ASimNetworkSessionLogs
Microsoft Sentinel 網路會話正規化架構代表 IP 網路活動,例如網路連線和網路會話。 例如,作業系統、路由器、防火牆和入侵防護系統會報告這類事件。
數據表屬性
屬性 | 值 |
---|---|
資源類型 | microsoft.securityinsights/networksessionnormalized |
類別 | 安全性 |
方案 | SecurityInsights |
基本記錄檔 | No |
擷取時間轉換 | Yes |
範例查詢 | - |
資料行
資料行 | 類型 | Description |
---|---|---|
AdditionalFields | 動態 | 其他資訊,使用未對應至 ASim 的來源所提供的索引鍵/值組來表示。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
DstAppId | 字串 | 目的地應用程式的識別碼,如報告裝置所報告。 |
DstAppName | 字串 | 目的地應用程式的名稱。 |
DstAppType | 字串 | 目的地應用程式的類型。 |
DstBytes | long | 從連線或工作階段目的地傳送至來源的位元組數目。 如果匯總事件,DstBytes 是所有匯總會話的總和。 |
DstDescription | 字串 | 與目的地相關聯的描述性文字。 |
DstDeviceType | 字串 | 目的地裝置的類型。 |
DstDomain | 字串 | 目的地裝置的網域。 |
DstDomainType | 字串 | DstDomain 的類型。 |
DstDvcId | 字串 | 目的地裝置的識別碼。 |
DstDvcIdType | 字串 | DstDvcId 的類型。 |
DstFQDN | 字串 | 目的地裝置主機名稱,包括網域資訊 (如果可用)。 |
DstGeoCity | 字串 | 與目的地 IP 位址相關聯的城市。 |
DstGeoCountry | 字串 | 與目的地 IP 位址相關聯的國家/地區。 |
DstGeoLatitude | real | 與目的地 IP 位址相關聯的地理座標緯度。 |
DstGeoLongitude | real | 與目的地 IP 位址相關聯的地理座標經度。 |
DstGeoRegion | 字串 | 與目的地 IP 位址相關聯的國家/地區內的地區或州/省。 |
DstHostname | 字串 | 目的地裝置主機名稱,不包括網域資訊。 |
DstInterfaceGuid | 字串 | 目的地裝置上所使用網路介面的 GUID。 |
DstInterfaceName | 字串 | 目的地裝置用於連線或工作階段的網路介面。 |
DstIpAddr | 字串 | 連線或工作階段目的地的 IP 位址。 |
DstMacAddr | 字串 | 目的地裝置用於連線或工作階段的網路介面的 MAC 位址。 |
DstNatIpAddr | 字串 | DstNatIpAddr 代表下列任一項:如果使用網路位址轉換,則為目的地裝置的原始位址,或是中繼裝置用來與來源通訊的IP位址。 |
DstNatPortNumber | int | 如果是由中繼 NAT 裝置所報告,則為 NAT 裝置用於與來源通訊的連接埠。 |
DstOriginalUserType | 字串 | 來源所提供的原始目的地使用者類型。 |
DstPackets | long | 從連線或工作階段目的地傳送至來源的封包數目。 封包的意思由報告裝置定義。 如果匯總事件,DstPackets 是所有匯總會話的總和。 |
DstPortNumber | int | 目的地 IP 連接埠。 |
DstSubscriptionId | 字串 | 目的地裝置所屬的雲端平台訂用帳戶識別碼。 DstSubscriptionId 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
DstUserId | 字串 | 機器可讀取、英數字元且唯一的目的地使用者表示法。 |
DstUserIdType | 字串 | DstUserId 欄位中所儲存識別碼的類型。 |
DstUsername | 字串 | 目的地使用者名稱,包括網域資訊 (如果可用)。 只有在網域資訊無法使用時,才會使用簡單形式。 |
DstUsernameType | 字串 | 指定 DstUsername 欄位中所儲存使用者名稱的類型。 |
DstUserType | 字串 | 目的地使用者的類型。 |
DstVlanId | 字串 | 與目的地裝置相關的 VLAN 識別碼。 |
DstZone | 字串 | 目的地的網路區域,如報告裝置所定義。 |
Dvc | 字串 | 發生事件或報告事件之裝置的唯一標識符。 |
DvcAction | 字串 | 對網路工作階段所採取的動作。 |
DvcDescription | 字串 | 與裝置相關聯的描述性文字。 例如:主要域控制器。 |
DvcDomain | 字串 | 報告事件的裝置網域。 |
DvcDomainType | 字串 | DvcDomain 的類型。 可能的值為 'Windows' 和 'FQDN'。 |
DvcFQDN | 字串 | 發生事件的裝置主機名,或報告事件的裝置主機名。 |
DvcHostname | 字串 | 報告事件的裝置主機名。 |
DvcId | 字串 | 發生事件或報告事件之裝置的唯一標識符。 |
DvcIdType | 字串 | DvcId 的類型。 |
DvcInboundInterface | 字串 | 如果由中繼裝置回報,則為 NAT 裝置用來連線至來源裝置的網路介面。 |
DvcInterface | 字串 | 擷取資料的網路介面。 此欄位通常與中繼或點選裝置所擷取的網路相關活動相關聯。 |
DvcIpAddr | 字串 | 報告事件的裝置IP位址。 |
DvcMacAddr | 字串 | 發生事件或報告事件裝置的 MAC 位址,視結構描述而定。 範例:00:1B:44:11:3A:B7 |
DvcOriginalAction | 字串 | 報告裝置所提供原始的 DvcAction。 |
DvcOs | 字串 | 在報告事件的裝置上執行的作業系統。 |
DvcOsVersion | 字串 | 報告事件的裝置上的作業系統版本。 |
DvcOutboundInterface | 字串 | 如果由中繼裝置回報,則為 NAT 裝置用來連線至目的地裝置的網路介面。 |
DvcSubscriptionId | 字串 | 裝置所屬的雲端平台訂閱識別碼。 DvcSubscriptionId 對應至 Azure 上的訂閱識別碼,以及 AWS 上的帳戶識別碼。 |
DvcZone | 字串 | 發生事件或報告事件的網路。 區域由報告裝置定義。 |
EventCount | int | 當來源支持匯總時,會使用這個值,而單一記錄可能代表多個事件。 |
EventEndTime | datetime | 事件結束的時間。 如果來源支援彙總,而記錄代表多個事件,則會產生最後一個事件的時間。 如果來源記錄未提供,此欄位會別名為 TimeGenerated 欄位。 |
EventMessage | 字串 | 一般訊息或描述。 |
EventOriginalResultDetails | 字串 | 來源所提供的原始結果詳細資料。 此值用來衍生 EventResultDetails,這應該只有針對每個結構描述記載的其中一個值。 |
EventOriginalSeverity | 字串 | 報告裝置所提供的原始嚴重性。 此值用來衍生 EventSeverity。 |
EventOriginalSubType | 字串 | 如果由來源提供,則為原始事件子類型或識別碼。 例如,此欄位將用來儲存原始 Windows 登入類型。 此值用來衍生 EventSubType,這應該只有針對每個結構描述記載的其中一個值。 |
EventOriginalType | 字串 | 如果由來源提供,則為原始事件類型或識別碼。 |
EventOriginalUid | 字串 | 如果由來源提供,則為原始資料列的唯一識別碼。 |
EventProduct | 字串 | 產生事件的產品。 |
EventProductVersion | 字串 | 產生事件的產品版本。 |
EventReportUrl | 字串 | 事件中所提供的 URL,提供該事件的詳細資訊。 |
EventResult | 字串 | 事件的結果,以下列其中一個值表示:成功、部分、失敗、NA (不適用) 。 值可能不會由來源直接提供,在此情況下,它衍生自其他事件欄位,例如 EventResultDetails 字段。 |
EventResultDetails | 字串 | EventResult 欄位中所報告的原因或詳細資訊結果。 |
EventSchemaVersion | 字串 | 結構描述的版本。 |
EventSeverity | 字串 | 該事件的嚴重性。 有效值為:資訊、低、中或高。 |
EventStartTime | datetime | 事件開始的時間。 如果來源支援彙總,而記錄代表多個事件,則會產生第一個事件的時間。 如果來源記錄未提供,此欄位會別名為 TimeGenerated 欄位。 |
EventSubType | 字串 | 如果適用,則為事件類型的其他描述。 |
EventType | 字串 | 記錄所報告的作業。 |
EventVendor | 字串 | 產生事件的產品廠商。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
NetworkApplicationProtocol | 字串 | 連線或工作階段使用的應用程式層通訊協定。 |
NetworkBytes | long | 雙向傳送的位元組數目。 如果同時有 BytesReceived 和 BytesSent,BytesTotal 應等於兩者總和。 如果匯總事件,NetworkBytes 是所有匯總會話的總和。 |
NetworkConnectionHistory | 字串 | TCP 旗標和其他潛在的 IP 標頭資訊。 |
NetworkDirection | 字串 | 聯機或會話的方向。 |
NetworkDuration | int | 完成網路工作階段或連線的時間長度,以毫秒為單位。 |
NetworkIcmpCode | int | 針對 ICMP 訊息,ICMP 訊息類型數值 (如適用於 IPv4 網路連線的 RFC 2780 或適用於 IPv6 網路連線的 RFC 4443 所述)。 |
NetworkIcmpType | 字串 | 針對 ICMP 訊息,ICMP 訊息類型文字表示法 (如適用於 IPv4 網路連線的 RFC 2780 或適用於 IPv6 網路連線的 RFC 4443 所述)。 |
NetworkPackets | long | 雙向傳送的封包數目。 如果同時有 PacketsReceived 和 PacketsSent,BytesTotal 應等於兩者總和。 封包的意思由報告裝置定義。 如果匯總事件,NetworkPackets 是所有匯總會話的總和。 |
NetworkProtocol | 字串 | 連線或會話所使用的IP通訊協定,如IANA通訊協定指派中所列,通常是TCP、UDP或ICMP。 |
NetworkProtocolVersion | 字串 | NetworkProtocol 的版本。 |
NetworkRuleName | 字串 | 據以決定 DvcAction 的規則所具有的名稱或識別碼。 |
NetworkRuleNumber | int | 據以決定 DvcAction 的規則所具有的編號。 |
NetworkSessionId | 字串 | 報告裝置回報的工作階段識別碼。 |
_ResourceId | 字串 | 記錄相關資源的唯一識別碼。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,針對 Windows 代理程式、OpsManager 直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
SrcAppId | 字串 | 報告裝置所報告的來源應用程式識別碼。 |
SrcAppName | 字串 | 來源應用程式的名稱。 |
SrcAppType | 字串 | 來源應用程式的類型。 |
SrcBytes | long | 從連線或工作階段來源傳送至目的地的位元組數目。 如果匯總事件,SrcBytes 是所有匯總會話的總和。 |
SrcDescription | 字串 | 與來源相關聯的描述性文字。 |
SrcDeviceType | 字串 | 來源裝置的類型。 |
SrcDomain | 字串 | 來源裝置的網域。 |
SrcDomainType | 字串 | SrcDomain 的類型。 |
SrcDvcId | 字串 | 來源裝置的識別碼。 |
SrcDvcIdType | 字串 | SrcDvcId 的類型。 |
SrcFQDN | 字串 | 來源裝置主機名稱,包括網域資訊 (如果可用)。 |
SrcGeoCity | 字串 | 與來源 IP 位址相關聯的城市。 |
SrcGeoCountry | 字串 | 與來源 IP 位址相關聯的國家/地區。 |
SrcGeoLatitude | real | 與來源 IP 位址相關聯的地理座標緯度。 |
SrcGeoLongitude | real | 與來源 IP 位址相關聯的地理座標經度。 |
SrcGeoRegion | 字串 | 與來源 IP 位址相關聯的國家/地區內的區域。 |
SrcHostname | 字串 | 來源裝置主機名稱,不包括網域資訊。 如果沒有可用的裝置名稱,可能會儲存相關的IP位址。 |
SrcInterfaceGuid | 字串 | 來源裝置上所使用網路介面的 GUID。 |
SrcInterfaceName | 字串 | 來源裝置用於連線或工作階段的網路介面。 |
SrcIpAddr | 字串 | 連線或工作階段的來源 IP 位址。 |
SrcMacAddr | 字串 | 連線或工作階段來源網路介面的 MAC 位址。 |
SrcNatIpAddr | 字串 | SrcNatIpAddr 代表:如果使用網路位址轉換,或中繼裝置用來與目的地通訊的 IP 位址,則來源裝置的原始位址。 |
SrcNatPortNumber | int | 如果是由中繼 NAT 裝置所報告,則為 NAT 裝置用於與目的地通訊的連接埠。 |
SrcOriginalUserType | 字串 | 如果由報告裝置提供,則為原始目的地用戶類型。 |
SrcPackets | long | 從連線或工作階段來源傳送至目的地的封包數目。 封包的意思由報告裝置定義。 如果匯總事件,SrcPackets 是所有匯總會話的總和。 |
SrcPortNumber | int | 連線的來源 IP 連接埠。 可能與包含多個連線的工作階段無關。 |
SrcSubscriptionId | 字串 | 來源裝置所屬的雲端平台訂用帳戶識別碼。 SrcSubscriptionId 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
SrcUserId | 字串 | 機器可讀取、英數字元且唯一的來源使用者表示法。 |
SrcUserIdType | 字串 | SrcUserId 欄位中所儲存識別碼的類型。 |
SrcUsername | 字串 | 來源使用者名稱,包括網域資訊 (如果可用)。 |
SrcUsernameType | 字串 | 指定 SrcUsername 欄位中所儲存使用者名稱的類型。 |
SrcUserType | 字串 | 來源使用者的型別。 |
SrcVlanId | 字串 | 與來源裝置相關的 VLAN 識別碼。 |
SrcZone | 字串 | 來源的網路區域,如報告裝置所定義。 |
_SubscriptionId | 字串 | 與記錄相關的訂用帳戶唯一識別碼 |
TcpFlagsAck | bool | 報告的 TCP ACK 旗標。 通知旗標用來認可封包的成功接收。 如上圖所示,接收者會在三向交握程式的第二個步驟中傳送 ACK 以及 SYN,告知傳送者收到其初始封包。 |
TcpFlagsFin | bool | 報告的 TCP FIN 旗標。 完成的旗標表示寄件者沒有其他資料。 因此,其會用於從傳送者傳送的最後一個封包。 |
TcpFlagsPsh | bool | 報告的 TCP PSH 旗標。 推播旗標與「要求」旗標有點類似,並告知接收者在收到封包時處理這些封包,而不是緩衝處理這些封包。 |
TcpFlagsRst | bool | 報告的 TCP RST 旗標。 當封包傳送至未預期該封包的特定主機時,接收者會傳送重設旗標給傳送者。 |
TcpFlagsSyn | bool | 報告的 TCP SYN 旗標。 同步處理旗標是用來建立兩部主機之間三向交握的第一個步驟。 只有來自傳送者和接收者的第一個封包應該設定此旗標。 |
TcpFlagsUrg | bool | 回報的 TCP 的[TCP][TCP][TCP] 旗標。 緊急旗標可用來通知接收者在處理所有其他封包之前先處理緊急封包。 接收者會在收到所有已知的緊急資料時收到通知。 如需詳細資訊,請參閱 RFC 6093。 |
TenantId | 字串 | Log Analytics 工作區標識符 |
ThreatCategory | 字串 | 網路工作階段中所識別威脅或惡意程式碼的類別。 |
ThreatConfidence | int | 已識別威脅的信賴等級,標準化為 0 到 100 之間的值。 |
ThreatField | 字串 | 已識別威脅的欄位。 此值為 SrcIpAddr、DstIpAddr、Domain 或 DnsResponseName。 |
ThreatFirstReportedTime | Datetime | 第一次 IP 位址或網域被識別為威脅的時間。 |
ThreatId | 字串 | 網路工作階段中所識別威脅或惡意程式碼的識別碼。 |
ThreatIpAddr | 字串 | 已識別威脅的 IP 位址。 ThreatField 欄位包含 ThreatIpAddr 所代表的欄位名稱。 |
ThreatIsActive | bool | 已識別威脅的 True ID 被視為作用中的威脅。 |
ThreatLastReportedTime | Datetime | 上次 IP 位址或網域被視為威脅的時間。 |
ThreatName | 字串 | 網路工作階段中所識別威脅或惡意程式碼的名稱。 |
ThreatOriginalConfidence | 字串 | 已識別威脅的原始信賴等級,如報告裝置中所回報。 |
ThreatOriginalRiskLevel | 字串 | 報告裝置所報告的風險層級。 |
ThreatRiskLevel | int | 與工作階段相關聯的風險層級。 層級是介於 0 到 100 之間的數位。 |
TimeGenerated | Datetime | 時間戳 (UTC) 反映產生事件的時間。 |
類型 | 字串 | 資料表的名稱 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應