NetworkSessions
ファイアウォール、ワイヤ データ、NSG、Netflow、プロキシ システム、Web セキュリティ ゲートウェイによってログに記録されたネットワーク接続またはセッション。
テーブル属性
属性 | 値 |
---|---|
リソースの種類 | - |
Categories (カテゴリ) | セキュリティ |
ソリューション | SecurityInsights |
基本的なログ | いいえ |
インジェスト時間変換 | いいえ |
サンプル クエリ | はい |
列
Column | Type | 説明 |
---|---|---|
AdditionalFields | 動的 | スキーマ内のそれぞれの列が一致しない場合、追加フィールドを JSON バッグに格納できます。 |
_BilledSize | real | レコード サイズ (バイト単位) |
CloudAppId | string | プロキシによって識別される HTTP アプリケーションの送信先アプリケーションの ID。 この値は、通常、使用されるプロキシに固有です。 |
CloudAppName | string | プロキシによって識別される HTTP アプリケーションの送信先アプリケーションの名前。 |
CloudAppOperation | string | プロキシによって識別される HTTP アプリケーションの送信先アプリケーションのコンテキストでユーザーが実行した操作。 この値は、通常、使用されるプロキシに固有です。 |
CloudAppRiskLevel | string | プロキシによって識別される HTTP アプリケーションに関連付けられているリスク レベル。 この値は、通常、使用されるプロキシに固有です。 |
DstBytes | long | 接続またはセッションで送信先から送信元に送信されたバイト数。 |
DstDomainHostname | string | 宛先ホストのドメイン。 |
DstDvcDomain | string | 送信先デバイスのドメイン。 |
DstDvcFqdn | string | ログが作成されたホストの完全修飾ドメイン名。 |
DstDvcHostname | string | 宛先デバイスのデバイス名。 |
DstDvcIpAddr | string | ネットワーク パケットに直接関連付けられていないデバイスの宛先 IP アドレス。 |
DstDvcMacAddr | string | ネットワーク パケットに直接関連付けられていないデバイスの送信先 MAC アドレス。 |
DstGeoCity | string | ターゲット IP アドレスに関連付けられている都市。 |
DstGeoCountry | string | 発信元 IP アドレスに関連付けられている国。 |
DstGeoLatitude | real | ターゲット IP アドレスに関連付けられている地理的座標の緯度。 |
DstGeoLongitude | real | 送信先 IP アドレスに関連付けられている地理的座標の経度 |
DstGeoRegion | string | 宛先 IP アドレスに関連付けられている国内のリージョン。 |
DstInterfaceGuid | string | 認証要求に使用されたネットワーク インターフェイスの GUID。 |
DstInterfaceName | string | 送信先デバイスによる接続またはセッションに使用されるネットワーク インターフェイス。 |
DstIpAddr | string | 接続またはセッションのターゲットの IP アドレス。 |
DstMacAddr | string | 接続またはセッションが終了したネットワーク インターフェイスの MAC アドレス。 |
DstNatIpAddr | string | ファイアウォールなどの中間 NAT デバイスによって報告された場合は、その NAT デバイスが送信元との通信に使用する IP アドレス。 |
DstNatPortNumber | INT | ファイアウォールなどの中間 NAT デバイスによって報告された場合は、その NAT デバイスが送信元との通信に使用するポート。 |
DstPackets | long | 接続またはセッションで送信先から送信元に送信されたパケット数。 パケットの意味はレポート デバイスで定義されます。 |
DstPortNumber | INT | 送信先 IP ポート。 |
DstResourceId | string | 送信先デバイスのリソース。 |
DstUserAadId | string | セッションの送信先のユーザーの Azure AD アカウント オブジェクト ID。 |
DstUserDomain | string | セッションの宛先にあるアカウントのドメインまたはコンピューター名。 |
DstUserName | string | セッションの送信先に関連付けられている ID のユーザー名。 |
DstUserSid | string | セッションの宛先に関連付けられている ID のユーザー ID。 通常、サーバーの認証に使用される ID。 |
DstUserUpn | string | セッションの送信先に関連付けられている ID の UPN。 |
DstZone | string | レポート デバイスにより定義された、送信先のネットワーク ゾーン。 |
DvcAction | string | ファイアウォールなどの中間デバイスによって報告された場合に、デバイスによって実行されるアクション。 |
DvcHostname | string | メッセージを生成しているデバイスのデバイス名。 |
DvcInboundInterface | string | ファイアウォールなどの中間デバイスによって報告された場合に、送信元デバイスへの接続に使用されるネットワーク インターフェイス。 |
DvcIpAddr | string | レコードを生成するデバイスの IP アドレス。 |
DvcMacAddr | string | イベントの送信元のレポート デバイスのネットワーク インターフェイスの MAC アドレス。 |
DvcOutboundInterface | string | ファイアウォールなどの中間デバイスによって報告された場合に、送信先デバイスへの接続に使用されるネットワーク インターフェイス。 |
EventCount | INT | 集計されたイベントの数 (該当する場合)。 |
EventEndTime | DATETIME | イベントが終了した時刻。 |
EventMessage | string | レコードに含まれる、またはレコードから生成された一般的なメッセージまたは説明。 |
EventOriginalUid | string | レポート デバイスからのレコード ID。 |
EventProduct | string | イベントを生成している製品。 |
EventProductVersion | string | イベントを生成している製品のバージョン。 |
EventReportUrl | string | レポート デバイスによって作成された完全なレポートへのリンク。 |
EventResourceId | string | メッセージを生成しているデバイスのリソース ID。 |
EventResult | string | アクティビティについて報告された結果。 該当しない場合は空の値。 |
EventResultDetails | string | EventResult で報告された結果の理由 |
EventSchemaVersion | string | Azure Sentinel スキーマのバージョン。 |
EventSeverity | string | 報告されたアクティビティがセキュリティに影響を与える場合、影響の重大度を示します。 |
EventStartTime | DATETIME | イベントが示した時刻。 |
EventSubType | string | 該当する場合は、型の追加の説明。 |
EventTimeIngested | DATETIME | イベントが Azure Sentinel に取り込まれたされた時刻。 Azure Sentinel によって追加されます。 |
EventType | string | 収集されるイベントの種類。 |
EventUid | string | Sentinel が行をマークするために使用する一意の識別子。 |
EventVendor | string | イベントを生成している製品のベンダー。 |
FileExtension | string | FTP や HTTP などのプロトコルのネットワーク接続を介して送信されるファイルの SHA256 ハッシュ値。 |
FileHashMd5 | string | プロトコルのネットワーク接続を介して送信されるファイルの MD5 ハッシュ値。 |
FileHashSha1 | string | プロトコルのネットワーク接続を介して送信されるファイルの SHA1 ハッシュ値。 |
FileHashSha256 | string | プロトコルのネットワーク接続を介して送信されるファイルの SHA256 ハッシュ値。 |
FileHashSha512 | string | プロトコルのネットワーク接続を介して送信されるファイルの SHA512 ハッシュ値。 |
FileMimeType | string | FTP や HTTP などのプロトコルのネットワーク接続経由で送信されるファイルの MIME の種類。 |
FileName | string | ファイル名情報を提供する FTP や HTTP などのプロトコルのネットワーク接続で送信されるファイル名。 |
FilePath | string | ファイルの完全なパス (ファイル名を含む)。 |
FileSize | INT | プロトコルのネットワーク接続を介して送信されるファイルのファイルサイズ (バイト単位)。 |
HttpContentType | string | HTTP/HTTPS ネットワーク セッションの HTTP 応答のコンテンツ タイプのヘッダー。 |
HttpReferrerOriginal | string | HTTP/HTTPS ネットワーク セッションの HTTP 参照元ヘッダー。 |
HttpRequestMethod | string | HTTP/HTTPS ネットワーク セッションの HTTP メソッド。 |
HttpRequestTime | INT | 要求がサーバーに送信されるまでにかかった時間 (該当する場合)。 |
HttpRequestXff | string | HTTP/HTTPS ネットワーク セッションの HTTP X-Forwarded-For ヘッダー。 |
HttpResponseTime | INT | サーバーで応答を受け取るまでにかかった時間 (該当する場合)。 |
HttpStatusCode | string | HTTP/HTTPS ネットワーク セッションの HTTP 状態コード。 |
HttpUserAgentOriginal | string | HTTP/HTTPS ネットワーク セッションの HTTP ユーザー エージェント ヘッダー。 |
HttpVersion | string | HTTP/HTTPS ネットワーク接続の HTTP 要求バージョン。 |
_IsBillable | string | データの取り込みに課金されるかどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
NetworkApplicationProtocol | string | 接続またはセッションで使用されるアプリケーション レイヤー プロトコル。 |
NetworkBytes | long | 両方向に送信されたバイト数。 BytesReceived と BytesSent が両方とも存在する場合、BytesTotal はその合計と同じである必要があります。 |
NetworkDirection | string | 組織に対する接続またはセッションの方向。 |
NetworkDuration | INT | ネットワーク セッションまたは接続が完了するまでの時間 (ミリ秒単位)。 |
NetworkIcmpCode | INT | ICMP メッセージの場合、ICMP メッセージの種類の数値 (RFC 2780 または RFC 4443)。 |
NetworkIcmpType | string | ICMP メッセージの場合は、ICMP メッセージの種類のテキスト表現 (RFC 2780 または RFC 4443)。 |
NetworkPackets | long | 両方向に送信されたパケット数。 PacketsReceived と PacketsSent が両方とも存在する場合、BytesTotal はその合計と同じである必要があります。 |
NetworkProtocol | string | 接続またはセッションで使用される IP プロトコル。 通常は、TCP、UDP、または ICMP です。 |
NetworkRuleName | string | DeviceAction が決定されたルールの名前または ID。 |
NetworkRuleNumber | INT | 一致したルール番号。 |
NetworkSessionId | string | レポート デバイスによって報告されたセッション識別子。 |
SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux 場合、または Azure Azure Diagnostics |
SrcBytes | long | 接続またはセッションで送信元から送信先に送信されたバイト数。 |
SrcDvcDomain | string | セッションが開始されたデバイスのドメイン。 |
SrcDvcFqdn | string | ログが作成されたホストの完全修飾ドメイン名。 |
SrcDvcHostname | string | ソース デバイスのデバイス名。 |
SrcDvcIpAddr | string | ネットワーク パケットに直接関連付けられていないデバイスの送信元 IP アドレス (プロバイダーによって収集されるか、明示的に計算されます)。 |
SrcDvcMacAddr | string | ネットワーク パケットに直接関連付けられていないデバイスの送信元 MAC アドレス。 |
SrcDvcModelName | string | ソース デバイスのモデル。 |
SrcDvcModelNumber | string | ソース デバイスのモデル番号。 |
SrcDvcOs | string | ソース デバイスの OS。 |
SrcDvcType | string | ソース デバイスの種類。 |
SrcGeoCity | string | 発信元 IP アドレスに関連付けられている都市。 |
SrcGeoCountry | string | 発信元 IP アドレスに関連付けられている国。 |
SrcGeoLatitude | real | 発信元 IP アドレスに関連付けられている地理的座標の緯度。 |
SrcGeoLongitude | real | 発信元 IP アドレスに関連付けられている地理的座標の経度。 |
SrcGeoRegion | string | 発信元 IP アドレスに関連付けられている国内の地域。 |
SrcInterfaceGuid | string | 使用されるネットワーク インターフェイスの GUID。 |
SrcInterfaceName | string | 送信元デバイスで接続またはセッションに使用されるネットワーク インターフェイス。 |
SrcIpAddr | string | 接続またはセッションの開始元の IP アドレス。 |
SrcMacAddr | string | 接続またはセッションの開始元のネットワーク インターフェイスの MAC アドレス。 |
SrcNatIpAddr | string | ファイアウォールなどの中間 NAT デバイスによって報告された場合は、その NAT デバイスが送信先との通信に使用する IP アドレス。 |
SrcNatPortNumber | INT | ファイアウォールなどの中間 NAT デバイスによって報告された場合は、その NAT デバイスが送信先との通信に使用するポート。 |
SrcPackets | long | 接続またはセッションで送信元から送信先に送信されたパケット数。 パケットの意味はレポート デバイスで定義されます。 |
SrcPortNumber | INT | 接続元の IP ポート。 複数の接続を構成するセッションに関連しないことがあります。 |
SrcResourceId | string | メッセージを生成しているデバイスのリソース ID。 |
SrcUserAadId | string | セッションのソースエンドにあるユーザーの Azure AD アカウント オブジェクト ID。 |
SrcUserDomain | string | セッションを開始するアカウントのドメイン。 |
SrcUserName | string | セッションの送信元に関連付けられている識別子のユーザー名。 通常、クライアントに対してアクションを実行するユーザー。 |
SrcUserSid | string | セッションの送信元に関連付けられている識別子のユーザー ID。 通常、クライアントに対してアクションを実行するユーザー。 |
SrcUserUpn | string | セッションを開始するアカウントの UPN。 |
SrcZone | string | レポート デバイスにより定義された、送信元のネットワーク ゾーン。 |
TenantId | string | Log Analytics ワークスペース ID |
ThreatCategory | string | IPS の Web Security Gateway などのセキュリティ システムによって識別され、このネットワーク セッションに関連付けられている脅威のカテゴリ。 |
ThreatId | string | IP の Web セキュリティゲートウェイなどのセキュリティシステムによって識別され、このネットワークセッションに関連付けられている脅威の ID。 |
ThreatName | string | 特定された脅威またはマルウェアの名前。 |
TimeGenerated | DATETIME | レポート ソースによって報告された、イベントが発生した時刻。 |
Type | string | テーブルの名前 |
UrlCategory | string | URL (つまり、成人、ニュース、広告、パークされたドメインなど) に関連する URL の定義されたグループ化 (または URL 内のドメインに基づく場合もあります)。 |
UrlHostname | string | HTTP/HTTPS ネットワーク セッションの HTTP 要求 URL のドメイン部分。 |
UrlOriginal | string | HTTP/HTTPS ネットワーク セッションの HTTP 要求 URL。 |
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示