Поделиться через


ASimWebSessionLogs

Схема нормализации веб-сеанса расширенной информационной модели безопасности (ASIM) описывает действие IP-сети. Например, о действиях в IP-сети сообщают веб-сервера, веб-прокси и шлюзы веб-безопасности.

Атрибуты таблицы

Атрибут Значение
Типы ресурсов microsoft.securityinsights/websessionlogs
Категории Безопасность
Решения SecurityInsights
Базовый журнал No
Преобразование ingestion-time Да
Примеры запросов -

Столбцы

Column Type Описание
AdditionalFields по строкам Дополнительные сведения, представленные с помощью пар "ключ-значение", предоставляемых источником, который не сопоставляется с ASim.
_BilledSize real Размер записи в байтах
DstAppId строка Идентификатор приложения назначения, который сообщается устройством отчетов.
DstAppName строка Введите имя приложения назначения.
DstAppType строка Тип приложения назначения.
DstBytes длинный Число байтов, отправленных от места назначения к источнику для соединения или сеанса. Если событие агрегировано, DstBytes — это сумма по всем агрегированным сеансам.
DstDeviceType строка Тип устройства назначения.
DstDomain строка Домен устройства назначения.
DstDomainType строка Тип DstDomain.
DstDvcId строка Идентификатор ресурса устройства назначения.
DstDvcIdType строка Тип DstDvcId.
DstDvcScope строка Область облачной платформы, к которой принадлежит целевое устройство. DvcScope сопоставляется с подпиской в Azure и учетной записью в AWS.
DstDvcScopeId строка Идентификатор области облачной платформы, к которому принадлежит целевое устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS.
DstFQDN строка Имя узла устройства назначения, включая сведения о домене, если они доступны.
DstGeoCity строка Город, связанный с IP-адресом назначения.
DstGeoCountry строка Страна, связанная с IP-адресом назначения.
DstGeoLatitude real Широта географической координаты, связанная с IP-адресом назначения.
DstGeoLongitude real Долгота географической координаты, связанная с IP-адресом назначения.
DstGeoRegion строка Регион или штат в стране, связанной с IP-адресом назначения.
DstHostname строка Имя узла устройства назначения, включая сведения о домене.
DstIpAddr строка IP-адрес подключения или назначения сеанса.
DstMacAddr строка MAC-адрес сетевого интерфейса, используемый устройством назначения для подключения или сеанса.
DstNatIpAddr строка DstNatIpAddr представляет любой из следующих вариантов: исходный адрес конечного устройства, если был использован сетевой адрес или IP-адрес, используемый промежуточным устройством для связи с источником.
DstNatPortNumber INT Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с источником.
DstOriginalUserType строка Начальный тип пользователя назначения, если он указан источником.
DstPackets длинный Число пакетов, отправленных от места назначения к источнику для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, DstPackets — это сумма по всем агрегированным сеансам.
DstPortNumber INT Порт назначения.
DstUserId строка Считываемое компьютером буквенно-цифровое, уникальное представление пользователя назначения.
DstUserIdType строка Тип идентификатора, который хранится в поле DstUserId.
DstUsername строка Имя пользователя назначения, включая сведения о домене, если они доступны. Используйте простую форму, только если сведения о домене недоступны.
DstUsernameType строка Указывает тип имени пользователя, хранимого в поле DstUsername.
DstUserType строка Тип пользователя назначения.
Dvc строка Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии.
DvcAction строка Действия, выполненные в веб-сеансе.
DvcDomain строка Домен устройства, сообщающего о событии.
DvcDomainType строка Тип DvcDomain. Возможные значения включают "Windows" и "полное доменное имя".
DvcFQDN строка Имя узла устройства, на котором произошло событие или которое сообщило о событии.
DvcHostname строка Имя узла устройства, сообщающее о событии.
DvcId строка Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии.
DvcIdType строка Тип DvcId.
DvcIpAddr строка IP-адрес устройства, сообщающего о событии.
DvcOriginalAction строка Исходное действие DvcAction, предоставленное передающим устройством.
EventCount INT Обычно это значение используется для источников, которые поддерживают агрегирование, то есть когда одна запись может сопоставляться с несколькими событиями.
EventEndTime datetime Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated.
EventMessage строка Общее сообщение или описание.
EventOriginalResultDetails строка Исходные сведения о результатах, предоставленные источником. Это значение используется для получения значения EventResultDetails, которое должно иметь только одно из значений, задокументированных для каждой схемы.
EventOriginalSeverity строка Исходная степень серьезности, предоставленная передающим устройством. Это значение используется для получения EventSeverity.
EventOriginalSubType строка Исходный идентификатор или подтип события, если предоставлен источником. Например, это поле будет использоваться для хранения исходного типа события входа Windows. Это значение используется для получения значения EventSubType, которое должно иметь только одно из значений, задокументированных для каждой схемы.
EventOriginalType строка Исходный идентификатор или тип события, если он указан источником.
EventOriginalUid строка Уникальный идентификатор исходной записи, если он указан источником.
EventOwner строка Владелец события, который обычно является отделом или дочерней компанией, в которой она была создана.
EventProduct строка Продукт, создающий событие.
EventProductVersion строка Версия продукта, создающего событие.
EventReportUrl строка URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии.
EventResult строка Результат события, представленный одним из следующих значений: Success, Partial, Failure, NA (Not Applicable). Значение может не предоставляться напрямую источниками, в этом случае оно является производным от других полей событий, например поля EventResultDetails.
EventResultDetails строка Код состояния HTTP.
EventSchemaVersion строка Номер версии схемы.
EventSeverity строка Серьезность события. Допустимые значения: "Информационный", "Низкий", "Средний" или "Высокий".
EventStartTime datetime Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated.
EventSubType строка Дополнительное описание типа события, если применимо.
EventType строка Операция, сообщаемая записью.
EventVendor строка Поставщик продукта, создающего событие.
FileContentType строка Для передачи по HTTP это тип содержимого отправляемого файла.
FileMD5 строка Для передачи по HTTP это хэш MD5 отправленного файла.
FileName строка Для передачи по HTTP это имя отправленного файла.
FileSHA1 строка Для передачи по HTTP это хэш SHA1 отправленного файла.
FileSHA256 строка Для передачи по HTTP это хэш SHA256 отправленного файла.
FileSHA512 строка Для передачи по HTTP это хэш SHA512 отправленного файла.
FileSize INT Для передачи по HTTP это размер (в байтах) отправленного файла.
HttpContentFormat строка Часть HttpContentType с форматом содержимого.
HttpContentType строка Заголовок типа содержимого для HTTP-ответа.
HttpHost строка Виртуальный веб-сервер, на который предназначен HTTP-запрос.
HttpReferrer строка Заголовок источника ссылки HTTP.
HttpRequestMethod строка Метод HTTP.
HttpRequestTime INT Время в миллисекундах потребовалось для отправки запроса серверу.
HttpRequestXff строка HTTP-заголовок X-Forwarded-For.
HttpResponseTime INT Время в миллисекундах потребовалось для получения ответа на сервере.
HttpUserAgent строка Заголовок агента пользователя HTTP.
HttpVersion строка Версия HTTP-запроса.
_IsBillable строка Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure.
NetworkApplicationProtocol строка Протокол на уровне приложения, используемый соединением или сеансом.
NetworkBytes длинный Число байтов, отправленных в обоих направлениях. Если BytesReceived и BytesSent существуют, значение BytesTotal должно быть равно их сумме. Если событие агрегировано, NetworkBytes — это сумма по всем агрегированным сеансам.
NetworkConnectionHistory строка Флаги TCP и другие возможные сведения о заголовке IP.
NetworkDirection строка Направление подключения или сеанса.
NetworkDuration INT Время в миллисекундах для завершения веб-сеанса или подключения.
NetworkIcmpCode INT Для сообщения ICMP введите числовое значение типа сообщения ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6.
NetworkIcmpType строка Для сообщения ICMP введите текстовое представление типа сообщения ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6.
NetworkPackets длинный Число пакетов, отправленных в обоих направлениях. Если PacketsReceived и PacketsSent существуют, значение BytesTotal должно быть равно их сумме. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, NetworkPackets — это сумма по всем агрегированным сеансам.
NetworkProtocol строка IP-протокол, используемый подключением или сеансом, как указано в назначении протокола IANA, который обычно является TCP, UDP или ICMP.
NetworkProtocolVersion строка Версия NetworkProtocol.
NetworkSessionId строка Идентификатор сеанса, сообщаемый устройством составления отчетов.
_ResourceId строка Уникальный идентификатор ресурса, с которым связана запись.
Правило строка Значение NetworkRuleName или NetworkRuleNumber
RuleName строка Имя или идентификатор правила, по которому было принято решение об DvcAction. Пример: AnyAnyDrop
RuleNumber INT Номер правила, по которому было принято решение об DvcAction. Пример: 23
SourceSystem строка Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure
SrcAppId строка Идентификатор исходного приложения, который сообщается передающим устройством.
SrcAppName строка Имя исходного приложения.
SrcAppType строка Тип исходного приложения.
SrcBytes длинный Число байтов, отправленных от источника к месту назначения для соединения или сеанса. Если событие агрегировано, SrcBytes — это сумма по всем агрегированным сеансам.
SrcDeviceType строка Тип исходного устройства.
SrcDomain строка Домен исходного устройства.
SrcDomainType строка Тип SrcDomain.
SrcDvcId строка Идентификатор исходного устройства.
SrcDvcIdType строка Тип SrcDvcId.
SrcDvcScope строка Область облачной платформы, к которой принадлежит исходное устройство. DvcScope сопоставляется с подпиской в Azure и учетной записью в AWS.
SrcDvcScopeId строка Идентификатор области облачной платформы, к которому принадлежит исходное устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS.
SrcFQDN строка Имя узла исходного устройства, включая сведения о домене, если они доступны.
SrcGeoCity строка Город, связанный с исходным IP-адресом.
SrcGeoCountry строка Страна, связанная с исходным IP-адресом.
SrcGeoLatitude real Географическая широта, связанная с исходным IP-адресом.
SrcGeoLongitude real Географическая долгота, связанная с исходным IP-адресом.
SrcGeoRegion строка Регион в стране, связанный с исходным IP-адресом.
SrcHostname строка Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, может хранить соответствующий IP-адрес.
SrcIpAddr строка IP-адрес, с которого поступило соединение или сеанс.
SrcMacAddr строка MAC-адрес сетевого интерфейса, из которого создано подключение или сеанс.
SrcNatIpAddr строка SrcNatIpAddr представляет любой из следующих вариантов: исходный адрес исходного устройства, если использовался перевод сетевых адресов или IP-адрес, используемый промежуточным устройством для связи с назначением.
SrcNatPortNumber INT Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с пунктом назначения.
SrcOriginalUserType строка Исходный тип пользователя назначения, если он предоставляется устройством отчетов.
SrcPackets длинный Число пакетов, отправленных от источника к месту назначения для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, SrcPackets — это сумма по всем агрегированным сеансам.
SrcPortNumber INT Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений.
SrcProcessGuid строка Созданный уникальный идентификатор (GUID) исходного процесса.
SrcProcessId строка Идентификатор процесса (PID) исходного процесса.
SrcProcessName строка Имя исходного процесса.
SrcUserId строка Считываемое компьютером буквенно-цифровое, уникальное представление исходного пользователя.
SrcUserIdType строка Тип идентификатора, который хранится в поле SrcUserId.
SrcUsername строка Имя исходного пользователя, включая сведения о домене, если они доступны.
SrcUsernameType строка Указывает тип имени пользователя, хранимого в поле SrcUsername.
SrcUserScope строка Область, например клиент Azure AD, в которой определены SrcUserId и SrcUsername.
SrcUserScopeId строка Идентификатор области, например клиента Azure AD, в которой определены SrcUserId и SrcUsername.
SrcUserType строка Тип исходного пользователя.
_SubscriptionId строка Уникальный идентификатор подписки, с которой связана запись
TenantId строка Идентификатор рабочей области Log Analytics
ThreatCategory строка Категория угроз или вредоносных программ, определенных в веб-сеансе.
ThreatConfidence INT Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100.
ThreatField строка Поле, для которого была обнаружена угроза. Это значение — SrcIpAddr, DstIpAddr, Domain или DnsResponseName.
ThreatFirstReportedTime datetime Время первого обнаружения угрозы для этого IP-адреса или домена.
ThreatId строка Идентификатор угрозы или вредоносных программ, определенных в веб-сеансе.
ThreatIpAddr строка IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля, которое представляет ThreatIpAddr.
ThreatIsActive bool Истинный идентификатор обнаруженной угрозы считается активной угрозой.
ThreatLastReportedTime datetime Время последнего обнаружения угрозы для этого IP-адреса или домена.
ThreatName строка Имя угрозы или вредоносных программ, определенных в веб-сеансе.
ThreatOriginalConfidence строка Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней.
ThreatOriginalRiskLevel строка Уровень риска, сообщаемый устройством отчетов.
ThreatRiskLevel INT Связанный с сеансом уровень риска. Уровень — от 0 до 100.
TimeGenerated datetime Метка времени (UTC), отражающая время создания события.
Тип строка Имя таблицы.
URL строка Полный URL-адрес HTTP-запроса, включая параметры.
UrlCategory строка Определенная группа URL-адреса или часть домена URL-адреса.
UrlOriginal строка Исходное значение URL-адреса, если URL-адрес был изменен передающим устройством и указаны оба значения.