次の方法で共有


ASim ネットワークセッションログ

Microsoft Sentinel ネットワーク セッション正規化スキーマは、ネットワーク接続やネットワーク セッションなどの IP ネットワーク アクティビティを表します。 そのようなイベントは、オペレーティングシステム、ルーター、ファイアウォール、侵入防止システムなどによって報告されます。

テーブル属性

属性 価値
リソースの種類 microsoft.securityinsights/ネットワークセッション標準化
Categories (カテゴリ) セキュリティ
ソリューション SecurityInsights
基本的なログ はい
取り込み時変換 はい
サンプル クエリ -

タイプ 説明
AdditionalFields ダイナミック ASim にマップされないソースによって提供されるキーと値のペアを使用して表される追加情報。
_請求額サイズ real レコード サイズ (バイト単位)
DstAppId ひも レポート デバイスによって報告された、ターゲット アプリケーションの ID。
DstAppName ひも ターゲット アプリケーションの名前。
DstAppType ひも ターゲット アプリケーションの種類。
DstBytes 長い 接続またはセッションで送信先から送信元に送信されたバイト数。 イベントが集計される場合、DstBytes は集計されたすべてのセッションの合計です。
DSTの説明 ひも 目的地に関連付けられている説明文。
送信先デバイスタイプ ひも ターゲット デバイスの種類。
DstDomain ひも ターゲット デバイスのドメイン。
ドメインタイプ (DstDomainType) ひも DstDomain の種類。
DstDvcId ひも ターゲット デバイスの ID。
DstDvcIdType ひも DstDvcId の種類。
DstFQDN ひも 使用可能な場合はドメイン情報を含む、ターゲット デバイスのホスト名。
DstGeoCity ひも ターゲット IP アドレスに関連付けられている都市。
DstGeoCountry ひも ターゲット IP アドレスに関連付けられている国。
DstGeoLatitude real ターゲット IP アドレスに関連付けられている地理的座標の緯度。
DstGeoLongitude real ターゲット IP アドレスに関連付けられている地理的座標の経度。
DstGeoRegion ひも ターゲット IP アドレスに関連付けられた国の地域または州。
DstHostname ひも ドメイン情報を除いた、ターゲット デバイスのホスト名。
DstInterfaceGuid ひも ターゲット デバイスで使用されるネットワーク インターフェイスの GUID。
DstInterfaceName ひも 送信先デバイスによる接続またはセッションに使用されるネットワーク インターフェイス。
DstIpAddr ひも 接続またはセッションのターゲットの IP アドレス。
DstMacAddr ひも ターゲット デバイスによって接続またはセッションに使用される、ネットワーク インターフェイスの MAC アドレス。
DstNatIpAddr ひも DstNatIpAddr は、ネットワーク アドレス変換が使用された場合の宛先デバイスの元のアドレス、または送信元との通信に中間デバイスによって使用される IP アドレスのいずれかを表します。
DstNatポート番号 INT 中間 NAT デバイスによって報告された場合は、その NAT デバイスがソースとの通信に使用するポート。
DstOriginalUserType ひも ソースによって提供されている場合、元のターゲット ユーザーの種類。
DstPackets 長い 接続またはセッションで送信先から送信元に送信されたパケット数。 パケットの意味はレポート デバイスで定義されます。 イベントが集計される場合、DstPackets は集計されたすべてのセッションの合計です。
送信先ポート番号 INT 送信先 IP ポート。
DstSubscriptionId ひも ターゲット デバイスが属するクラウド プラットフォームのサブスクリプション ID。 DstSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
DstUserId (送信先ユーザーID) ひも ターゲット ユーザーの、コンピューターが判読できる英数字の一意表現。
DstUserIdType ひも DstUserId フィールドに格納されている ID の種類。
DstUsername ひも 使用可能な場合はドメイン情報を含む、ターゲットのユーザー名。 シンプル形式は、ドメイン情報が利用できない場合にのみ使用します。
DstUsernameType ひも DstUsername フィールドに格納されているユーザー名の種類を指定します。
DstUserType ひも ターゲット ユーザーの種類。
DstVlanId ひも ターゲット デバイスに関連する VLAN ID。
DstZone ひも レポート デバイスにより定義された、送信先のネットワーク ゾーン。
Dvc ひも イベントが発生したデバイスまたはイベントを報告したデバイスの一意の識別子。
DvcAction ひも ネットワーク セッションで実行されたアクション。
DvcDescription ひも デバイスに関連付けられる説明のテキスト。 たとえば、プライマリ ドメイン コントローラーです。
DvcDomain ひも イベントを報告するデバイスのドメイン。
Dvcドメインタイプ ひも DvcDomain の種類。 指定できる値は、"Windows" と "FQDN" です。
DvcFQDN ひも イベントが発生した、またはイベントを報告したデバイスのホスト名。
Dvcホスト名 ひも イベントを報告するデバイスのホスト名。
DvcId ひも イベントが発生したデバイスまたはイベントを報告したデバイスの一意の ID。
DvcIdType ひも DvcId の種類。
DvcInboundInterface ひも 中間デバイスによって報告された場合は、その NAT デバイスがソース デバイスへの接続に使用するネットワーク インターフェイス。
DvcInterface ひも データがキャプチャされたネットワーク インターフェイス。 通常、このフィールドは、中間またはタップ デバイスによってキャプチャされるネットワーク関連のアクティビティに関連しています。
DvcIpAddr ひも イベントを報告するデバイスの IP アドレス。
DvcMacAddr ひも イベントが発生した、またはイベントを報告したデバイスの MAC アドレス。 例: 00:1B:44:11:3A:B7
DvcOriginalAction ひも 報告デバイスによって提供された元のDvcAction。
DvcOs ひも イベントを報告するデバイスで実行されているオペレーティング システム。
DvcOsVersion ひも イベントを報告するデバイス上のオペレーティング システムのバージョン。
DVCアウトバウンドインターフェース ひも 中間デバイスによって報告された場合は、その NAT デバイスがターゲット デバイスへの接続に使用するネットワーク インターフェイス。
DvcSubscriptionId ひも デバイスが属するクラウド プラットフォームのサブスクリプション ID。 DvcSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
DvcZone ひも イベントが発生したネットワーク、またはイベントを報告したネットワーク。 ゾーンは、レポート デバイスによって定義されます。
イベント数 INT この値は、ソースが集計に対応しており、1 つのレコードが複数のイベントを表す可能性があるときに使用されます。
イベント終了時間 DATETIME イベントが終了した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。
イベントメッセージ ひも 一般的なメッセージまたは説明。
イベントの元の結果の詳細 ひも ソースによって提供される元の結果の詳細。 この値は EventResultDetails を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。
EventOriginalSeverity ひも 報告元デバイスによって提供された元の重大度。 この値は EventSeverity を導出するために使用されます。
EventOriginalSubType ひも 元のイベントのサブタイプまたは ID (ソースによって提供されている場合)。 たとえば、このフィールドは元の Windows ログオンの種類を格納するために使用されます。 この値は EventSubType を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。
EventOriginalType ひも 元のイベントの種類または ID (ソースによって提供されている場合)。
イベントオリジナルUID (EventOriginalUid) ひも 元のレコードの一意の ID (ソースによって提供されている場合)。
EventProduct ひも イベントを生成している製品。
EventProductVersion ひも イベントを生成している製品のバージョン。
イベントレポートURL ひも イベントで提供される、イベントに関する詳細情報を提供するリソースのURL。
イベント結果 ひも イベントの結果。Success、Partial、Failure、NA (Not Applicable) のいずれかの値で表されます。 この値はソースによって直接提供されない場合があります。その場合は、EventResultDetails フィールドなどの他のイベント フィールドから派生します。
イベント結果詳細 ひも EventResult でレポートされた結果の理由または詳細。
EventSchemaVersion ひも スキーマのバージョン。
EventSeverity ひも イベントの重大度。 有効な値は、Informational、Low、Medium、High です。
イベント開始時間 DATETIME イベントが開始した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。
イベントサブタイプ ひも イベントの種類の追加説明 (該当する場合)。
イベントタイプ ひも レコードによって報告される操作。
EventVendor ひも イベントを生成している製品のベンダー。
_IsBillable // 請求可能かどうかを示す ひも データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません
ネットワークアプリケーションプロトコル ひも 接続またはセッションで使用されるアプリケーション レイヤー プロトコル。
NetworkBytes 長い 両方向に送信されたバイト数。 BytesReceived と BytesSent が両方とも存在する場合、BytesTotal はその合計と同じである必要があります。 イベントが集計される場合、NetworkBytes は集計されたすべてのセッションの合計です。
ネットワーク接続履歴 ひも TCP フラグとその他の使用される可能性がある IP ヘッダー情報。
ネットワーク方向 ひも 接続またはセッションの方向。
ネットワーク期間 INT ネットワーク セッションまたは接続の完了にかかる時間 (ミリ秒単位)。
ネットワークICMPコード INT ICMP メッセージの種類を示す数値。IPv4 ネットワーク接続の場合は RFC 2780 で示されている値、IPv6 ネットワーク接続の場合は RFC 4443 で示されている値。
ネットワークICMPタイプ ひも ICMP メッセージの種類のテキスト表現。IPv4 ネットワーク接続の場合は RFC 2780 で示されている値、IPv6 ネットワーク接続の場合は RFC 4443 で示されている値。
ネットワークパケット 長い 両方向に送信されたパケット数。 PacketsReceived と PacketsSent が両方とも存在する場合、BytesTotal はその合計と同じである必要があります。 パケットの意味はレポート デバイスで定義されます。 イベントが集計される場合、NetworkPackets は集計されたすべてのセッションの合計です。
ネットワークプロトコル ひも IANA プロトコルの割り当て (通常は TCP、UDP、または ICMP) に記載されている接続またはセッションで使用される IP プロトコル。
ネットワークプロトコルバージョン ひも NetworkProtocol のバージョン。
ネットワークルール名 ひも DvcAction が決定されたときに使用されたルールの名前または ID。
ネットワークルール番号 INT DvcAction が決定されたときに使用されたルールの番号。
ネットワークセッションID ひも レポート デバイスによって報告されたセッション識別子。
_ResourceId(リソース識別子) ひも レコードが関連付けられているリソースの一意識別子
SourceSystem ひも イベントが収集されたエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です
SrcAppId ひも レポートデバイスによって報告された、ソースアプリケーションのID。
SrcAppName ひも ソース アプリケーションの名前。
SrcAppType ひも ソース アプリケーションの種類。
SrcBytes 長い 接続またはセッションで送信元から送信先に送信されたバイト数。 イベントが集計される場合、SrcBytes は集計されたすべてのセッションの合計です。
SrcDescription ひも ソースに関連付けられている説明テキスト。
SrcDeviceType ひも ソース デバイスの種類。
SrcDomain ひも ソース デバイスのドメイン。
SrcDomainType ひも SrcDomain の種類。
SrcDvcId ひも ソース デバイスの ID。
SrcDvcIdType ひも SrcDvcId の種類。
SrcFQDN ひも ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。
SrcGeoCity ひも 発信元 IP アドレスに関連付けられている都市。
SrcGeoCountry ひも 発信元 IP アドレスに関連付けられている国。
SrcGeoLatitude real 発信元 IP アドレスに関連付けられている地理的座標の緯度。
SrcGeoLongitude real 発信元 IP アドレスに関連付けられている地理的座標の経度。
SrcGeoRegion ひも 発信元 IP アドレスに関連付けられている国内の地域。
SrcHostname ひも ドメイン情報を除いた、ソース デバイスのホスト名。 使用可能なデバイス名がない場合は、関連する IP アドレスを格納できます。
SrcInterfaceGuid ひも ソース デバイスで使用されるネットワーク インターフェイスの GUID。
SrcInterfaceName ひも 送信元デバイスで接続またはセッションに使用されるネットワーク インターフェイス。
SrcIpAddr ひも 接続またはセッションの開始元の IP アドレス。
SrcMacAddr ひも 接続またはセッションの開始元のネットワーク インターフェイスの MAC アドレス。
SrcNatIpAddr ひも SrcNatIpAddr は、送信元デバイスの元のアドレス (ネットワーク アドレス変換が使用された場合) または中継デバイスが宛先との通信に使用する IP アドレスのいずれかを表します。
SrcNatPortNumber INT 中間 NAT デバイスによって報告された場合は、その NAT デバイスがターゲットとの通信に使用するポート。
SrcOriginalUserType ひも 報告元デバイスによって提供されている場合、元のターゲット ユーザーの種類。
SrcPackets 長い 接続またはセッションで送信元から送信先に送信されたパケット数。 パケットの意味はレポート デバイスで定義されます。 イベントが集計される場合、SrcPackets は集計されたすべてのセッションの合計です。
SrcPortNumber INT 接続元の IP ポート。 複数の接続を構成するセッションに関連しないことがあります。
SrcSubscriptionId ひも ソース デバイスが属するクラウド プラットフォームのサブスクリプション ID。 SrcSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
SrcUserId ひも ソース ユーザーの、コンピューターが判読できる英数字の一意表現。
SrcUserIdType ひも SrcUserId フィールドに格納されている ID の種類。
SrcUsername ひも 使用可能な場合はドメイン情報を含む、ソースのユーザー名。
SrcUsernameType ひも SrcUsername フィールドに格納されているユーザー名の種類を指定します。
SrcUserType ひも 送信元ユーザーの種類。
SrcVlanId ひも ソース デバイスに関連する VLAN ID。
SrcZone ひも レポート デバイスにより定義された、送信元のネットワーク ゾーン。
_SubscriptionId(サブスクリプションID) ひも レコードが関連付けられているサブスクリプションの一意の識別子
TcpFlagsAck ブール TCP ACK フラグが報告されました。 受信確認フラグは、パケットを正常に受信したことを確認するために使われます。 上の図からわかるように、受信側は、3 方向ハンドシェイク プロセスの 2 番目の手順で ACK と SYN を送信して、最初のパケットを受信したことを送信者に伝えます。
TcpFlagsFin ブール 報告された TCP FIN フラグ。 完了フラグは、送信側からのデータがもうないことを意味します。 そのため、送信側から送信される最後のパケットで使われます。
TcpFlagsPsh ブール TCP PSH フラグが報告されました。 プッシュ フラグは URG フラグにやや似ています。これらのパケットをバッファリングするのではなく、受信したパケットを処理するように受信者に指示します。
TcpFlagsRst ブール TCP RST フラグが報告されました。 リセット フラグは、予期しない特定のホストにパケットが送信されたときに、受信側から送信側に送信されます。
TcpFlagsSyn ブール TCP SYN フラグが報告されました。 同期フラグは、2 つのホスト間で 3 方向ハンドシェイクを確立するための最初の手順として使用されます。 送信側と受信側の両方からの最初のパケットにのみ、このフラグを設定するようにします。
TcpFlagsUrg ブール TCP URG フラグが報告されました。 緊急フラグは、他のすべてのパケットを処理する前に、緊急パケットを処理するように受信側に通知するために使われます。 既知の緊急データがすべて受信されると、受信側にはその旨が通知されます。 詳細については、「RFC 6093」を参照してください。
テナント ID ひも Log Analytics ワークスペース ID
脅威カテゴリー ひも ネットワーク セッションで識別された脅威またはマルウェアのカテゴリ。
ThreatConfidence INT 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。
ThreatField ひも 脅威が特定されたフィールド。 値は SrcIpAddr、DstIpAddr、Domain、または DnsResponseName です。
脅威初報告時間 datetime IP アドレスまたはドメインが脅威として初めて識別された場合。
脅威識別子 ひも ネットワーク セッションで識別された脅威またはマルウェアの ID。
脅威IPアドレス ひも 脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。
脅威が活動中です ブール 特定された脅威がアクティブな脅威と見なされる真の ID。
脅威の最終報告時間 datetime 最後に IP アドレスまたはドメインが脅威として識別された時刻。
ThreatName ひも ネットワーク セッションで識別された脅威またはマルウェアの名前。
ThreatOriginalConfidence ひも レポート デバイスによって報告される、特定された脅威の元の信頼レベル。
ThreatOriginalRiskLevel ひも レポート デバイスによって報告されたリスク レベル。
脅威リスクレベル INT セッションに関連付けられているリスク レベル。 レベルは 0 から 100 までの数値です。
タイムジェネレイテッド DATETIME イベントが生成された時刻を反映するタイムスタンプ (UTC)。
タイプ ひも テーブルの名前