NetworkSessions
네트워크 연결 또는 방화벽, 유선 데이터, NSG, Netflow, 프록시 시스템 및 웹 보안 게이트웨이에 의해 기록된 세션과 같은 세션입니다.
테이블 특성
attribute | 값 |
---|---|
리소스 종류 | - |
범주 | 보안 |
솔루션 | SecurityInsights |
기본 로그 | No |
수집 시간 변환 | No |
샘플 쿼리 | 예 |
열
열 | 형식 | Description |
---|---|---|
AdditionalFields | 동적 | 스키마에 일치하는 해당 열이 없으면 JSON 모음에 추가 필드를 저장할 수 있습니다. |
_BilledSize | real | 레코드 크기(바이트) |
CloudAppId | 문자열 | 프록시로 식별되는 HTTP 애플리케이션의 대상 애플리케이션 ID. 이 값은 일반적으로 사용되는 프록시와 관련이 있습니다. |
CloudAppName | 문자열 | 프록시로 식별되는 HTTP 애플리케이션의 대상 애플리케이션 이름 |
CloudAppOperation | 문자열 | 프록시로 식별되는 HTTP 애플리케이션의 대상 애플리케이션 컨텍스트에서 사용자가 수행한 작업. 이 값은 일반적으로 사용되는 프록시와 관련이 있습니다. |
CloudAppRiskLevel | 문자열 | 프록시로 식별되는 HTTP 애플리케이션과 연결된 위험 수준. 이 값은 일반적으로 사용되는 프록시와 관련이 있습니다. |
DstBytes | long | 연결 또는 세션의 대상에서 원본으로 보낸 바이트 수 |
DstDomainHostname | 문자열 | 대상 호스트의 도메인입니다. |
DstDvcDomain | 문자열 | 대상 디바이스의 도메인 |
DstDvcFqdn | string | 로그를 만든 호스트의 정규화된 도메인 이름입니다. |
DstDvcHostname | 문자열 | 대상 디바이스의 디바이스 이름입니다. |
DstDvcIpAddr | 문자열 | 네트워크 패킷과 직접 연결되지 않은 디바이스의 대상 IP 주소입니다. |
DstDvcMacAddr | 문자열 | 네트워크 패킷과 직접 연결되지 않은 디바이스의 대상 MAC 주소 |
DstGeoCity | string | 대상 IP 주소와 연결된 도시입니다. |
DstGeoCountry | 문자열 | 원본 IP 주소와 연결된 국가입니다. |
DstGeoLatitude | real | 대상 IP 주소와 연결된 지리적 좌표의 위도입니다. |
DstGeoLongitude | real | 대상 IP 주소와 연결된 지리적 좌표의 경도 |
DstGeoRegion | 문자열 | 대상 IP 주소와 연결된 국가 내의 지역입니다. |
DstInterfaceGuid | 문자열 | 인증 요청에 사용된 네트워크 인터페이스의 GUID입니다. |
DstInterfaceName | 문자열 | 대상 디바이스의 연결 또는 세션에 사용되는 네트워크 인터페이스 |
DstIpAddr | 문자열 | 연결 또는 세션 대상의 IP 주소입니다. |
DstMacAddr | 문자열 | 연결 또는 세션이 종료된 네트워크 인터페이스의 MAC 주소입니다. |
DstNatIpAddr | 문자열 | 방화벽과 같은 중간 NAT 디바이스에서 보고되는 경우 NAT 디바이스에서 원본과의 통신에 사용하는 IP 주소 |
DstNatPortNumber | int | 방화벽과 같은 중간 NAT 디바이스에서 보고되는 경우 NAT 디바이스에서 원본과의 통신에 사용하는 포트 |
DstPackets | long | 연결 또는 세션의 대상에서 원본으로 전송된 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. |
DstPortNumber | int | 대상 IP 포트 |
DstResourceId | 문자열 | 대상 디바이스의 리소스 ID |
DstUserAadId | 문자열 | 세션의 대상 끝에 있는 사용자의 Azure AD 계정 개체 ID입니다. |
DstUserDomain | 문자열 | 세션 대상에 있는 계정의 도메인 또는 컴퓨터 이름입니다. |
DstUserName | 문자열 | 세션 대상에 연결된 ID의 사용자 이름 |
DstUserSid | 문자열 | 세션 대상과 연결된 ID의 사용자 ID입니다. 일반적으로 서버를 인증하는 데 사용되는 ID입니다. |
DstUserUpn | 문자열 | 세션 대상에 연결된 ID의 UPN |
DstZone | 문자열 | 보고 디바이스에 정의된 대상의 네트워크 영역 |
DvcAction | 문자열 | 방화벽과 같은 중간 디바이스에서 보고한 경우 디바이스에서 수행하는 작업 |
DvcHostname | 문자열 | 메시지를 생성하는 디바이스의 디바이스 이름 |
DvcInboundInterface | 문자열 | 방화벽과 같은 중간 디바이스에서 보고하는 경우 원본 디바이스에 연결하는 데 사용하는 네트워크 인터페이스 |
DvcIpAddr | 문자열 | 레코드를 생성하는 디바이스의 IP 주소입니다. |
DvcMacAddr | 문자열 | 이벤트를 보낸 보고 디바이스의 네트워크 인터페이스에 대한 MAC 주소 |
DvcOutboundInterface | 문자열 | 방화벽과 같은 중간 디바이스에서 보고하는 경우 대상 디바이스에 연결하는 데 사용하는 네트워크 인터페이스 |
EventCount | int | 집계된 이벤트 수(해당하는 경우) |
EventEndTime | Datetime | 이벤트가 종료된 시간입니다. |
EventMessage | 문자열 | 레코드에 포함되거나 레코드에서 생성된 일반 메시지 또는 설명입니다. |
EventOriginalUid | 문자열 | 보고 디바이스의 레코드 ID |
EventProduct | 문자열 | 이벤트를 생성하는 제품 |
EventProductVersion | 문자열 | 이벤트를 생성하는 제품의 버전 |
EventReportUrl | 문자열 | 보고 디바이스에서 만든 전체 보고서에 대한 링크입니다. |
EventResourceId | 문자열 | 메시지를 생성하는 디바이스의 리소스 ID |
EventResult | 문자열 | 작업에 대해 보고된 결과로 해당 사항이 없는 경우 빈 값입니다. |
EventResultDetails | 문자열 | EventResult에 보고된 결과의 이유 |
EventSchemaVersion | 문자열 | Azure Sentinel 스키마 버전으로 |
EventSeverity | 문자열 | 보고된 작업이 보안에 영향을 주는 경우 영향의 심각도를 나타냅니다. |
EventStartTime | Datetime | 이벤트가 명시된 시간입니다. |
EventSubType | string | 해당하는 경우 형식에 대한 추가 설명입니다. |
EventTimeIngested | Datetime | 이벤트가 Azure Sentinel로 수집된 시간으로 Azure Sentinel에서 추가됩니다. |
EventType | string | 수집되는 이벤트의 유형입니다. |
EventUid | 문자열 | Sentinel에서 행을 표시하는 데 사용하는 고유 식별자입니다. |
EventVendor | 문자열 | 이벤트를 생성하는 제품의 공급 업체 |
FileExtension | 문자열 | FTP 및 HTTP와 같은 프로토콜의 네트워크 연결을 통해 전송되는 파일의 유형 |
FileHashMd5 | 문자열 | 프로토콜의 네트워크 연결을 통해 전송되는 파일의 MD5 해시 값 |
FileHashSha1 | 문자열 | 프로토콜의 네트워크 연결을 통해 전송되는 파일의 SHA1 해시 값 |
FileHashSha256 | 문자열 | 프로토콜의 네트워크 연결을 통해 전송되는 파일의 SHA256 해시 값 |
FileHashSha512 | 문자열 | 프로토콜의 네트워크 연결을 통해 전송되는 파일의 SHA512 해시 값 |
FileMimeType | 문자열 | FTP 및 HTTP와 같은 프로토콜에 대한 네트워크 연결을 통해 전송되는 파일의 MIME 형식입니다. |
FileName | string | 파일 이름 정보를 제공하는 FTP 및 HTTP와 같은 프로토콜에 대한 네트워크 연결을 통해 전송되는 파일 이름 |
FilePath | 문자열 | 파일 이름을 포함한 전체 경로입니다. |
FileSize | int | 프로토콜의 네트워크 연결을 통해 전송되는 파일 크기(바이트) |
HttpContentType | string | HTTP/HTTPS 네트워크 세션의 HTTP 응답 콘텐츠 형식 헤더 |
HttpReferrerOriginal | 문자열 | HTTP/HTTPS 네트워크 세션의 HTTP 참조 페이지 헤더 |
HttpRequestMethod | 문자열 | HTTP/HTTPS 네트워크 세션의 HTTP 메서드 |
HttpRequestTime | int | 서버에 요청을 보내는 데 걸린 시간입니다(해당하는 경우). |
HttpRequestXff | 문자열 | HTTP/HTTPS 네트워크 세션에 대한 HTTP X-Forwarded-For 헤더 |
HttpResponseTime | int | 서버에서 응답을 받는 데 걸린 시간입니다(해당하는 경우). |
HttpStatusCode | string | HTTP/HTTPS 네트워크 세션의 HTTP 상태 코드 |
HttpUserAgentOriginal | 문자열 | HTTP/HTTPS 네트워크 세션의 HTTP 사용자 에이전트 헤더 |
HttpVersion | 문자열 | HTTP/HTTPS 네트워크 연결의 HTTP 요청 버전 |
_IsBillable | 문자열 | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 요금이 청구되지 않습니다. |
NetworkApplicationProtocol | 문자열 | 연결 또는 세션에서 사용하는 애플리케이션 계층 프로토콜입니다. |
NetworkBytes | long | 양방향으로 전송된 바이트 수. BytesReceived와 BytesSent가 모두 있는 경우 그 합계는 BytesTotal과 같아야 합니다. |
NetworkDirection | string | 조직 내/외부로의 연결 또는 세션의 방향 |
NetworkDuration | int | 네트워크 세션 또는 연결이 완료되는 데 걸리는 시간(밀리초)입니다. |
NetworkIcmpCode | int | ICMP 메시지에서 ICMP 메시지 유형 숫자 값(RFC 2780 또는 RFC 4443) |
NetworkIcmpType | 문자열 | ICMP 메시지에서 ICMP 메시지 유형 텍스트 표현(RFC 2780 또는 RFC 4443) |
NetworkPackets | long | 양방향으로 전송된 패킷 수입니다. PacketsReceived와 PacketsSent가 모두 있는 경우 그 합계는 BytesTotal과 같아야 합니다. |
NetworkProtocol | 문자열 | 연결 또는 세션에서 사용하는 IP 프로토콜로, 일반적으로 TCP, UDP 또는 ICMP입니다. |
NetworkRuleName | 문자열 | DeviceAction이 결정된 규칙의 이름 또는 ID입니다. |
NetworkRuleNumber | int | 일치하는 규칙 번호입니다. |
NetworkSessionId | 문자열 | 보고 디바이스에서 보고한 세션 식별자 |
SourceSystem | 문자열 | 이벤트가 수집된 에이전트 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
SrcBytes | long | 연결 또는 세션의 원본에서 대상으로 보낸 바이트 수 |
SrcDvcDomain | 문자열 | 세션이 시작된 디바이스의 도메인입니다. |
SrcDvcFqdn | 문자열 | 로그를 만든 호스트의 정규화된 도메인 이름입니다. |
SrcDvcHostname | 문자열 | 원본 디바이스의 디바이스 이름입니다. |
SrcDvcIpAddr | 문자열 | 네트워크 패킷과 직접 연결되지 않은 디바이스의 원본 IP 주소(공급자가 수집하거나 명시적으로 계산) |
SrcDvcMacAddr | string | 네트워크 패킷과 직접 연결되지 않은 디바이스의 원본 MAC 주소 |
SrcDvcModelName | string | 원본 디바이스의 모델입니다. |
SrcDvcModelNumber | string | 원본 디바이스의 모델 번호입니다. |
SrcDvcOs | 문자열 | 원본 디바이스의 OS입니다. |
SrcDvcType | 문자열 | 원본 디바이스의 형식입니다. |
SrcGeoCity | 문자열 | 원본 IP 주소와 연결된 도시입니다. |
SrcGeoCountry | 문자열 | 원본 IP 주소와 연결된 국가입니다. |
SrcGeoLatitude | real | 원본 IP 주소와 연결된 지리적 좌표의 위도입니다. |
SrcGeoLongitude | real | 원본 IP 주소와 연결된 지리적 좌표의 경도입니다. |
SrcGeoRegion | string | 원본 IP 주소와 연결된 국가 내의 지역입니다. |
SrcInterfaceGuid | 문자열 | 사용되는 네트워크 인터페이스의 GUID입니다. |
SrcInterfaceName | 문자열 | 원본 디바이스에서 연결 또는 세션에 사용하는 네트워크 인터페이스 |
SrcIpAddr | 문자열 | 연결 또는 세션이 시작된 IP 주소 |
SrcMacAddr | 문자열 | 연결 또는 세션이 시작된 네트워크 인터페이스의 MAC 주소입니다. |
SrcNatIpAddr | 문자열 | 방화벽과 같은 중간 NAT 디바이스에서 보고하는 경우 NAT 디바이스에서 대상과 통신하는 데 사용하는 IP 주소 |
SrcNatPortNumber | int | 방화벽과 같은 중간 NAT 디바이스에서 보고하는 경우 NAT 디바이스에서 대상과 통신하는 데 사용하는 포트 |
SrcPackets | long | 연결 또는 세션 원본에서 대상으로 보낸 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. |
SrcPortNumber | int | 연결이 시작된 IP 포트. 여러 연결을 구성하는 세션과 관련이 없을 수 있습니다. |
SrcResourceId | 문자열 | 메시지를 생성하는 디바이스의 리소스 ID |
SrcUserAadId | string | 세션의 원본 끝에 있는 사용자의 Azure AD 계정 개체 ID입니다. |
SrcUserDomain | 문자열 | 세션을 시작하는 계정의 도메인입니다. |
SrcUserName | string | 세션 원본과 연결된 ID의 사용자 이름. 일반적으로 사용자는 클라이언트에서 작업을 수행합니다. |
SrcUserSid | string | 세션 원본과 연결된 ID의 사용자 ID. 일반적으로 사용자는 클라이언트에서 작업을 수행합니다. |
SrcUserUpn | 문자열 | 세션을 시작하는 계정의 UPN입니다. |
SrcZone | string | 보고 디바이스에서 정의한 원본 네트워크 영역 |
TenantId | 문자열 | Log Analytics 작업 영역 ID |
ThreatCategory | 문자열 | IPS의 웹 보안 게이트웨이와 같은 보안 시스템에서 식별한 위협의 범주이며 이 네트워크 세션과 연결됩니다. |
ThreatId | string | IPS의 웹 보안 게이트웨이와 같은 보안 시스템에서 식별한 위협의 ID이며 이 네트워크 세션과 연결됩니다. |
ThreatName | 문자열 | 식별된 위협 또는 맬웨어의 이름입니다. |
TimeGenerated | Datetime | 보고 원본에서 보고한 이벤트가 발생한 시간입니다. |
Type | 문자열 | 테이블의 이름입니다. |
UrlCategory | 문자열 | 정의된 URL 그룹화(또는 URL의 도메인을 기반으로 할 수 있음)는 그것이 무엇인지(예: 성인, 뉴스, 광고, 주차된 도메인 등)와 관련이 있습니다. |
UrlHostname | string | HTTP/HTTPS 네트워크 세션에 대한 HTTP 요청 URL의 도메인 부분 |
UrlOriginal | 문자열 | HTTP/HTTPS 네트워크 세션에 대한 HTTP 요청 URL |
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기