NetworkSessions
네트워크 연결 또는 방화벽, 유선 데이터, NSG, Netflow, 프록시 시스템 및 웹 보안 게이트웨이에 의해 기록된 세션과 같은 세션입니다.
테이블 특성
| attribute | 값 |
|---|---|
| 리소스 종류 | - |
| 범주 | 보안 |
| 솔루션 | SecurityInsights |
| 기본 로그 | No |
| 수집 시간 변환 | No |
| 샘플 쿼리 | 예 |
열
| 열 | 형식 | Description |
|---|---|---|
| AdditionalFields | 동적 | 스키마에 일치하는 해당 열이 없으면 JSON 모음에 추가 필드를 저장할 수 있습니다. |
| _BilledSize | real | 레코드 크기(바이트) |
| CloudAppId | 문자열 | 프록시로 식별되는 HTTP 애플리케이션의 대상 애플리케이션 ID. 이 값은 일반적으로 사용되는 프록시와 관련이 있습니다. |
| CloudAppName | 문자열 | 프록시로 식별되는 HTTP 애플리케이션의 대상 애플리케이션 이름 |
| CloudAppOperation | 문자열 | 프록시로 식별되는 HTTP 애플리케이션의 대상 애플리케이션 컨텍스트에서 사용자가 수행한 작업. 이 값은 일반적으로 사용되는 프록시와 관련이 있습니다. |
| CloudAppRiskLevel | 문자열 | 프록시로 식별되는 HTTP 애플리케이션과 연결된 위험 수준. 이 값은 일반적으로 사용되는 프록시와 관련이 있습니다. |
| DstBytes | long | 연결 또는 세션의 대상에서 원본으로 보낸 바이트 수 |
| DstDomainHostname | 문자열 | 대상 호스트의 도메인입니다. |
| DstDvcDomain | 문자열 | 대상 디바이스의 도메인 |
| DstDvcFqdn | string | 로그를 만든 호스트의 정규화된 도메인 이름입니다. |
| DstDvcHostname | 문자열 | 대상 디바이스의 디바이스 이름입니다. |
| DstDvcIpAddr | 문자열 | 네트워크 패킷과 직접 연결되지 않은 디바이스의 대상 IP 주소입니다. |
| DstDvcMacAddr | 문자열 | 네트워크 패킷과 직접 연결되지 않은 디바이스의 대상 MAC 주소 |
| DstGeoCity | string | 대상 IP 주소와 연결된 도시입니다. |
| DstGeoCountry | 문자열 | 원본 IP 주소와 연결된 국가입니다. |
| DstGeoLatitude | real | 대상 IP 주소와 연결된 지리적 좌표의 위도입니다. |
| DstGeoLongitude | real | 대상 IP 주소와 연결된 지리적 좌표의 경도 |
| DstGeoRegion | 문자열 | 대상 IP 주소와 연결된 국가 내의 지역입니다. |
| DstInterfaceGuid | 문자열 | 인증 요청에 사용된 네트워크 인터페이스의 GUID입니다. |
| DstInterfaceName | 문자열 | 대상 디바이스의 연결 또는 세션에 사용되는 네트워크 인터페이스 |
| DstIpAddr | 문자열 | 연결 또는 세션 대상의 IP 주소입니다. |
| DstMacAddr | 문자열 | 연결 또는 세션이 종료된 네트워크 인터페이스의 MAC 주소입니다. |
| DstNatIpAddr | 문자열 | 방화벽과 같은 중간 NAT 디바이스에서 보고되는 경우 NAT 디바이스에서 원본과의 통신에 사용하는 IP 주소 |
| DstNatPortNumber | int | 방화벽과 같은 중간 NAT 디바이스에서 보고되는 경우 NAT 디바이스에서 원본과의 통신에 사용하는 포트 |
| DstPackets | long | 연결 또는 세션의 대상에서 원본으로 전송된 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. |
| DstPortNumber | int | 대상 IP 포트 |
| DstResourceId | 문자열 | 대상 디바이스의 리소스 ID |
| DstUserAadId | 문자열 | 세션의 대상 끝에 있는 사용자의 Azure AD 계정 개체 ID입니다. |
| DstUserDomain | 문자열 | 세션 대상에 있는 계정의 도메인 또는 컴퓨터 이름입니다. |
| DstUserName | 문자열 | 세션 대상에 연결된 ID의 사용자 이름 |
| DstUserSid | 문자열 | 세션 대상과 연결된 ID의 사용자 ID입니다. 일반적으로 서버를 인증하는 데 사용되는 ID입니다. |
| DstUserUpn | 문자열 | 세션 대상에 연결된 ID의 UPN |
| DstZone | 문자열 | 보고 디바이스에 정의된 대상의 네트워크 영역 |
| DvcAction | 문자열 | 방화벽과 같은 중간 디바이스에서 보고한 경우 디바이스에서 수행하는 작업 |
| DvcHostname | 문자열 | 메시지를 생성하는 디바이스의 디바이스 이름 |
| DvcInboundInterface | 문자열 | 방화벽과 같은 중간 디바이스에서 보고하는 경우 원본 디바이스에 연결하는 데 사용하는 네트워크 인터페이스 |
| DvcIpAddr | 문자열 | 레코드를 생성하는 디바이스의 IP 주소입니다. |
| DvcMacAddr | 문자열 | 이벤트를 보낸 보고 디바이스의 네트워크 인터페이스에 대한 MAC 주소 |
| DvcOutboundInterface | 문자열 | 방화벽과 같은 중간 디바이스에서 보고하는 경우 대상 디바이스에 연결하는 데 사용하는 네트워크 인터페이스 |
| EventCount | int | 집계된 이벤트 수(해당하는 경우) |
| EventEndTime | Datetime | 이벤트가 종료된 시간입니다. |
| EventMessage | 문자열 | 레코드에 포함되거나 레코드에서 생성된 일반 메시지 또는 설명입니다. |
| EventOriginalUid | 문자열 | 보고 디바이스의 레코드 ID |
| EventProduct | 문자열 | 이벤트를 생성하는 제품 |
| EventProductVersion | 문자열 | 이벤트를 생성하는 제품의 버전 |
| EventReportUrl | 문자열 | 보고 디바이스에서 만든 전체 보고서에 대한 링크입니다. |
| EventResourceId | 문자열 | 메시지를 생성하는 디바이스의 리소스 ID |
| EventResult | 문자열 | 작업에 대해 보고된 결과로 해당 사항이 없는 경우 빈 값입니다. |
| EventResultDetails | 문자열 | EventResult에 보고된 결과의 이유 |
| EventSchemaVersion | 문자열 | Azure Sentinel 스키마 버전으로 |
| EventSeverity | 문자열 | 보고된 작업이 보안에 영향을 주는 경우 영향의 심각도를 나타냅니다. |
| EventStartTime | Datetime | 이벤트가 명시된 시간입니다. |
| EventSubType | string | 해당하는 경우 형식에 대한 추가 설명입니다. |
| EventTimeIngested | Datetime | 이벤트가 Azure Sentinel로 수집된 시간으로 Azure Sentinel에서 추가됩니다. |
| EventType | string | 수집되는 이벤트의 유형입니다. |
| EventUid | 문자열 | Sentinel에서 행을 표시하는 데 사용하는 고유 식별자입니다. |
| EventVendor | 문자열 | 이벤트를 생성하는 제품의 공급 업체 |
| FileExtension | 문자열 | FTP 및 HTTP와 같은 프로토콜의 네트워크 연결을 통해 전송되는 파일의 유형 |
| FileHashMd5 | 문자열 | 프로토콜의 네트워크 연결을 통해 전송되는 파일의 MD5 해시 값 |
| FileHashSha1 | 문자열 | 프로토콜의 네트워크 연결을 통해 전송되는 파일의 SHA1 해시 값 |
| FileHashSha256 | 문자열 | 프로토콜의 네트워크 연결을 통해 전송되는 파일의 SHA256 해시 값 |
| FileHashSha512 | 문자열 | 프로토콜의 네트워크 연결을 통해 전송되는 파일의 SHA512 해시 값 |
| FileMimeType | 문자열 | FTP 및 HTTP와 같은 프로토콜에 대한 네트워크 연결을 통해 전송되는 파일의 MIME 형식입니다. |
| FileName | string | 파일 이름 정보를 제공하는 FTP 및 HTTP와 같은 프로토콜에 대한 네트워크 연결을 통해 전송되는 파일 이름 |
| FilePath | 문자열 | 파일 이름을 포함한 전체 경로입니다. |
| FileSize | int | 프로토콜의 네트워크 연결을 통해 전송되는 파일 크기(바이트) |
| HttpContentType | string | HTTP/HTTPS 네트워크 세션의 HTTP 응답 콘텐츠 형식 헤더 |
| HttpReferrerOriginal | 문자열 | HTTP/HTTPS 네트워크 세션의 HTTP 참조 페이지 헤더 |
| HttpRequestMethod | 문자열 | HTTP/HTTPS 네트워크 세션의 HTTP 메서드 |
| HttpRequestTime | int | 서버에 요청을 보내는 데 걸린 시간입니다(해당하는 경우). |
| HttpRequestXff | 문자열 | HTTP/HTTPS 네트워크 세션에 대한 HTTP X-Forwarded-For 헤더 |
| HttpResponseTime | int | 서버에서 응답을 받는 데 걸린 시간입니다(해당하는 경우). |
| HttpStatusCode | string | HTTP/HTTPS 네트워크 세션의 HTTP 상태 코드 |
| HttpUserAgentOriginal | 문자열 | HTTP/HTTPS 네트워크 세션의 HTTP 사용자 에이전트 헤더 |
| HttpVersion | 문자열 | HTTP/HTTPS 네트워크 연결의 HTTP 요청 버전 |
| _IsBillable | 문자열 | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 요금이 청구되지 않습니다. |
| NetworkApplicationProtocol | 문자열 | 연결 또는 세션에서 사용하는 애플리케이션 계층 프로토콜입니다. |
| NetworkBytes | long | 양방향으로 전송된 바이트 수. BytesReceived와 BytesSent가 모두 있는 경우 그 합계는 BytesTotal과 같아야 합니다. |
| NetworkDirection | string | 조직 내/외부로의 연결 또는 세션의 방향 |
| NetworkDuration | int | 네트워크 세션 또는 연결이 완료되는 데 걸리는 시간(밀리초)입니다. |
| NetworkIcmpCode | int | ICMP 메시지에서 ICMP 메시지 유형 숫자 값(RFC 2780 또는 RFC 4443) |
| NetworkIcmpType | 문자열 | ICMP 메시지에서 ICMP 메시지 유형 텍스트 표현(RFC 2780 또는 RFC 4443) |
| NetworkPackets | long | 양방향으로 전송된 패킷 수입니다. PacketsReceived와 PacketsSent가 모두 있는 경우 그 합계는 BytesTotal과 같아야 합니다. |
| NetworkProtocol | 문자열 | 연결 또는 세션에서 사용하는 IP 프로토콜로, 일반적으로 TCP, UDP 또는 ICMP입니다. |
| NetworkRuleName | 문자열 | DeviceAction이 결정된 규칙의 이름 또는 ID입니다. |
| NetworkRuleNumber | int | 일치하는 규칙 번호입니다. |
| NetworkSessionId | 문자열 | 보고 디바이스에서 보고한 세션 식별자 |
| SourceSystem | 문자열 | 이벤트가 수집된 에이전트 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
| SrcBytes | long | 연결 또는 세션의 원본에서 대상으로 보낸 바이트 수 |
| SrcDvcDomain | 문자열 | 세션이 시작된 디바이스의 도메인입니다. |
| SrcDvcFqdn | 문자열 | 로그를 만든 호스트의 정규화된 도메인 이름입니다. |
| SrcDvcHostname | 문자열 | 원본 디바이스의 디바이스 이름입니다. |
| SrcDvcIpAddr | 문자열 | 네트워크 패킷과 직접 연결되지 않은 디바이스의 원본 IP 주소(공급자가 수집하거나 명시적으로 계산) |
| SrcDvcMacAddr | string | 네트워크 패킷과 직접 연결되지 않은 디바이스의 원본 MAC 주소 |
| SrcDvcModelName | string | 원본 디바이스의 모델입니다. |
| SrcDvcModelNumber | string | 원본 디바이스의 모델 번호입니다. |
| SrcDvcOs | 문자열 | 원본 디바이스의 OS입니다. |
| SrcDvcType | 문자열 | 원본 디바이스의 형식입니다. |
| SrcGeoCity | 문자열 | 원본 IP 주소와 연결된 도시입니다. |
| SrcGeoCountry | 문자열 | 원본 IP 주소와 연결된 국가입니다. |
| SrcGeoLatitude | real | 원본 IP 주소와 연결된 지리적 좌표의 위도입니다. |
| SrcGeoLongitude | real | 원본 IP 주소와 연결된 지리적 좌표의 경도입니다. |
| SrcGeoRegion | string | 원본 IP 주소와 연결된 국가 내의 지역입니다. |
| SrcInterfaceGuid | 문자열 | 사용되는 네트워크 인터페이스의 GUID입니다. |
| SrcInterfaceName | 문자열 | 원본 디바이스에서 연결 또는 세션에 사용하는 네트워크 인터페이스 |
| SrcIpAddr | 문자열 | 연결 또는 세션이 시작된 IP 주소 |
| SrcMacAddr | 문자열 | 연결 또는 세션이 시작된 네트워크 인터페이스의 MAC 주소입니다. |
| SrcNatIpAddr | 문자열 | 방화벽과 같은 중간 NAT 디바이스에서 보고하는 경우 NAT 디바이스에서 대상과 통신하는 데 사용하는 IP 주소 |
| SrcNatPortNumber | int | 방화벽과 같은 중간 NAT 디바이스에서 보고하는 경우 NAT 디바이스에서 대상과 통신하는 데 사용하는 포트 |
| SrcPackets | long | 연결 또는 세션 원본에서 대상으로 보낸 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. |
| SrcPortNumber | int | 연결이 시작된 IP 포트. 여러 연결을 구성하는 세션과 관련이 없을 수 있습니다. |
| SrcResourceId | 문자열 | 메시지를 생성하는 디바이스의 리소스 ID |
| SrcUserAadId | string | 세션의 원본 끝에 있는 사용자의 Azure AD 계정 개체 ID입니다. |
| SrcUserDomain | 문자열 | 세션을 시작하는 계정의 도메인입니다. |
| SrcUserName | string | 세션 원본과 연결된 ID의 사용자 이름. 일반적으로 사용자는 클라이언트에서 작업을 수행합니다. |
| SrcUserSid | string | 세션 원본과 연결된 ID의 사용자 ID. 일반적으로 사용자는 클라이언트에서 작업을 수행합니다. |
| SrcUserUpn | 문자열 | 세션을 시작하는 계정의 UPN입니다. |
| SrcZone | string | 보고 디바이스에서 정의한 원본 네트워크 영역 |
| TenantId | 문자열 | Log Analytics 작업 영역 ID |
| ThreatCategory | 문자열 | IPS의 웹 보안 게이트웨이와 같은 보안 시스템에서 식별한 위협의 범주이며 이 네트워크 세션과 연결됩니다. |
| ThreatId | string | IPS의 웹 보안 게이트웨이와 같은 보안 시스템에서 식별한 위협의 ID이며 이 네트워크 세션과 연결됩니다. |
| ThreatName | 문자열 | 식별된 위협 또는 맬웨어의 이름입니다. |
| TimeGenerated | Datetime | 보고 원본에서 보고한 이벤트가 발생한 시간입니다. |
| Type | 문자열 | 테이블의 이름입니다. |
| UrlCategory | 문자열 | 정의된 URL 그룹화(또는 URL의 도메인을 기반으로 할 수 있음)는 그것이 무엇인지(예: 성인, 뉴스, 광고, 주차된 도메인 등)와 관련이 있습니다. |
| UrlHostname | string | HTTP/HTTPS 네트워크 세션에 대한 HTTP 요청 URL의 도메인 부분 |
| UrlOriginal | 문자열 | HTTP/HTTPS 네트워크 세션에 대한 HTTP 요청 URL |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기