ASimWebSessionLogs
Схема нормализации веб-сеанса Advanced Security Information Model (ASIM) описывает действия IP-сети. Например, о действиях в IP-сети сообщают веб-сервера, веб-прокси и шлюзы веб-безопасности.
Атрибуты таблицы
attribute | Значение |
---|---|
Типы ресурсов | microsoft.securityinsights/websessionlogs |
Категории | Безопасность |
Решения | SecurityInsights |
Базовый журнал | Нет |
Преобразование во время приема | Да |
Примеры запросов | - |
Столбцы
Столбец | Type | Описание |
---|---|---|
AdditionalFields | Динамический | Дополнительные сведения, представленные с помощью пар "ключ-значение", предоставленных источником, которые не сопоставлены с ASim. |
_BilledSize | real | Размер записи в байтах |
DstAppId | строка | Идентификатор приложения назначения, который сообщается устройством отчетов. |
DstAppName | строка | Введите имя приложения назначения. |
DstAppType | строка | Тип приложения назначения. |
DstBytes | long | Число байтов, отправленных от места назначения к источнику для соединения или сеанса. Если событие агрегировано, DstBytes — это сумма по всем агрегированным сеансам. |
DstDeviceType | строка | Тип устройства назначения. |
DstDomain | строка | Домен устройства назначения. |
DstDomainType | строка | Тип DstDomain. |
DstDvcId | строка | Идентификатор ресурса устройства назначения. |
DstDvcIdType | строка | Тип DstDvcId. |
DstDvcScope | строка | Облачная платформа область, к которой принадлежит целевое устройство. DvcScope сопоставляет подписку в Azure и учетную запись в AWS. |
DstDvcScopeId | строка | Идентификатор область облачной платформы, к которому принадлежит целевое устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
DstFQDN | строка | Имя узла устройства назначения, включая сведения о домене, если они доступны. |
DstGeoCity | строка | Город, связанный с IP-адресом назначения. |
DstGeoCountry | строка | Страна, связанная с IP-адресом назначения. |
DstGeoLatitude | real | Широта географической координаты, связанная с IP-адресом назначения. |
DstGeoLongitude | real | Долгота географической координаты, связанная с IP-адресом назначения. |
DstGeoRegion | строка | Регион или штат в стране, связанной с IP-адресом назначения. |
DstHostname | строка | Имя узла устройства назначения, за исключением сведений о домене. |
DstIpAddr | строка | IP-адрес подключения или назначения сеанса. |
DstMacAddr | строка | MAC-адрес сетевого интерфейса, используемый устройством назначения для подключения или сеанса. |
DstNatIpAddr | строка | DstNatIpAddr представляет любой из следующих значений: исходный адрес целевого устройства, если использовался преобразование сетевых адресов, или IP-адрес, используемый промежуточным устройством для связи с источником. |
DstNatPortNumber | INT | Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с источником. |
DstOriginalUserType | строка | Начальный тип пользователя назначения, если он указан источником. |
DstPackets | long | Число пакетов, отправленных от места назначения к источнику для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, DstPackets — это сумма по всем агрегированным сеансам. |
DstPortNumber | INT | Порт назначения. |
DstUserId | строка | Считываемое компьютером буквенно-цифровое, уникальное представление пользователя назначения. |
DstUserIdType | строка | Тип идентификатора, который хранится в поле DstUserId. |
DstUsername | строка | Имя пользователя назначения, включая сведения о домене, если они доступны. Используйте простую форму, только если сведения о домене недоступны. |
DstUsernameType | строка | Указывает тип имени пользователя, хранимого в поле DstUsername. |
DstUserType | строка | Тип пользователя назначения. |
Dvc | строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
DvcAction | строка | Действие, выполняемое в веб-сеансе. |
DvcDomain | строка | Домен устройства, сообщающего о событии. |
DvcDomainType | строка | Тип DvcDomain. Возможные значения: Windows и FQDN. |
DvcFQDN | строка | Имя узла устройства, на котором произошло событие или которое сообщило о событии. |
DvcHostname | строка | Имя узла устройства, сообщающего о событии. |
DvcId | строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
DvcIdType | строка | Тип DvcId. |
DvcIpAddr | строка | IP-адрес устройства, сообщающего о событии. |
DvcOriginalAction | строка | Исходное действие DvcAction, предоставленное передающим устройством. |
EventCount | INT | Это значение используется, если источник поддерживает агрегирование, а одна запись может представлять несколько событий. |
EventEndTime | DATETIME | Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
EventMessage | строка | Общее сообщение или описание. |
EventOriginalResultDetails | строка | Исходные сведения о результатах, предоставленные источником. Это значение используется для получения значения EventResultDetails, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
EventOriginalSeverity | строка | Исходная степень серьезности, предоставленная передающим устройством. Это значение используется для получения EventSeverity. |
EventOriginalSubType | строка | Исходный идентификатор или подтип события, если предоставлен источником. Например, это поле будет использоваться для хранения исходного типа события входа Windows. Это значение используется для получения значения EventSubType, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
EventOriginalType | строка | Исходный идентификатор или тип события, если он указан источником. |
EventOriginalUid | строка | Уникальный идентификатор исходной записи, если он указан источником. |
EventOwner | строка | Владелец события, которое обычно является отделом или дочерним подразделением, в котором оно было создано. |
EventProduct | строка | Продукт, создающий событие. |
EventProductVersion | строка | Версия продукта, создающего событие. |
EventReportUrl | строка | URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
EventResult | строка | Результат события, представленный одним из следующих значений: Success, Partial, Failure, NA (неприменимо). Значение может не быть предоставлено напрямую источниками. В этом случае оно является производным от других полей событий, например поля EventResultDetails. |
EventResultDetails | строка | Код состояния HTTP. |
EventSchemaVersion | строка | Номер версии схемы. |
EventSeverity | строка | Серьезность события. Допустимые значения: Информационный, Низкий, Средний или Высокий. |
EventStartTime | DATETIME | Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
EventSubType | строка | Дополнительное описание типа события, если применимо. |
EventType | строка | Операция, о чем сообщает запись. |
EventVendor | строка | Поставщик продукта, создающего событие. |
FileContentType | строка | Для передачи по HTTP это тип содержимого отправляемого файла. |
FileMD5 | строка | Для передачи по HTTP это хэш MD5 отправленного файла. |
FileName | строка | Для передачи по HTTP это имя отправленного файла. |
FileSHA1 | строка | Для передачи по HTTP это хэш SHA1 отправленного файла. |
FileSHA256 | строка | Для передачи по HTTP это хэш SHA256 отправленного файла. |
FileSHA512 | строка | Для передачи по HTTP это хэш SHA512 отправленного файла. |
FileSize | INT | Для передачи по HTTP это размер (в байтах) отправленного файла. |
HttpContentFormat | строка | Часть HttpContentType с форматом содержимого. |
HttpContentType | строка | Заголовок типа содержимого для HTTP-ответа. |
HttpHost | строка | Виртуальный веб-сервер, на который нацелен HTTP-запрос. |
HttpReferrer | строка | Заголовок источника ссылки HTTP. |
HttpRequestMethod | строка | Метод HTTP. |
HttpRequestTime | INT | Время в миллисекундах, необходимое для отправки запроса на сервер. |
HttpRequestXff | строка | HTTP-заголовок X-Forwarded-For. |
HttpResponseTime | INT | Время в миллисекундах, необходимое для получения ответа на сервере. |
HttpUserAgent | строка | Заголовок агента пользователя HTTP. |
HttpVersion | строка | Версия HTTP-запроса. |
_IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
NetworkApplicationProtocol | строка | Протокол на уровне приложения, используемый соединением или сеансом. |
NetworkBytes | long | Число байтов, отправленных в обоих направлениях. Если BytesReceived и BytesSent существуют, BytesTotal должен равняться их сумме. Если событие агрегировано, NetworkBytes — это сумма по всем объединенным сеансам. |
NetworkConnectionHistory | строка | Флаги TCP и другие возможные сведения о заголовке IP. |
NetworkDirection | строка | Направление подключения или сеанса. |
NetworkDuration | INT | Время (в миллисекундах) для завершения веб-сеанса или подключения. |
NetworkIcmpCode | INT | Для сообщения ICMP введите числовое значение типа сообщения ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. |
NetworkIcmpType | строка | Для сообщения ICMP введите текстовое представление типа сообщения ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. |
NetworkPackets | long | Число пакетов, отправленных в обоих направлениях. Если PacketsReceived и PacketsSent существуют, BytesTotal должен равняться их сумме. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, NetworkPackets — это сумма по всем объединенным сеансам. |
NetworkProtocol | строка | Ip-протокол, используемый соединением или сеансом, как указано в разделе Назначение протокола IANA, который обычно является TCP, UDP или ICMP. |
NetworkProtocolVersion | строка | Версия NetworkProtocol. |
NetworkSessionId | строка | Идентификатор сеанса, сообщаемый устройством составления отчетов. |
_ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись |
Правило | строка | NetworkRuleName или NetworkRuleNumber |
RuleName | строка | Имя или идентификатор правила, по которому было принято решение об DvcAction. Пример: AnyAnyDrop |
RuleNumber | INT | Номер правила, по которому было принято решение об DvcAction. Пример: 23 |
SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
SrcAppId | строка | Идентификатор исходного приложения, который сообщается передающим устройством. |
SrcAppName | строка | Имя исходного приложения. |
SrcAppType | строка | Тип исходного приложения. |
SrcBytes | long | Число байтов, отправленных от источника к месту назначения для соединения или сеанса. Если событие агрегировано, SrcBytes — это сумма по всем агрегированным сеансам. |
SrcDeviceType | строка | Тип исходного устройства. |
SrcDomain | строка | Домен исходного устройства. |
SrcDomainType | строка | Тип SrcDomain. |
SrcDvcId | строка | Идентификатор исходного устройства. |
SrcDvcIdType | строка | Тип SrcDvcId. |
SrcDvcScope | строка | Облачная платформа, область принадлежит исходное устройство. DvcScope сопоставляет подписку в Azure и учетную запись в AWS. |
SrcDvcScopeId | строка | Идентификатор область облачной платформы, к которому принадлежит исходное устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
SrcFQDN | строка | Имя узла исходного устройства, включая сведения о домене, если они доступны. |
SrcGeoCity | строка | Город, связанный с исходным IP-адресом. |
SrcGeoCountry | строка | Страна, связанная с исходным IP-адресом. |
SrcGeoLatitude | real | Географическая широта, связанная с исходным IP-адресом. |
SrcGeoLongitude | real | Географическая долгота, связанная с исходным IP-адресом. |
SrcGeoRegion | строка | Регион в стране, связанный с исходным IP-адресом. |
SrcHostname | строка | Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, может сохранить соответствующий IP-адрес. |
SrcIpAddr | строка | IP-адрес, с которого поступило соединение или сеанс. |
SrcMacAddr | строка | MAC-адрес сетевого интерфейса, из которого создано подключение или сеанс. |
SrcNatIpAddr | строка | SrcNatIpAddr представляет любой из следующих значений: исходный адрес исходного устройства, если использовался преобразование сетевых адресов, или IP-адрес, используемый промежуточным устройством для связи с назначением. |
SrcNatPortNumber | INT | Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с пунктом назначения. |
SrcOriginalUserType | строка | Исходный тип целевого пользователя, если он предоставляется устройством для создания отчетов. |
SrcPackets | long | Число пакетов, отправленных от источника к месту назначения для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, SrcPackets — это сумма по всем агрегированным сеансам. |
SrcPortNumber | INT | Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений. |
SrcProcessGuid | строка | Созданный уникальный идентификатор (GUID) исходного процесса. |
SrcProcessId | строка | Идентификатор процесса (PID) исходного процесса. |
SrcProcessName | строка | Имя исходного процесса. |
SrcUserId | строка | Считываемое компьютером буквенно-цифровое, уникальное представление исходного пользователя. |
SrcUserIdType | строка | Тип идентификатора, который хранится в поле SrcUserId. |
SrcUsername | строка | Имя исходного пользователя, включая сведения о домене, если они доступны. |
SrcUsernameType | строка | Указывает тип имени пользователя, хранимого в поле SrcUsername. |
SrcUserScope | строка | Область, например клиент Azure AD, в котором определены SrcUserId и SrcUsername. |
SrcUserScopeId | строка | Идентификатор область, например Azure AD клиента, в котором определены SrcUserId и SrcUsername. |
SrcUserType | строка | Тип исходного пользователя. |
_SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
TenantId | строка | Идентификатор рабочей области Log Analytics |
ThreatCategory | строка | Категория угроз или вредоносных программ, определенных в веб-сеансе. |
ThreatConfidence | INT | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
ThreatField | строка | Поле, для которого была обнаружена угроза. Значение : SrcIpAddr, DstIpAddr, Domain или DnsResponseName. |
ThreatFirstReportedTime | DATETIME | Время первого обнаружения угрозы для этого IP-адреса или домена. |
ThreatId | строка | Идентификатор угрозы или вредоносной программы, идентифицированной в веб-сеансе. |
ThreatIpAddr | строка | IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля, которое представляет ThreatIpAddr. |
ThreatIsActive | bool | Истинный идентификатор обнаруженной угрозы считается активной угрозой. |
ThreatLastReportedTime | DATETIME | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
ThreatName | строка | Имя угрозы или вредоносной программы, идентифицированной в веб-сеансе. |
ThreatOriginalConfidence | строка | Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
ThreatOriginalRiskLevel | строка | Уровень риска, сообщаемый устройством отчетов. |
ThreatRiskLevel | INT | Связанный с сеансом уровень риска. Уровень — это число от 0 до 100. |
TimeGenerated | DATETIME | Метка времени (UTC), отражающая время создания события. |
Тип | строка | Имя таблицы. |
Url | строка | Полный URL-адрес HTTP-запроса, включая параметры. |
UrlCategory | строка | Определенная группа URL-адреса или часть домена URL-адреса. |
UrlOriginal | строка | Исходное значение URL-адреса, если URL-адрес был изменен передающим устройством и указаны оба значения. |
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по