ASimWebSessionLogs
Gelişmiş Güvenlik Bilgileri Modeli (ASIM) Web Oturumu normalleştirme şeması - bir IP ağ etkinliğini açıklar. Örneğin, IP ağ etkinlikleri web sunucuları, web proxy'leri ve web güvenliği ağ geçitleri tarafından bildirilir.
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | microsoft.securityinsights/websessionlogs |
| Kategoriler | Güvenlik |
| Çözümler | SecurityInsights |
| Temel günlük | No |
| Alım zamanı dönüşümü | Yes |
| Örnek Sorgular | - |
Sütunlar
| Sütun | Tür | Description |
|---|---|---|
| EkAlanlar | dynamic | Kaynak tarafından sağlanan ve ASim ile eşlenmemiş anahtar/değer çiftleri kullanılarak temsil edilen ek bilgiler. |
| _BilledSize | real | Bayt cinsinden kayıt boyutu |
| DstAppId | string | Raporlama cihazı tarafından bildirilen hedef uygulamanın kimliği. |
| DstAppName | string | Hedef uygulamanın adı. |
| DstAppType | string | Hedef uygulamanın türü. |
| DstBytes | long | Bağlantı veya oturum için hedeften kaynağa gönderilen bayt sayısı. Olay toplanırsa DstBytes, toplanan tüm oturumların toplamıdır. |
| DstDeviceType | string | Hedef cihazın türü. |
| DstDomain | string | Hedef cihazın etki alanı. |
| DstDomainType | string | DstDomain türü. |
| DstDvcId | string | Hedef cihazın kimliği. |
| DstDvcIdType | string | DstDvcId türü. |
| DstDvcScope | string | Hedef cihazın ait olduğu bulut platformu kapsamı. DvcScope, Azure'da bir aboneliğe ve AWS'de bir hesaba eşler. |
| DstDvcScopeId | string | Hedef cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DstFQDN | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı. |
| DstGeoCity | string | Hedef IP adresiyle ilişkili şehir. |
| DstGeoCountry | string | Hedef IP adresiyle ilişkili ülke. |
| DstGeoLatitude | real | Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi. |
| DstGeoLongitude | real | Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı. |
| DstGeoRegion | string | Hedef IP adresiyle ilişkilendirilmiş bir ülke içindeki bölge veya eyalet. |
| DstHostname | string | Etki alanı bilgileri hariç, hedef cihaz ana bilgisayar adı. |
| DstIpAddr | string | Bağlantının veya oturum hedefinin IP adresi. |
| DstMacAddr | string | Hedef cihaz tarafından bağlantı veya oturum için kullanılan ağ arabiriminin MAC adresi. |
| DstNatIpAddr | string | DstNatIpAddr şunlardan birini temsil eder: Ağ adresi çevirisi kullanıldıysa hedef cihazın özgün adresi veya aracı cihaz tarafından kaynakla iletişim için kullanılan IP adresi. |
| DstNatPortNumber | int | Aracı bir NAT cihazı tarafından bildirilirse, NAT cihazı tarafından kaynakla iletişim için kullanılan bağlantı noktası. |
| DstOriginalUserType | string | Kaynak tarafından sağlanmışsa özgün hedef kullanıcı türü. |
| DstPackets | long | Bağlantı veya oturum için hedeften kaynağa gönderilen paket sayısı. Bir paketin anlamı, raporlama cihazı tarafından tanımlanır. Olay toplanırsa, DstPackets tüm toplanan oturumların toplamıdır. |
| DstPortNumber | int | Hedef IP bağlantı noktası. |
| DstUserId | string | Makine tarafından okunabilir, alfasayısal, hedef kullanıcının benzersiz gösterimi. |
| DstUserIdType | string | DstUserId alanında depolanan kimliğin türü. |
| DstUsername | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef kullanıcı adı. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. |
| DstUsernameType | string | DstUsername alanında depolanan kullanıcı adının türünü belirtir. |
| DstUserType | string | Hedef kullanıcının türü. |
| Dvc | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın benzersiz tanımlayıcısı. |
| DvcAction | string | Web oturumunda gerçekleştirilen eylem. |
| DvcDomain | string | Olayı bildiren cihazın etki alanı. |
| DvcDomainType | string | DvcDomain türü. Olası değerler arasında 'Windows' ve 'FQDN' bulunur. |
| DvcFQDN | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın ana bilgisayar adı. |
| DvcHostname | string | Olayı bildiren cihazın ana bilgisayar adı. |
| DvcId | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın benzersiz kimliği. |
| DvcIdType | string | DvcId türü. |
| DvcIpAddr | string | Olayı bildiren cihazın IP Adresi. |
| DvcOriginalAction | string | Raporlama cihazı tarafından sağlanan özgün DvcAction. |
| EventCount | int | Bu değer, kaynak toplamayı desteklediğinde kullanılır ve tek bir kayıt birden çok olayı temsil edebilir. |
| EventEndTime | datetime | Olayın sona erdiği saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, son olayın oluşturulduğu saat. Kaynak kayıt tarafından sağlanmadıysa, bu alan TimeGenerated alanının diğer adını alır. |
| EventMessage | string | Genel bir ileti veya açıklama. |
| EventOriginalResultDetails | string | Kaynak tarafından sağlanan özgün sonuç ayrıntıları. Bu değer, her şema için belgelenen değerlerden yalnızca birine sahip olması gereken EventResultDetails'i türetmek için kullanılır. |
| EventOriginalSeverity | string | Raporlama cihazı tarafından sağlanan özgün önem derecesi. Bu değer EventSeverity'yi türetmek için kullanılır. |
| EventOriginalSubType | string | Kaynak tarafından sağlanmışsa özgün olay alt türü veya kimliği. Örneğin, bu alan özgün Windows oturum açma türünü depolamak için kullanılır. Bu değer, her şema için belgelenen değerlerden yalnızca birine sahip olması gereken EventSubType'ı türetmek için kullanılır. |
| EventOriginalType | string | Kaynak tarafından sağlanmışsa özgün olay türü veya kimliği. |
| EventOriginalUid | string | Kaynak tarafından sağlanıyorsa özgün kaydın benzersiz kimliği. |
| EventOwner | string | Genellikle oluşturulduğu departman veya yan kuruluş olan etkinliğin sahibi. |
| EventProduct | string | Olayı oluşturan ürün. |
| EventProductVersion | string | Olayı oluşturan ürünün sürümü. |
| EventReportUrl | string | Olay hakkında daha fazla bilgi sağlayan bir kaynak için olayda sağlanan URL. |
| EventResult | string | Olayın sonucu, şu değerlerden biriyle gösterilir: Success, Partial, Failure, NA (Uygulanamaz). Değer doğrudan kaynaklar tarafından sağlanmayabilir; bu durumda, eventResultDetails alanı gibi diğer olay alanlarından türetilir. |
| EventResultDetails | string | HTTP durum kodu. |
| EventSchemaVersion | string | Şema sürümü. |
| EventSeverity | string | Olayın önem derecesi. Geçerli değerler şunlardır: Bilgilendirsel, Düşük, Orta veya Yüksek. |
| EventStartTime | datetime | Olayın başlatıldığı zaman. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, ilk olayın oluşturulduğu zaman. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer adlar ekler. |
| EventSubType | string | Varsa, olay türünün ek açıklaması. |
| Olay türü | string | Kayıt tarafından bildirilen işlem. |
| EventVendor | string | Olayı oluşturan ürünün satıcısı. |
| FileContentType | string | HTTP karşıya yüklemeleri için, karşıya yüklenen dosyanın içerik türü. |
| FileMD5 | string | HTTP karşıya yüklemeleri için, karşıya yüklenen dosyanın MD5 karması. |
| FileName | string | HTTP karşıya yüklemeleri için karşıya yüklenen dosyanın adı. |
| FileSHA1 | string | HTTP karşıya yüklemeleri için, karşıya yüklenen dosyanın SHA1 karması. |
| FileSHA256 | string | HTTP karşıya yüklemeleri için, karşıya yüklenen dosyanın SHA256 karması. |
| FileSHA512 | string | HTTP karşıya yüklemeleri için, karşıya yüklenen dosyanın SHA512 karması. |
| Filesize | int | HTTP karşıya yüklemeleri için, karşıya yüklenen dosyanın bayt cinsinden boyutu. |
| HttpContentFormat | string | HttpContentType'ın içerik biçimi bölümü |
| HttpContentType | string | HTTP Yanıtı içerik türü üst bilgisi. |
| HttpHost | string | HTTP isteğinin hedeflediği sanal web sunucusu. |
| HttpReferrer | string | HTTP başvuran üst bilgisi. |
| HttpRequestMethod | string | HTTP Yöntemi. |
| HttpRequestTime | int | İsteğin sunucuya gönderilmesi milisaniye cinsinden geçen süre. |
| HttpRequestXff | string | HTTP X-Forwarded-For üst bilgisi. |
| HttpResponseTime | int | Sunucuda yanıt almak için geçen milisaniye cinsinden süre. |
| HttpUserAgent | string | HTTP kullanıcı aracısı üst bilgisi. |
| HttpVersion | string | HTTP İstek Sürümü. |
| _IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
| NetworkApplicationProtocol | string | Bağlantı veya oturum tarafından kullanılan uygulama katmanı protokolü. |
| NetworkBytes | long | Her iki yönde gönderilen bayt sayısı. Hem BytesReceived hem de BytesSent varsa, BytesTotal toplamına eşit olmalıdır. Olay toplanmışsa NetworkBytes, toplanan tüm oturumların toplamıdır. |
| NetworkConnectionHistory | string | TCP bayrakları ve diğer olası IP üst bilgisi bilgileri. |
| NetworkDirection | string | Bağlantının veya oturumun yönü. |
| NetworkDuration | int | Web oturumunun veya bağlantının tamamlanması için milisaniye cinsinden süre. |
| NetworkIcmpCode | int | ICMP iletisi için, IPv4 ağ bağlantıları için RFC 2780'de veya IPv6 ağ bağlantıları için RFC 4443'te açıklandığı gibi ICMP ileti türü sayısal değer. |
| NetworkIcmpType | string | ICMP iletisi için, IPv4 ağ bağlantıları için RFC 2780'de veya IPv6 ağ bağlantıları için RFC 4443'te açıklandığı gibi, ICMP ileti metni gösterimini yazın. |
| Ağ Paketleri | long | Her iki yönde gönderilen paket sayısı. Hem PacketsReceived hem de PacketsSent varsa BytesTotal toplamına eşit olmalıdır. Bir paketin anlamı, raporlama cihazı tarafından tanımlanır. Olay toplanırsa NetworkPackets, toplanan tüm oturumların toplamıdır. |
| Networkprotocol | string | Bağlantı veya oturum tarafından genellikle TCP, UDP veya ICMP olan IANA protokol atamasında listelendiği şekilde kullanılan IP protokolü. |
| NetworkProtocolVersion | string | NetworkProtocol sürümü. |
| NetworkSessionId | string | Raporlama cihazı tarafından bildirilen oturum tanımlayıcısı. |
| _Resourceıd | string | Kaydın ilişkili olduğu kaynağın benzersiz tanımlayıcısı |
| Kural | string | NetworkRuleName veya NetworkRuleNumber |
| Rulename | string | DvcAction'a karar verilen kuralın adı veya kimliği. Örnek: AnyAnyDrop |
| Kural Numarası | int | DvcAction'a karar verilen kuralın sayısı. Örnek: 23 |
| SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
| SrcAppId | string | Raporlama cihazı tarafından bildirilen kaynak uygulamanın kimliği. |
| SrcAppName | string | Kaynak uygulamanın adı. |
| SrcAppType | string | Kaynak uygulamanın türü. |
| SrcBytes | long | Bağlantı veya oturum için kaynaktan hedefe gönderilen bayt sayısı. Olay toplanırsa SrcBytes, toplanan tüm oturumların toplamıdır. |
| SrcDeviceType | string | Kaynak cihazın türü. |
| SrcDomain | string | Kaynak cihazın etki alanı. |
| SrcDomainType | string | SrcDomain türü. |
| SrcDvcId | string | Kaynak cihazın kimliği. |
| SrcDvcIdType | string | SrcDvcId türü. |
| SrcDvcScope | string | Kaynak cihazın ait olduğu bulut platformu kapsamı. DvcScope, Azure'da bir aboneliğe ve AWS'de bir hesaba eşler. |
| SrcDvcScopeId | string | Kaynak cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcFQDN | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. |
| SrcGeoCity | string | Kaynak IP adresiyle ilişkili şehir. |
| SrcGeoCountry | string | Kaynak IP adresiyle ilişkili ülke. |
| SrcGeoLatitude | real | Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. |
| SrcGeoLongitude | real | Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. |
| SrcGeoRegion | string | Kaynak IP adresiyle ilişkilendirilmiş bir ülkenin içindeki bölge. |
| SrcHostname | string | Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa ilgili IP adresini depolayın. |
| SrcIpAddr | string | Bağlantının veya oturumun kaynaklandığı IP adresi. |
| SrcMacAddr | string | Bağlantının veya oturumun kaynaklandığı ağ arabiriminin MAC adresi. |
| SrcNatIpAddr | string | SrcNatIpAddr şunlardan birini temsil eder: Ağ adresi çevirisi kullanıldıysa kaynak cihazın özgün adresi veya aracı cihaz tarafından hedefle iletişim için kullanılan IP adresi. |
| SrcNatPortNumber | int | Aracı bir NAT cihazı tarafından bildirilirse, NAT cihazı tarafından hedefle iletişim için kullanılan bağlantı noktası. |
| SrcOriginalUserType | string | Raporlama cihazı tarafından sağlanıyorsa, özgün hedef kullanıcı türü. |
| SrcPackets | long | Bağlantı veya oturum için kaynaktan hedefe gönderilen paketlerin sayısı. Paketin anlamı raporlama cihazı tarafından tanımlanır. Olay toplanmışsa SrcPackets, toplanan tüm oturumların toplamıdır. |
| SrcPortNumber | int | Bağlantının kaynaklandığı IP bağlantı noktası. Birden çok bağlantıdan oluşan bir oturumla ilgili olmayabilir. |
| SrcProcessGuid | string | Kaynak işlemin oluşturulmuş benzersiz tanımlayıcısı (GUID). |
| SrcProcessId | string | Kaynak işlemin işlem kimliği (PID). |
| SrcProcessName | string | Kaynak işlemin adı. |
| SrcUserId | string | Kaynak kullanıcının makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. |
| SrcUserIdType | string | SrcUserId alanında depolanan kimliğin türü. |
| SrcUsername | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak kullanıcı adı. |
| SrcUsernameType | string | SrcUsername alanında depolanan kullanıcı adının türünü belirtir. |
| SrcUserScope | string | SrcUserId ve SrcUsername'in tanımlandığı Azure AD kiracısı gibi kapsam. |
| SrcUserScopeId | string | SrcUserId ve SrcUsername'in tanımlandığı Azure AD kiracı gibi kapsamın kimliği. |
| SrcUserType | string | Kaynak kullanıcının türü. |
| _SubscriptionId | string | Kaydın ilişkili olduğu abonelik için benzersiz tanımlayıcı |
| TenantId | string | Log Analytics çalışma alanı kimliği |
| ThreatCategory | string | Web oturumunda tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. |
| ThreatConfidence | int | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
| ThreatField | string | Bir tehdidin tanımlandığı alan. Değer SrcIpAddr, DstIpAddr, Domain veya DnsResponseName şeklindedir. |
| ThreatFirstReportedTime | datetime | IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı. |
| ThreatId | string | Web oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. |
| ThreatIpAddr | string | Bir tehdidin tanımlandığı IP adresi. ThreatField alanı ThreatIpAddr tarafından temsil edilen alanın adını içerir. |
| ThreatIsActive | bool | Tanımlanan tehdidin gerçek kimliği etkin bir tehdit olarak kabul edilir. |
| ThreatLastReportedTime | datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
| ThreatName | string | Web oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın adı. |
| ThreatOriginalConfidence | string | Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi. |
| ThreatOriginalRiskLevel | string | Raporlama cihazı tarafından bildirilen risk düzeyi. |
| ThreatRiskLevel | int | Oturumla ilişkili risk düzeyi. Düzey, 0 ile 100 arasında bir sayıdır. |
| TimeGenerated | datetime | Olayın oluşturulduğu saati yansıtan zaman damgası (UTC). |
| Tür | string | Tablonun adı |
| Url | string | Parametreler de dahil olmak üzere tam HTTP isteği URL'si. |
| UrlCategory | string | URL'nin tanımlanmış gruplandırma veya URL'nin etki alanı bölümü. |
| UrlOriginal | string | URL raporlama cihazı tarafından değiştirildiğinde ve her iki değer de sağlandığında URL'nin özgün değeri. |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin