ASimWebSessionLogs
Schemat normalizacji sesji sieci Web advanced Security Information Model (ASIM) — opisuje działanie sieci IP. Na przykład działania sieci IP są zgłaszane przez serwery internetowe, serwery proxy sieci Web i bramy zabezpieczeń sieci Web.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | microsoft.securityinsights/websessionlogs |
| Kategorie | Zabezpieczenia |
| Rozwiązania | SecurityInsights |
| Dziennik podstawowy | Nie |
| Przekształcanie czasu pozyskiwania | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| Dodatkowe pola | dynamiczna | Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość dostarczone przez źródło, które nie są mapowane na kartę ASim. |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| DstAppId | ciąg | Identyfikator aplikacji docelowej zgłoszonej przez urządzenie raportowania. |
| DstAppName | ciąg | Nazwa aplikacji docelowej. |
| DstAppType | ciąg | Typ aplikacji docelowej. |
| DstBytes | długi | Liczba bajtów wysłanych z miejsca docelowego do źródła dla połączenia lub sesji. Jeśli zdarzenie jest agregowane, DstBytes jest sumą wszystkich zagregowanych sesji. |
| DstDeviceType | ciąg | Typ urządzenia docelowego. |
| DstDomain | ciąg | Domena urządzenia docelowego. |
| DstDomainType | ciąg | Typ DstDomain. |
| DstDvcId | ciąg | Identyfikator urządzenia docelowego. |
| DstDvcIdType | ciąg | Typ DstDvcId. |
| DstDvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie docelowe. DvcScope mapuje subskrypcję na platformę Azure i na konto na platformie AWS. |
| DstDvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie docelowe. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| DstFQDN | ciąg | Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne. |
| DstGeoCity | ciąg | Miasto skojarzone z docelowym adresem IP. |
| DstGeoCountry | ciąg | Kraj skojarzony z docelowym adresem IP. |
| DstGeoLatitude | liczba rzeczywista | Szerokość geograficzna współrzędnych skojarzonych z docelowym adresem IP. |
| DstGeoLongitude | liczba rzeczywista | Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
| DstGeoRegion | ciąg | Region lub stan w kraju skojarzonym z docelowym adresem IP. |
| DstHostname | ciąg | Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. |
| DstIpAddr | ciąg | Adres IP miejsca docelowego połączenia lub sesji. |
| DstMacAddr | ciąg | Adres MAC interfejsu sieciowego używanego do połączenia lub sesji przez urządzenie docelowe. |
| DstNatIpAddr | ciąg | DstNatIpAddr reprezentuje jeden z: oryginalny adres urządzenia docelowego, jeśli użyto tłumaczenia adresu sieciowego lub adresu IP używanego przez urządzenie pośredniczące do komunikacji ze źródłem. |
| DstNatPortNumber | int | Jeśli jest zgłaszane przez urządzenie pośredniczące nat, port używany przez urządzenie NAT do komunikacji ze źródłem. |
| DstOriginalUserType | ciąg | Oryginalny typ użytkownika docelowego, jeśli został podany przez źródło. |
| Zestawy DstPackets | długi | Liczba pakietów wysyłanych z miejsca docelowego do źródła dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest zagregowane, DstPackets jest sumą wszystkich zagregowanych sesji. |
| DstPortNumber | int | Docelowy port IP. |
| DstUserId | ciąg | Czytelna dla maszyny alfanumeryczna reprezentacja użytkownika docelowego. |
| DstUserIdType | ciąg | Typ identyfikatora przechowywanego w polu DstUserId. |
| DstUsername | ciąg | Docelowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. |
| DstUsernameType | ciąg | Określa typ nazwy użytkownika przechowywanej w polu DstUsername. |
| DstUserType | ciąg | Typ użytkownika docelowego. |
| Dvc | ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcAction | ciąg | Akcja podjęta w sesji internetowej. |
| DvcDomain | ciąg | Domena urządzenia zgłasza zdarzenie. |
| DvcDomainType | ciąg | Typ DvcDomain. Możliwe wartości to "Windows" i "FQDN". |
| DvcFQDN | ciąg | Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcHostname | ciąg | Nazwa hosta urządzenia zgłasza zdarzenie. |
| DvcId | ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcIdType | ciąg | Typ DvcId. |
| DvcIpAddr | ciąg | Adres IP urządzenia zgłasza zdarzenie. |
| DvcOriginalAction | ciąg | Oryginalna funkcja DvcAction dostarczona przez urządzenie raportowania. |
| EventCount | int | Ta wartość jest używana, gdy źródło obsługuje agregację, a pojedynczy rekord może reprezentować wiele zdarzeń. |
| EventEndTime | datetime | Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli rekord źródłowy nie zostanie podany, to pole aliasuje pole TimeGenerated. |
| EventMessage | ciąg | Ogólny komunikat lub opis. |
| EventOriginalResultDetails | ciąg | Oryginalne szczegóły wyniku dostarczone przez źródło. Ta wartość służy do uzyskiwania wartości EventResultDetails, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
| EventOriginalSeverity | ciąg | Oryginalna ważność podana przez urządzenie raportowania. Ta wartość jest używana do uzyskiwania wartości EventSeverity. |
| EventOriginalSubType | ciąg | Oryginalny podtyp zdarzenia lub identyfikator, jeśli zostanie podany przez źródło. Na przykład to pole będzie używane do przechowywania oryginalnego typu logowania systemu Windows. Ta wartość służy do tworzenia klasy EventSubType, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
| EventOriginalType | ciąg | Oryginalny typ zdarzenia lub identyfikator, jeśli zostanie podany przez źródło. |
| EventOriginalUid | ciąg | Unikatowy identyfikator oryginalnego rekordu, jeśli zostanie podany przez źródło. |
| EventOwner | ciąg | Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
| EventProduct | ciąg | Produkt generujący zdarzenie. |
| EventProductVersion | ciąg | Wersja produktu generująca zdarzenie. |
| EventReportUrl | ciąg | Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
| EventResult | ciąg | Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
| EventResultDetails | ciąg | Kod stanu HTTP. |
| EventSchemaVersion | ciąg | Wersja schematu. |
| EventSeverity | ciąg | Ważność zdarzenia. Prawidłowe wartości to: Informacyjna, Niska, Średnia lub Wysoka. |
| EventStartTime | datetime | Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
| EventSubType | ciąg | Dodatkowy opis typu zdarzenia, jeśli ma to zastosowanie. |
| Typ zdarzenia | ciąg | Operacja zgłoszona przez rekord. |
| EventVendor | ciąg | Dostawca produktu generujący zdarzenie. |
| FileContentType | ciąg | W przypadku przekazywania HTTP typ zawartości przekazanego pliku. |
| FileMD5 | ciąg | W przypadku przekazywania HTTP skrót MD5 przekazanego pliku. |
| FileName | ciąg | W przypadku przekazywania HTTP nazwa przekazanego pliku. |
| FileSHA1 | ciąg | W przypadku przekazywania HTTP skrót SHA1 przekazanego pliku. |
| FileSHA256 | ciąg | W przypadku przekazywania HTTP skrót SHA256 przekazanego pliku. |
| FileSHA512 | ciąg | W przypadku przekazywania HTTP skrót SHA512 przekazanego pliku. |
| Rozmiar pliku | int | W przypadku przekazywania HTTP rozmiar w bajtach przekazanego pliku. |
| HttpContentFormat | ciąg | Część formatu zawartości typu HttpContentType |
| HttpContentType | ciąg | Nagłówek typu zawartości Odpowiedź HTTP. |
| HttpHost | ciąg | Wirtualny serwer internetowy, którego dotyczy żądanie HTTP. |
| HttpReferrer | ciąg | Nagłówek odwołania HTTP. |
| HttpRequestMethod | ciąg | Metoda HTTP. |
| HttpRequestTime | int | Czas wysyłania żądania do serwera w milisekundach. |
| HttpRequestXff | ciąg | Nagłówek HTTP X-Forwarded-For. |
| HttpResponseTime | int | Ilość czasu w milisekundach zajęła odebranie odpowiedzi na serwerze. |
| HttpUserAgent | ciąg | Nagłówek agenta użytkownika HTTP. |
| HttpVersion | ciąg | Wersja żądania HTTP. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| NetworkApplicationProtocol | ciąg | Protokół warstwy aplikacji używany przez połączenie lub sesję. |
| Bajty sieciowe | długi | Liczba bajtów wysłanych w obu kierunkach. Jeśli istnieją wartości BytesReceived i BytesSent, BytesTotal powinny mieć równą ich sumę. Jeśli zdarzenie jest agregowane, networkBytes jest sumą wszystkich zagregowanych sesji. |
| NetworkConnectionHistory | ciąg | Flagi TCP i inne potencjalne informacje nagłówka ip. |
| NetworkDirection | ciąg | Kierunek połączenia lub sesji. |
| NetworkDuration | int | Czas(w milisekundach) na zakończenie sesji internetowej lub połączenia. |
| NetworkIcmpCode | int | W przypadku komunikatu ICMP komunikat ICMP wpisz wartość liczbową zgodnie z opisem w specyfikacji RFC 2780 dla połączeń sieciowych IPv4 lub w RFC 4443 dla połączeń sieciowych IPv6. |
| NetworkIcmpType | ciąg | W przypadku komunikatu ICMP reprezentacja tekstowa komunikatu ICMP, zgodnie z opisem w specyfikacji RFC 2780 dla połączeń sieciowych IPv4 lub W specyfikacji RFC 4443 dla połączeń sieciowych IPv6. |
| NetworkPackets | długi | Liczba pakietów wysyłanych w obu kierunkach. Jeśli istnieją zarówno PacketsReceived, jak i PacketsSent, bytesTotal powinny być równe ich sumie. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, networkPackets jest sumą wszystkich zagregowanych sesji. |
| Networkprotocol | ciąg | Protokół IP używany przez połączenie lub sesję zgodnie z wykazem w przypisaniu protokołu IANA, który jest zazwyczaj TCP, UDP lub ICMP. |
| NetworkProtocolVersion | ciąg | Wersja elementu NetworkProtocol. |
| NetworkSessionId | ciąg | Identyfikator sesji zgłoszony przez urządzenie raportowania. |
| _Resourceid | ciąg | Unikatowy identyfikator zasobu, z którego jest skojarzony rekord |
| Reguła | ciąg | NetworkRuleName lub NetworkRuleNumber |
| Rulename | ciąg | Nazwa lub identyfikator reguły, na której podjęto decyzję DvcAction. Przykład: AnyAnyDrop |
| RuleNumber | int | Liczba reguł, na podstawie których podjęto decyzję DvcAction. Przykład: 23 |
| SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| SrcAppId | ciąg | Identyfikator aplikacji źródłowej zgłoszony przez urządzenie raportowania. |
| SrcAppName | ciąg | Nazwa aplikacji źródłowej. |
| SrcAppType | ciąg | Typ aplikacji źródłowej. |
| SrcBytes | długi | Liczba bajtów wysłanych ze źródła do miejsca docelowego połączenia lub sesji. Jeśli zdarzenie jest agregowane, SrcBytes jest sumą wszystkich zagregowanych sesji. |
| SrcDeviceType | ciąg | Typ urządzenia źródłowego. |
| SrcDomain | ciąg | Domena urządzenia źródłowego. |
| SrcDomainType | ciąg | Typ SrcDomain. |
| Identyfikator SrcDvcId | ciąg | Identyfikator urządzenia źródłowego. |
| SrcDvcIdType | ciąg | Typ identyfikatora SrcDvcId. |
| SrcDvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie źródłowe. DvcScope mapuje subskrypcję na platformę Azure i na konto na platformie AWS. |
| SrcDvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie źródłowe. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcFQDN | ciąg | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. |
| SrcGeoCity | ciąg | Miasto skojarzone ze źródłowym adresem IP. |
| SrcGeoCountry | ciąg | Kraj skojarzony ze źródłowym adresem IP. |
| SrcGeoLatitude | liczba rzeczywista | Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. |
| SrcGeoLongitude | liczba rzeczywista | Długość geograficzna współrzędnej geograficznej skojarzonej ze źródłowym adresem IP. |
| SrcGeoRegion | ciąg | Region w kraju skojarzonym ze źródłowym adresem IP. |
| SrcHostname | ciąg | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli nazwa urządzenia nie jest dostępna, może przechowywać odpowiedni adres IP. |
| SrcIpAddr | ciąg | Adres IP, z którego pochodzi połączenie lub sesja. |
| SrcMacAddr | ciąg | Adres MAC interfejsu sieciowego, z którego pochodzi połączenie lub sesja. |
| SrcNatIpAddr | ciąg | Element SrcNatIpAddr reprezentuje jeden z następujących elementów: oryginalny adres urządzenia źródłowego, jeśli użyto tłumaczenia adresu sieciowego lub adres IP używany przez urządzenie pośredniczące do komunikacji z miejscem docelowym. |
| SrcNatPortNumber | int | Jeśli jest zgłaszane przez pośredniczące urządzenie NAT, port używany przez urządzenie NAT do komunikacji z miejscem docelowym. |
| SrcOriginalUserType | ciąg | Oryginalny typ użytkownika docelowego, jeśli jest dostarczany przez urządzenie raportowania. |
| SrcPackets | długi | Liczba pakietów wysłanych ze źródła do miejsca docelowego połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, SrcPackets jest sumą wszystkich zagregowanych sesji. |
| SrcPortNumber | int | Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji składającej się z wielu połączeń. |
| SrcProcessGuid | ciąg | Wygenerowany unikatowy identyfikator (GUID) procesu źródłowego. |
| SrcProcessId | ciąg | Identyfikator procesu (PID) procesu źródłowego. |
| SrcProcessName | ciąg | Nazwa procesu źródłowego. |
| SrcUserId | ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego. |
| SrcUserIdType | ciąg | Typ identyfikatora przechowywanego w polu SrcUserId. |
| SrcUsername | ciąg | Źródłowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. |
| SrcUsernameType | ciąg | Określa typ nazwy użytkownika przechowywanej w polu SrcUsername. |
| SrcUserScope | ciąg | Zakres, taki jak Azure AD dzierżawa, w której zdefiniowano wartości SrcUserId i SrcUsername. |
| SrcUserScopeId | ciąg | Identyfikator zakresu, taki jak Azure AD dzierżawa, w której zdefiniowano identyfikator SrcUserId i SrcUsername. |
| SrcUserType | ciąg | Typ użytkownika źródłowego. |
| _Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| ThreatCategory | ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji internetowej. |
| ThreatConfidence | int | Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatField | ciąg | Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcIpAddr, DstIpAddr, Domain lub DnsResponseName. |
| ThreatFirstReportedTime | datetime | Przy pierwszym zidentyfikowaniu adresu IP lub domeny jako zagrożenia. |
| Identyfikator zagrożenia | ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowany w sesji internetowej. |
| ThreatIpAddr | ciąg | Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje. |
| ThreatIsActive | bool | Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uznawany za aktywne zagrożenie. |
| ThreatLastReportedTime | datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatName | ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji internetowej. |
| ThreatOriginalConfidence | ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia zgodnie z raportem urządzenia raportowania. |
| ThreatOriginalRiskLevel | ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| ThreatRiskLevel | int | Poziom ryzyka skojarzony z sesją. Poziom jest liczbą z zakresu od 0 do 100. |
| TimeGenerated | datetime | Sygnatura czasowa (UTC) odzwierciedla czas wygenerowania zdarzenia. |
| Typ | ciąg | Nazwa tabeli |
| Url | ciąg | Pełny adres URL żądania HTTP, w tym parametry. |
| UrlCategory | ciąg | Zdefiniowane grupowanie adresu URL lub części adresu URL domeny. |
| UrlOriginal | ciąg | Oryginalna wartość adresu URL, gdy adres URL został zmodyfikowany przez urządzenie raportowania i podano obie wartości. |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla