NetworkSessions
Connessioni di rete o sessioni come quelle registrate da firewall, Wire Data, NSG, Netflow, sistemi proxy e gateway di sicurezza Web.
Attributi tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | No |
| Query di esempio | Sì |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| Campi aggiuntivi | dinamico | Quando nessuna colonna corrispondente nello schema corrisponde, i campi aggiuntivi possono essere archiviati in un contenitore JSON. |
| _BilledSize | real | Dimensioni del record in byte |
| CloudAppId | string | ID dell'applicazione di destinazione per un'applicazione HTTP identificata da un proxy. Questo valore è in genere specifico del proxy usato. |
| CloudAppName | string | Nome dell'applicazione di destinazione per un'applicazione HTTP identificata da un proxy. |
| CloudAppOperation | string | Operazione eseguita dall'utente nel contesto dell'applicazione di destinazione per un'applicazione HTTP, come identificato da un proxy. Questo valore è in genere specifico del proxy usato. |
| CloudAppRiskLevel | string | Livello di rischio associato a un'applicazione HTTP identificata da un proxy. Questo valore è in genere specifico del proxy usato. |
| DstBytes | long | Numero di byte inviati dalla destinazione all'origine per la connessione o la sessione. |
| DstDomainHostname | string | Dominio dell'host di destinazione. |
| DstDvcDomain | string | Dominio del dispositivo di destinazione. |
| DstDvcFqdn | string | Nome di dominio completo dell'host in cui è stato creato il log. |
| DstDvcHostname | string | Nome del dispositivo del dispositivo di destinazione. |
| DstDvcIpAddr | string | Indirizzo IP di destinazione di un dispositivo che non è direttamente associato al pacchetto di rete. |
| DstDvcMacAddr | string | Indirizzo MAC di destinazione di un dispositivo che non è direttamente associato al pacchetto di rete. |
| DstGeoCity | string | Città associata all'indirizzo IP di destinazione. |
| DstGeoCountry | string | Paese associato all'indirizzo IP di origine. |
| DstGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
| DstGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione |
| DstGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di destinazione. |
| DstInterfaceGuid | string | GUID dell'interfaccia di rete usata per la richiesta di autenticazione. |
| DstInterfaceName | string | Interfaccia di rete usata per la connessione o la sessione dal dispositivo di destinazione. |
| DstIpAddr | string | Indirizzo IP della destinazione della connessione o della sessione. |
| DstMacAddr | string | Indirizzo MAC dell'interfaccia di rete in cui è terminata la connessione o la sessione. |
| DstNatIpAddr | string | Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, l'indirizzo IP usato dal dispositivo NAT per la comunicazione con l'origine. |
| DstNatPortNumber | INT | Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, la porta utilizzata dal dispositivo NAT per la comunicazione con l'origine. |
| DstPackets | long | Numero di pacchetti inviati dalla destinazione all'origine per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. |
| DstPortNumber | INT | Porta IP di destinazione. |
| DstResourceId | string | ID risorsa del dispositivo di destinazione. |
| DstUserAadId | string | ID oggetto dell'account Azure AD dell'utente alla fine della sessione di destinazione. |
| DstUserDomain | string | Nome di dominio o computer dell'account nella destinazione della sessione. |
| DstUserName | string | Nome utente dell'identità associata alla destinazione della sessione. |
| DstUserSid | string | ID utente dell'identità associata alla destinazione della sessione. In genere, l'identità usata per autenticare un server. |
| DstUserUpn | string | UPN dell'identità associata alla destinazione della sessione. |
| DstZone | string | Zona di rete della destinazione, come definito dal dispositivo di report. |
| DvcAction | string | Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'azione eseguita dal dispositivo. |
| DvcHostname | string | Nome del dispositivo che genera il messaggio. |
| DvcInboundInterface | string | Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'interfaccia di rete usata da essa per la connessione al dispositivo di origine. |
| DvcIpAddr | string | Indirizzo IP del dispositivo che genera il record. |
| DvcMacAddr | string | Indirizzo MAC dell'interfaccia di rete del dispositivo di report da cui è stato inviato l'evento. |
| DvcOutboundInterface | string | Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'interfaccia di rete usata da essa per la connessione al dispositivo di destinazione. |
| EventCount | INT | Numero di eventi aggregati, se applicabile. |
| EventEndTime | Datetime | Ora in cui è terminato l'evento. |
| EventMessage | string | Messaggio generale o descrizione, incluso o generato dal record. |
| EventOriginalUid | string | ID record del dispositivo di report. |
| EventProduct | string | Prodotto che genera l'evento. |
| EventProductVersion | string | Versione del prodotto che genera l'evento. |
| EventReportUrl | string | Collegamento al report completo creato dal dispositivo di report. |
| EventResourceId | string | ID risorsa del dispositivo che genera il messaggio. |
| EventResult | string | Risultato segnalato per l'attività. Valore vuoto se non applicabile. |
| EventResultDetails | string | Motivo del risultato segnalato in EventResult |
| EventSchemaVersion | string | Versione dello schema di Azure Sentinel. |
| EventSeverity | string | Se l'attività segnalata ha un impatto sulla sicurezza, indica la gravità dell'impatto. |
| EventStartTime | Datetime | Ora in cui l'evento ha dichiarato. |
| EventSubType | string | Descrizione aggiuntiva del tipo, se applicabile. |
| EventTimeIngested | Datetime | Ora in cui l'evento è stato inserito in Azure Sentinel. Verrà aggiunto da Azure Sentinel. |
| EventType | string | Tipo di evento raccolto. |
| EventUid | string | Identificatore univoco usato da Sentinel per contrassegnare una riga. |
| EventVendor | string | Fornitore del prodotto che genera l'evento. |
| FileExtension | string | Tipo del file trasmesso tramite le connessioni di rete per i protocolli, ad esempio FTP e HTTP. |
| FileHashMd5 | string | Valore hash MD5 del file trasmesso tramite le connessioni di rete per i protocolli. |
| FileHashSha1 | string | Valore hash SHA1 del file trasmesso sulle connessioni di rete per i protocolli. |
| FileHashSha256 | string | Valore hash SHA256 del file trasmesso sulle connessioni di rete per i protocolli. |
| FileHashSha512 | string | Valore hash SHA512 del file trasmesso sulle connessioni di rete per i protocolli. |
| FileMimeType | string | Tipo MIME del file trasmesso tramite le connessioni di rete per i protocolli, ad esempio FTP e HTTP. |
| FileName | string | Il nome del file trasmesso tramite le connessioni di rete per i protocolli, ad esempio FTP e HTTP, che forniscono le informazioni sul nome file. |
| FilePath | string | Percorso completo, incluso il nome del file, del file. |
| FileSize | INT | Dimensioni del file, in byte, del file trasmesso sulle connessioni di rete per i protocolli. |
| HttpContentType | string | Intestazione del tipo di contenuto della risposta HTTP per le sessioni di rete HTTP/HTTPS. |
| HttpReferrerOriginal | string | Intestazione HTTP referrer per le sessioni di rete HTTP/HTTPS. |
| HttpRequestMethod | string | Metodo HTTP per le sessioni di rete HTTP/HTTPS. |
| HttpRequestTime | INT | Tempo necessario per inviare la richiesta al server, se applicabile. |
| HttpRequestXff | string | Intestazione HTTP X-Forwarded-For per le sessioni di rete HTTP/HTTPS. |
| HttpResponseTime | INT | Tempo necessario per ricevere una risposta nel server, se applicabile. |
| HttpStatusCode | string | Codice di stato HTTP per le sessioni di rete HTTP/HTTPS. |
| HttpUserAgentOriginal | string | Intestazione dell'agente utente HTTP per le sessioni di rete HTTP/HTTPS. |
| HttpVersion | string | Versione della richiesta HTTP per le connessioni di rete HTTP/HTTPS. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
| NetworkApplicationProtocol | string | Protocollo del livello applicazione usato dalla connessione o dalla sessione. |
| NetworkBytes | long | Numero di byte inviati in entrambe le direzioni. Se esistono sia ByteReceived che ByteSent, BytesTotal deve essere uguale alla somma. |
| NetworkDirection | string | Direzione della connessione o della sessione, in o all'esterno dell'organizzazione. |
| NetworkDuration | INT | Tempo, in millisecondo, per il completamento della sessione di rete o della connessione. |
| NetworkIcmpCode | INT | Per un messaggio ICMP, il valore numerico del tipo di messaggio ICMP (RFC 2780 o RFC 4443). |
| NetworkIcmpType | string | Per un messaggio ICMP, rappresentazione del tipo di messaggio ICMP (RFC 2780 o RFC 4443). |
| NetworkPackets | long | Numero di pacchetti inviati in entrambe le direzioni. Se esistono entrambi i pacchettiReceived e PacketsSent, BytesTotal deve essere uguale alla somma. |
| NetworkProtocol | string | Protocollo IP usato dalla connessione o dalla sessione. In genere, TCP, UDP o ICMP. |
| NetworkRuleName | string | Nome o ID della regola in base al quale DeviceAction è stato deciso. |
| NetworkRuleNumber | INT | Numero di regola corrispondente. |
| NetworkSessionId | string | Identificatore di sessione come segnalato dal dispositivo di report. |
| SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| SrcBytes | long | Numero di byte inviati dall'origine alla destinazione per la connessione o la sessione. |
| SrcDvcDomain | string | Dominio del dispositivo da cui è stata avviata la sessione. |
| SrcDvcFqdn | string | Nome di dominio completo dell'host in cui è stato creato il log. |
| SrcDvcHostname | string | Nome del dispositivo di origine. |
| SrcDvcIpAddr | string | L'indirizzo IP di origine di un dispositivo non direttamente associato al pacchetto di rete (raccolto da un provider o calcolato in modo esplicito). |
| SrcDvcMacAddr | string | Indirizzo MAC di origine di un dispositivo non direttamente associato al pacchetto di rete. |
| SrcDvcModelName | string | Modello del dispositivo di origine. |
| SrcDvcModelNumber | string | Numero di modello del dispositivo di origine. |
| SrcDvcOs | string | Sistema operativo del dispositivo di origine. |
| SrcDvcType | string | Tipo del dispositivo di origine. |
| SrcGeoCity | string | Città associata all'indirizzo IP di origine. |
| SrcGeoCountry | string | Paese associato all'indirizzo IP di origine. |
| SrcGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di origine. |
| SrcInterfaceGuid | string | GUID dell'interfaccia di rete usata. |
| SrcInterfaceName | string | Interfaccia di rete utilizzata per la connessione o la sessione dal dispositivo di origine. |
| SrcIpAddr | string | Indirizzo IP da cui ha avuto origine la connessione o la sessione. |
| SrcMacAddr | string | Indirizzo MAC dell'interfaccia di rete da cui ha avuto origine la sessione di connessione od. |
| SrcNatIpAddr | string | Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, l'indirizzo IP usato dal dispositivo NAT per la comunicazione con la destinazione. |
| SrcNatPortNumber | INT | Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, la porta usata dal dispositivo NAT per la comunicazione con la destinazione. |
| SrcPackets | long | Numero di pacchetti inviati dall'origine alla destinazione per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. |
| SrcPortNumber | INT | Porta IP da cui ha avuto origine la connessione. Potrebbe non essere rilevante per una sessione che comprende più connessioni. |
| SrcResourceId | string | ID risorsa del dispositivo che genera il messaggio. |
| SrcUserAadId | string | ID oggetto dell'account Azure AD dell'utente alla fine della sessione di origine. |
| SrcUserDomain | string | Dominio per l'account che avvia la sessione. |
| SrcUserName | string | Nome utente dell'identità associata all'origine delle sessioni. In genere, l'utente esegue un'azione sul client. |
| SrcUserSid | string | ID utente dell'identità associata all'origine delle sessioni. In genere, l'utente esegue un'azione sul client. |
| SrcUserUpn | string | UPN dell'account che avvia la sessione. |
| SrcZone | string | Zona di rete dell'origine, come definito dal dispositivo di report. |
| TenantId | string | ID area di lavoro Log Analytics |
| ThreatCategory | string | La categoria di una minaccia identificata da un sistema di sicurezza, ad esempio gateway di sicurezza Web di un IPS, è associata a questa sessione di rete. |
| ThreatId | string | ID di una minaccia identificata da un sistema di sicurezza, ad esempio gateway di sicurezza Web di un IPS e associato a questa sessione di rete. |
| ThreatName | string | Nome della minaccia o del malware identificato. |
| TimeGenerated | Datetime | Ora in cui si è verificato l'evento, come segnalato dall'origine di report. |
| Type | string | Nome della tabella |
| UrlCategory | string | Il raggruppamento definito di un URL (o può essere semplicemente basato sul dominio nell'URL) correlato a ciò che è (ad esempio: adulti, notizie, pubblicità, domini parcheggiati e così via). |
| UrlHostname | string | Parte del dominio di un URL di richiesta HTTP per le sessioni di rete HTTP/HTTPS. |
| UrlOriginal | string | URL della richiesta HTTP per le sessioni di rete HTTP/HTTPS. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per