ASimWebSessionLogs
Het schema voor normalisering van websessies in het Advanced Security Information Model (ASIM) - beschrijft een IP-netwerkactiviteit. IP-netwerkactiviteiten worden bijvoorbeeld gerapporteerd door webservers, webproxy's en webbeveiligingsgateways.
Tabelkenmerken
Kenmerk | Waarde |
---|---|
Resourcetypen | microsoft.securityinsights/websessionlogs |
Categorieën | Beveiliging |
Oplossingen | SecurityInsights |
Basislogboek | No |
Opnametijdtransformatie | Yes |
Voorbeeldquery's | - |
Kolommen
Kolom | Type | Description |
---|---|---|
AdditionalFields | dynamisch | Aanvullende informatie, weergegeven met behulp van sleutel-waardeparen die door de bron worden verstrekt en die niet aan ASim zijn toegewezen. |
_BilledSize | werkelijk | De recordgrootte in bytes |
DstAppId | tekenreeks | De id van de doeltoepassing, zoals gerapporteerd door het rapportageapparaat. |
DstAppName | tekenreeks | De naam van de doeltoepassing. |
DstAppType | tekenreeks | Het type van de doeltoepassing. |
DstBytes | long | Het aantal bytes dat van de bestemming naar de bron is verzonden voor de verbinding of sessie. Als de gebeurtenis wordt geaggregeerd, is DstBytes de som van alle geaggregeerde sessies. |
DstDeviceType | tekenreeks | Het type van het doelapparaat. |
DstDomain | tekenreeks | Het domein van het doelapparaat. |
DstDomainType | tekenreeks | Het type DstDomain. |
DstDvcId | tekenreeks | De id van het doelapparaat. |
DstDvcIdType | tekenreeks | Het type DstDvcId. |
DstDvcScope | tekenreeks | Het cloudplatformbereik waartoe het doelapparaat behoort. DvcScope wordt toegewezen aan een abonnement in Azure en aan een account op AWS. |
DstDvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het doelapparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
DstFQDN | tekenreeks | De hostnaam van het doelapparaat, inclusief domeingegevens indien beschikbaar. |
DstGeoCity | tekenreeks | De plaats die is gekoppeld aan het IP-adres van de bestemming. |
DstGeoCountry | tekenreeks | Het land dat is gekoppeld aan het DOEL-IP-adres. |
DstGeoLatitude | werkelijk | De breedtegraad van de geografische coördinaat die is gekoppeld aan het DOEL-IP-adres. |
DstGeoLongitude | werkelijk | De lengtegraad van de geografische coördinaat die is gekoppeld aan het DOEL-IP-adres. |
DstGeoRegion | tekenreeks | De regio of staat binnen een land dat is gekoppeld aan het ip-adres van het doel. |
DstHostname | tekenreeks | De hostnaam van het doelapparaat, met uitzondering van domeingegevens. |
DstIpAddr | tekenreeks | Het IP-adres van de verbinding of sessiebestemming. |
DstMacAddr | tekenreeks | Het MAC-adres van de netwerkinterface die door het doelapparaat wordt gebruikt voor de verbinding of sessie. |
DstNatIpAddr | tekenreeks | De DstNatIpAddr vertegenwoordigt een van beide: het oorspronkelijke adres van het doelapparaat als netwerkadresomzetting is gebruikt of het IP-adres dat door het tussenliggende apparaat wordt gebruikt voor communicatie met de bron. |
DstNatPortNumber | int | Indien gerapporteerd door een tussenliggend NAT-apparaat, de poort die door het NAT-apparaat wordt gebruikt voor communicatie met de bron. |
DstOriginalUserType | tekenreeks | Het oorspronkelijke doelgebruikerstype, indien opgegeven door de bron. |
DstPackets | long | Het aantal pakketten dat van de bestemming naar de bron voor de verbinding of sessie is verzonden. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt geaggregeerd, is DstPackets de som van alle geaggregeerde sessies. |
DstPortNumber | int | De doel-IP-poort. |
DstUserId | tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de doelgebruiker. |
DstUserIdType | tekenreeks | Het type id dat is opgeslagen in het veld DstUserId. |
DstUsername | tekenreeks | De doelgebruikersnaam, inclusief domeingegevens indien beschikbaar. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn. |
DstUsernameType | tekenreeks | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld DstUsername. |
DstUserType | tekenreeks | Het type doelgebruiker. |
Dvc | tekenreeks | Een unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
DvcAction | tekenreeks | De actie die is uitgevoerd op de websessie. |
DvcDomain | tekenreeks | Het domein van het apparaat dat de gebeurtenis rapporteert. |
DvcDomainType | tekenreeks | Het type DvcDomain. Mogelijke waarden zijn 'Windows' en 'FQDN'. |
DvcFQDN | tekenreeks | De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
DvcHostname | tekenreeks | De hostnaam van het apparaat dat de gebeurtenis rapporteert. |
DvcId | tekenreeks | De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
DvcIdType | tekenreeks | Het type DvcId. |
DvcIpAddr | tekenreeks | Het IP-adres van het apparaat dat de gebeurtenis rapporteert. |
DvcOriginalAction | tekenreeks | De oorspronkelijke DvcAction zoals opgegeven door het rapportageapparaat. |
EventCount | int | Deze waarde wordt gebruikt wanneer de bron aggregatie ondersteunt en één record meerdere gebeurtenissen kan vertegenwoordigen. |
EventEndTime | datum/tijd | Het tijdstip waarop de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de laatste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt. |
EventMessage | tekenreeks | Een algemeen bericht of beschrijving. |
EventOriginalResultDetails | tekenreeks | De oorspronkelijke resultaatdetails die door de bron zijn opgegeven. Deze waarde wordt gebruikt om EventResultDetails af te leiden, die slechts één van de waarden moet bevatten die voor elk schema zijn gedocumenteerd. |
EventOriginalSeverity | tekenreeks | De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat. Deze waarde wordt gebruikt om EventSeverity af te leiden. |
EventOriginalSubType | tekenreeks | Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke id, indien opgegeven door de bron. Dit veld wordt bijvoorbeeld gebruikt om het oorspronkelijke Windows-aanmeldingstype op te slaan. Deze waarde wordt gebruikt om EventSubType af te leiden, waarvoor slechts één van de waarden moet worden gedocumenteerd voor elk schema. |
EventOriginalType | tekenreeks | Het oorspronkelijke gebeurtenistype of de oorspronkelijke id, indien opgegeven door de bron. |
EventOriginalUid | tekenreeks | Een unieke id van de oorspronkelijke record, indien opgegeven door de bron. |
EventOwner | tekenreeks | De eigenaar van de gebeurtenis, meestal de afdeling of dochteronderneming waarin deze is gegenereerd. |
EventProduct | tekenreeks | Het product dat de gebeurtenis genereert. |
EventProductVersion | tekenreeks | De versie van het product dat de gebeurtenis genereert. |
EventReportUrl | tekenreeks | Een URL die is opgegeven in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt. |
EventResult | tekenreeks | Het resultaat van de gebeurtenis, vertegenwoordigd door een van de volgende waarden: Geslaagd, Gedeeltelijk, Mislukt, NB (Niet van toepassing). De waarde kan niet rechtstreeks door de bronnen worden opgegeven. In dat geval is deze afgeleid van andere gebeurtenisvelden, bijvoorbeeld het veld EventResultDetails. |
EventResultDetails | tekenreeks | De HTTP-statuscode. |
EventSchemaVersion | tekenreeks | De versie van het schema. |
EventSeverity | tekenreeks | De ernst van de gebeurtenis. Geldige waarden zijn: Informatief, Laag, Gemiddeld of Hoog. |
EventStartTime | datum/tijd | Het tijdstip waarop de gebeurtenis is gestart. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de eerste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt. |
EventSubType | tekenreeks | Aanvullende beschrijving van het gebeurtenistype, indien van toepassing. |
EventType | tekenreeks | De bewerking die door de record wordt gerapporteerd. |
EventVendor | tekenreeks | De leverancier van het product dat de gebeurtenis genereert. |
FileContentType | tekenreeks | Voor HTTP-uploads het inhoudstype van het geüploade bestand. |
FileMD5 | tekenreeks | Voor HTTP-uploads de MD5-hash van het geüploade bestand. |
Bestandsnaam | tekenreeks | Voor HTTP-uploads de naam van het geüploade bestand. |
BestandSHA1 | tekenreeks | Voor HTTP-uploads de SHA1-hash van het geüploade bestand. |
BestandSHA256 | tekenreeks | Voor HTTP-uploads de SHA256-hash van het geüploade bestand. |
BestandSHA512 | tekenreeks | Voor HTTP-uploads de SHA512-hash van het geüploade bestand. |
Bestandsgrootte | int | Voor HTTP-uploads is dit de grootte in bytes van het geüploade bestand. |
HttpContentFormat | tekenreeks | Het inhoudsindelingsgedeelte van het HttpContentType |
HttpContentType | tekenreeks | De header van het inhoudstype HTTP-antwoord. |
HttpHost | tekenreeks | De virtuele webserver waarop de HTTP-aanvraag is gericht. |
HttpReferrer | tekenreeks | De HTTP-verwijzingsheader. |
HttpRequestMethod | tekenreeks | De HTTP-methode. |
HttpRequestTime | int | De hoeveelheid tijd, in milliseconden, die nodig was om de aanvraag naar de server te verzenden. |
HttpRequestXff | tekenreeks | De HTTP X-Forwarded-For-header. |
HttpResponseTime | int | De hoeveelheid tijd, in milliseconden, die nodig was om een antwoord op de server te ontvangen. |
HttpUserAgent | tekenreeks | De header van de HTTP-gebruikersagent. |
HttpVersion | tekenreeks | De versie van de HTTP-aanvraag. |
_IsBillable | tekenreeks | Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable is false opgenomen, wordt er geen rekening gehouden met uw Azure-account |
NetworkApplicationProtocol | tekenreeks | Het toepassingslaagprotocol dat wordt gebruikt door de verbinding of sessie. |
Netwerkbytes | long | Het aantal bytes dat in beide richtingen is verzonden. Als zowel BytesReceived als BytesSent bestaan, moet BytesTotal gelijk zijn aan de som. Als de gebeurtenis wordt geaggregeerd, is NetworkBytes de som van alle geaggregeerde sessies. |
NetworkConnectionHistory | tekenreeks | TCP-vlaggen en andere mogelijke IP-headergegevens. |
NetworkDirection | tekenreeks | De richting van de verbinding of sessie. |
NetworkDuration | int | De hoeveelheid tijd, in milliseconden, voor het voltooien van de websessie of verbinding. |
NetworkIcmpCode | int | Voor een ICMP-bericht typt het ICMP-bericht een numerieke waarde, zoals beschreven in RFC 2780 voor IPv4-netwerkverbindingen of in RFC 4443 voor IPv6-netwerkverbindingen. |
NetworkIcmpType | tekenreeks | Voor een ICMP-bericht typt het ICMP-bericht tekstweergave, zoals beschreven in RFC 2780 voor IPv4-netwerkverbindingen of in RFC 4443 voor IPv6-netwerkverbindingen. |
NetworkPackets | long | Het aantal pakketten dat in beide richtingen wordt verzonden. Als zowel PacketsReceived als PacketsSent bestaan, moet BytesTotal gelijk zijn aan hun som. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt geaggregeerd, is NetworkPackets de som van alle geaggregeerde sessies. |
NetworkProtocol | tekenreeks | Het IP-protocol dat wordt gebruikt door de verbinding of sessie, zoals vermeld in IANA-protocoltoewijzing, meestal TCP, UDP of ICMP. |
NetworkProtocolVersion | tekenreeks | De versie van NetworkProtocol. |
NetworkSessionId | tekenreeks | De sessie-id zoals gerapporteerd door het rapportageapparaat. |
_Resourceid | tekenreeks | Een unieke id voor de resource waaraan de record is gekoppeld |
Regel | tekenreeks | NetworkRuleName of NetworkRuleNumber |
RuleName | tekenreeks | De naam of id van de regel waarop DvcAction is besloten. Voorbeeld: AnyAnyDrop |
RuleNumber | int | Het nummer van de regel waarmee DvcAction is besloten. Voorbeeld: 23 |
SourceSystem | tekenreeks | Het type agent waarvan de gebeurtenis is verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
SrcAppId | tekenreeks | De id van de brontoepassing, zoals gerapporteerd door het rapportageapparaat. |
SrcAppName | tekenreeks | De naam van de brontoepassing. |
SrcAppType | tekenreeks | Het type van de brontoepassing. |
SrcBytes | long | Het aantal bytes dat van de bron naar het doel voor de verbinding of sessie is verzonden. Als de gebeurtenis is geaggregeerd, is SrcBytes de som van alle geaggregeerde sessies. |
SrcDeviceType | tekenreeks | Het type van het bronapparaat. |
SrcDomain | tekenreeks | Het domein van het bronapparaat. |
SrcDomainType | tekenreeks | Het type SrcDomain. |
SrcDvcId | tekenreeks | De id van het bronapparaat. |
SrcDvcIdType | tekenreeks | Het type SrcDvcId. |
SrcDvcScope | tekenreeks | Het cloudplatformbereik waartoe het bronapparaat behoort. DvcScope wordt toegewezen aan een abonnement in Azure en aan een account op AWS. |
SrcDvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het bronapparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
SrcFQDN | tekenreeks | De hostnaam van het bronapparaat, inclusief domeingegevens indien beschikbaar. |
SrcGeoCity | tekenreeks | De plaats die is gekoppeld aan het bron-IP-adres. |
SrcGeoCountry | tekenreeks | Het land dat is gekoppeld aan het bron-IP-adres. |
SrcGeoLatitude | werkelijk | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. |
SrcGeoLongitude | werkelijk | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. |
SrcGeoRegion | tekenreeks | De regio binnen een land dat is gekoppeld aan het bron-IP-adres. |
SrcHostname | tekenreeks | De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, kan het relevante IP-adres worden opgeslagen. |
SrcIpAddr | tekenreeks | Het IP-adres van waaruit de verbinding of sessie afkomstig is. |
SrcMacAddr | tekenreeks | Het MAC-adres van de netwerkinterface waaruit de verbinding of sessie afkomstig is. |
SrcNatIpAddr | tekenreeks | De SrcNatIpAddr vertegenwoordigt een van beide: het oorspronkelijke adres van het bronapparaat als netwerkadresomzetting is gebruikt of het IP-adres dat door het tussenliggende apparaat wordt gebruikt voor communicatie met de bestemming. |
SrcNatPortNumber | int | Indien gerapporteerd door een tussenliggend NAT-apparaat, de poort die door het NAT-apparaat wordt gebruikt voor communicatie met de bestemming. |
SrcOriginalUserType | tekenreeks | Het oorspronkelijke doelgebruikerstype, indien opgegeven door de door het rapportageapparaat. |
SrcPackets | long | Het aantal pakketten dat van de bron naar de bestemming is verzonden voor de verbinding of sessie. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis is geaggregeerd, is SrcPackets de som van alle geaggregeerde sessies. |
SrcPortNumber | int | De IP-poort waaruit de verbinding afkomstig is. Is mogelijk niet relevant voor een sessie die uit meerdere verbindingen bestaat. |
SrcProcessGuid | tekenreeks | Een gegenereerde unieke id (GUID) van het bronproces. |
SrcProcessId | tekenreeks | De proces-id (PID) van het bronproces. |
SrcProcessName | tekenreeks | De naam van het bronproces. |
SrcUserId | tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de brongebruiker. |
SrcUserIdType | tekenreeks | Het type id dat is opgeslagen in het veld SrcUserId. |
SrcUsername | tekenreeks | De brongebruikersnaam, inclusief domeingegevens indien beschikbaar. |
SrcUsernameType | tekenreeks | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld SrcUsername. |
SrcUserScope | tekenreeks | Het bereik, zoals Azure AD tenant, waarin SrcUserId en SrcUsername zijn gedefinieerd. |
SrcUserScopeId | tekenreeks | De id van het bereik, zoals Azure AD tenant, waarin SrcUserId en SrcUsername zijn gedefinieerd. |
SrcUserType | tekenreeks | Het type brongebruiker. |
_SubscriptionId | tekenreeks | Een unieke id voor het abonnement waaraan de record is gekoppeld |
TenantId | tekenreeks | De id van de Log Analytics-werkruimte |
ThreatCategory | tekenreeks | De categorie van de bedreiging of malware die in de websessie is geïdentificeerd. |
ThreatConfidence | int | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100. |
Bedreigingsveld | tekenreeks | Het veld waarvoor een bedreiging is geïdentificeerd. De waarde is SrcIpAddr, DstIpAddr, Domain of DnsResponseName. |
ThreatFirstReportedTime | datum/tijd | De eerste keer dat het IP-adres of domein werd geïdentificeerd als een bedreiging. |
ThreatId | tekenreeks | De id van de bedreiging of malware die in de websessie is geïdentificeerd. |
ThreatIpAddr | tekenreeks | Een IP-adres waarvoor een bedreiging is geïdentificeerd. Het veld ThreatField bevat de naam van het veld ThreatIpAddr. |
ThreatIsActive | booleaans | True ID de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
ThreatLastReportedTime | datum/tijd | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
ThreatName | tekenreeks | De naam van de bedreiging of malware die in de websessie is geïdentificeerd. |
ThreatOriginalConfidence | tekenreeks | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
ThreatOriginalRiskLevel | tekenreeks | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
ThreatRiskLevel | int | Het risiconiveau dat is gekoppeld aan de sessie. Het niveau is een getal tussen 0 en 100. |
TimeGenerated | datum/tijd | De tijdstempel (UTC) die de tijd weergeeft waarin de gebeurtenis is gegenereerd. |
Type | tekenreeks | De naam van de tabel |
URL | tekenreeks | De volledige URL van de HTTP-aanvraag, inclusief parameters. |
UrlCategory | tekenreeks | De gedefinieerde groepering van een URL of het domeingedeelte van de URL. |
UrlOriginal | tekenreeks | De oorspronkelijke waarde van de URL, wanneer de URL is gewijzigd door het rapportageapparaat en beide waarden worden opgegeven. |
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor