzo IP di destinazione. |
DstGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
DstGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
DstGeoRegion | string | Area, o stato, all'interno di un paese associato all'indirizzo IP di destinazione. |
DstHostname | string | Nome host del dispositivo di destinazione, escluse le informazioni sul dominio. |
DstInterfaceGuid | string | GUID dell'interfaccia di rete usata nel dispositivo di destinazione. |
DstInterfaceName | string | Interfaccia di rete utilizzata per la connessione o la sessione dal dispositivo di destinazione. |
DstIpAddr | string | Indirizzo IP della connessione o della destinazione della sessione. |
DstMacAddr | string | Indirizzo MAC dell'interfaccia di rete utilizzata per la connessione o la sessione dal dispositivo di destinazione. |
DstNatIpAddr | string | DstNatIpAddr rappresenta uno dei seguenti: l'indirizzo originale del dispositivo di destinazione se è stata usata la conversione degli indirizzi di rete o l'indirizzo IP utilizzato dal dispositivo intermedio per la comunicazione con l'origine. |
DstNatPortNumber | INT | Se segnalato da un dispositivo NAT intermedio, la porta usata dal dispositivo NAT per la comunicazione con l'origine. |
DstOriginalUserType | string | Tipo di utente di destinazione originale, se fornito dall'origine. |
DstPackets | long | Numero di pacchetti inviati dalla destinazione all'origine per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. Se l'evento viene aggregato, DstPackets è la somma su tutte le sessioni aggregate. |
DstPortNumber | INT | Porta IP di destinazione. |
DstSubscriptionId | string | L'ID sottoscrizione della piattaforma cloud appartiene al dispositivo di destinazione. DstSubscriptionId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
DstUserId | string | Rappresentazione univoca, leggibile dal computer, alfanumerica e univoca dell'utente di destinazione. |
DstUserIdType | string | Tipo dell'ID archiviato nel campo DstUserId. |
DstUsername | string | Nome utente di destinazione, incluse le informazioni di dominio quando disponibili. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. |
DstUsernameType | string | Specifica il tipo del nome utente archiviato nel campo DstUsername. |
DstUserType | string | Tipo di utente di destinazione. |
DstVlanId | string | ID VLAN correlato al dispositivo di destinazione. |
DstZone | string | Zona di rete della destinazione, come definito dal dispositivo di report. |
Dvc | string | Identificatore univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcAction | string | Azione eseguita nella sessione di rete. |
DvcDescription | string | Testo descrittivo associato al dispositivo. Ad esempio: Controller di dominio primario. |
DvcDomain | string | Dominio del dispositivo che segnala l'evento. |
DvcDomainType | string | Tipo di DvcDomain. I valori possibili includono 'Windows' e 'FQDN'. |
DvcFQDN | string | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcHostname | string | Nome host del dispositivo che segnala l'evento. |
DvcId | string | ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcIdType | string | Tipo di DvcId. |
DvcInboundInterface | string | Se segnalato da un dispositivo intermedio, l'interfaccia di rete usata dal dispositivo NAT per la connessione al dispositivo di origine. |
DvcInterface | string | Interfaccia di rete in cui sono stati acquisiti i dati. Questo campo è in genere rilevante per l'attività correlata alla rete che viene acquisita da un dispositivo intermedio o toccato. |
DvcIpAddr | string | Indirizzo IP del dispositivo che segnala l'evento. |
DvcMacAddr | string | Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. Esempio: 00:1B:44:11:3A:B7 |
DvcOriginalAction | string | DvcAction originale, come fornito dal dispositivo di report. |
DvcOs | string | Il sistema operativo in esecuzione nel dispositivo segnala l'evento. |
DvcOsVersion | string | Versione del sistema operativo nel dispositivo che segnala l'evento. |
DvcOutboundInterface | string | Se segnalato da un dispositivo intermedio, l'interfaccia di rete usata dal dispositivo NAT per la connessione al dispositivo di destinazione. |
DvcSubscriptionId | string | ID sottoscrizione della piattaforma cloud a cui appartiene il dispositivo. DvcSubscriptionId mappa a un ID sottoscrizione in Azure e a un ID account in AWS. |
DvcZone | string | Rete in cui si è verificato l'evento o che ha segnalato l'evento. La zona è definita dal dispositivo di report. |
EventCount | INT | Questo valore viene usato quando l'origine supporta l'aggregazione e un singolo record può rappresentare più eventi. |
EventEndTime | Datetime | Ora in cui l'evento è terminato. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
EventMessage | string | Messaggio generale o descrizione. |
EventOriginalResultDetails | string | I dettagli dei risultati originali forniti dall'origine. Questo valore viene usato per derivare EventResultDetails, che deve avere solo uno dei valori documentati per ogni schema. |
EventOriginalSeverity | string | Gravità originale, come fornito dal dispositivo di report. Questo valore viene usato per derivare EventSeverity. |
EventOriginalSubType | string | Sottotipo o ID dell'evento originale, se fornito dall'origine. Ad esempio, questo campo verrà usato per archiviare il tipo di accesso di Windows originale. Questo valore viene usato per derivare EventSubType, che deve avere solo uno dei valori documentati per ogni schema. |
EventOriginalType | string | Tipo di evento o ID originale, se fornito dall'origine. |
EventOriginalUid | string | ID univoco del record originale, se fornito dall'origine. |
EventProduct | string | Prodotto che genera l'evento. |
EventProductVersion | string | Versione del prodotto che genera l'evento. |
EventReportUrl | string | URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
EventResult | string | Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicabile). Il valore potrebbe non essere fornito direttamente dalle origini, nel qual caso deriva da altri campi eventi, ad esempio il campo EventResultDetails. |
EventResultDetails | string | Motivo o dettagli per il risultato segnalato nel campo EventResult. |
EventSchemaVersion | string | La versione dello schema. |
EventSeverity | string | Gravità dell'evento. I valori validi sono: Informational, Low, Medium o High. |
EventStartTime | Datetime | Ora in cui è stato avviato l'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
EventSubType | string | Descrizione aggiuntiva del tipo di evento, se applicabile. |
EventType | string | Operazione segnalata dal record. |
EventVendor | string | Fornitore del prodotto che genera l'evento. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
NetworkApplicationProtocol | string | Protocollo del livello applicazione usato dalla connessione o dalla sessione. |
NetworkBytes | long | Numero di byte inviati in entrambe le direzioni. Se esistono sia ByteReceived che ByteSent, BytesTotal deve essere uguale alla somma. Se l'evento viene aggregato, NetworkBytes è la somma su tutte le sessioni aggregate. |
NetworkConnectionHistory | string | Flag TCP e altre informazioni di intestazione IP potenziali. |
NetworkDirection | string | Direzione della connessione o della sessione. |
NetworkDuration | INT | Tempo, in millisecondi, per il completamento della sessione di rete o della connessione. |
NetworkIcmpCode | INT | Per un messaggio ICMP, il valore numerico del tipo di messaggio ICMP, come descritto in RFC 2780 per le connessioni di rete IPv4 o in RFC 4443 per le connessioni di rete IPv6. |
NetworkIcmpType | string | Per un messaggio ICMP, la rappresentazione del tipo di messaggio ICMP, come descritto in RFC 2780 per le connessioni di rete IPv4 o in RFC 4443 per le connessioni di rete IPv6. |
NetworkPackets | long | Numero di pacchetti inviati in entrambe le direzioni. Se esistono entrambi i pacchettiReceived e PacketsSent, BytesTotal deve essere uguale alla somma. Il significato di un pacchetto è definito dal dispositivo di report. Se l'evento viene aggregato, NetworkPackets corrisponde alla somma di tutte le sessioni aggregate. |
NetworkProtocol | string | Il protocollo IP usato dalla connessione o dalla sessione, come indicato nell'assegnazione di protocollo IANA, che è in genere TCP, UDP o ICMP. |
NetworkProtocolVersion | string | Versione di NetworkProtocol. |
NetworkRuleName | string | Nome o ID della regola in base al quale DvcAction è stato deciso. |
NetworkRuleNumber | INT | Numero della regola in base alla quale DvcAction è stato deciso. |
NetworkSessionId | string | Identificatore di sessione come segnalato dal dispositivo di report. |
_ResourceId | string | Identificatore univoco per la risorsa associata al record |
SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
SrcAppId | string | ID dell'applicazione di origine, come segnalato dal dispositivo di report. |
SrcAppName | string | Nome dell'applicazione di origine. |
SrcAppType | string | Tipo dell'applicazione di origine. |
SrcBytes | long | Numero di byte inviati dall'origine alla destinazione per la connessione o la sessione. Se l'evento viene aggregato, SrcBytes è la somma su tutte le sessioni aggregate. |
SrcDescription | string | Testo descrittivo associato all'origine. |
SrcDeviceType | string | Tipo del dispositivo di origine. |
SrcDomain | string | Dominio del dispositivo di origine. |
SrcDomainType | string | Tipo di SrcDomain. |
SrcDvcId | string | ID del dispositivo di origine. |
SrcDvcIdType | string | Tipo di SrcDvcId. |
SrcFQDN | string | Nome host del dispositivo di origine, incluse le informazioni di dominio quando disponibili. |
SrcGeoCity | string | Città associata all'indirizzo IP di origine. |
SrcGeoCountry | string | Paese associato all'indirizzo IP di origine. |
SrcGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
SrcGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
SrcGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di origine. |
SrcHostname | string | Nome host del dispositivo di origine, escluso le informazioni di dominio. Se non è disponibile alcun nome del dispositivo, può archiviare l'indirizzo IP pertinente. |
SrcInterfaceGuid | string | GUID dell'interfaccia di rete usata nel dispositivo di origine. |
SrcInterfaceName | string | Interfaccia di rete usata per la connessione o la sessione dal dispositivo di origine. |
SrcIpAddr | string | Indirizzo IP da cui ha avuto origine la connessione o la sessione. |
SrcMacAddr | string | Indirizzo MAC dell'interfaccia di rete da cui ha avuto origine la connessione o la sessione. |
SrcNatIpAddr | string | SrcNatIpAddr rappresenta uno dei seguenti: indirizzo originale del dispositivo di origine se la traduzione degli indirizzi di rete è stata usata o l'indirizzo IP usato dal dispositivo intermediario per la comunicazione con la destinazione. |
SrcNatPortNumber | INT | Se segnalato da un dispositivo NAT intermedio, la porta utilizzata dal dispositivo NAT per la comunicazione con la destinazione. |
SrcOriginalUserType | string | Tipo di utente di destinazione originale, se fornito dal dispositivo di report. |
SrcPackets | long | Numero di pacchetti inviati dall'origine alla destinazione per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. Se l'evento viene aggregato, SrcPackets è la somma su tutte le sessioni aggregate. |
SrcPortNumber | INT | Porta IP da cui ha avuto origine la connessione. Potrebbe non essere rilevante per una sessione che comprende più connessioni. |
SrcSubscriptionId | string | ID sottoscrizione della piattaforma cloud a cui appartiene il dispositivo di origine. SrcSubscriptionId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
SrcUserId | string | Rappresentazione univoca dell'utente di origine leggibile, alfanumerica e leggibile dal computer. |
SrcUserIdType | string | Tipo di ID archiviato nel campo SrcUserId. |
SrcUsername | string | Nome utente di origine, incluse le informazioni sul dominio quando disponibili. |
SrcUsernameType | string | Specifica il tipo di nome utente archiviato nel campo SrcUsername. |
SrcUserType | string | Tipo dell'utente di origine. |
SrcVlanId | string | ID VLAN correlato al dispositivo di origine. |
SrcZone | string | Zona di rete dell'origine, come definito dal dispositivo di report. |
_Subscriptionid | string | Identificatore univoco per la sottoscrizione a cui è associato il record |
TcpFlagsAck | bool | Flag TCP ACK segnalato. Il flag di riconoscimento viene usato per confermare la ricezione corretta di un pacchetto. Come si può notare dal diagramma precedente, il ricevitore invia un ACK e un SYN nel secondo passaggio del processo di handshake a tre vie per indicare al mittente che ha ricevuto il pacchetto iniziale. |
TcpFlagsFin | bool | Flag TCP FIN segnalato. Il flag completato indica che non sono presenti altri dati dal mittente. Pertanto, viene usato nell'ultimo pacchetto inviato dal mittente. |
TcpFlagsPsh | bool | Flag PSH TCP segnalato. Il flag push è piuttosto simile al flag URG e indica al ricevitore di elaborare questi pacchetti quando vengono ricevuti anziché memorizzarli nel buffer. |
TcpFlagsRst | bool | Flag TCP RST segnalato. Il flag di reimpostazione viene inviato dal destinatario al mittente quando un pacchetto viene inviato a un host specifico che non lo prevede. |
TcpFlagsSyn | bool | Flag TCP SYN segnalato. Il flag di sincronizzazione viene usato come primo passo per stabilire un handshake a tre vie tra due host. Solo il primo pacchetto del mittente e del destinatario deve avere questo flag impostato. |
TcpFlagsUrg | bool | Flag URG TCP segnalato. Il flag urgente viene usato per notificare al ricevitore di elaborare i pacchetti urgenti prima di elaborare tutti gli altri pacchetti. Il ricevitore riceverà una notifica quando sono stati ricevuti tutti i dati urgenti noti. Per altri dettagli, vedere RFC 6093. |
TenantId | string | ID area di lavoro Log Analytics |
ThreatCategory | string | Categoria della minaccia o del malware identificato nella sessione di rete. |
ThreatConfidence | INT | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
ThreatField | string | Campo per il quale è stata identificata una minaccia. Il valore è SrcIpAddr, DstIpAddr, Domain o DnsResponseName. |
ThreatFirstReportedTime | Datetime | La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
ThreatId | string | ID della minaccia o del malware identificato nella sessione di rete. |
ThreatIpAddr | string | Indirizzo IP per il quale è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo ThreatIpAddr rappresenta. |
ThreatIsActive | bool | True ID la minaccia identificata è considerata una minaccia attiva. |
ThreatLastReportedTime | Datetime | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
ThreatName | string | Nome della minaccia o del malware identificato nella sessione di rete. |
ThreatOriginalConfidence | string | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
ThreatOriginalRiskLevel | string | Livello di rischio segnalato dal dispositivo di report. |
ThreatRiskLevel | INT | Livello di rischio associato alla sessione. Il livello è un numero compreso tra 0 e 100. |
TimeGenerated | Datetime | Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
Type | string | Nome della tabella |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per