ASimNetworkSessionLogs
Схема нормализации сетевых сеансов Microsoft Sentinel представляет действие IP-сети, например сетевые подключения и сетевые сеансы. О таких событиях сообщается, например, операционными системами, маршрутизаторами, брандмауэрами и системами предотвращения вторжения.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/networksessionnormalized |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | - |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| AdditionalFields | Динамический | Дополнительные сведения, представленные с помощью пар "ключ-значение", предоставленных источником, которые не сопоставляются с ASim. |
| _BilledSize | real | Размер записи в байтах |
| DstAppId | строка | Идентификатор приложения назначения, который сообщается устройством отчетов. |
| DstAppName | строка | Введите имя приложения назначения. |
| DstAppType | строка | Тип приложения назначения. |
| DstBytes | long | Число байтов, отправленных от места назначения к источнику для соединения или сеанса. Если событие агрегировано, DstBytes — это сумма по всем агрегированным сеансам. |
| DstDescription | строка | Описательный текст, связанный с назначением. |
| DstDeviceType | строка | Тип устройства назначения. |
| DstDomain | строка | Домен устройства назначения. |
| DstDomainType | строка | Тип DstDomain. |
| DstDvcId | строка | Идентификатор ресурса устройства назначения. |
| DstDvcIdType | строка | Тип DstDvcId. |
| DstFQDN | строка | Имя узла устройства назначения, включая сведения о домене, если они доступны. |
| DstGeoCity | строка | Город, связанный с IP-адресом назначения. |
| DstGeoCountry | строка | Страна, связанная с IP-адресом назначения. |
| DstGeoLatitude | real | Широта географической координаты, связанная с IP-адресом назначения. |
| DstGeoLongitude | real | Долгота географической координаты, связанная с IP-адресом назначения. |
| DstGeoRegion | строка | Регион или штат в стране, связанной с IP-адресом назначения. |
| DstHostname | строка | Имя узла устройства назначения, за исключением сведений о домене. |
| DstInterfaceGuid | строка | Идентификатор GUID сетевого интерфейса, используемого на устройстве назначения. |
| DstInterfaceName | строка | Сетевой интерфейс, используемый устройством назначения для подключения или сеанса. |
| DstIpAddr | строка | IP-адрес подключения или назначения сеанса. |
| DstMacAddr | строка | MAC-адрес сетевого интерфейса, используемый устройством назначения для подключения или сеанса. |
| DstNatIpAddr | строка | DstNatIpAddr представляет любой из следующих значений: исходный адрес целевого устройства, если использовался преобразование сетевых адресов, или IP-адрес, используемый промежуточным устройством для связи с источником. |
| DstNatPortNumber | INT | Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с источником. |
| DstOriginalUserType | строка | Начальный тип пользователя назначения, если он указан источником. |
| DstPackets | long | Число пакетов, отправленных от места назначения к источнику для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, DstPackets — это сумма по всем агрегированным сеансам. |
| DstPortNumber | INT | Порт назначения. |
| DstSubscriptionId | строка | Идентификатор подписки на облачную платформу, к которой принадлежит устройство назначения. DstSubscriptionId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| DstUserId | строка | Считываемое компьютером буквенно-цифровое, уникальное представление пользователя назначения. |
| DstUserIdType | строка | Тип идентификатора, который хранится в поле DstUserId. |
| DstUsername | строка | Имя пользователя назначения, включая сведения о домене, если они доступны. Используйте простую форму, только если сведения о домене недоступны. |
| DstUsernameType | строка | Указывает тип имени пользователя, хранимого в поле DstUsername. |
| DstUserType | строка | Тип пользователя назначения. |
| DstVlanId | строка | Идентификатор виртуальной ЛС, относящийся к устройству назначения. |
| DstZone | строка | Зона сети назначения, определенная на устройстве составления отчетов. |
| Dvc | строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
| DvcAction | строка | Действие, выполняемое в сетевом сеансе. |
| DvcDescription | строка | Текст описания, связанный с устройством. Например: основной контроллер домена. |
| DvcDomain | строка | Домен устройства, сообщающего о событии. |
| DvcDomainType | строка | Тип DvcDomain. Возможные значения: Windows и FQDN. |
| DvcFQDN | строка | Имя узла устройства, на котором произошло событие или которое сообщило о событии. |
| DvcHostname | строка | Имя узла устройства, сообщающего о событии. |
| DvcId | строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
| DvcIdType | строка | Тип DvcId. |
| DvcInboundInterface | строка | Если сообщение передается промежуточным устройством, то это сетевой интерфейс, используемый устройством NAT для подключения к исходному устройству. |
| DvcInterface | строка | Сетевой интерфейс, в котором были фиксируются данные. Это поле обычно относится к сетевой активности, которая фиксируется промежуточным устройством или устройством TAP. |
| DvcIpAddr | строка | IP-адрес устройства, сообщающего о событии. |
| DvcMacAddr | строка | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. Пример: 00:1B:44:11:3A:B7 |
| DvcOriginalAction | строка | Исходное действие DvcAction, предоставленное передающим устройством. |
| DvcOs | строка | Операционная система, запущенная на устройстве, сообщает о событии. |
| DvcOsVersion | строка | Версия операционной системы на устройстве, сообщающая о событии. |
| DvcOutboundInterface | строка | Если сообщение передается промежуточным устройством, то это сетевой интерфейс, используемый устройством NAT для подключения к устройству назначения. |
| DvcSubscriptionId | строка | Идентификатор подписки на облачную платформу, к которой принадлежит устройство. DvcSubscriptionId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| DvcZone | строка | Сеть, в которой произошло событие или которая сообщила о событии. Зона определяется передающим устройством. |
| EventCount | INT | Это значение используется, если источник поддерживает агрегирование, а одна запись может представлять несколько событий. |
| EventEndTime | DATETIME | Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventMessage | строка | Общее сообщение или описание. |
| EventOriginalResultDetails | строка | Исходные сведения о результатах, предоставленные источником. Это значение используется для получения значения EventResultDetails, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| EventOriginalSeverity | строка | Исходная степень серьезности, предоставленная передающим устройством. Это значение используется для получения EventSeverity. |
| EventOriginalSubType | строка | Исходный идентификатор или подтип события, если предоставлен источником. Например, это поле будет использоваться для хранения исходного типа события входа Windows. Это значение используется для получения значения EventSubType, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| EventOriginalType | строка | Исходный идентификатор или тип события, если он указан источником. |
| EventOriginalUid | строка | Уникальный идентификатор исходной записи, если он указан источником. |
| EventProduct | строка | Продукт, создающий событие. |
| EventProductVersion | строка | Версия продукта, создающего событие. |
| EventReportUrl | строка | URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
| EventResult | строка | Результат события, представленный одним из следующих значений: Success, Partial, Failure, NA (неприменимо). Значение может не быть предоставлено напрямую источниками. В этом случае оно является производным от других полей событий, например поля EventResultDetails. |
| EventResultDetails | строка | Причина или подробные сведения для результата, полученного в поле EventResult. |
| EventSchemaVersion | строка | Номер версии схемы. |
| EventSeverity | строка | Серьезность события. Допустимые значения: Информационный, Низкий, Средний или Высокий. |
| EventStartTime | DATETIME | Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventSubType | строка | Дополнительное описание типа события, если применимо. |
| EventType | строка | Операция, о чем сообщает запись. |
| EventVendor | строка | Поставщик продукта, создающего событие. |
| _IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
| NetworkApplicationProtocol | строка | Протокол на уровне приложения, используемый соединением или сеансом. |
| NetworkBytes | long | Число байтов, отправленных в обоих направлениях. Если BytesReceived и BytesSent существуют, BytesTotal должен равняться их сумме. Если событие агрегировано, NetworkBytes — это сумма по всем объединенным сеансам. |
| NetworkConnectionHistory | строка | Флаги TCP и другие возможные сведения о заголовке IP. |
| NetworkDirection | строка | Направление подключения или сеанса. |
| NetworkDuration | INT | Время в миллисекундах, необходимое для завершения сетевого сеанса или подключения. |
| NetworkIcmpCode | INT | Для сообщения ICMP введите числовое значение типа сообщения ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. |
| NetworkIcmpType | строка | Для сообщения ICMP введите текстовое представление типа сообщения ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. |
| NetworkPackets | long | Число пакетов, отправленных в обоих направлениях. Если PacketsReceived и PacketsSent существуют, BytesTotal должен равняться их сумме. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, NetworkPackets — это сумма по всем объединенным сеансам. |
| NetworkProtocol | строка | Ip-протокол, используемый соединением или сеансом, как указано в разделе Назначение протокола IANA, который обычно является TCP, UDP или ICMP. |
| NetworkProtocolVersion | строка | Версия NetworkProtocol. |
| NetworkRuleName | строка | Имя или идентификатор правила, по которому было принято решение об DvcAction. |
| NetworkRuleNumber | INT | Номер правила, по которому было принято решение об DvcAction. |
| NetworkSessionId | строка | Идентификатор сеанса, сообщаемый устройством составления отчетов. |
| _ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись |
| SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| SrcAppId | строка | Идентификатор исходного приложения, который сообщается передающим устройством. |
| SrcAppName | строка | Имя исходного приложения. |
| SrcAppType | строка | Тип исходного приложения. |
| SrcBytes | long | Число байтов, отправленных от источника к месту назначения для соединения или сеанса. Если событие агрегировано, SrcBytes — это сумма по всем агрегированным сеансам. |
| SrcDescription | строка | Описательный текст, связанный с источником. |
| SrcDeviceType | строка | Тип исходного устройства. |
| SrcDomain | строка | Домен исходного устройства. |
| SrcDomainType | строка | Тип SrcDomain. |
| SrcDvcId | строка | Идентификатор исходного устройства. |
| SrcDvcIdType | строка | Тип SrcDvcId. |
| SrcFQDN | строка | Имя узла исходного устройства, включая сведения о домене, если они доступны. |
| SrcGeoCity | строка | Город, связанный с исходным IP-адресом. |
| SrcGeoCountry | строка | Страна, связанная с исходным IP-адресом. |
| SrcGeoLatitude | real | Географическая широта, связанная с исходным IP-адресом. |
| SrcGeoLongitude | real | Географическая долгота, связанная с исходным IP-адресом. |
| SrcGeoRegion | строка | Регион в стране, связанный с исходным IP-адресом. |
| SrcHostname | строка | Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, может сохранить соответствующий IP-адрес. |
| SrcInterfaceGuid | строка | GUID сетевого интерфейса, используемого на исходном устройстве. |
| SrcInterfaceName | строка | Сетевой интерфейс, используемый исходным устройством для подключения или сеанса. |
| SrcIpAddr | строка | IP-адрес, с которого поступило соединение или сеанс. |
| SrcMacAddr | строка | MAC-адрес сетевого интерфейса, из которого создано подключение или сеанс. |
| SrcNatIpAddr | строка | SrcNatIpAddr представляет любой из следующих значений: исходный адрес исходного устройства, если использовался преобразование сетевых адресов, или IP-адрес, используемый промежуточным устройством для связи с назначением. |
| SrcNatPortNumber | INT | Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с пунктом назначения. |
| SrcOriginalUserType | строка | Исходный тип целевого пользователя, если он предоставлен устройством для создания отчетов. |
| SrcPackets | long | Число пакетов, отправленных от источника к месту назначения для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, SrcPackets — это сумма по всем агрегированным сеансам. |
| SrcPortNumber | INT | Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений. |
| SrcSubscriptionId | строка | Идентификатор подписки на облачную платформу, к которой принадлежит исходное устройство. SrcSubscriptionId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcUserId | строка | Считываемое компьютером буквенно-цифровое, уникальное представление исходного пользователя. |
| SrcUserIdType | строка | Тип идентификатора, который хранится в поле SrcUserId. |
| SrcUsername | строка | Имя исходного пользователя, включая сведения о домене, если они доступны. |
| SrcUsernameType | строка | Указывает тип имени пользователя, хранимого в поле SrcUsername. |
| SrcUserType | строка | Тип исходного пользователя. |
| SrcVlanId | строка | Идентификатор виртуальной ЛС, относящийся к исходному устройству. |
| SrcZone | строка | Зона сети источника, определенная на устройстве составления отчетов. |
| _SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
| TcpFlagsAck | bool | Сообщается флаг TCP ACK. Флаг подтверждения используется для подтверждения успешного получения пакета. Как видно из приведенной выше схемы, получатель отправляет ACK, а также SYN на втором шаге процесса трехстороннего подтверждения, чтобы сообщить отправителю, что он получил свой исходный пакет. |
| TcpFlagsFin | bool | Сообщается о флаге TCP FIN. Готовый флаг означает, что данных от отправителя больше нет. Поэтому он используется в последнем пакете, отправленном отправителем. |
| TcpFlagsPsh | bool | Сообщается о флаге TCP PSH. Флаг отправки несколько похож на флаг URG и предписывает получателю обрабатывать эти пакеты по мере их получения вместо их буферизации. |
| TcpFlagsRst | bool | Сообщается о флаге TCP RST. Флаг сброса отправляется от получателя к отправителю, когда пакет отправляется на конкретный узел, который этого не ожидал. |
| TcpFlagsSyn | bool | Сообщается о флаге TCP SYN. Флаг синхронизации используется в качестве первого шага при установлении трехстороннего подтверждения между двумя узлами. Этот флаг должен быть установлен только для первого пакета как от отправителя, так и от получателя. |
| TcpFlagsUrg | bool | Сообщается о флаге TCP URG. Срочный флаг используется для уведомления получателя о необходимости обработки срочных пакетов перед обработкой всех остальных пакетов. Получатель будет уведомлен, когда будут получены все известные срочные данные. Дополнительные сведения см. на странице RFC 6093. |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| ThreatCategory | строка | Категория угрозы или вредоносной программы, определенной в сетевом сеансе. |
| ThreatConfidence | INT | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatField | строка | Поле, для которого была обнаружена угроза. Значение : SrcIpAddr, DstIpAddr, Domain или DnsResponseName. |
| ThreatFirstReportedTime | DATETIME | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatId | строка | Идентификатор угрозы или вредоносной программы, определенной в сетевом сеансе. |
| ThreatIpAddr | строка | IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля, которое представляет ThreatIpAddr. |
| ThreatIsActive | bool | Истинный идентификатор обнаруженной угрозы считается активной угрозой. |
| ThreatLastReportedTime | DATETIME | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| ThreatName | строка | Имя угрозы или вредоносной программы, определенной в сетевом сеансе. |
| ThreatOriginalConfidence | строка | Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatOriginalRiskLevel | строка | Уровень риска, сообщаемый устройством отчетов. |
| ThreatRiskLevel | INT | Связанный с сеансом уровень риска. Уровень — это число от 0 до 100. |
| TimeGenerated | DATETIME | Метка времени (UTC), отражающая время создания события. |
| Тип | строка | Имя таблицы. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по