NetworkSessions
Netzwerkverbindungen oder Sitzungen, z. B. solche, die von Firewalls, Wire Data, NSG, Netflow, Proxysystemen und Websicherheitsgateways protokolliert werden.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | Sicherheit |
Lösungen | SecurityInsights |
Standardprotokoll | No |
Transformation der Erfassungszeit | No |
Beispielabfragen | Ja |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
AdditionalFields | dynamisch | Wenn keine entsprechende Spalte im Schema übereinstimmt, können zusätzliche Felder in einem JSON-Behälter gespeichert werden. |
_BilledSize | real | Die Datensatzgröße in Bytes |
CloudAppId | Zeichenfolge | Die ID der Zielanwendung für eine HTTP-Anwendung, wie sie von einem Proxy identifiziert wird. Dieser Wert ist in der Regel spezifisch für den verwendeten Proxy. |
CloudAppName | Zeichenfolge | Der Name der Zielanwendung für eine HTTP-Anwendung, wie er von einem Proxy identifiziert wird. |
CloudAppOperation | Zeichenfolge | Der Vorgang, den der Benutzer im Kontext der Zielanwendung für eine HTTP-Anwendung ausgeführt hat, wie er von einem Proxy identifiziert wird. Dieser Wert ist in der Regel spezifisch für den verwendeten Proxy. |
CloudAppRiskLevel | Zeichenfolge | Die Risikostufe, die einer HTTP-Anwendung zugeordnet ist, wie sie durch einen Proxy identifiziert wird. Dieser Wert ist in der Regel spezifisch für den verwendeten Proxy. |
DstBytes | long | Die Anzahl Bytes, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. |
DstDomainHostname | Zeichenfolge | Die Domäne des Zielhosts. |
DstDvcDomain | Zeichenfolge | Die Domäne des Zielgeräts |
DstDvcFqdn | Zeichenfolge | Der vollqualifizierte Domänenname des Hosts, auf dem das Protokoll erstellt wurde. |
DstDvcHostname | Zeichenfolge | Der Gerätename des Zielgeräts. |
DstDvcIpAddr | Zeichenfolge | Die Ziel-IP-Adresse eines Geräts, das nicht direkt mit dem Netzwerkpaket verknüpft ist. |
DstDvcMacAddr | Zeichenfolge | Die MAC-Zieladresse eines Geräts, das dem Netzwerkpaket nicht direkt zugeordnet ist |
DstGeoCity | Zeichenfolge | Die Stadt, die der Ziel-IP-Adresse zugeordnet ist. |
DstGeoCountry | Zeichenfolge | Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. |
DstGeoLatitude | real | Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. |
DstGeoLongitude | real | Der Längengrad der geografischen Koordinate, die der IP-Zieladresse zugeordnet ist. |
DstGeoRegion | Zeichenfolge | Die Region innerhalb eines Landes, das der Ziel-IP-Adresse zugeordnet ist. |
DstInterfaceGuid | Zeichenfolge | GUID der Netzwerkschnittstelle, die für die Authentifizierungsanforderung verwendet wurde. |
DstInterfaceName | Zeichenfolge | Die Netzwerkschnittstelle, die vom Zielgerät für die Verbindung oder Sitzung verwendet wird. |
DstIpAddr | Zeichenfolge | Die IP-Adresse der Verbindung oder des Sitzungsziels. |
DstMacAddr | Zeichenfolge | Die MAC-Adresse der Netzwerkschnittstelle, an der die Verbindung oder Sitzung beendet wurde. |
DstNatIpAddr | Zeichenfolge | Wenn sie von einem zwischengeschalteten Gerät wie z. B. einer Firewall gemeldet wird, handelt es sich um die vom NAT-Gerät für die Kommunikation mit der Quelle verwendete IP-Adresse. |
DstNatPortNumber | INT | Wenn er von einem zwischengeschalteten Gerät wie z. B. einer Firewall gemeldet wird, handelt es sich um den vom NAT-Gerät für die Kommunikation mit der Quelle verwendeten Port. |
DstPackets | long | Die Anzahl Pakete, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. |
DstPortNumber | INT | Der Ziel-IP-Port |
DstResourceId | Zeichenfolge | Die Ressourcen-ID des Zielgeräts. |
DstUserAadId | Zeichenfolge | Die Objekt-ID des Azure AD-Kontos des Benutzers am Zielende der Sitzung. |
DstUserDomain | Zeichenfolge | Der Domänen- oder Computername des Kontos am Ziel der Sitzung. |
DstUserName | Zeichenfolge | Der Benutzername der Identität, die dem Ziel der Sitzung zugeordnet ist. |
DstUserSid | Zeichenfolge | Die Benutzer-ID der Identität, die dem Ziel der Sitzung zugeordnet ist. Normalerweise ist dies die Identität, die zum Authentifizieren eines Servers verwendet wird. |
DstUserUpn | Zeichenfolge | Der UPN der Identität, die dem Ziel der Sitzung zugeordnet ist. |
DstZone | Zeichenfolge | Die Netzwerkzone des Ziels, wie sie vom meldenden Gerät definiert wird. |
DvcAction | Zeichenfolge | Wenn sie von einem zwischengeschalteten Gerät, z. B. einer Firewall, gemeldet wird, die vom Gerät ausgeführte Aktion. |
DvcHostname | Zeichenfolge | Der Gerätename des Geräts, das die Nachricht erzeugt. |
DvcInboundInterface | Zeichenfolge | Wenn sie von einem zwischengeschalteten Gerät, z. B. einer Firewall, gemeldet wird, die von ihm für die Verbindung mit dem Quellgerät verwendete Netzwerkschnittstelle. |
DvcIpAddr | Zeichenfolge | Die IP-Adresse des Geräts, das den Datensatz generiert. |
DvcMacAddr | Zeichenfolge | Die MAC-Adresse der Netzwerkschnittstelle des meldenden Geräts, von dem das Ereignis gesendet wurde. |
DvcOutboundInterface | Zeichenfolge | Wenn sie von einem zwischengeschalteten Gerät, z. B. einer Firewall, gemeldet wird, die von ihm für die Verbindung mit dem Zielgerät verwendete Netzwerkschnittstelle. |
EventCount | INT | Die Anzahl der aggregierten Ereignisse, falls zutreffend. |
EventEndTime | datetime | Der Zeitpunkt, zu dem das Ereignis geendet hat. |
EventMessage | Zeichenfolge | Eine allgemeine Nachricht oder Beschreibung, die entweder im Datensatz enthalten oder aus dem Datensatz generiert wird. |
EventOriginalUid | Zeichenfolge | Die Datensatz-ID des meldenden Geräts. |
EventProduct | Zeichenfolge | Das Produkt, das das Ereignis erzeugt. |
EventProductVersion | Zeichenfolge | Die Version des Produkts, das das Ereignis erzeugt. |
EventReportUrl | Zeichenfolge | Ein Link zum vollständigen Bericht, der vom Berichtsgerät erstellt wurde. |
EventResourceId | Zeichenfolge | Der Ressourcen-ID des Geräts, das die Nachricht erzeugt. |
EventResult | Zeichenfolge | Der für die Aktivität gemeldete Erfolg. Leerer Wert, wenn nicht zutreffend. |
EventResultDetails | Zeichenfolge | Grund für das in EventResult gemeldete Ergebnis |
EventSchemaVersion | Zeichenfolge | Azure Sentinel Schema Version. |
EventSeverity | Zeichenfolge | Beschreibt den Schweregrad der Auswirkungen, falls die gemeldete Aktivität Sicherheitsauswirkungen hat. |
EventStartTime | datetime | Der Zeitpunkt, zu dem das Ereignis angegeben wurde. |
EventSubType | Zeichenfolge | Zusätzliche Beschreibung des Typs, falls zutreffend. |
EventTimeIngested | datetime | Der Zeitpunkt, zu dem das Ereignis in Azure Sentinel erfasst wurde. Wird von Azure Sentinel hinzugefügt. |
EventType | Zeichenfolge | Typ des ereignisses, das erfasst wird. |
EventUid | Zeichenfolge | Eindeutiger Bezeichner, der von Sentinel zum Markieren einer Zeile verwendet wird. |
EventVendor | Zeichenfolge | Der Hersteller des Produkts, das das Ereignis erzeugt. |
FileExtension | Zeichenfolge | Der Typ der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird, z. B. FTP und HTTP. |
FileHashMd5 | Zeichenfolge | Der MD5-Hashwert der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
FileHashSha1 | Zeichenfolge | Der SHA1-Hashwert der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
FileHashSha256 | Zeichenfolge | Der SHA256-Hashwert der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
FileHashSha512 | Zeichenfolge | Der SHA512-Hashwert der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
FileMimeType | Zeichenfolge | Der MIME-Typ der Datei, die über die Netzwerkverbindungen für Protokolle wie FTP und HTTP übertragen wird. |
Dateiname | Zeichenfolge | Der Dateiname, der für Protokolle wie FTP und HTTP, die Dateinameninformationen bereitstellen, über die Netzwerkverbindungen übertragen wird. |
FilePath | Zeichenfolge | Der vollständige Pfad, einschließlich des Dateinamens, der Datei. |
FileSize | INT | Die Dateigröße der Datei in Byte, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
HttpContentType | Zeichenfolge | Der Content-Type-Header der HTTP-Antwort für HTTP/HTTPS-Netzwerksitzungen. |
HttpReferrerOriginal | Zeichenfolge | Der HTTP-Referrer-Header für HTTP/HTTPS-Netzwerksitzungen. |
HttpRequestMethod | Zeichenfolge | Die HTTP-Methode für HTTP/HTTPS-Netzwerksitzungen. |
HttpRequestTime | INT | Die Zeitspanne, die zum Senden der Anforderung an den Server benötigt wurde, falls zutreffend. |
HttpRequestXff | Zeichenfolge | Der HTTP X-Forwarded-For-Header für HTTP/HTTPS-Netzwerksitzungen. |
HttpResponseTime | INT | Die Zeitspanne, die zum Empfangen einer Antwort auf dem Server benötigt wurde, falls zutreffend. |
HttpStatusCode | Zeichenfolge | Der HTTP-Statuscode für HTTP/HTTPS-Netzwerksitzungen. |
HttpUserAgentOriginal | Zeichenfolge | Der HTTP-Benutzer-Agent-Header für HTTP/HTTPS-Netzwerksitzungen. |
HttpVersion | Zeichenfolge | Die HTTP-Anforderungsversion für HTTP/HTTPS-Netzwerkverbindungen. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
NetworkApplicationProtocol | Zeichenfolge | Das Protokoll der Anwendungsschicht, das von der Verbindung oder der Sitzung verwendet wird. |
NetworkBytes | long | Die Anzahl Bytes, die in beide Richtungen gesendet werden. Wenn sowohl BytesReceived als auch BytesSent vorhanden sind, sollte BytesTotal ihrer Summe entsprechen. |
NetworkDirection | Zeichenfolge | Die Richtung der Verbindung oder Sitzung, in die bzw. aus der Organisation. |
NetworkDuration | INT | Die Zeitspanne in Millisekunde für den Abschluss der Netzwerksitzung oder -verbindung. |
NetworkIcmpCode | INT | Bei ICMP-Nachrichten der numerische Wert für den ICMP-Nachrichtentyp (RFC 2780 oder RFC 4443). |
NetworkIcmpType | Zeichenfolge | Bei ICMP-Nachrichten die Textdarstellung des ICMP-Nachrichtentyps (RFC 2780 oder RFC 4443). |
NetworkPackets | long | Die Anzahl Pakete, die in beide Richtungen gesendet werden. Wenn sowohl PacketsReceived als auch PacketsSent vorhanden sind, sollte NetworkPackets ihrer Summe entsprechen. |
NetworkProtocol | Zeichenfolge | Das IP-Protokoll, das von der Verbindung oder der Sitzung verwendet wird. In der Regel TCP, UDP oder ICMP. |
NetworkRuleName | Zeichenfolge | Der Name oder die ID der Regel, nach der DeviceAction entschieden wurde. |
NetworkRuleNumber | INT | Übereinstimmung der Regelnummer. |
NetworkSessionId | Zeichenfolge | Der Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
SrcBytes | long | Die Anzahl Bytes, die für die Verbindung oder Sitzung von der Quelle an das Ziel gesendet werden. |
SrcDvcDomain | Zeichenfolge | Domäne des Geräts, von dem aus die Sitzung initiiert wurde. |
SrcDvcFqdn | Zeichenfolge | Der vollqualifizierte Domänenname des Hosts, auf dem das Protokoll erstellt wurde. |
SrcDvcHostname | Zeichenfolge | Der Gerätename des Quellgeräts. |
SrcDvcIpAddr | Zeichenfolge | Die IP-Quelladresse eines Geräts, das nicht direkt mit dem Netzwerkpaket in Verbindung steht (von einem Anbieter erfasst oder explizit berechnet). |
SrcDvcMacAddr | Zeichenfolge | Die MAC-Quelladresse eines Geräts, das dem Netzwerkpaket nicht direkt zugeordnet ist |
SrcDvcModelName | Zeichenfolge | Das Modell des Quellgeräts. |
SrcDvcModelNumber | Zeichenfolge | Die Modellnummer des Quellgeräts. |
SrcDvcOs | Zeichenfolge | Das Betriebssystem des Quellgeräts. |
SrcDvcType | Zeichenfolge | Der Typ des Quellgeräts. |
SrcGeoCity | Zeichenfolge | Die Stadt, die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoCountry | Zeichenfolge | Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoLatitude | real | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoLongitude | real | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoRegion | Zeichenfolge | Die Region innerhalb eines Landes, die der Quell-IP-Adresse zugeordnet ist. |
SrcInterfaceGuid | Zeichenfolge | GUID der verwendeten Netzwerkschnittstelle. |
SrcInterfaceName | Zeichenfolge | Die Netzwerkschnittstelle, die vom Quellgerät für die Verbindung oder Sitzung verwendet wird. |
SrcIpAddr | Zeichenfolge | Die IP-Adresse, von der die Verbindung oder Sitzung stammt. |
SrcMacAddr | Zeichenfolge | Die MAC-Adresse der Netzwerkschnittstelle, von der aus die Verbindung oder Sitzung hergestellt wurde. |
SrcNatIpAddr | Zeichenfolge | Wenn sie von einem zwischengeschalteten Gerät wie z. B. einer Firewall gemeldet wird, handelt es sich um die vom NAT-Gerät für die Kommunikation mit dem Ziel verwendete IP-Adresse. |
SrcNatPortNumber | INT | Wenn er von einem zwischengeschalteten Gerät wie z. B. einer Firewall gemeldet wird, handelt es sich um den vom NAT-Gerät für die Kommunikation mit dem Ziel verwendeten Port. |
SrcPackets | long | Die Anzahl Pakete, die für die Verbindung oder Sitzung von der Quelle ans Ziel gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. |
SrcPortNumber | INT | Der IP-Port, von dem die Verbindung stammt. Ist möglicherweise für Sitzungen, die mehrere Verbindungen umfassen, nicht relevant. |
SrcResourceId | Zeichenfolge | Der Ressourcen-ID des Geräts, das die Nachricht erzeugt. |
SrcUserAadId | Zeichenfolge | Die Objekt-ID des Azure AD-Kontos des Benutzers am Quellende der Sitzung. |
SrcUserDomain | Zeichenfolge | Die Domäne für das Konto, das die Sitzung initiiert. |
SrcUserName | Zeichenfolge | Der Benutzername der Identität, die der Quelle der Sitzung zugeordnet ist. Normalerweise ein Benutzer, der eine Aktion auf dem Client ausführt. |
SrcUserSid | Zeichenfolge | Die Benutzer-ID der Identität, die der Quelle der Sitzung zugeordnet ist. Normalerweise ein Benutzer, der eine Aktion auf dem Client ausführt. |
SrcUserUpn | Zeichenfolge | UPN des Kontos, das die Sitzung initiiert. |
SrcZone | Zeichenfolge | Die Netzwerkzone der Quelle, wie sie vom meldenden Gerät definiert wird. |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
ThreatCategory | Zeichenfolge | Die Kategorie einer Bedrohung, die von einem Sicherheitssystem, z. B. dem Web Security Gateway eines IPS, identifiziert wird und dieser Netzwerksitzung zugeordnet ist. |
ThreatId | Zeichenfolge | Die ID einer Bedrohung, die von einem Sicherheitssystem, z. B. dem Web Security Gateway eines IPS, identifiziert wird und dieser Netzwerksitzung zugeordnet ist. |
ThreatName | Zeichenfolge | Der Name der identifizierten Bedrohung oder Schadsoftware. |
TimeGenerated | datetime | Der Zeitpunkt, zu dem das Ereignis eingetreten ist, wie von der Meldequelle gemeldet. |
type | Zeichenfolge | Der Name der Tabelle. |
UrlCategory | Zeichenfolge | Die definierte Gruppierung einer URL (oder kann einfach auf der Domäne in der URL basieren) bezieht sich darauf, was sie ist (z. B. Erwachsene, Nachrichten, Werbung, geparkte Domänen usw.). |
UrlHostname | Zeichenfolge | Der Domänenteil einer HTTP-Anforderungs-URL für HTTP/HTTPS-Netzwerksitzungen. |
UrlOriginal | Zeichenfolge | Die HTTP-Anforderungs-URL für HTTP/HTTPS-Netzwerksitzungen. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für