ASimNetworkSessionLogs
Microsoft Sentinel ネットワーク セッション正規化スキーマは、ネットワーク接続やネットワーク セッションなどの IP ネットワーク アクティビティを表します。 そのようなイベントは、オペレーティングシステム、ルーター、ファイアウォール、侵入防止システムなどによって報告されます。
テーブル属性
| 属性 | 値 |
|---|---|
| リソースの種類 | microsoft.securityinsights/networksessionnormalized |
| Categories (カテゴリ) | セキュリティ |
| ソリューション | SecurityInsights |
| 基本的なログ | いいえ |
| インジェスト時間変換 | Yes |
| サンプル クエリ | - |
列
| Column | Type | 説明 |
|---|---|---|
| AdditionalFields | 動的 | ASim にマップされないソースによって提供されるキーと値のペアを使用して表される追加情報。 |
| _BilledSize | real | レコード サイズ (バイト単位) |
| DstAppId | string | レポート デバイスによって報告された、ターゲット アプリケーションの ID。 |
| DstAppName | string | ターゲット アプリケーションの名前。 |
| DstAppType | string | ターゲット アプリケーションの種類。 |
| DstBytes | long | 接続またはセッションで送信先から送信元に送信されたバイト数。 イベントが集計される場合、DstBytes は集計されたすべてのセッションの合計です。 |
| DstDescription | string | 宛先に関連付けられている説明テキスト。 |
| DstDeviceType | string | ターゲット デバイスの種類。 |
| DstDomain | string | ターゲット デバイスのドメイン。 |
| DstDomainType | string | DstDomain の種類。 |
| DstDvcId | string | ターゲット デバイスの ID。 |
| DstDvcIdType | string | DstDvcId の種類。 |
| DstFQDN | string | 使用可能な場合はドメイン情報を含む、ターゲット デバイスのホスト名。 |
| DstGeoCity | string | ターゲット IP アドレスに関連付けられている都市。 |
| DstGeoCountry | string | ターゲット IP アドレスに関連付けられている国。 |
| DstGeoLatitude | real | ターゲット IP アドレスに関連付けられている地理的座標の緯度。 |
| DstGeoLongitude | real | ターゲット IP アドレスに関連付けられている地理的座標の経度。 |
| DstGeoRegion | string | ターゲット IP アドレスに関連付けられた国の地域または州。 |
| DstHostname | string | ドメイン情報を除いた、ターゲット デバイスのホスト名。 |
| DstInterfaceGuid | string | ターゲット デバイスで使用されるネットワーク インターフェイスの GUID。 |
| DstInterfaceName | string | 送信先デバイスによる接続またはセッションに使用されるネットワーク インターフェイス。 |
| DstIpAddr | string | 接続またはセッションのターゲットの IP アドレス。 |
| DstMacAddr | string | ターゲット デバイスによって接続またはセッションに使用される、ネットワーク インターフェイスの MAC アドレス。 |
| DstNatIpAddr | string | DstNatIpAddr は、ネットワーク アドレス変換が使用された場合の宛先デバイスの元のアドレス、または送信元との通信に中間デバイスによって使用される IP アドレスのいずれかを表します。 |
| DstNatPortNumber | INT | 中間 NAT デバイスによって報告された場合は、その NAT デバイスがソースとの通信に使用するポート。 |
| DstOriginalUserType | string | ソースによって提供されている場合、元のターゲット ユーザーの種類。 |
| DstPackets | long | 接続またはセッションで送信先から送信元に送信されたパケット数。 パケットの意味はレポート デバイスで定義されます。 イベントが集計される場合、DstPackets は集計されたすべてのセッションの合計です。 |
| DstPortNumber | INT | 送信先 IP ポート。 |
| string | ターゲット デバイスが属するクラウド プラットフォームのサブスクリプション ID。 DstSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 | |
| string | ターゲット ユーザーの、コンピューターが判読できる英数字の一意表現。 | |
| DstUserIdType | string | DstUserId フィールドに格納されている ID の種類。 |
| DstUsername | string | 使用可能な場合はドメイン情報を含む、ターゲットのユーザー名。 シンプル形式は、ドメイン情報が利用できない場合にのみ使用します。 |
| DstUsernameType | string | DstUsername フィールドに格納されているユーザー名の種類を指定します。 |
| DstUserType | string | ターゲット ユーザーの種類。 |
| string | ターゲット デバイスに関連する VLAN ID。 | |
| DstZone | string | レポート デバイスにより定義された、送信先のネットワーク ゾーン。 |
| string | イベントが発生したデバイス、またはイベントを報告したデバイスの一意識別子。 | |
| DvcAction | string | ネットワーク セッションで実行されたアクション。 |
| DvcDescription | string | デバイスに関連付けられる説明のテキスト。 例: プライマリ ドメイン コントローラー。 |
| DvcDomain | string | イベントを報告するデバイスのドメイン。 |
| DvcDomainType | string | DvcDomain の種類。 使用できる値には、"Windows" と "FQDN" があります。 |
| DvcFQDN | string | イベントが発生した、またはイベントを報告したデバイスのホスト名。 |
| DvcHostname | string | イベントを報告するデバイスのホスト名。 |
| DvcId | string | イベントが発生した、またはイベントを報告したデバイスの一意の ID。 |
| DvcIdType | string | DvcId の種類。 |
| DvcInboundInterface | string | 中間デバイスによって報告された場合は、その NAT デバイスがソース デバイスへの接続に使用するネットワーク インターフェイス。 |
| string | データがキャプチャされたネットワーク インターフェイス。 通常、このフィールドは、中間またはタップ デバイスによってキャプチャされるネットワーク関連のアクティビティに関連しています。 | |
| DvcIpAddr | string | イベントを報告するデバイスの IP アドレス。 |
| DvcMacAddr | string | イベントが発生した、またはイベントを報告したデバイスの MAC アドレス。 例: 00:1B:44:11:3A:B7 |
| string | レポート デバイスによって提供された元の DvcAction。 | |
| DvcOs | string | イベントを報告するデバイスで実行されているオペレーティング システム。 |
| DvcOsVersion | string | イベントを報告するデバイス上のオペレーティング システムのバージョン。 |
| DvcOutboundInterface | string | 中間デバイスによって報告された場合は、その NAT デバイスがターゲット デバイスへの接続に使用するネットワーク インターフェイス。 |
| string | デバイスが属するクラウド プラットフォームのサブスクリプション ID。 DvcSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 | |
| DvcZone | string | イベントが発生したネットワーク、またはイベントを報告したネットワーク。 ゾーンは、レポート デバイスによって定義されます。 |
| EventCount | INT | この値は、ソースが集計に対応しており、1 つのレコードが複数のイベントを表す場合があるときに使用されます。 |
| EventEndTime | DATETIME | イベントが終了した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| EventMessage | string | 一般的なメッセージまたは説明。 |
| string | ソースによって提供される元の結果の詳細。 この値は EventResultDetails を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 | |
| EventOriginalSeverity | string | レポート デバイスによって提供された元の重大度。 この値は EventSeverity を導出するために使用されます。 |
| string | 元のイベントのサブタイプまたは ID (ソースによって提供されている場合)。 たとえば、このフィールドは元の Windows ログオンの種類を格納するために使用されます。 この値は EventSubType を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 | |
| EventOriginalType | string | 元のイベントの種類または ID (ソースによって提供されている場合)。 |
| EventOriginalUid | string | 元のレコードの一意の ID (ソースによって提供されている場合)。 |
| EventProduct | string | イベントを生成している製品。 |
| EventProductVersion | string | イベントを生成している製品のバージョン。 |
| EventReportUrl | string | リソースのイベントで提供された、そのイベントに関する他の情報を提供する URL。 |
| EventResult | string | イベントの結果。Success、Partial、Failure、NA (該当なし) のいずれかの値で表されます。 この値は、ソースによって直接提供されない場合があります。その場合は、EventResultDetails フィールドなどの他のイベント フィールドから派生します。 |
| EventResultDetails | string | EventResult でレポートされた結果の理由または詳細。 |
| EventSchemaVersion | string | スキーマのバージョン。 |
| EventSeverity | string | イベントの重大度。 有効な値は、Informational、Low、Medium、High です。 |
| EventStartTime | DATETIME | イベントが開始した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| EventSubType | string | イベントの種類の追加説明 (該当する場合)。 |
| EventType | string | レコードによって報告される操作。 |
| EventVendor | string | イベントを生成している製品のベンダー。 |
| _IsBillable | string | データの取り込みに課金されるかどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
| NetworkApplicationProtocol | string | 接続またはセッションで使用されるアプリケーション レイヤー プロトコル。 |
| NetworkBytes | long | 両方向に送信されたバイト数。 BytesReceived と BytesSent が両方とも存在する場合、BytesTotal はその合計と同じである必要があります。 イベントが集計される場合、NetworkBytes は集計されたすべてのセッションの合計です。 |
| NetworkConnectionHistory | string | TCP フラグとその他の使用される可能性がある IP ヘッダー情報。 |
| NetworkDirection | string | 接続またはセッションの方向。 |
| NetworkDuration | INT | ネットワーク セッションまたは接続の完了にかかる時間 (ミリ秒単位)。 |
| NetworkIcmpCode | INT | ICMP メッセージの種類を示す数値。IPv4 ネットワーク接続の場合は RFC 2780 で示されている値、IPv6 ネットワーク接続の場合は RFC 4443 で示されている値。 |
| NetworkIcmpType | string | ICMP メッセージの種類のテキスト表現。IPv4 ネットワーク接続の場合は RFC 2780 で示されている値、IPv6 ネットワーク接続の場合は RFC 4443 で示されている値。 |
| NetworkPackets | long | 両方向に送信されたパケット数。 PacketsReceived と PacketsSent が両方とも存在する場合、BytesTotal はその合計と同じである必要があります。 パケットの意味はレポート デバイスで定義されます。 イベントが集計される場合、NetworkPackets は、集計されたすべてのセッションの合計です。 |
| NetworkProtocol | string | 接続またはセッションで使用される IP プロトコル 。IANA プロトコルの割り当て (通常は TCP、UDP、または ICMP) に記載されています。 |
| NetworkProtocolVersion | string | NetworkProtocol のバージョン。 |
| NetworkRuleName | string | DvcAction が決定されたときに使用されたルールの名前または ID。 |
| NetworkRuleNumber | INT | DvcAction が決定されたときに使用されたルールの番号。 |
| NetworkSessionId | string | レポート デバイスによって報告されたセッション識別子。 |
| _ResourceId | string | レコードが関連付けられているリソースの一意識別子 |
| SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux場合、または Azure Azure Diagnostics |
| SrcAppId | string | レポートデバイスによって報告された、ソースアプリケーションのID。 |
| SrcAppName | string | ソース アプリケーションの名前。 |
| SrcAppType | string | ソース アプリケーションの種類。 |
| SrcBytes | long | 接続またはセッションで送信元から送信先に送信されたバイト数。 イベントが集計される場合、SrcBytes は集計されたすべてのセッションの合計です。 |
| SrcDescription | string | ソースに関連付けられている説明テキスト。 |
| SrcDeviceType | string | ソース デバイスの種類。 |
| SrcDomain | string | ソース デバイスのドメイン。 |
| SrcDomainType | string | SrcDomain の種類。 |
| SrcDvcId | string | ソース デバイスの ID。 |
| SrcDvcIdType | string | SrcDvcId の種類。 |
| SrcFQDN | string | ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 |
| SrcGeoCity | string | 発信元 IP アドレスに関連付けられている都市。 |
| SrcGeoCountry | string | 発信元 IP アドレスに関連付けられている国。 |
| SrcGeoLatitude | real | 発信元 IP アドレスに関連付けられている地理的座標の緯度。 |
| SrcGeoLongitude | real | 発信元 IP アドレスに関連付けられている地理的座標の経度。 |
| SrcGeoRegion | string | 発信元 IP アドレスに関連付けられている国内の地域。 |
| SrcHostname | string | ドメイン情報を除いた、ソース デバイスのホスト名。 使用できるデバイス名がない場合は、関連する IP アドレスを格納できます。 |
| SrcInterfaceGuid | string | ソース デバイスで使用されるネットワーク インターフェイスの GUID。 |
| SrcInterfaceName | string | 送信元デバイスで接続またはセッションに使用されるネットワーク インターフェイス。 |
| SrcIpAddr | string | 接続またはセッションの開始元の IP アドレス。 |
| SrcMacAddr | string | 接続またはセッションの開始元のネットワーク インターフェイスの MAC アドレス。 |
| SrcNatIpAddr | string | SrcNatIpAddr は、送信元デバイスの元のアドレス (ネットワーク アドレス変換が使用された場合) または中間デバイスが宛先との通信に使用する IP アドレスのいずれかを表します。 |
| SrcNatPortNumber | INT | 中間 NAT デバイスによって報告された場合は、その NAT デバイスがターゲットとの通信に使用するポート。 |
| SrcOriginalUserType | string | レポート デバイスによって が指定した場合は、元の宛先ユーザーの種類。 |
| SrcPackets | long | 接続またはセッションで送信元から送信先に送信されたパケット数。 パケットの意味はレポート デバイスで定義されます。 イベントが集計される場合、SrcPackets は集計されたすべてのセッションの合計です。 |
| SrcPortNumber | INT | 接続元の IP ポート。 複数の接続を構成するセッションに関連しないことがあります。 |
| string | ソース デバイスが属するクラウド プラットフォームのサブスクリプション ID。 SrcSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 | |
| string | ソース ユーザーの、コンピューターが判読できる英数字の一意表現。 | |
| SrcUserIdType | string | SrcUserId フィールドに格納されている ID の種類。 |
| SrcUsername | string | 使用可能な場合はドメイン情報を含む、ソースのユーザー名。 |
| SrcUsernameType | string | SrcUsername フィールドに格納されているユーザー名の種類を指定します。 |
| SrcUserType | string | 送信元ユーザーの種類。 |
| string | ソース デバイスに関連する VLAN ID。 | |
| SrcZone | string | レポート デバイスにより定義された、送信元のネットワーク ゾーン。 |
| _SubscriptionId | string | レコードが関連付けられているサブスクリプションの一意識別子 |
| TcpFlagsAck | [bool] | 報告された TCP ACK フラグ。 受信確認フラグは、パケットを正常に受信したことを確認するために使われます。 上の図からわかるように、受信側は 3 方向ハンドシェイク プロセスの 2 番目の手順で ACK と SYN を送信し、最初のパケットを受信したことを送信者に伝えます。 |
| TcpFlagsFin | [bool] | 報告された TCP FIN フラグ。 完了フラグは、送信側からのデータがもうないことを意味します。 そのため、送信側から送信される最後のパケットで使われます。 |
| TcpFlagsPsh | [bool] | 報告された TCP PSH フラグ。 プッシュ フラグは URG フラグとやや似ていますが、受信したパケットはバッファーではなく受信時に処理するように受信者に指示します。 |
| TcpFlagsRst | [bool] | 報告された TCP RST フラグ。 リセット フラグは、予期しない特定のホストにパケットが送信されたときに、受信側から送信側に送信されます。 |
| TcpFlagsSyn | [bool] | 報告された TCP SYN フラグ。 同期フラグは、2 つのホスト間で 3 方向ハンドシェイクを確立するための最初の手順として使用されます。 送信側と受信側の両方からの最初のパケットにのみ、このフラグを設定するようにします。 |
| TcpFlagsUrg | [bool] | 報告された TCP URG フラグ。 緊急フラグは、他のすべてのパケットを処理する前に、緊急パケットを処理するように受信側に通知するために使われます。 既知の緊急データがすべて受信されると、受信側にはその旨が通知されます。 詳細については、「RFC 6093」を参照してください。 |
| TenantId | string | Log Analytics ワークスペース ID |
| ThreatCategory | string | ネットワーク セッションで識別された脅威またはマルウェアのカテゴリ。 |
| ThreatConfidence | INT | 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatField | string | 脅威が特定されたフィールド。 値は SrcIpAddr、DstIpAddr、Domain、または DnsResponseName です。 |
| ThreatFirstReportedTime | DATETIME | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatId | string | ネットワーク セッションで識別された脅威またはマルウェアの ID。 |
| ThreatIpAddr | string | 脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。 |
| ThreatIsActive | [bool] | 特定された脅威がアクティブな脅威と見なされる真の ID。 |
| ThreatLastReportedTime | DATETIME | 最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
| ThreatName | string | ネットワーク セッションで識別された脅威またはマルウェアの名前。 |
| ThreatOriginalConfidence | string | レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
| ThreatOriginalRiskLevel | string | レポート デバイスによって報告されたリスク レベル。 |
| ThreatRiskLevel | INT | セッションに関連付けられているリスク レベル。 レベルは 0 ~ 100 の数値です。 |
| TimeGenerated | DATETIME | イベントが生成された時刻を反映するタイムスタンプ (UTC)。 |
| Type | string | テーブルの名前 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示