ASimNetworkSessionLogs
Schemat normalizacji sesji sieciowej usługi Microsoft Sentinel reprezentuje działanie sieci IP, takie jak połączenia sieciowe i sesje sieciowe. Takie zdarzenia są zgłaszane na przykład przez systemy operacyjne, routery, zapory i systemy zapobiegania włamaniom.
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | microsoft.securityinsights/networksessionnormalized |
Kategorie | Zabezpieczenia |
Rozwiązania | SecurityInsights |
Dziennik podstawowy | Nie |
Przekształcanie w czasie pozyskiwania | Tak |
Przykładowe zapytania | - |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
Dodatkowe pola | dynamiczna | Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość dostarczone przez źródło, które nie są mapowane na kartę ASim. |
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
Identyfikator DstAppId | ciąg | Identyfikator aplikacji docelowej zgłoszonej przez urządzenie raportowania. |
Nazwa aplikacji Dst | ciąg | Nazwa aplikacji docelowej. |
DstAppType | ciąg | Typ aplikacji docelowej. |
Bajty DstBytes | długi | Liczba bajtów wysłanych z miejsca docelowego do źródła połączenia lub sesji. Jeśli zdarzenie jest agregowane, DstBytes jest sumą wszystkich zagregowanych sesji. |
DstDescription | ciąg | Tekst opisowy skojarzony z miejscem docelowym. |
DstDeviceType | ciąg | Typ urządzenia docelowego. |
DstDomain | ciąg | Domena urządzenia docelowego. |
DstDomainType | ciąg | Typ DstDomain. |
Identyfikator DstDvcId | ciąg | Identyfikator urządzenia docelowego. |
DstDvcIdType | ciąg | Typ DstDvcId. |
Nazwa DstFQDN | ciąg | Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne. |
DstGeoCity | ciąg | Miasto skojarzone z docelowym adresem IP. |
DstGeoCountry | ciąg | Kraj skojarzony z docelowym adresem IP. |
DstGeoLatitude | liczba rzeczywista | Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
DstGeoLongitude | liczba rzeczywista | Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
Region DstGeo | ciąg | Region lub stan w kraju skojarzonym z docelowym adresem IP. |
Nazwa hosta Dst | ciąg | Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. |
DstInterfaceGuid | ciąg | Identyfikator GUID interfejsu sieciowego używanego na urządzeniu docelowym. |
DstInterfaceName | ciąg | Interfejs sieciowy używany do połączenia lub sesji przez urządzenie docelowe. |
DstIpAddr | ciąg | Adres IP miejsca docelowego połączenia lub sesji. |
DstMacAddr | ciąg | Adres MAC interfejsu sieciowego używanego do połączenia lub sesji przez urządzenie docelowe. |
DstNatIpAddr | ciąg | DstNatIpAddr reprezentuje jeden z następujących: oryginalny adres urządzenia docelowego, jeśli użyto tłumaczenia adresu sieciowego lub adres IP używany przez urządzenie pośredniczące do komunikacji ze źródłem. |
DstNatPortNumber | int | W przypadku zgłoszenia przez pośredniczące urządzenie NAT port używany przez urządzenie NAT do komunikacji ze źródłem. |
DstOriginalUserType | ciąg | Oryginalny typ użytkownika docelowego, jeśli został podany przez źródło. |
Zestawy DstPackets | długi | Liczba pakietów wysyłanych z miejsca docelowego do źródła dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest zagregowane, DstPackets jest sumą wszystkich zagregowanych sesji. |
DstPortNumber | int | Docelowy port IP. |
DstSubscriptionId | ciąg | Identyfikator subskrypcji platformy w chmurze, do którego należy urządzenie docelowe. DstSubscriptionId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
DstUserId | ciąg | Czytelna dla maszyny alfanumeryczna reprezentacja użytkownika docelowego. |
DstUserIdType | ciąg | Typ identyfikatora przechowywanego w polu DstUserId. |
DstUsername | ciąg | Docelowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. |
DstUsernameType | ciąg | Określa typ nazwy użytkownika przechowywanej w polu DstUsername. |
DstUserType | ciąg | Typ użytkownika docelowego. |
DstVlanId | ciąg | Identyfikator sieci VLAN powiązany z urządzeniem docelowym. |
DstZone | ciąg | Strefa sieciowa miejsca docelowego, zgodnie z definicją urządzenia raportowania. |
Dvc | ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcAction | ciąg | Akcja podjęta w sesji sieciowej. |
DvcDescription | ciąg | Tekst opisowy skojarzony z urządzeniem. Na przykład: Podstawowy kontroler domeny. |
DvcDomain | ciąg | Domena urządzenia zgłasza zdarzenie. |
DvcDomainType | ciąg | Typ DvcDomain. Możliwe wartości to "Windows" i "FQDN". |
DvcFQDN | ciąg | Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcHostname | ciąg | Nazwa hosta urządzenia zgłasza zdarzenie. |
DvcId | ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcIdType | ciąg | Typ DvcId. |
DvcInboundInterface | ciąg | Jeśli jest zgłaszane przez urządzenie pośredniczące, interfejs sieciowy używany przez urządzenie NAT na potrzeby połączenia z urządzeniem źródłowym. |
DvcInterface | ciąg | Interfejs sieciowy, na którym zostały przechwycone dane. To pole jest zwykle istotne dla działania związanego z siecią, które jest przechwytywane przez urządzenie pośrednie lub naciśnij. |
DvcIpAddr | ciąg | Adres IP urządzenia zgłasza zdarzenie. |
DvcMacAddr | ciąg | Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: 00:1B:44:11:3A:B7 |
DvcOriginalAction | ciąg | Oryginalna funkcja DvcAction dostarczona przez urządzenie raportowania. |
DvcOs | ciąg | System operacyjny uruchomiony na urządzeniu zgłasza zdarzenie. |
DvcOsVersion | ciąg | Wersja systemu operacyjnego na urządzeniu zgłasza zdarzenie. |
DvcOutboundInterface | ciąg | Jeśli jest zgłaszane przez urządzenie pośredniczące, interfejs sieciowy używany przez urządzenie NAT na potrzeby połączenia z urządzeniem docelowym. |
DvcSubscriptionId | ciąg | Identyfikator subskrypcji platformy w chmurze, do którego należy urządzenie. DvcSubscriptionId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
DvcZone | ciąg | Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie. Strefa jest definiowana przez urządzenie raportowania. |
EventCount | int | Ta wartość jest używana, gdy źródło obsługuje agregację, a pojedynczy rekord może reprezentować wiele zdarzeń. |
EventEndTime | datetime | Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
EventMessage | ciąg | Ogólny komunikat lub opis. |
EventOriginalResultDetails | ciąg | Oryginalne szczegóły wyniku dostarczone przez źródło. Ta wartość służy do uzyskiwania wartości EventResultDetails, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
EventOriginalSeverity | ciąg | Oryginalna ważność podana przez urządzenie raportowania. Ta wartość jest używana do uzyskiwania wartości EventSeverity. |
EventOriginalSubType | ciąg | Oryginalny podtyp lub identyfikator zdarzenia, jeśli został podany przez źródło. Na przykład to pole będzie używane do przechowywania oryginalnego typu logowania systemu Windows. Ta wartość służy do wyprowadzenia klasy EventSubType, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
EventOriginalType | ciąg | Oryginalny typ zdarzenia lub identyfikator, jeśli został podany przez źródło. |
EventOriginalUid | ciąg | Unikatowy identyfikator oryginalnego rekordu, jeśli został podany przez źródło. |
EventProduct | ciąg | Produkt generujący zdarzenie. |
EventProductVersion | ciąg | Wersja produktu generująca zdarzenie. |
EventReportUrl | ciąg | Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
EventResult | ciąg | Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
EventResultDetails | ciąg | Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult. |
EventSchemaVersion | ciąg | Wersja schematu. |
EventSeverity | ciąg | Ważność zdarzenia. Prawidłowe wartości to: Informacyjna, Niska, Średnia lub Wysoka. |
EventStartTime | datetime | Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
EventSubType | ciąg | Dodatkowy opis typu zdarzenia, jeśli ma to zastosowanie. |
Typ zdarzenia | ciąg | Operacja zgłoszona przez rekord. |
EventVendor | ciąg | Dostawca produktu generujący zdarzenie. |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
NetworkApplicationProtocol | ciąg | Protokół warstwy aplikacji używany przez połączenie lub sesję. |
Bajty sieciowe | długi | Liczba bajtów wysłanych w obu kierunkach. Jeśli istnieją wartości BytesReceived i BytesSent, BytesTotal powinny mieć równą ich sumę. Jeśli zdarzenie jest agregowane, networkBytes jest sumą wszystkich zagregowanych sesji. |
NetworkConnectionHistory | ciąg | Flagi TCP i inne potencjalne informacje nagłówka ip. |
NetworkDirection | ciąg | Kierunek połączenia lub sesji. |
NetworkDuration | int | Czas (w milisekundach) na zakończenie sesji sieciowej lub połączenia. |
NetworkIcmpCode | int | W przypadku komunikatu ICMP komunikat ICMP wpisz wartość liczbową zgodnie z opisem w specyfikacji RFC 2780 dla połączeń sieciowych IPv4 lub w RFC 4443 dla połączeń sieciowych IPv6. |
NetworkIcmpType | ciąg | W przypadku komunikatu ICMP reprezentacja tekstowa komunikatu ICMP, zgodnie z opisem w specyfikacji RFC 2780 dla połączeń sieciowych IPv4 lub W specyfikacji RFC 4443 dla połączeń sieciowych IPv6. |
NetworkPackets | długi | Liczba pakietów wysyłanych w obu kierunkach. Jeśli istnieją zarówno PacketsReceived, jak i PacketsSent, bytesTotal powinny być równe ich sumie. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, networkPackets jest sumą wszystkich zagregowanych sesji. |
Networkprotocol | ciąg | Protokół IP używany przez połączenie lub sesję wymieniony w przypisaniu protokołu IANA, który jest zazwyczaj TCP, UDP lub ICMP. |
NetworkProtocolVersion | ciąg | Wersja elementu NetworkProtocol. |
NetworkRuleName | ciąg | Nazwa lub identyfikator reguły, na której podjęto decyzję DvcAction. |
NetworkRuleNumber | int | Liczba reguł, na podstawie których podjęto decyzję DvcAction. |
NetworkSessionId | ciąg | Identyfikator sesji zgłoszony przez urządzenie raportowania. |
_Resourceid | ciąg | Unikatowy identyfikator zasobu skojarzonego z rekordem |
SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows, bezpośrednie połączenie lub program Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
SrcAppId | ciąg | Identyfikator aplikacji źródłowej zgłoszony przez urządzenie raportowania. |
SrcAppName | ciąg | Nazwa aplikacji źródłowej. |
SrcAppType | ciąg | Typ aplikacji źródłowej. |
SrcBytes | długi | Liczba bajtów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Jeśli zdarzenie jest zagregowane, SrcBytes jest sumą wszystkich zagregowanych sesji. |
SrcDescription | ciąg | Tekst opisowy skojarzony ze źródłem. |
SrcDeviceType | ciąg | Typ urządzenia źródłowego. |
SrcDomain | ciąg | Domena urządzenia źródłowego. |
SrcDomainType | ciąg | Typ SrcDomain. |
SrcDvcId | ciąg | Identyfikator urządzenia źródłowego. |
SrcDvcIdType | ciąg | Typ identyfikatora SrcDvcId. |
SrcFQDN | ciąg | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. |
SrcGeoCity | ciąg | Miasto skojarzone ze źródłowym adresem IP. |
SrcGeoCountry | ciąg | Kraj skojarzony ze źródłowym adresem IP. |
SrcGeoLatitude | liczba rzeczywista | Szerokość geograficzna współrzędnych skojarzonych ze źródłowym adresem IP. |
SrcGeoLongitude | liczba rzeczywista | Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. |
SrcGeoRegion | ciąg | Region w kraju skojarzonym ze źródłowym adresem IP. |
SrcHostname | ciąg | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, może przechowywać odpowiedni adres IP. |
SrcInterfaceGuid | ciąg | Identyfikator GUID interfejsu sieciowego używanego na urządzeniu źródłowym. |
SrcInterfaceName | ciąg | Interfejs sieciowy używany do połączenia lub sesji przez urządzenie źródłowe. |
SrcIpAddr | ciąg | Adres IP, z którego pochodzi połączenie lub sesja. |
SrcMacAddr | ciąg | Adres MAC interfejsu sieciowego, z którego pochodzi połączenie lub sesja. |
SrcNatIpAddr | ciąg | SrcNatIpAddr reprezentuje jeden z: oryginalny adres urządzenia źródłowego, jeśli użyto tłumaczenia adresu sieciowego lub adresu IP używanego przez urządzenie pośredniczące do komunikacji z miejscem docelowym. |
SrcNatPortNumber | int | W przypadku zgłaszania przez pośredniczące urządzenie NAT port używany przez urządzenie NAT do komunikacji z miejscem docelowym. |
SrcOriginalUserType | ciąg | Oryginalny typ użytkownika docelowego, jeśli jest udostępniany przez urządzenie raportowania. |
SrcPackets | długi | Liczba pakietów wysyłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest zagregowane, SrcPackets jest sumą wszystkich zagregowanych sesji. |
SrcPortNumber | int | Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji składającej się z wielu połączeń. |
SrcSubscriptionId | ciąg | Identyfikator subskrypcji platformy w chmurze, do którego należy urządzenie źródłowe. SrcSubscriptionId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
SrcUserId | ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego. |
SrcUserIdType | ciąg | Typ identyfikatora przechowywanego w polu SrcUserId. |
SrcUsername | ciąg | Źródłowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. |
SrcUsernameType | ciąg | Określa typ nazwy użytkownika przechowywanej w polu SrcUsername. |
SrcUserType | ciąg | Typ użytkownika źródłowego. |
SrcVlanId | ciąg | Identyfikator sieci VLAN powiązany z urządzeniem źródłowym. |
SrcZone | ciąg | Strefa sieciowa źródła zgodnie z definicją urządzenia raportowania. |
_Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
TcpFlagsAck | bool | Zgłoszona flaga TCP ACK. Flaga potwierdzenia służy do potwierdzenia pomyślnego otrzymania pakietu. Jak widać na powyższym diagramie, odbiornik wysyła ACK, a także syn w drugim kroku trzykierunkowego procesu uzgadniania, aby poinformować nadawcę, że otrzymał początkowy pakiet. |
TcpFlagsFin | bool | Zgłoszona flaga TCP FIN. Flaga zakończona oznacza, że nie ma więcej danych od nadawcy. W związku z tym jest on używany w ostatnim pakiecie wysyłanym przez nadawcę. |
TcpFlagsPsh | bool | Zgłoszona flaga TCP PSH. Flaga wypychania jest nieco podobna do flagi URIG i nakazuje odbiornikowi przetworzenie tych pakietów w miarę ich odbierania zamiast buforowania. |
TcpFlagsRst | bool | Zgłoszona flaga TCP RST. Flaga resetowania jest wysyłana z odbiornika do nadawcy, gdy pakiet jest wysyłany do określonego hosta, który go nie spodziewał. |
TcpFlagsSyn | bool | Zgłoszona flaga TCP SYN. Flaga synchronizacji jest używana jako pierwszy krok w ustanowieniu trójkierunkowego uzgadniania między dwoma hostami. Tylko pierwszy pakiet od nadawcy i odbiorcy powinien mieć ustawioną tę flagę. |
TcpFlagsUrg | bool | Zgłoszona flaga TCP URG. Flaga pilna służy do powiadamiania odbiornika o przetwarzaniu pilnych pakietów przed przetworzeniem wszystkich innych pakietów. Odbiorca zostanie powiadomiony o otrzymaniu wszystkich znanych pilnych danych. Aby uzyskać więcej informacji, zobacz RFC 6093. |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
ThreatCategory | ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej. |
ThreatConfidence | int | Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
ThreatField | ciąg | Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcIpAddr, DstIpAddr, Domain lub DnsResponseName. |
ThreatFirstReportedTime | datetime | Przy pierwszym zidentyfikowaniu adresu IP lub domeny jako zagrożenia. |
Identyfikator zagrożenia | ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej. |
ThreatIpAddr | ciąg | Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje. |
ThreatIsActive | bool | Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uznawany za aktywne zagrożenie. |
ThreatLastReportedTime | datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatName | ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej. |
ThreatOriginalConfidence | ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia zgodnie z raportem urządzenia raportowania. |
ThreatOriginalRiskLevel | ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
ThreatRiskLevel | int | Poziom ryzyka skojarzony z sesją. Poziom jest liczbą z zakresu od 0 do 100. |
TimeGenerated | datetime | Sygnatura czasowa (UTC) odzwierciedla czas wygenerowania zdarzenia. |
Typ | ciąg | Nazwa tabeli |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla