NetworkSessions
Netzwerkverbindungen oder Sitzungen, z. B. solche, die von Firewalls, Wire Data, NSG, Netflow, Proxysystemen und Websicherheitsgateways protokolliert werden.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation der Erfassungszeit | No |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AdditionalFields | dynamisch | Wenn keine entsprechende Spalte im Schema übereinstimmt, können zusätzliche Felder in einem JSON-Behälter gespeichert werden. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| CloudAppId | Zeichenfolge | Die ID der Zielanwendung für eine HTTP-Anwendung, wie sie von einem Proxy identifiziert wird. Dieser Wert ist in der Regel spezifisch für den verwendeten Proxy. |
| CloudAppName | Zeichenfolge | Der Name der Zielanwendung für eine HTTP-Anwendung, wie er von einem Proxy identifiziert wird. |
| CloudAppOperation | Zeichenfolge | Der Vorgang, den der Benutzer im Kontext der Zielanwendung für eine HTTP-Anwendung ausgeführt hat, wie er von einem Proxy identifiziert wird. Dieser Wert ist in der Regel spezifisch für den verwendeten Proxy. |
| CloudAppRiskLevel | Zeichenfolge | Die Risikostufe, die einer HTTP-Anwendung zugeordnet ist, wie sie durch einen Proxy identifiziert wird. Dieser Wert ist in der Regel spezifisch für den verwendeten Proxy. |
| DstBytes | long | Die Anzahl Bytes, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. |
| DstDomainHostname | Zeichenfolge | Die Domäne des Zielhosts. |
| DstDvcDomain | Zeichenfolge | Die Domäne des Zielgeräts |
| DstDvcFqdn | Zeichenfolge | Der vollqualifizierte Domänenname des Hosts, auf dem das Protokoll erstellt wurde. |
| DstDvcHostname | Zeichenfolge | Der Gerätename des Zielgeräts. |
| DstDvcIpAddr | Zeichenfolge | Die Ziel-IP-Adresse eines Geräts, das nicht direkt mit dem Netzwerkpaket verknüpft ist. |
| DstDvcMacAddr | Zeichenfolge | Die MAC-Zieladresse eines Geräts, das dem Netzwerkpaket nicht direkt zugeordnet ist |
| DstGeoCity | Zeichenfolge | Die Stadt, die der Ziel-IP-Adresse zugeordnet ist. |
| DstGeoCountry | Zeichenfolge | Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. |
| DstGeoLatitude | real | Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. |
| DstGeoLongitude | real | Der Längengrad der geografischen Koordinate, die der IP-Zieladresse zugeordnet ist. |
| DstGeoRegion | Zeichenfolge | Die Region innerhalb eines Landes, das der Ziel-IP-Adresse zugeordnet ist. |
| DstInterfaceGuid | Zeichenfolge | GUID der Netzwerkschnittstelle, die für die Authentifizierungsanforderung verwendet wurde. |
| DstInterfaceName | Zeichenfolge | Die Netzwerkschnittstelle, die vom Zielgerät für die Verbindung oder Sitzung verwendet wird. |
| DstIpAddr | Zeichenfolge | Die IP-Adresse der Verbindung oder des Sitzungsziels. |
| DstMacAddr | Zeichenfolge | Die MAC-Adresse der Netzwerkschnittstelle, an der die Verbindung oder Sitzung beendet wurde. |
| DstNatIpAddr | Zeichenfolge | Wenn sie von einem zwischengeschalteten Gerät wie z. B. einer Firewall gemeldet wird, handelt es sich um die vom NAT-Gerät für die Kommunikation mit der Quelle verwendete IP-Adresse. |
| DstNatPortNumber | INT | Wenn er von einem zwischengeschalteten Gerät wie z. B. einer Firewall gemeldet wird, handelt es sich um den vom NAT-Gerät für die Kommunikation mit der Quelle verwendeten Port. |
| DstPackets | long | Die Anzahl Pakete, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. |
| DstPortNumber | INT | Der Ziel-IP-Port |
| DstResourceId | Zeichenfolge | Die Ressourcen-ID des Zielgeräts. |
| DstUserAadId | Zeichenfolge | Die Objekt-ID des Azure AD-Kontos des Benutzers am Zielende der Sitzung. |
| DstUserDomain | Zeichenfolge | Der Domänen- oder Computername des Kontos am Ziel der Sitzung. |
| DstUserName | Zeichenfolge | Der Benutzername der Identität, die dem Ziel der Sitzung zugeordnet ist. |
| DstUserSid | Zeichenfolge | Die Benutzer-ID der Identität, die dem Ziel der Sitzung zugeordnet ist. Normalerweise ist dies die Identität, die zum Authentifizieren eines Servers verwendet wird. |
| DstUserUpn | Zeichenfolge | Der UPN der Identität, die dem Ziel der Sitzung zugeordnet ist. |
| DstZone | Zeichenfolge | Die Netzwerkzone des Ziels, wie sie vom meldenden Gerät definiert wird. |
| DvcAction | Zeichenfolge | Wenn sie von einem zwischengeschalteten Gerät, z. B. einer Firewall, gemeldet wird, die vom Gerät ausgeführte Aktion. |
| DvcHostname | Zeichenfolge | Der Gerätename des Geräts, das die Nachricht erzeugt. |
| DvcInboundInterface | Zeichenfolge | Wenn sie von einem zwischengeschalteten Gerät, z. B. einer Firewall, gemeldet wird, die von ihm für die Verbindung mit dem Quellgerät verwendete Netzwerkschnittstelle. |
| DvcIpAddr | Zeichenfolge | Die IP-Adresse des Geräts, das den Datensatz generiert. |
| DvcMacAddr | Zeichenfolge | Die MAC-Adresse der Netzwerkschnittstelle des meldenden Geräts, von dem das Ereignis gesendet wurde. |
| DvcOutboundInterface | Zeichenfolge | Wenn sie von einem zwischengeschalteten Gerät, z. B. einer Firewall, gemeldet wird, die von ihm für die Verbindung mit dem Zielgerät verwendete Netzwerkschnittstelle. |
| EventCount | INT | Die Anzahl der aggregierten Ereignisse, falls zutreffend. |
| EventEndTime | datetime | Der Zeitpunkt, zu dem das Ereignis geendet hat. |
| EventMessage | Zeichenfolge | Eine allgemeine Nachricht oder Beschreibung, die entweder im Datensatz enthalten oder aus dem Datensatz generiert wird. |
| EventOriginalUid | Zeichenfolge | Die Datensatz-ID des meldenden Geräts. |
| EventProduct | Zeichenfolge | Das Produkt, das das Ereignis erzeugt. |
| EventProductVersion | Zeichenfolge | Die Version des Produkts, das das Ereignis erzeugt. |
| EventReportUrl | Zeichenfolge | Ein Link zum vollständigen Bericht, der vom Berichtsgerät erstellt wurde. |
| EventResourceId | Zeichenfolge | Der Ressourcen-ID des Geräts, das die Nachricht erzeugt. |
| EventResult | Zeichenfolge | Der für die Aktivität gemeldete Erfolg. Leerer Wert, wenn nicht zutreffend. |
| EventResultDetails | Zeichenfolge | Grund für das in EventResult gemeldete Ergebnis |
| EventSchemaVersion | Zeichenfolge | Azure Sentinel Schema Version. |
| EventSeverity | Zeichenfolge | Beschreibt den Schweregrad der Auswirkungen, falls die gemeldete Aktivität Sicherheitsauswirkungen hat. |
| EventStartTime | datetime | Der Zeitpunkt, zu dem das Ereignis angegeben wurde. |
| EventSubType | Zeichenfolge | Zusätzliche Beschreibung des Typs, falls zutreffend. |
| EventTimeIngested | datetime | Der Zeitpunkt, zu dem das Ereignis in Azure Sentinel erfasst wurde. Wird von Azure Sentinel hinzugefügt. |
| EventType | Zeichenfolge | Typ des ereignisses, das erfasst wird. |
| EventUid | Zeichenfolge | Eindeutiger Bezeichner, der von Sentinel zum Markieren einer Zeile verwendet wird. |
| EventVendor | Zeichenfolge | Der Hersteller des Produkts, das das Ereignis erzeugt. |
| FileExtension | Zeichenfolge | Der Typ der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird, z. B. FTP und HTTP. |
| FileHashMd5 | Zeichenfolge | Der MD5-Hashwert der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
| FileHashSha1 | Zeichenfolge | Der SHA1-Hashwert der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
| FileHashSha256 | Zeichenfolge | Der SHA256-Hashwert der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
| FileHashSha512 | Zeichenfolge | Der SHA512-Hashwert der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
| FileMimeType | Zeichenfolge | Der MIME-Typ der Datei, die über die Netzwerkverbindungen für Protokolle wie FTP und HTTP übertragen wird. |
| Dateiname | Zeichenfolge | Der Dateiname, der für Protokolle wie FTP und HTTP, die Dateinameninformationen bereitstellen, über die Netzwerkverbindungen übertragen wird. |
| FilePath | Zeichenfolge | Der vollständige Pfad, einschließlich des Dateinamens, der Datei. |
| FileSize | INT | Die Dateigröße der Datei in Byte, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
| HttpContentType | Zeichenfolge | Der Content-Type-Header der HTTP-Antwort für HTTP/HTTPS-Netzwerksitzungen. |
| HttpReferrerOriginal | Zeichenfolge | Der HTTP-Referrer-Header für HTTP/HTTPS-Netzwerksitzungen. |
| HttpRequestMethod | Zeichenfolge | Die HTTP-Methode für HTTP/HTTPS-Netzwerksitzungen. |
| HttpRequestTime | INT | Die Zeitspanne, die zum Senden der Anforderung an den Server benötigt wurde, falls zutreffend. |
| HttpRequestXff | Zeichenfolge | Der HTTP X-Forwarded-For-Header für HTTP/HTTPS-Netzwerksitzungen. |
| HttpResponseTime | INT | Die Zeitspanne, die zum Empfangen einer Antwort auf dem Server benötigt wurde, falls zutreffend. |
| HttpStatusCode | Zeichenfolge | Der HTTP-Statuscode für HTTP/HTTPS-Netzwerksitzungen. |
| HttpUserAgentOriginal | Zeichenfolge | Der HTTP-Benutzer-Agent-Header für HTTP/HTTPS-Netzwerksitzungen. |
| HttpVersion | Zeichenfolge | Die HTTP-Anforderungsversion für HTTP/HTTPS-Netzwerkverbindungen. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| NetworkApplicationProtocol | Zeichenfolge | Das Protokoll der Anwendungsschicht, das von der Verbindung oder der Sitzung verwendet wird. |
| NetworkBytes | long | Die Anzahl Bytes, die in beide Richtungen gesendet werden. Wenn sowohl BytesReceived als auch BytesSent vorhanden sind, sollte BytesTotal ihrer Summe entsprechen. |
| NetworkDirection | Zeichenfolge | Die Richtung der Verbindung oder Sitzung, in die bzw. aus der Organisation. |
| NetworkDuration | INT | Die Zeitspanne in Millisekunde für den Abschluss der Netzwerksitzung oder -verbindung. |
| NetworkIcmpCode | INT | Bei ICMP-Nachrichten der numerische Wert für den ICMP-Nachrichtentyp (RFC 2780 oder RFC 4443). |
| NetworkIcmpType | Zeichenfolge | Bei ICMP-Nachrichten die Textdarstellung des ICMP-Nachrichtentyps (RFC 2780 oder RFC 4443). |
| NetworkPackets | long | Die Anzahl Pakete, die in beide Richtungen gesendet werden. Wenn sowohl PacketsReceived als auch PacketsSent vorhanden sind, sollte NetworkPackets ihrer Summe entsprechen. |
| NetworkProtocol | Zeichenfolge | Das IP-Protokoll, das von der Verbindung oder der Sitzung verwendet wird. In der Regel TCP, UDP oder ICMP. |
| NetworkRuleName | Zeichenfolge | Der Name oder die ID der Regel, nach der DeviceAction entschieden wurde. |
| NetworkRuleNumber | INT | Übereinstimmung der Regelnummer. |
| NetworkSessionId | Zeichenfolge | Der Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| SrcBytes | long | Die Anzahl Bytes, die für die Verbindung oder Sitzung von der Quelle an das Ziel gesendet werden. |
| SrcDvcDomain | Zeichenfolge | Domäne des Geräts, von dem aus die Sitzung initiiert wurde. |
| SrcDvcFqdn | Zeichenfolge | Der vollqualifizierte Domänenname des Hosts, auf dem das Protokoll erstellt wurde. |
| SrcDvcHostname | Zeichenfolge | Der Gerätename des Quellgeräts. |
| SrcDvcIpAddr | Zeichenfolge | Die IP-Quelladresse eines Geräts, das nicht direkt mit dem Netzwerkpaket in Verbindung steht (von einem Anbieter erfasst oder explizit berechnet). |
| SrcDvcMacAddr | Zeichenfolge | Die MAC-Quelladresse eines Geräts, das dem Netzwerkpaket nicht direkt zugeordnet ist |
| SrcDvcModelName | Zeichenfolge | Das Modell des Quellgeräts. |
| SrcDvcModelNumber | Zeichenfolge | Die Modellnummer des Quellgeräts. |
| SrcDvcOs | Zeichenfolge | Das Betriebssystem des Quellgeräts. |
| SrcDvcType | Zeichenfolge | Der Typ des Quellgeräts. |
| SrcGeoCity | Zeichenfolge | Die Stadt, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoCountry | Zeichenfolge | Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoLatitude | real | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoLongitude | real | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoRegion | Zeichenfolge | Die Region innerhalb eines Landes, die der Quell-IP-Adresse zugeordnet ist. |
| SrcInterfaceGuid | Zeichenfolge | GUID der verwendeten Netzwerkschnittstelle. |
| SrcInterfaceName | Zeichenfolge | Die Netzwerkschnittstelle, die vom Quellgerät für die Verbindung oder Sitzung verwendet wird. |
| SrcIpAddr | Zeichenfolge | Die IP-Adresse, von der die Verbindung oder Sitzung stammt. |
| SrcMacAddr | Zeichenfolge | Die MAC-Adresse der Netzwerkschnittstelle, von der aus die Verbindung oder Sitzung hergestellt wurde. |
| SrcNatIpAddr | Zeichenfolge | Wenn sie von einem zwischengeschalteten Gerät wie z. B. einer Firewall gemeldet wird, handelt es sich um die vom NAT-Gerät für die Kommunikation mit dem Ziel verwendete IP-Adresse. |
| SrcNatPortNumber | INT | Wenn er von einem zwischengeschalteten Gerät wie z. B. einer Firewall gemeldet wird, handelt es sich um den vom NAT-Gerät für die Kommunikation mit dem Ziel verwendeten Port. |
| SrcPackets | long | Die Anzahl Pakete, die für die Verbindung oder Sitzung von der Quelle ans Ziel gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. |
| SrcPortNumber | INT | Der IP-Port, von dem die Verbindung stammt. Ist möglicherweise für Sitzungen, die mehrere Verbindungen umfassen, nicht relevant. |
| SrcResourceId | Zeichenfolge | Der Ressourcen-ID des Geräts, das die Nachricht erzeugt. |
| SrcUserAadId | Zeichenfolge | Die Objekt-ID des Azure AD-Kontos des Benutzers am Quellende der Sitzung. |
| SrcUserDomain | Zeichenfolge | Die Domäne für das Konto, das die Sitzung initiiert. |
| SrcUserName | Zeichenfolge | Der Benutzername der Identität, die der Quelle der Sitzung zugeordnet ist. Normalerweise ein Benutzer, der eine Aktion auf dem Client ausführt. |
| SrcUserSid | Zeichenfolge | Die Benutzer-ID der Identität, die der Quelle der Sitzung zugeordnet ist. Normalerweise ein Benutzer, der eine Aktion auf dem Client ausführt. |
| SrcUserUpn | Zeichenfolge | UPN des Kontos, das die Sitzung initiiert. |
| SrcZone | Zeichenfolge | Die Netzwerkzone der Quelle, wie sie vom meldenden Gerät definiert wird. |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| ThreatCategory | Zeichenfolge | Die Kategorie einer Bedrohung, die von einem Sicherheitssystem, z. B. dem Web Security Gateway eines IPS, identifiziert wird und dieser Netzwerksitzung zugeordnet ist. |
| ThreatId | Zeichenfolge | Die ID einer Bedrohung, die von einem Sicherheitssystem, z. B. dem Web Security Gateway eines IPS, identifiziert wird und dieser Netzwerksitzung zugeordnet ist. |
| ThreatName | Zeichenfolge | Der Name der identifizierten Bedrohung oder Schadsoftware. |
| TimeGenerated | datetime | Der Zeitpunkt, zu dem das Ereignis eingetreten ist, wie von der Meldequelle gemeldet. |
| type | Zeichenfolge | Der Name der Tabelle. |
| UrlCategory | Zeichenfolge | Die definierte Gruppierung einer URL (oder kann einfach auf der Domäne in der URL basieren) bezieht sich darauf, was sie ist (z. B. Erwachsene, Nachrichten, Werbung, geparkte Domänen usw.). |
| UrlHostname | Zeichenfolge | Der Domänenteil einer HTTP-Anforderungs-URL für HTTP/HTTPS-Netzwerksitzungen. |
| UrlOriginal | Zeichenfolge | Die HTTP-Anforderungs-URL für HTTP/HTTPS-Netzwerksitzungen. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für