ASimWebSessionLogs
ASIM(고급 보안 정보 모델) 웹 세션 정규화 스키마 - IP 네트워크 활동을 설명합니다. 예를 들어 IP 네트워크 활동은 웹 서버, 웹 프록시 및 웹 보안 게이트웨이에 의해 보고됩니다.
테이블 특성
| attribute | 값 |
|---|---|
| 리소스 종류 | microsoft.securityinsights/websessionlogs |
| 범주 | 보안 |
| 솔루션 | SecurityInsights |
| 기본 로그 | No |
| 수집 시간 변환 | Yes |
| 샘플 쿼리 | - |
열
| 열 | 형식 | Description |
|---|---|---|
| AdditionalFields | 동적 | ASim에 매핑되지 않는 원본에서 제공하는 키/값 쌍을 사용하여 표시되는 추가 정보입니다. |
| _BilledSize | real | 레코드 크기(바이트) |
| DstAppId | string | 보고 디바이스에서 보고한 대상 애플리케이션의 ID입니다. |
| DstAppName | 문자열 | 대상 애플리케이션의 이름입니다. |
| DstAppType | 문자열 | 대상 애플리케이션의 형식입니다. |
| DstBytes | long | 연결 또는 세션의 대상에서 원본으로 보낸 바이트 수 이벤트가 집계되면 DstBytes는 집계된 모든 세션의 합계입니다. |
| DstDeviceType | 문자열 | 대상 디바이스의 형식입니다. |
| DstDomain | 문자열 | 대상 디바이스의 도메인입니다. |
| DstDomainType | 문자열 | DstDomain 형식입니다. |
| DstDvcId | string | 대상 디바이스의 ID입니다. |
| DstDvcIdType | 문자열 | DstDvcId 형식입니다. |
| DstDvcScope | 문자열 | 대상 디바이스가 속한 클라우드 플랫폼 scope. DvcScope는 Azure의 구독 및 AWS의 계정에 매핑됩니다. |
| DstDvcScopeId | 문자열 | 클라우드 플랫폼 scope 대상 디바이스가 속한 ID입니다. DvcScopeId는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
| DstFQDN | 문자열 | 사용 가능한 경우 도메인 정보를 포함한 대상 디바이스 호스트 이름입니다. |
| DstGeoCity | 문자열 | 대상 IP 주소와 연결된 도시입니다. |
| DstGeoCountry | 문자열 | 대상 IP 주소와 연결된 국가입니다. |
| DstGeoLatitude | real | 대상 IP 주소와 연결된 지리적 좌표의 위도입니다. |
| DstGeoLongitude | real | 대상 IP 주소와 연결된 지리적 좌표의 경도입니다. |
| DstGeoRegion | 문자열 | 대상 IP 주소와 연결된 국가 내의 지역 또는 주입니다. |
| DstHostname | 문자열 | 도메인 정보를 제외한 대상 디바이스 호스트 이름입니다. |
| DstIpAddr | 문자열 | 연결 또는 세션 대상의 IP 주소입니다. |
| DstMacAddr | 문자열 | 대상 디바이스의 연결 또는 세션에 사용되는 네트워크 인터페이스의 MAC 주소입니다. |
| DstNatIpAddr | 문자열 | DstNatIpAddr는 네트워크 주소 변환을 사용한 경우 대상 디바이스의 원래 주소 또는 원본과의 통신을 위해 중간 디바이스에서 사용하는 IP 주소 중 하나를 나타냅니다. |
| DstNatPortNumber | int | 중간 NAT 디바이스에서 보고한 경우 NAT 디바이스에서 원본과 통신하는 데 사용하는 포트입니다. |
| DstOriginalUserType | 문자열 | 원본에서 제공한 경우 원래 대상 사용자 유형입니다. |
| DstPackets | long | 연결 또는 세션의 대상에서 원본으로 전송된 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. 이벤트가 집계되면 DstPackets는 집계된 모든 세션의 합계입니다. |
| DstPortNumber | int | 대상 IP 포트 |
| DstUserId | 문자열 | 대상 사용자에 대한 컴퓨터 판독 가능한 영숫자 고유 표현입니다. |
| DstUserIdType | 문자열 | DstUserId 필드에 저장된 ID 형식입니다. |
| DstUsername | 문자열 | 사용 가능한 경우 도메인 정보를 포함한 대상 사용자 이름입니다. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다. |
| DstUsernameType | 문자열 | DstUsername 필드에 저장된 사용자 이름 형식을 지정합니다. |
| DstUserType | 문자열 | 대상 사용자의 형식입니다. |
| Dvc | 문자열 | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 고유 식별자입니다. |
| DvcAction | 문자열 | 웹 세션에서 수행된 작업입니다. |
| DvcDomain | 문자열 | 이벤트를 보고하는 디바이스의 도메인입니다. |
| DvcDomainType | 문자열 | DvcDomain 형식입니다. 가능한 값에는 'Windows' 및 'FQDN'이 포함됩니다. |
| DvcFQDN | 문자열 | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 호스트 이름입니다. |
| DvcHostname | 문자열 | 이벤트를 보고하는 디바이스의 호스트 이름입니다. |
| DvcId | 문자열 | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 고유 ID입니다. |
| DvcIdType | 문자열 | DvcId 형식입니다. |
| DvcIpAddr | 문자열 | 이벤트를 보고하는 디바이스의 IP 주소입니다. |
| DvcOriginalAction | 문자열 | 보고 디바이스에서 제공한 원래 DvcAction입니다. |
| EventCount | int | 이 값은 원본에서 집계를 지원할 때 사용되며, 단일 레코드에서 여러 이벤트를 나타낼 수 있습니다. |
| EventEndTime | Datetime | 이벤트가 종료된 시간입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 마지막 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
| EventMessage | 문자열 | 일반 메시지 또는 설명입니다. |
| EventOriginalResultDetails | 문자열 | 원본에서 제공한 원본 결과 세부 정보입니다. 이 값은 각 스키마에 대해 문서화된 값 중 하나만 있어야 하는 EventResultDetails를 파생하는 데 사용됩니다. |
| EventOriginalSeverity | 문자열 | 보고 디바이스에서 제공한 원래 심각도입니다. 이 값은 EventSeverity를 파생하는 데 사용됩니다. |
| EventOriginalSubType | 문자열 | 원본에서 제공한 경우 원래 이벤트 하위 형식 또는 ID입니다. 예를 들어, 이 필드는 원래 Windows 로그온 형식을 저장하는 데 사용됩니다. 이 값은 각 스키마에 대해 문서화된 값 중 하나만 있어야 하는 EventSubType을 파생하는 데 사용됩니다. |
| EventOriginalType | 문자열 | 원본에서 제공하는 경우 원본 이벤트 유형 또는 ID입니다. |
| EventOriginalUid | 문자열 | 원본에서 제공하는 경우 원래 레코드의 고유 ID입니다. |
| EventOwner | 문자열 | 이벤트의 소유자이며, 일반적으로 생성된 부서 또는 자회사입니다. |
| EventProduct | 문자열 | 이벤트를 생성하는 제품 |
| EventProductVersion | 문자열 | 이벤트를 생성하는 제품의 버전 |
| EventReportUrl | 문자열 | 이벤트에 대한 추가 정보를 제공하는 리소스에 대해 이벤트에 제공된 URL입니다. |
| EventResult | 문자열 | 성공, 부분, 실패, NA(해당 없음) 값 중 하나로 표시되는 이벤트의 결과입니다. 값은 원본에서 직접 제공할 수 없습니다. 이 경우 EventResultDetails 필드와 같은 다른 이벤트 필드에서 파생됩니다. |
| EventResultDetails | 문자열 | HTTP 상태 코드입니다. |
| EventSchemaVersion | 문자열 | 스키마의 버전입니다. |
| EventSeverity | 문자열 | 이벤트의 심각도입니다. 유효한 값은 정보, 낮음, 중간 또는 높음입니다. |
| EventStartTime | Datetime | 이벤트가 시작된 시간입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 첫 번째 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
| EventSubType | 문자열 | 해당하는 경우 이벤트 유형에 대한 추가 설명입니다. |
| EventType | string | 레코드에서 보고한 작업입니다. |
| EventVendor | 문자열 | 이벤트를 생성하는 제품의 공급 업체 |
| FileContentType | 문자열 | HTTP 업로드의 경우 업로드된 파일의 콘텐츠 형식입니다. |
| FileMD5 | 문자열 | HTTP 업로드의 경우 업로드된 파일의 MD5 해시입니다. |
| FileName | string | HTTP 업로드의 경우 업로드된 파일의 이름입니다. |
| FileSHA1 | 문자열 | HTTP 업로드의 경우 업로드된 파일의 SHA1 해시입니다. |
| FileSHA256 | 문자열 | HTTP 업로드의 경우 업로드된 파일의 SHA256 해시입니다. |
| FileSHA512 | 문자열 | HTTP 업로드의 경우 업로드된 파일의 SHA512 해시입니다. |
| FileSize | int | HTTP 업로드의 경우 업로드된 파일의 크기(바이트)입니다. |
| HttpContentFormat | string | HttpContentType의 콘텐츠 형식 부분 |
| HttpContentType | 문자열 | HTTP 응답 콘텐츠 형식 헤더입니다. |
| HttpHost | string | HTTP 요청이 대상으로 지정한 가상 웹 서버입니다. |
| HttpReferrer | string | HTTP 참조 페이지 헤더입니다. |
| HttpRequestMethod | 문자열 | HTTP 메서드입니다. |
| HttpRequestTime | int | 요청을 서버로 보내는 데 걸린 시간(밀리초)입니다. |
| HttpRequestXff | 문자열 | HTTP X-Forwarded-For 헤더입니다. |
| HttpResponseTime | int | 서버에서 응답을 받는 데 걸린 시간(밀리초)입니다. |
| HttpUserAgent | string | HTTP 사용자 에이전트 헤더입니다. |
| HttpVersion | 문자열 | HTTP 요청 버전. |
| _IsBillable | 문자열 | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 청구되지 않음 |
| NetworkApplicationProtocol | 문자열 | 연결 또는 세션에서 사용하는 애플리케이션 계층 프로토콜입니다. |
| NetworkBytes | long | 양방향으로 전송된 바이트 수. BytesReceived와 BytesSent가 모두 있는 경우 그 합계는 BytesTotal과 같아야 합니다. 이벤트가 집계되면 NetworkBytes는 집계된 모든 세션의 합계입니다. |
| NetworkConnectionHistory | 문자열 | TCP 플래그 및 기타 잠재적인 IP 헤더 정보. |
| NetworkDirection | 문자열 | 연결 또는 세션의 방향입니다. |
| NetworkDuration | int | 웹 세션 또는 연결이 완료되는 데 걸리는 시간(밀리초)입니다. |
| NetworkIcmpCode | int | ICMP 메시지의 경우 IPv4 네트워크 연결의 경우 RFC 2780 또는 IPv6 네트워크 연결의 경우 RFC 4443에 설명된 대로 ICMP 메시지 형식 숫자 값입니다. |
| NetworkIcmpType | 문자열 | ICMP 메시지의 경우 IPv4 네트워크 연결에 대해서는 RFC 2780 또는 IPv6 네트워크 연결에 대해서는 RFC 4443에 설명된 대로 ICMP 메시지 형식 텍스트 표현입니다. |
| NetworkPackets | long | 양방향으로 전송된 패킷 수입니다. PacketsReceived와 PacketsSent가 모두 있는 경우 그 합계는 BytesTotal과 같아야 합니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. 이벤트가 집계되면 NetworkPackets는 집계된 모든 세션의 합계입니다. |
| NetworkProtocol | 문자열 | 일반적으로 TCP, UDP 또는 ICMP인 IANA 프로토콜 할당에 나열된 대로 연결 또는 세션에서 사용하는 IP 프로토콜입니다. |
| NetworkProtocolVersion | 문자열 | NetworkProtocol의 버전입니다. |
| NetworkSessionId | 문자열 | 보고 디바이스에서 보고한 세션 식별자 |
| _ResourceId | 문자열 | 레코드가 연결된 리소스의 고유 식별자입니다. |
| 규칙 | string | NetworkRuleName 또는 NetworkRuleNumber |
| RuleName | 문자열 | DvcAction이 결정된 규칙의 이름 또는 ID입니다. 예: AnyAnyDrop |
| RuleNumber | int | DvcAction이 결정된 규칙의 번호입니다. 예: 23 |
| SourceSystem | 문자열 | 이벤트가 수집된 에이전트 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
| SrcAppId | 문자열 | 보고 디바이스에서 보고한 원본 애플리케이션의 ID입니다. |
| SrcAppName | 문자열 | 원본 애플리케이션의 이름입니다. |
| SrcAppType | 문자열 | 원본 애플리케이션의 형식입니다. |
| SrcBytes | long | 연결 또는 세션의 원본에서 대상으로 보낸 바이트 수 이벤트가 집계되면 SrcBytes는 집계된 모든 세션에 대한 합계입니다. |
| SrcDeviceType | 문자열 | 원본 디바이스의 형식입니다. |
| SrcDomain | string | 원본 디바이스의 도메인입니다. |
| SrcDomainType | string | SrcDomain 형식입니다. |
| SrcDvcId | string | 원본 디바이스의 ID입니다. |
| SrcDvcIdType | string | SrcDvcId 형식입니다. |
| SrcDvcScope | 문자열 | 원본 디바이스가 속한 클라우드 플랫폼 scope. DvcScope는 Azure의 구독 및 AWS의 계정에 매핑됩니다. |
| SrcDvcScopeId | 문자열 | 원본 디바이스가 속한 클라우드 플랫폼 scope ID입니다. DvcScopeId는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
| SrcFQDN | 문자열 | 사용 가능한 경우 도메인 정보를 포함한 원본 디바이스 호스트 이름입니다. |
| SrcGeoCity | string | 원본 IP 주소와 연결된 도시입니다. |
| SrcGeoCountry | string | 원본 IP 주소와 연결된 국가입니다. |
| SrcGeoLatitude | real | 원본 IP 주소와 연결된 지리적 좌표의 위도입니다. |
| SrcGeoLongitude | real | 원본 IP 주소와 연결된 지리적 좌표의 경도입니다. |
| SrcGeoRegion | string | 원본 IP 주소와 연결된 국가 내의 지역입니다. |
| SrcHostname | 문자열 | 도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. 사용할 수 있는 디바이스 이름이 없으면 관련 IP 주소를 저장할 수 있습니다. |
| SrcIpAddr | 문자열 | 연결 또는 세션이 시작된 IP 주소 |
| SrcMacAddr | 문자열 | 연결 또는 세션이 시작된 네트워크 인터페이스의 MAC 주소입니다. |
| SrcNatIpAddr | 문자열 | SrcNatIpAddr는 네트워크 주소 변환을 사용한 경우 원본 디바이스의 원래 주소 또는 대상과의 통신을 위해 중간 디바이스에서 사용하는 IP 주소 중 하나를 나타냅니다. |
| SrcNatPortNumber | int | 중간 NAT 디바이스에서 보고된 경우 NAT 디바이스에서 대상과 통신하는 데 사용하는 포트입니다. |
| SrcOriginalUserType | string | 보고 디바이스에서 에서 제공하는 경우 원래 대상 사용자 유형입니다. |
| SrcPackets | long | 연결 또는 세션 원본에서 대상으로 보낸 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. 이벤트가 집계되면 SrcPackets는 집계된 모든 세션의 합계입니다. |
| SrcPortNumber | int | 연결이 시작된 IP 포트. 여러 연결을 구성하는 세션과 관련이 없을 수 있습니다. |
| SrcProcessGuid | 문자열 | 원본 프로세스의 생성된 GUID(고유 식별자)입니다. |
| SrcProcessId | 문자열 | 원본 프로세스의 PID(프로세스 ID)입니다. |
| SrcProcessName | 문자열 | 원본 프로세스의 이름입니다. |
| SrcUserId | 문자열 | 원본 사용자에 대한 컴퓨터 판독 가능한 영숫자 고유 표현입니다. |
| SrcUserIdType | 문자열 | SrcUserId 필드에 저장된 ID 형식입니다. |
| SrcUsername | 문자열 | 사용 가능한 경우 도메인 정보를 포함한 원본 사용자 이름입니다. |
| SrcUsernameType | 문자열 | SrcUsername 필드에 저장된 사용자 이름 형식을 지정합니다. |
| SrcUserScope | 문자열 | SrcUserId 및 SrcUsername이 정의된 범위(예: Azure AD 테넌트)입니다. |
| SrcUserScopeId | 문자열 | SrcUserId 및 SrcUsername이 정의된 Azure AD 테넌트와 같은 scope ID입니다. |
| SrcUserType | 문자열 | 원본 사용자의 형식입니다. |
| _SubscriptionId | 문자열 | 레코드가 연결된 구독의 고유 식별자입니다. |
| TenantId | 문자열 | Log Analytics 작업 영역 ID |
| ThreatCategory | 문자열 | 웹 세션에서 식별된 위협 또는 맬웨어의 범주입니다. |
| ThreatConfidence | int | 식별된 위협의 신뢰 수준이며, 0~100의 값으로 정규화됩니다. |
| ThreatField | 문자열 | 위협이 식별된 필드입니다. 값은 SrcIpAddr, DstIpAddr, Domain 또는 DnsResponseName입니다. |
| ThreatFirstReportedTime | Datetime | IP 주소 또는 도메인이 처음으로 위협으로 식별된 시간입니다. |
| ThreatId | 문자열 | 웹 세션에서 식별된 위협 또는 맬웨어의 ID입니다. |
| ThreatIpAddr | 문자열 | 위협이 식별된 IP 주소입니다. ThreatField 필드에는 ThreatIpAddr에서 나타내는 필드의 이름이 포함됩니다. |
| ThreatIsActive | bool | 식별된 위협이 활성 위협으로 간주되는 True ID입니다. |
| ThreatLastReportedTime | Datetime | IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
| ThreatName | 문자열 | 웹 세션에서 식별된 위협 또는 맬웨어의 이름입니다. |
| ThreatOriginalConfidence | string | 보고 디바이스에서 보고하는 식별된 위협의 원래 신뢰 수준입니다. |
| ThreatOriginalRiskLevel | string | 보고 디바이스에서 보고한 위험 수준입니다. |
| ThreatRiskLevel | int | 세션과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자입니다. |
| TimeGenerated | Datetime | 이벤트가 생성된 시간을 반영하는 타임스탬프(UTC)입니다. |
| Type | 문자열 | 테이블의 이름입니다. |
| Url | 문자열 | 매개 변수를 포함한 전체 HTTP 요청 URL입니다. |
| UrlCategory | 문자열 | URL의 정의된 그룹화 또는 URL의 도메인 부분입니다. |
| UrlOriginal | 문자열 | URL이 보고 디바이스에 의해 수정되고 두 값이 모두 제공된 경우 URL의 원래 값입니다. |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기