NetworkSessions
Ağ bağlantıları veya güvenlik duvarları tarafından günlüğe kaydedilenler, Wire Data, NSG, Netflow, proxy sistemleri ve web güvenliği ağ geçitleri gibi oturumlar.
Tablo öznitelikleri
Öznitelik | Değer |
---|---|
Kaynak türleri | - |
Kategoriler | Güvenlik |
Çözümler | SecurityInsights |
Temel günlük | No |
Veri alımı-zaman dönüşümü | No |
Örnek Sorgular | Evet |
Sütunlar
Sütun | Tür | Description |
---|---|---|
EkAlanlar | dynamic | Şemada ilgili sütun eşleşmediğinde, JSON paketinde ek alanlar depolanabilir. |
_BilledSize | real | Bayt cinsinden kayıt boyutu |
CloudAppId | string | Bir HTTP uygulaması için bir ara sunucu tarafından tanımlanan hedef uygulamanın kimliği. Bu değer genellikle kullanılan ara sunucuya özgüdür. |
CloudAppName | string | Bir HTTP uygulaması için bir ara sunucu tarafından tanımlanan hedef uygulamanın adı. |
CloudAppOperation | string | Kullanıcının bir HTTP uygulaması için hedef uygulama bağlamında gerçekleştirdiği ve bir ara sunucu tarafından tanımlanan işlem. Bu değer genellikle kullanılan ara sunucuya özgüdür. |
CloudAppRiskLevel | string | Bir ara sunucu tarafından tanımlanan HTTP uygulamasıyla ilişkili risk düzeyi. Bu değer genellikle kullanılan ara sunucuya özgüdür. |
DstBytes | long | Bağlantı veya oturum için hedeften kaynağa gönderilen bayt sayısı. |
DstDomainHostname | string | Hedef konağın etki alanı. |
DstDvcDomain | string | Hedef cihazın Etki Alanı. |
DstDvcFqdn | string | Günlüğün oluşturulduğu konağın tam etki alanı adı. |
DstDvcHostname | string | Hedef cihazın cihaz adı. |
DstDvcIpAddr | string | Ağ paketiyle doğrudan ilişkilendirilmemiş bir cihazın hedef IP adresi. |
DstDvcMacAddr | string | Ağ paketiyle doğrudan ilişkilendirilmemiş bir cihazın hedef MAC adresi. |
DstGeoCity | string | Hedef IP adresiyle ilişkili şehir. |
DstGeoCountry | string | Kaynak IP adresiyle ilişkili ülke. |
DstGeoLatitude | real | Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi. |
DstGeoLongitude | real | Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı |
DstGeoRegion | string | Hedef IP adresiyle ilişkilendirilmiş bir ülkenin içindeki bölge. |
DstInterfaceGuid | string | Kimlik doğrulama isteği için kullanılan ağ arabiriminin GUID'i. |
DstInterfaceName | string | Hedef cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. |
DstIpAddr | string | Bağlantının veya oturum hedefinin IP adresi. |
DstMacAddr | string | Bağlantının veya oturumun sonlandırıldığı ağ arabiriminin MAC adresi. |
DstNatIpAddr | string | Güvenlik duvarı gibi bir aracı NAT cihazı tarafından bildirilirse, NAT cihazı tarafından kaynakla iletişim için kullanılan IP adresi. |
DstNatPortNumber | int | Güvenlik duvarı gibi bir aracı NAT cihazı tarafından bildirilirse, NAT cihazı tarafından kaynakla iletişim için kullanılan bağlantı noktası. |
DstPackets | long | Bağlantı veya oturum için hedeften kaynağa gönderilen paket sayısı. Bir paketin anlamı, raporlama cihazı tarafından tanımlanır. |
DstPortNumber | int | Hedef IP bağlantı noktası. |
DstResourceId | string | Hedef cihazın kaynak kimliği. |
DstUserAadId | string | Oturumun hedef ucundaki kullanıcının Azure AD hesabı nesne kimliği. |
DstUserDomain | string | Oturumun hedefinde hesabın etki alanı veya bilgisayar adı. |
DstUserName | string | Oturumun hedefiyle ilişkili kimliğin kullanıcı adı. |
DstUserSid | string | Oturumun hedefiyle ilişkili kimliğin Kullanıcı Kimliği. Genellikle, bir sunucunun kimliğini doğrulamak için kullanılan kimlik. |
DstUserUpn | string | Oturumun hedefiyle ilişkili kimliğin UPN'i. |
DstZone | string | Raporlama cihazı tarafından tanımlandığı gibi hedefin ağ bölgesi. |
DvcAction | string | Güvenlik duvarı gibi bir aracı cihaz tarafından bildirilirse, cihaz tarafından gerçekleştirilen eylem. |
DvcHostname | string | İletiyi oluşturan cihazın cihaz adı. |
DvcInboundInterface | string | Güvenlik duvarı gibi bir aracı cihaz tarafından bildirilirse, kaynak cihaza bağlantı için bu cihaz tarafından kullanılan ağ arabirimi. |
DvcIpAddr | string | Kaydı oluşturan cihazın IP adresi. |
DvcMacAddr | string | Olayın gönderildiği raporlama cihazının ağ arabiriminin MAC adresi. |
DvcOutboundInterface | string | Güvenlik duvarı gibi bir aracı cihaz tarafından bildirilirse, hedef cihaza bağlantı için bu cihaz tarafından kullanılan ağ arabirimi. |
EventCount | int | Varsa toplanan olay sayısı. |
EventEndTime | datetime | Olayın sona erdiği saat. |
EventMessage | string | Kayıtta bulunan veya kayıttan oluşturulan genel bir ileti veya açıklama. |
EventOriginalUid | string | Raporlama cihazından kayıt kimliği. |
EventProduct | string | Olayı oluşturan ürün. |
EventProductVersion | string | Olayı oluşturan ürünün sürümü. |
EventReportUrl | string | Raporlama cihazı tarafından oluşturulan raporun tamamının bağlantısı. |
EventResourceId | string | İletiyi oluşturan cihazın kaynak kimliği. |
EventResult | string | Etkinlik için bildirilen sonuç. Uygulanamazsa boş değer. |
EventResultDetails | string | EventResult'ta bildirilen sonucun nedeni |
EventSchemaVersion | string | Azure Sentinel Şema Sürümü. |
EventSeverity | string | Bildirilen etkinliğin bir güvenlik etkisi varsa, etkinin önem derecesini belirtir. |
EventStartTime | datetime | Olayın belirttiği saat. |
EventSubType | string | Varsa türün ek açıklaması. |
EventTimeIngested | datetime | Olayın Azure Sentinel'e alındığı saat. Azure Sentinel tarafından eklenecektir. |
Olay türü | string | Toplanan olayın türü. |
EventUid | string | Sentinel tarafından bir satırı işaretlemek için kullanılan benzersiz tanımlayıcı. |
EventVendor | string | Olayı oluşturan ürünün satıcısı. |
Dosyauzantısı | string | FTP ve HTTP gibi protokoller için ağ bağlantıları üzerinden iletilen dosyanın türü. |
FileHashMd5 | string | Protokoller için ağ bağlantıları üzerinden iletilen dosyanın MD5 karma değeri. |
FileHashSha1 | string | Protokoller için ağ bağlantıları üzerinden iletilen dosyanın SHA1 karma değeri. |
FileHashSha256 | string | Protokoller için ağ bağlantıları üzerinden iletilen dosyanın SHA256 karma değeri. |
FileHashSha512 | string | Protokoller için ağ bağlantıları üzerinden iletilen dosyanın SHA512 karma değeri. |
FileMimeType | string | FTP ve HTTP gibi protokoller için ağ bağlantıları üzerinden iletilen dosyanın MIME türü. |
FileName | string | Dosya adı bilgilerini sağlayan FTP ve HTTP gibi protokoller için ağ bağlantıları üzerinden iletilen dosya adı. |
Filepath | string | Dosyanın dosya adı da dahil olmak üzere tam yolu. |
Filesize | int | Protokoller için ağ bağlantıları üzerinden iletilen dosyanın bayt cinsinden boyutu. |
HttpContentType | string | HTTP/HTTPS ağ oturumları için HTTP Yanıtı içerik türü üst bilgisi. |
HttpReferrerOriginal | string | HTTP/HTTPS ağ oturumları için HTTP başvuran üst bilgisi. |
HttpRequestMethod | string | HTTP/HTTPS ağ oturumları için HTTP Yöntemi. |
HttpRequestTime | int | İsteğin sunucuya gönderilmesi için geçen süre (varsa). |
HttpRequestXff | string | HTTP/HTTPS ağ oturumları için HTTP X-Forwarded-For üst bilgisi. |
HttpResponseTime | int | Sunucuda yanıt almak için gereken süre (varsa). |
HttpStatusCode | string | HTTP/HTTPS ağ oturumları için HTTP Durum Kodu. |
HttpUserAgentOriginal | string | HTTP/HTTPS ağ oturumları için HTTP kullanıcı aracısı üst bilgisi. |
HttpVersion | string | HTTP/HTTPS ağ bağlantıları için HTTP İstek Sürümü. |
_IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
NetworkApplicationProtocol | string | Bağlantı veya oturum tarafından kullanılan uygulama katmanı protokolü. |
NetworkBytes | long | Her iki yönde gönderilen bayt sayısı. Hem BytesReceived hem de BytesSent varsa, BytesTotal toplamına eşit olmalıdır. |
NetworkDirection | string | Kuruluşun içine veya dışına bağlantının veya oturumun yönü. |
NetworkDuration | int | Ağ oturumunun veya bağlantısının tamamlanması için milisaniye cinsinden süre. |
NetworkIcmpCode | int | ICMP iletisi için, ICMP ileti türü sayısal değer (RFC 2780 veya RFC 4443). |
NetworkIcmpType | string | ICMP iletisi için, ICMP ileti türü metin gösterimi (RFC 2780 veya RFC 4443). |
Ağ Paketleri | long | Her iki yönde gönderilen paket sayısı. Hem PacketsReceived hem de PacketsSent varsa, BytesTotal toplamına eşit olmalıdır. |
Networkprotocol | string | Bağlantı veya oturum tarafından kullanılan IP protokolü. Genellikle TCP, UDP veya ICMP. |
NetworkRuleName | string | DeviceAction'a karar verilen kuralın adı veya kimliği. |
NetworkRuleNumber | int | Eşleşen kural numarası. |
NetworkSessionId | string | Raporlama cihazı tarafından bildirilen oturum tanımlayıcısı. |
SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
SrcBytes | long | Bağlantı veya oturum için kaynaktan hedefe gönderilen bayt sayısı. |
SrcDvcDomain | string | Oturumun başlatıldığı cihazın etki alanı. |
SrcDvcFqdn | string | Günlüğün oluşturulduğu konağın tam etki alanı adı. |
SrcDvcHostname | string | Kaynak cihazın cihaz adı. |
SrcDvcIpAddr | string | Ağ paketiyle doğrudan ilişkili olmayan bir cihazın kaynak IP adresi (sağlayıcı tarafından toplanır veya açıkça hesaplanır). |
SrcDvcMacAddr | string | Ağ paketiyle doğrudan ilişkilendirilmemiş bir cihazın kaynak MAC adresi. |
SrcDvcModelName | string | Kaynak cihazın modeli. |
SrcDvcModelNumber | string | Kaynak cihazın model numarası. |
SrcDvcOs | string | Kaynak cihazın işletim sistemi. |
SrcDvcType | string | Kaynak cihazın türü. |
SrcGeoCity | string | Kaynak IP adresiyle ilişkili şehir. |
SrcGeoCountry | string | Kaynak IP adresiyle ilişkili ülke. |
SrcGeoLatitude | real | Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. |
SrcGeoLongitude | real | Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. |
SrcGeoRegion | string | Kaynak IP adresiyle ilişkilendirilmiş bir ülkenin içindeki bölge. |
SrcInterfaceGuid | string | Kullanılan ağ arabiriminin GUID'i. |
SrcInterfaceName | string | Kaynak cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. |
SrcIpAddr | string | Bağlantının veya oturumun kaynaklandığı IP adresi. |
SrcMacAddr | string | Bağlantı od oturumunun kaynaklandığı ağ arabiriminin MAC adresi. |
SrcNatIpAddr | string | Güvenlik duvarı gibi bir aracı NAT cihazı tarafından bildirilirse, NAT cihazı tarafından hedefle iletişim için kullanılan IP adresi. |
SrcNatPortNumber | int | Güvenlik duvarı gibi bir aracı NAT cihazı tarafından bildirilirse, NAT cihazı tarafından hedefle iletişim için kullanılan bağlantı noktası. |
SrcPackets | long | Bağlantı veya oturum için kaynaktan hedefe gönderilen paketlerin sayısı. Paketin anlamı raporlama cihazı tarafından tanımlanır. |
SrcPortNumber | int | Bağlantının kaynaklandığı IP bağlantı noktası. Birden çok bağlantıdan oluşan bir oturumla ilgili olmayabilir. |
SrcResourceId | string | İletiyi oluşturan cihazın kaynak kimliği. |
SrcUserAadId | string | Oturumun kaynak sonundaki kullanıcının Azure AD hesabı nesne kimliği. |
SrcUserDomain | string | Oturumu başlatan hesabın etki alanı. |
SrcUserName | string | Oturum kaynağıyla ilişkili kimliğin kullanıcı adı. Genellikle, kullanıcı istemcide bir eylem gerçekleştirir. |
SrcUserSid | string | Oturum kaynağıyla ilişkili kimliğin kullanıcı kimliği. Genellikle, kullanıcı istemcide bir eylem gerçekleştirir. |
SrcUserUpn | string | Oturumu başlatan hesabın UPN'i. |
SrcZone | string | Raporlama cihazı tarafından tanımlanan kaynağın ağ bölgesi. |
TenantId | string | Log Analytics çalışma alanı kimliği |
ThreatCategory | string | IPS'nin Web Güvenlik Ağ Geçidi gibi bir güvenlik sistemi tarafından tanımlanan ve bu ağ oturumuyla ilişkili bir tehdit kategorisi. |
ThreatId | string | IPS'nin Web Güvenliği Ağ Geçidi gibi bir güvenlik sistemi tarafından tanımlanan ve bu ağ oturumuyla ilişkili bir tehdidin kimliği. |
ThreatName | string | Tanımlanan tehdit veya kötü amaçlı yazılımın adı. |
TimeGenerated | datetime | Raporlama kaynağı tarafından bildirildiği gibi olayın gerçekleştiği saat. |
Tür | string | Tablonun adı |
UrlCategory | string | Url'nin tanımlı gruplandırma işlemi (veya yalnızca URL'deki etki alanına bağlı olabilir) ne olduğuyla (ör. yetişkin, haber, reklam, park edilmiş etki alanları vb.) ilgili olabilir. |
UrlHostname | string | HTTP/HTTPS ağ oturumları için http isteği URL'sinin etki alanı bölümü. |
UrlOriginal | string | HTTP/HTTPS ağ oturumları için HTTP isteği URL'si. |
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin