NetworkSessions
Conexões de rede ou sessões como aquelas registradas por firewalls, Wire Data, NSG, Netflow, sistemas proxy e gateways de segurança da Web.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | - |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | No |
| Transformação de tempo de ingestão | No |
| Consultas de amostras | Sim |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| AdditionalFields | dinâmico | Quando não há correspondência entre as colunas no esquema, é possível armazenar campos adicionais em um recipiente JSON. |
| _BilledSize | real | O tamanho do registro em bytes |
| CloudAppId | string | A ID do aplicativo de destino para um aplicativo HTTP, conforme identificado por um proxy. Esse valor é geralmente específico para o proxy usado. |
| CloudAppName | string | O nome do aplicativo de destino de um aplicativo HTTP, conforme identificado por um proxy. |
| CloudAppOperation | string | A operação que o usuário realizou no contexto do aplicativo de destino para um aplicativo HTTP, conforme identificado por um proxy. Esse valor é geralmente específico para o proxy usado. |
| CloudAppRiskLevel | string | O nível de risco associado a um aplicativo HTTP, conforme identificado por um proxy. Esse valor é geralmente específico para o proxy usado. |
| DstBytes | long | O número de bytes enviados do destino para a origem da conexão ou sessão. |
| DstDomainHostname | string | O domínio do host de destino. |
| DstDvcDomain | string | O domínio do dispositivo de destino. |
| DstDvcFqdn | string | O nome de domínio totalmente qualificado do host em que o log foi criado. |
| DstDvcHostname | string | O nome do dispositivo de destino. |
| DstDvcIpAddr | string | O endereço IP de destino de um dispositivo que não está diretamente associado ao pacote de rede. |
| DstDvcMacAddr | string | O endereço MAC de destino de um dispositivo que não está diretamente associado ao pacote de rede. |
| DstGeoCity | string | A cidade associada ao endereço IP de destino. |
| DstGeoCountry | string | O país associado ao endereço IP de origem. |
| DstGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoRegion | string | A região dentro de um país associado ao endereço IP de destino. |
| DstInterfaceGuid | string | GUID do adaptador de rede que foi usado para solicitação de autenticação. |
| DstInterfaceName | string | O adaptador de rede usado pelo dispositivo de destino para a conexão ou sessão. |
| DstIpAddr | string | O endereço IP da conexão ou do destino da sessão. |
| DstMacAddr | string | O endereço MAC do adaptador de rede no qual a conexão ou sessão foi encerrada. |
| DstNatIpAddr | string | Se for relatado por um dispositivo NAT intermediário, como um firewall, será o endereço IP usado pelo dispositivo NAT para comunicação com a origem. |
| DstNatPortNumber | INT | Se for relatado por um dispositivo NAT intermediário, como um firewall, será a porta usada pelo dispositivo NAT para comunicação com a origem. |
| DstPackets | long | O número de pacotes enviados do destino para a origem da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. |
| DstPortNumber | INT | A porta do IP de destino. |
| DstResourceId | string | A ID do recurso do dispositivo de destino. |
| DstUserAadId | string | A ID do objeto da conta Azure AD do usuário no final da sessão de destino. |
| DstUserDomain | string | O nome do domínio ou computador da conta no destino da sessão. |
| DstUserName | string | O nome de usuário da identidade associada ao destino da sessão. |
| DstUserSid | string | A ID de usuário da identidade associada ao destino da sessão. Normalmente, a identidade usada para autenticar um servidor. |
| DstUserUpn | string | O UPN da identidade associada ao destino da sessão. |
| DstZone | string | A zona de rede do destino, conforme definido pelo dispositivo de relatório. |
| DvcAction | string | Se for relatado por um dispositivo intermediário, como um firewall, será a ação realizada pelo dispositivo. |
| DvcHostname | string | O nome do dispositivo que gera a mensagem. |
| DvcInboundInterface | string | Se for relatado por um dispositivo intermediário, como um firewall, será o adaptador de rede usado por ele para a conexão com o dispositivo de origem. |
| DvcIpAddr | string | O endereço IP do dispositivo que gera o registro. |
| DvcMacAddr | string | O endereço MAC do adaptador de rede do dispositivo de relatório em que o evento foi enviado. |
| DvcOutboundInterface | string | Se for relatado por um dispositivo intermediário, como um firewall, será o adaptador de rede usado por ele para a conexão com o dispositivo de destino. |
| EventCount | INT | O número de eventos agregados, se aplicável. |
| EventEndTime | DATETIME | A hora em que o evento terminou. |
| EventMessage | string | Uma mensagem ou descrição geral, incluída ou gerada a partir do registro. |
| EventOriginalUid | string | A ID do registro do dispositivo de relatório. |
| EventProduct | string | O produto que gera o evento. |
| EventProductVersion | string | A versão do produto que gera o evento. |
| EventReportUrl | string | Um link para o relatório completo criado pelo dispositivo de relatório. |
| EventResourceId | string | A ID do recurso do dispositivo que gera a mensagem. |
| EventResult | string | O resultado relatado para a atividade. É um valor vazio quando não aplicável. |
| EventResultDetails | string | Motivo do resultado relatado em EventResult |
| EventSchemaVersion | string | Versão do esquema do Azure Sentinel. |
| EventSeverity | string | Indica a gravidade quando a atividade relatada tem um impacto de segurança. |
| EventStartTime | DATETIME | A hora em que o evento foi declarado. |
| EventSubType | string | Descrição adicional do tipo, se aplicável. |
| EventTimeIngested | DATETIME | A hora em que o evento foi ingerido para o Azure Sentinel. Será adicionada pelo Azure Sentinel. |
| EventType | string | Tipo de evento que está sendo coletado. |
| EventUid | string | Identificador exclusivo usado pelo Sentinel para marcar uma linha. |
| EventVendor | string | O fornecedor do produto que gera o evento. |
| FileExtension | string | O tipo de arquivo transmitido pelas conexões de rede de protocolos como FTP e HTTP. |
| FileHashMd5 | string | O valor do hash MD5 do arquivo transmitido pelas conexões de rede dos protocolos. |
| FileHashSha1 | string | O valor do hash SHA1 do arquivo transmitido pelas conexões de rede dos protocolos. |
| FileHashSha256 | string | O valor do hash SHA256 do arquivo transmitido pelas conexões de rede dos protocolos. |
| FileHashSha512 | string | O valor do hash SHA512 do arquivo transmitido pelas conexões de rede dos protocolos. |
| FileMimeType | string | O tipo MIME do arquivo transmitido pelas conexões de rede para protocolos como FTP e HTTP. |
| FileName | string | O nome de arquivo transmitido pelas conexões de rede para protocolos como FTP e HTTP que fornecem as informações de nome de arquivo. |
| FilePath | string | O caminho completo, incluindo o nome do arquivo. |
| FileSize | INT | O tamanho em bytes do arquivo transmitido pelas conexões de rede dos protocolos. |
| HttpContentType | string | O cabeçalho de tipo de conteúdo de resposta HTTP para sessões de rede HTTP/HTTPS. |
| HttpReferrerOriginal | string | O cabeçalho referenciador HTTP para sessões de rede HTTP/HTTPS. |
| HttpRequestMethod | string | O método HTTP para sessões de rede HTTP/HTTPS. |
| HttpRequestTime | INT | A quantidade de tempo necessário para enviar a solicitação ao servidor, se aplicável. |
| HttpRequestXff | string | O cabeçalho HTTP X-Forwarded-For para sessões de rede HTTP/HTTPS. |
| HttpResponseTime | INT | A quantidade de tempo necessário para receber uma resposta no servidor, se aplicável. |
| HttpStatusCode | string | O código de status HTTP para sessões de rede HTTP/HTTPS. |
| HttpUserAgentOriginal | string | O cabeçalho do agente do usuário HTTP para sessões de rede HTTP/HTTPS. |
| HttpVersion | string | A versão da solicitação HTTP para conexões de rede HTTP/HTTPS. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
| NetworkApplicationProtocol | string | O protocolo de camada de aplicativo usado pela conexão ou sessão. |
| NetworkBytes | long | Número de bytes enviados em ambas as direções. Se BytesReceived e BytesSent existirem, BytesTotal será igual à soma dos dois. |
| NetworkDirection | string | A direção da conexão ou sessão, dentro ou fora da organização. |
| NetworkDuration | INT | A quantidade de tempo, em milissegundos, para a conclusão da sessão ou conexão de rede. |
| NetworkIcmpCode | INT | Para uma mensagem ICMP, o valor numérico de tipo de mensagem ICMP (RFC 2780 ou RFC 4443). |
| NetworkIcmpType | string | Para uma mensagem ICMP, uma representação de texto do tipo de mensagem ICMP (RFC 2780 ou RFC 4443). |
| NetworkPackets | long | Número de pacotes enviados em ambas as direções. Se PacketsReceived e PacketsSent existirem, BytesTotal será igual à soma dos dois. |
| NetworkProtocol | string | O protocolo IP usado pela conexão ou sessão. Normalmente, TCP, UDP ou ICMP. |
| NetworkRuleName | string | O nome ou a ID da regra pela qual DeviceAction foi decidido. |
| NetworkRuleNumber | INT | Número da regra correspondente. |
| NetworkSessionId | string | O identificador de sessão, conforme relatado pelo dispositivo de relatório. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
| SrcBytes | long | O número de bytes enviados da origem para o destino da conexão ou sessão. |
| SrcDvcDomain | string | Domínio do dispositivo do qual a sessão foi iniciada. |
| SrcDvcFqdn | string | O nome de domínio totalmente qualificado do host em que o log foi criado. |
| SrcDvcHostname | string | O nome do dispositivo de origem. |
| SrcDvcIpAddr | string | O endereço IP de origem de um dispositivo não diretamente associado ao pacote de rede (coletado por um provedor ou explicitamente calculado). |
| SrcDvcMacAddr | string | O endereço MAC de origem de um dispositivo que não está diretamente associado ao pacote de rede. |
| SrcDvcModelName | string | O modelo do dispositivo de origem. |
| SrcDvcModelNumber | string | O número do modelo do dispositivo de origem. |
| SrcDvcOs | string | O sistema operacional do dispositivo de origem. |
| SrcDvcType | string | O tipo do dispositivo de origem. |
| SrcGeoCity | string | A cidade associada ao endereço IP de origem. |
| SrcGeoCountry | string | O país associado ao endereço IP de origem. |
| SrcGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoRegion | string | A região em um país associado ao endereço IP de origem. |
| SrcInterfaceGuid | string | GUID do adaptador de rede usado. |
| SrcInterfaceName | string | O adaptador de rede usado pelo dispositivo de origem para a conexão ou sessão. |
| SrcIpAddr | string | O endereço IP em que a conexão ou sessão foi originada. |
| SrcMacAddr | string | O endereço MAC do adaptador de rede em que a sessão OD de conexão foi originada. |
| SrcNatIpAddr | string | Se for relatado por um dispositivo NAT intermediário, como um firewall, será o endereço IP usado pelo dispositivo NAT para comunicação com o destino. |
| SrcNatPortNumber | INT | Se for relatado por um dispositivo NAT intermediário, como um firewall, será a porta usada pelo dispositivo NAT para comunicação com o destino. |
| SrcPackets | long | O número de pacotes enviados da origem para o destino da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. |
| SrcPortNumber | INT | A porta IP em que a conexão foi originada. Pode não ser relevante para uma sessão que abrange várias conexões. |
| SrcResourceId | string | A ID do recurso do dispositivo que gera a mensagem. |
| SrcUserAadId | string | O Azure AD ID do objeto de conta do usuário no final da sessão de origem. |
| SrcUserDomain | string | O domínio da conta que inicia a sessão. |
| SrcUserName | string | O nome de usuário da identidade associada à origem da sessão. Normalmente, o usuário realiza uma ação no cliente. |
| SrcUserSid | string | A ID de usuário da identidade associada à origem da sessão. Normalmente, o usuário realiza uma ação no cliente. |
| SrcUserUpn | string | UPN da conta que inicia a sessão. |
| SrcZone | string | A zona de rede da origem, conforme definido pelo dispositivo de relatório. |
| TenantId | string | A ID do workspace do Log Analytics |
| ThreatCategory | string | A categoria de uma ameaça identificada por um sistema de segurança, como o Gateway de Segurança da Web de um IPS, e está associada a essa sessão de rede. |
| ThreatId | string | A ID de uma ameaça identificada por um sistema de segurança, como o Gateway de Segurança da Web de um IPS, e está associada a essa sessão de rede. |
| ThreatName | string | O nome da ameaça ou malware identificado. |
| TimeGenerated | DATETIME | A hora em que o evento ocorreu, conforme relatado pela fonte de relatório. |
| Type | string | O nome da tabela |
| UrlCategory | string | O agrupamento definido de uma URL (ou pode ser apenas com base no domínio na URL) relacionado ao que é (ou seja: adulto, notícias, publicidade, domínios estacionados etc.). |
| UrlHostname | string | A parte do domínio de uma URL de solicitação HTTP para sessões de rede HTTP/HTTPS. |
| UrlOriginal | string | A URL de solicitação HTTP para sessões de rede HTTP/HTTPS. |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de