NetworkSessions
Connessioni di rete o sessioni come quelle registrate da firewall, Wire Data, NSG, Netflow, sistemi proxy e gateway di sicurezza Web.
Attributi tabella
Attributo | Valore |
---|---|
Tipi di risorsa | - |
Categorie | Sicurezza |
Soluzioni | SecurityInsights |
Log di base | No |
Trasformazione in fase di inserimento | No |
Query di esempio | Sì |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
Campi aggiuntivi | dinamico | Quando nessuna colonna corrispondente nello schema corrisponde, i campi aggiuntivi possono essere archiviati in un contenitore JSON. |
_BilledSize | real | Dimensioni del record in byte |
CloudAppId | string | ID dell'applicazione di destinazione per un'applicazione HTTP identificata da un proxy. Questo valore è in genere specifico del proxy usato. |
CloudAppName | string | Nome dell'applicazione di destinazione per un'applicazione HTTP identificata da un proxy. |
CloudAppOperation | string | Operazione eseguita dall'utente nel contesto dell'applicazione di destinazione per un'applicazione HTTP, come identificato da un proxy. Questo valore è in genere specifico del proxy usato. |
CloudAppRiskLevel | string | Livello di rischio associato a un'applicazione HTTP identificata da un proxy. Questo valore è in genere specifico del proxy usato. |
DstBytes | long | Numero di byte inviati dalla destinazione all'origine per la connessione o la sessione. |
DstDomainHostname | string | Dominio dell'host di destinazione. |
DstDvcDomain | string | Dominio del dispositivo di destinazione. |
DstDvcFqdn | string | Nome di dominio completo dell'host in cui è stato creato il log. |
DstDvcHostname | string | Nome del dispositivo del dispositivo di destinazione. |
DstDvcIpAddr | string | Indirizzo IP di destinazione di un dispositivo che non è direttamente associato al pacchetto di rete. |
DstDvcMacAddr | string | Indirizzo MAC di destinazione di un dispositivo che non è direttamente associato al pacchetto di rete. |
DstGeoCity | string | Città associata all'indirizzo IP di destinazione. |
DstGeoCountry | string | Paese associato all'indirizzo IP di origine. |
DstGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
DstGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione |
DstGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di destinazione. |
DstInterfaceGuid | string | GUID dell'interfaccia di rete usata per la richiesta di autenticazione. |
DstInterfaceName | string | Interfaccia di rete usata per la connessione o la sessione dal dispositivo di destinazione. |
DstIpAddr | string | Indirizzo IP della destinazione della connessione o della sessione. |
DstMacAddr | string | Indirizzo MAC dell'interfaccia di rete in cui è terminata la connessione o la sessione. |
DstNatIpAddr | string | Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, l'indirizzo IP usato dal dispositivo NAT per la comunicazione con l'origine. |
DstNatPortNumber | INT | Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, la porta utilizzata dal dispositivo NAT per la comunicazione con l'origine. |
DstPackets | long | Numero di pacchetti inviati dalla destinazione all'origine per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. |
DstPortNumber | INT | Porta IP di destinazione. |
DstResourceId | string | ID risorsa del dispositivo di destinazione. |
DstUserAadId | string | ID oggetto dell'account Azure AD dell'utente alla fine della sessione di destinazione. |
DstUserDomain | string | Nome di dominio o computer dell'account nella destinazione della sessione. |
DstUserName | string | Nome utente dell'identità associata alla destinazione della sessione. |
DstUserSid | string | ID utente dell'identità associata alla destinazione della sessione. In genere, l'identità usata per autenticare un server. |
DstUserUpn | string | UPN dell'identità associata alla destinazione della sessione. |
DstZone | string | Zona di rete della destinazione, come definito dal dispositivo di report. |
DvcAction | string | Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'azione eseguita dal dispositivo. |
DvcHostname | string | Nome del dispositivo che genera il messaggio. |
DvcInboundInterface | string | Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'interfaccia di rete usata da essa per la connessione al dispositivo di origine. |
DvcIpAddr | string | Indirizzo IP del dispositivo che genera il record. |
DvcMacAddr | string | Indirizzo MAC dell'interfaccia di rete del dispositivo di report da cui è stato inviato l'evento. |
DvcOutboundInterface | string | Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'interfaccia di rete usata da essa per la connessione al dispositivo di destinazione. |
EventCount | INT | Numero di eventi aggregati, se applicabile. |
EventEndTime | Datetime | Ora in cui è terminato l'evento. |
EventMessage | string | Messaggio generale o descrizione, incluso o generato dal record. |
EventOriginalUid | string | ID record del dispositivo di report. |
EventProduct | string | Prodotto che genera l'evento. |
EventProductVersion | string | Versione del prodotto che genera l'evento. |
EventReportUrl | string | Collegamento al report completo creato dal dispositivo di report. |
EventResourceId | string | ID risorsa del dispositivo che genera il messaggio. |
EventResult | string | Risultato segnalato per l'attività. Valore vuoto se non applicabile. |
EventResultDetails | string | Motivo del risultato segnalato in EventResult |
EventSchemaVersion | string | Versione dello schema di Azure Sentinel. |
EventSeverity | string | Se l'attività segnalata ha un impatto sulla sicurezza, indica la gravità dell'impatto. |
EventStartTime | Datetime | Ora in cui l'evento ha dichiarato. |
EventSubType | string | Descrizione aggiuntiva del tipo, se applicabile. |
EventTimeIngested | Datetime | Ora in cui l'evento è stato inserito in Azure Sentinel. Verrà aggiunto da Azure Sentinel. |
EventType | string | Tipo di evento raccolto. |
EventUid | string | Identificatore univoco usato da Sentinel per contrassegnare una riga. |
EventVendor | string | Fornitore del prodotto che genera l'evento. |
FileExtension | string | Tipo del file trasmesso tramite le connessioni di rete per i protocolli, ad esempio FTP e HTTP. |
FileHashMd5 | string | Valore hash MD5 del file trasmesso tramite le connessioni di rete per i protocolli. |
FileHashSha1 | string | Valore hash SHA1 del file trasmesso sulle connessioni di rete per i protocolli. |
FileHashSha256 | string | Valore hash SHA256 del file trasmesso sulle connessioni di rete per i protocolli. |
FileHashSha512 | string | Valore hash SHA512 del file trasmesso sulle connessioni di rete per i protocolli. |
FileMimeType | string | Tipo MIME del file trasmesso tramite le connessioni di rete per i protocolli, ad esempio FTP e HTTP. |
FileName | string | Il nome del file trasmesso tramite le connessioni di rete per i protocolli, ad esempio FTP e HTTP, che forniscono le informazioni sul nome file. |
FilePath | string | Percorso completo, incluso il nome del file, del file. |
FileSize | INT | Dimensioni del file, in byte, del file trasmesso sulle connessioni di rete per i protocolli. |
HttpContentType | string | Intestazione del tipo di contenuto della risposta HTTP per le sessioni di rete HTTP/HTTPS. |
HttpReferrerOriginal | string | Intestazione HTTP referrer per le sessioni di rete HTTP/HTTPS. |
HttpRequestMethod | string | Metodo HTTP per le sessioni di rete HTTP/HTTPS. |
HttpRequestTime | INT | Tempo necessario per inviare la richiesta al server, se applicabile. |
HttpRequestXff | string | Intestazione HTTP X-Forwarded-For per le sessioni di rete HTTP/HTTPS. |
HttpResponseTime | INT | Tempo necessario per ricevere una risposta nel server, se applicabile. |
HttpStatusCode | string | Codice di stato HTTP per le sessioni di rete HTTP/HTTPS. |
HttpUserAgentOriginal | string | Intestazione dell'agente utente HTTP per le sessioni di rete HTTP/HTTPS. |
HttpVersion | string | Versione della richiesta HTTP per le connessioni di rete HTTP/HTTPS. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
NetworkApplicationProtocol | string | Protocollo del livello applicazione usato dalla connessione o dalla sessione. |
NetworkBytes | long | Numero di byte inviati in entrambe le direzioni. Se esistono sia ByteReceived che ByteSent, BytesTotal deve essere uguale alla somma. |
NetworkDirection | string | Direzione della connessione o della sessione, in o all'esterno dell'organizzazione. |
NetworkDuration | INT | Tempo, in millisecondo, per il completamento della sessione di rete o della connessione. |
NetworkIcmpCode | INT | Per un messaggio ICMP, il valore numerico del tipo di messaggio ICMP (RFC 2780 o RFC 4443). |
NetworkIcmpType | string | Per un messaggio ICMP, rappresentazione del tipo di messaggio ICMP (RFC 2780 o RFC 4443). |
NetworkPackets | long | Numero di pacchetti inviati in entrambe le direzioni. Se esistono entrambi i pacchettiReceived e PacketsSent, BytesTotal deve essere uguale alla somma. |
NetworkProtocol | string | Protocollo IP usato dalla connessione o dalla sessione. In genere, TCP, UDP o ICMP. |
NetworkRuleName | string | Nome o ID della regola in base al quale DeviceAction è stato deciso. |
NetworkRuleNumber | INT | Numero di regola corrispondente. |
NetworkSessionId | string | Identificatore di sessione come segnalato dal dispositivo di report. |
SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
SrcBytes | long | Numero di byte inviati dall'origine alla destinazione per la connessione o la sessione. |
SrcDvcDomain | string | Dominio del dispositivo da cui è stata avviata la sessione. |
SrcDvcFqdn | string | Nome di dominio completo dell'host in cui è stato creato il log. |
SrcDvcHostname | string | Nome del dispositivo di origine. |
SrcDvcIpAddr | string | L'indirizzo IP di origine di un dispositivo non direttamente associato al pacchetto di rete (raccolto da un provider o calcolato in modo esplicito). |
SrcDvcMacAddr | string | Indirizzo MAC di origine di un dispositivo non direttamente associato al pacchetto di rete. |
SrcDvcModelName | string | Modello del dispositivo di origine. |
SrcDvcModelNumber | string | Numero di modello del dispositivo di origine. |
SrcDvcOs | string | Sistema operativo del dispositivo di origine. |
SrcDvcType | string | Tipo del dispositivo di origine. |
SrcGeoCity | string | Città associata all'indirizzo IP di origine. |
SrcGeoCountry | string | Paese associato all'indirizzo IP di origine. |
SrcGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
SrcGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
SrcGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di origine. |
SrcInterfaceGuid | string | GUID dell'interfaccia di rete usata. |
SrcInterfaceName | string | Interfaccia di rete utilizzata per la connessione o la sessione dal dispositivo di origine. |
SrcIpAddr | string | Indirizzo IP da cui ha avuto origine la connessione o la sessione. |
SrcMacAddr | string | Indirizzo MAC dell'interfaccia di rete da cui ha avuto origine la sessione di connessione od. |
SrcNatIpAddr | string | Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, l'indirizzo IP usato dal dispositivo NAT per la comunicazione con la destinazione. |
SrcNatPortNumber | INT | Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, la porta usata dal dispositivo NAT per la comunicazione con la destinazione. |
SrcPackets | long | Numero di pacchetti inviati dall'origine alla destinazione per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. |
SrcPortNumber | INT | Porta IP da cui ha avuto origine la connessione. Potrebbe non essere rilevante per una sessione che comprende più connessioni. |
SrcResourceId | string | ID risorsa del dispositivo che genera il messaggio. |
SrcUserAadId | string | ID oggetto dell'account Azure AD dell'utente alla fine della sessione di origine. |
SrcUserDomain | string | Dominio per l'account che avvia la sessione. |
SrcUserName | string | Nome utente dell'identità associata all'origine delle sessioni. In genere, l'utente esegue un'azione sul client. |
SrcUserSid | string | ID utente dell'identità associata all'origine delle sessioni. In genere, l'utente esegue un'azione sul client. |
SrcUserUpn | string | UPN dell'account che avvia la sessione. |
SrcZone | string | Zona di rete dell'origine, come definito dal dispositivo di report. |
TenantId | string | ID area di lavoro Log Analytics |
ThreatCategory | string | La categoria di una minaccia identificata da un sistema di sicurezza, ad esempio gateway di sicurezza Web di un IPS, è associata a questa sessione di rete. |
ThreatId | string | ID di una minaccia identificata da un sistema di sicurezza, ad esempio gateway di sicurezza Web di un IPS e associato a questa sessione di rete. |
ThreatName | string | Nome della minaccia o del malware identificato. |
TimeGenerated | Datetime | Ora in cui si è verificato l'evento, come segnalato dall'origine di report. |
Type | string | Nome della tabella |
UrlCategory | string | Il raggruppamento definito di un URL (o può essere semplicemente basato sul dominio nell'URL) correlato a ciò che è (ad esempio: adulti, notizie, pubblicità, domini parcheggiati e così via). |
UrlHostname | string | Parte del dominio di un URL di richiesta HTTP per le sessioni di rete HTTP/HTTPS. |
UrlOriginal | string | URL della richiesta HTTP per le sessioni di rete HTTP/HTTPS. |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per