ASimNetworkSessionLogs
O esquema de normalização da sessão de rede do Microsoft Sentinel representa uma atividade de rede IP, como conexões de rede e sessões de rede. Esses eventos são relatados, por exemplo, por sistemas operacionais, roteadores, firewalls e sistemas de prevenção contra intrusões.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | microsoft.securityinsights/networksessionnormalized |
Categorias | Segurança |
Soluções | SecurityInsights |
Log básico | No |
Transformação de tempo de ingestão | Yes |
Consultas de amostras | - |
Colunas
Coluna | Tipo | Descrição |
---|---|---|
AdditionalFields | dinâmico | Informações adicionais, representadas usando pares chave/valor fornecidos pela origem que não são mapeadas para o ASim. |
_BilledSize | real | O tamanho do registro em bytes |
DstAppId | string | A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório. |
DstAppName | string | O nome do aplicativo de destino. |
DstAppType | string | O tipo do aplicativo de destino. |
DstBytes | long | O número de bytes enviados do destino para a origem da conexão ou sessão. Se o evento for agregado, DstBytes será a soma em todas as sessões agregadas. |
DstDescription | string | Um texto descritivo associado ao destino. |
DstDeviceType | string | O tipo do dispositivo de destino. |
DstDomain | string | O domínio do dispositivo de destino. |
DstDomainType | string | O tipo de DstDomain. |
DstDvcId | string | A ID do dispositivo de destino. |
DstDvcIdType | string | O tipo de DstDvcId. |
DstFQDN | string | O nome do host do dispositivo de destino, incluindo informações de domínio, quando disponíveis. |
DstGeoCity | string | A cidade associada ao endereço IP de destino. |
DstGeoCountry | string | O país associado ao endereço IP de destino. |
DstGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de destino. |
DstGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de destino. |
DstGeoRegion | string | A região ou o estado em um país associado ao endereço IP de destino. |
DstHostname | string | O nome do host do dispositivo de destino, excluindo informações de domínio. |
DstInterfaceGuid | string | O GUID do adaptador de rede usado no dispositivo de destino. |
DstInterfaceName | string | O adaptador de rede usado pelo dispositivo de destino para a conexão ou sessão. |
DstIpAddr | string | O endereço IP da conexão ou do destino da sessão. |
DstMacAddr | string | O endereço MAC do adaptador de rede usado pelo dispositivo de destino para a conexão ou a sessão. |
DstNatIpAddr | string | O DstNatIpAddr representa um dos: o endereço original do dispositivo de destino se a conversão de endereços de rede tiver sido usada ou o endereço IP usado pelo dispositivo intermediário para comunicação com a origem. |
DstNatPortNumber | INT | Se relatado por um dispositivo NAT intermediário, a porta usada pelo dispositivo NAT para a comunicação com a origem. |
DstOriginalUserType | string | O tipo de usuário de destino original, se fornecido pela fonte. |
DstPackets | long | O número de pacotes enviados do destino para a origem da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, DstPackets será a soma em todas as sessões agregadas. |
DstPortNumber | INT | A porta do IP de destino. |
string | A ID da assinatura da plataforma de nuvem à qual o dispositivo de destino pertence. Mapa do DstSubscriptionId para uma ID da assinatura no Azure e para uma ID da conta no AWS. | |
string | Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de destino. | |
DstUserIdType | string | O tipo da ID armazenada no campo DstUserId. |
DstUsername | string | O nome de usuário de destino, incluindo informações de domínio, quando disponíveis. Use o formulário simples somente quando as informações de domínio não estiverem disponíveis. |
DstUsernameType | string | Especifica o tipo do nome de usuário armazenado no campo DstUsername. |
DstUserType | string | O tipo de usuário de destino. |
string | A ID da VLAN relacionada ao dispositivo de destino. | |
DstZone | string | A zona de rede do destino, conforme definido pelo dispositivo de relatório. |
Dvc | string | Um identificador exclusivo do dispositivo no qual o evento ocorreu ou que relatou o evento. |
DvcAction | string | A ação realizada na sessão de rede. |
DvcDescription | string | Um texto descritivo associado ao dispositivo. Por exemplo: Controlador de Domínio Primário. |
DvcDomain | string | O domínio do dispositivo que relata o evento. |
DvcDomainType | string | O tipo de DvcDomain. Os valores possíveis incluem 'Windows' e 'FQDN'. |
DvcFQDN | string | O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento. |
DvcHostname | string | O nome do host do dispositivo que relata o evento. |
DvcId | string | A ID exclusiva do dispositivo no qual o evento ocorreu ou que relatou o evento. |
DvcIdType | string | O tipo de DvcId. |
DvcInboundInterface | string | Se relatado por um dispositivo intermediário, o adaptador de rede usado pelo dispositivo NAT para a conexão com o dispositivo de origem. |
DvcInterface | string | A interface de rede em que os dados foram capturados. Normalmente, esse campo é relevante para a atividade relacionada à rede que é capturada por um dispositivo intermediário ou de toque. |
DvcIpAddr | string | O endereço IP do dispositivo que relata o evento. |
DvcMacAddr | string | O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento. Exemplo: 00:1B:44:11:3A:B7 |
DvcOriginalAction | string | A DvcAction original, conforme fornecida pelo dispositivo de relatório. |
DvcOs | string | O sistema operacional em execução no dispositivo que relata o evento. |
DvcOsVersion | string | A versão do sistema operacional no dispositivo que relata o evento. |
DvcOutboundInterface | string | Se relatado por um dispositivo intermediário, o adaptador de rede usado pelo dispositivo NAT para a conexão com o dispositivo de destino. |
DvcSubscriptionId | string | A ID da assinatura da plataforma de nuvem à qual o dispositivo pertence. Mapa do DvcSubscriptionId para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
DvcZone | string | A rede na qual o evento ocorreu ou que relatou o evento. A zona é definida pelo dispositivo de relatório. |
EventCount | INT | Esse valor é usado quando a origem permite a agregação e um único registro pode representar vários eventos. |
EventEndTime | DATETIME | A hora em que o evento terminou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
EventMessage | string | Uma mensagem ou descrição geral. |
EventOriginalResultDetails | string | Os detalhes do resultado original fornecidos pela origem. Esse valor é usado para derivar EventResultDetails, que deve ter apenas um dos valores documentados por esquema. |
EventOriginalSeverity | string | A severidade original, conforme fornecido pelo dispositivo de relatório. Esse valor é usado para derivar EventSeverity. |
EventOriginalSubType | string | O subtipo ou a ID do evento original, se fornecido pela origem. Por exemplo, esse campo será usado para armazenar o tipo de logon original do Windows. Esse valor é usado para derivar EventSubType, que deve ter apenas um dos valores documentados por esquema. |
EventOriginalType | string | O ID ou tipo de evento original, se fornecido pela origem. |
EventOriginalUid | string | Uma ID exclusiva do registro original, se fornecida pela origem. |
EventProduct | string | O produto que gera o evento. |
EventProductVersion | string | A versão do produto que gera o evento. |
EventReportUrl | string | Uma URL fornecida no evento para um recurso que apresenta informações adicionais sobre o evento. |
EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas fontes, caso em que é derivado de outros campos de evento, por exemplo, o campo EventResultDetails. |
EventResultDetails | string | Motivo ou detalhes do resultado relatado no campo EventResult. |
EventSchemaVersion | string | A versão do esquema. |
EventSeverity | string | Gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
EventStartTime | DATETIME | A hora em que o evento iniciou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
EventSubType | string | Descrição adicional do tipo de evento, se aplicável. |
EventType | string | A operação relatada pelo registro. |
EventVendor | string | O fornecedor do produto que gera o evento. |
_IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
NetworkApplicationProtocol | string | O protocolo de camada de aplicativo usado pela conexão ou sessão. |
NetworkBytes | long | Número de bytes enviados em ambas as direções. Se BytesReceived e BytesSent existirem, BytesTotal será igual à soma dos dois. Se o evento for agregado, NetworkBytes será a soma em todas as sessões agregadas. |
NetworkConnectionHistory | string | Sinalizadores TCP e outras informações potenciais de cabeçalho IP. |
NetworkDirection | string | A direção da conexão ou sessão. |
NetworkDuration | INT | O tempo, em milissegundos, até a conclusão da conexão ou da sessão de rede. |
NetworkIcmpCode | INT | Para uma mensagem ICMP, o valor numérico do tipo de mensagem ICMP, conforme descrito na RFC 2780 para conexões de rede IPv4 ou na RFC 4443 para conexões de rede IPv6. |
NetworkIcmpType | string | Para uma mensagem ICMP, a representação de texto do tipo de mensagem ICMP, conforme descrito na RFC 2780 para conexões de rede IPv4 ou na RFC 4443 para conexões de rede IPv6. |
NetworkPackets | long | O número de pacotes enviados em ambas as direções. Se PacketsReceived e PacketsSent existirem, BytesTotal será igual à soma dos dois. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, NetworkPackets será a soma em todas as sessões agregadas. |
NetworkProtocol | string | O protocolo IP usado pela conexão ou sessão conforme listado na atribuição de protocolo IANA, que normalmente é TCP, UDP ou ICMP. |
NetworkProtocolVersion | string | A versão do NetworkProtocol. |
NetworkRuleName | string | O nome ou a ID da regra pela qual a DvcAction foi decidida. |
NetworkRuleNumber | INT | O número da regra pela qual DvcAction foi decidida. |
NetworkSessionId | string | O identificador de sessão, conforme relatado pelo dispositivo de relatório. |
_ResourceId | string | Identificador exclusivo do recurso ao qual o registro está associado |
SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
SrcAppId | string | A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório. |
SrcAppName | string | O nome do aplicativo de origem. |
SrcAppType | string | O tipo do aplicativo de origem. |
SrcBytes | long | O número de bytes enviados da origem para o destino da conexão ou sessão. Se o evento for agregado, SrcBytes será a soma em todas as sessões agregadas. |
SrcDescription | string | Um texto descritivo associado à origem. |
SrcDeviceType | string | O tipo do dispositivo de origem. |
SrcDomain | string | O domínio do dispositivo de origem. |
SrcDomainType | string | O tipo de SrcDomain. |
SrcDvcId | string | A ID do dispositivo de origem. |
SrcDvcIdType | string | Tipo de SrcDvcId. |
SrcFQDN | string | O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível. |
SrcGeoCity | string | A cidade associada ao endereço IP de origem. |
SrcGeoCountry | string | O país associado ao endereço IP de origem. |
SrcGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoRegion | string | A região em um país associado ao endereço IP de origem. |
SrcHostname | string | O nome do host do dispositivo de origem, incluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, poderá armazenar o endereço IP relevante. |
SrcInterfaceGuid | string | O GUID do adaptador de rede usado no dispositivo de origem. |
SrcInterfaceName | string | O adaptador de rede usado pelo dispositivo de origem para a conexão ou sessão. |
SrcIpAddr | string | O endereço IP em que a conexão ou sessão foi originada. |
SrcMacAddr | string | O endereço MAC do adaptador de rede em que a sessão ou a conexão foi originada. |
SrcNatIpAddr | string | O SrcNatIpAddr representa um dos: o endereço original do dispositivo de origem se a conversão de endereços de rede foi usada ou o endereço IP usado pelo dispositivo intermediário para comunicação com o destino. |
SrcNatPortNumber | INT | Se relatado por um dispositivo NAT intermediário, a porta usada pelo dispositivo NAT para a comunicação com o destino. |
SrcOriginalUserType | string | O tipo de usuário de destino original, se fornecido pelo pelo dispositivo de relatório. |
SrcPackets | long | O número de pacotes enviados da origem para o destino da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, SrcPackets será a soma em todas as sessões agregadas. |
SrcPortNumber | INT | A porta IP em que a conexão foi originada. Pode não ser relevante para uma sessão que abrange várias conexões. |
SrcSubscriptionId | string | A ID da assinatura da plataforma de nuvem à qual o dispositivo de origem pertence. Mapa do SrcSubscriptionId para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
SrcUserId | string | Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de origem. |
SrcUserIdType | string | O tipo da ID armazenada no campo SrcUserId. |
SrcUserName | string | O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. |
SrcUsernameType | string | Especifica o tipo do nome de usuário armazenado no campo SrcUsername. |
SrcUserType | string | O tipo do usuário de origem. |
string | A ID da VLAN relacionada ao dispositivo de origem. | |
SrcZone | string | A zona de rede da origem, conforme definido pelo dispositivo de relatório. |
_SubscriptionId | string | Identificador exclusivo da assinatura à qual o registro está associado |
TcpFlagsAck | bool | O sinalizador TCP ACK relatado. O sinalizador de confirmação é usado para reconhecer o recebimento bem-sucedido de um pacote. Como podemos ver no diagrama acima, o receptor envia uma ACK, bem como um SYN na segunda etapa do processo de handshake de três maneiras para informar ao remetente que ele recebeu seu pacote inicial. |
TcpFlagsFin | bool | O sinalizador TCP FIN foi relatado. O sinalizador concluído significa que não há mais dados do remetente. Portanto, ele é usado no último pacote enviado do remetente. |
TcpFlagsPsh | bool | O sinalizador PSH TCP foi relatado. O sinalizador de push é um pouco semelhante ao sinalizador URG e informa ao receptor para processar esses pacotes conforme eles são recebidos em vez de em buffer. |
TcpFlagsRst | bool | O sinalizador TCP RST relatado. O sinalizador de redefinição é enviado do receptor para o remetente quando um pacote é enviado para um host específico que não estava esperando por ele. |
TcpFlagsSyn | bool | O sinalizador TCP SYN foi relatado. O sinalizador de sincronização é usado como uma primeira etapa para estabelecer um handshake de três vias entre dois hosts. Somente o primeiro pacote do remetente e do receptor deve ter esse sinalizador definido. |
TcpFlagsUrg | bool | O sinalizador TCP URG foi relatado. O sinalizador urgente é usado para notificar o receptor para processar os pacotes urgentes antes de processar todos os outros pacotes. O receptor será notificado quando todos os dados urgentes conhecidos tiverem sido recebidos. Consulte a RFC 6093 para obter mais detalhes. |
TenantId | string | A ID do workspace do Log Analytics |
ThreatCategory | string | A categoria da ameaça ou do malware identificado na sessão de rede. |
ThreatConfidence | INT | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
ThreatField | string | O campo para o qual uma ameaça foi identificada. O valor é SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
ThreatFirstReportedTime | DATETIME | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatId | string | A ID da ameaça ou do malware identificado na sessão de rede. |
ThreatIpAddr | string | Um endereço IP para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. |
ThreatIsActive | bool | True, a ID da ameaça identificada é considerada uma ameaça ativa. |
ThreatLastReportedTime | DATETIME | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatName | string | O nome da ameaça ou do malware identificado na sessão de rede. |
ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
ThreatOriginalRiskLevel | string | O nível de risco, conforme relatado pelo dispositivo de relatório. |
ThreatRiskLevel | INT | O nível de risco associado à sessão. O nível é um número entre 0 e 100. |
TimeGenerated | DATETIME | O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
Type | string | O nome da tabela |
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de