NetworkSessions
Connexions réseau ou sessions telles que celles enregistrées par des pare-feu, Wire Data, NSG, Netflow, des systèmes proxy et des passerelles de sécurité web.
Attributs de table
Attribut | Valeur |
---|---|
Types de ressource | - |
Catégories | Sécurité |
Solutions | SecurityInsights |
Journal de base | No |
Transformation au moment de l’ingestion | No |
Exemples de requêtes | Oui |
Colonnes
Colonne | Type | Description |
---|---|---|
AdditionalFields | dynamique | Quand aucune colonne correspondante dans le schéma ne correspond, des champs supplémentaires peuvent être stockés dans un conteneur JSON. |
_BilledSize | real | Taille de l’enregistrement en octets |
CloudAppId | string | ID de l’application de destination pour une application HTTP, tel qu’identifié par un proxy. Cette valeur est généralement spécifique du proxy utilisé. |
CloudAppName | string | Nom de l’application de destination pour une application HTTP, tel qu’identifié par un proxy. |
CloudAppOperation | string | Opération effectuée par l’utilisateur dans le contexte de l’application de destination pour une application HTTP, telle qu’identifiée par un proxy. Cette valeur est généralement spécifique du proxy utilisé. |
CloudAppRiskLevel | string | Niveau de risque associé à une application HTTP, tel qu’identifié par un proxy. Cette valeur est généralement spécifique du proxy utilisé. |
DstBytes | long | Nombre d’octets envoyés de la destination à la source pour la connexion ou la session. |
DstDomainHostname | string | Domaine de l’hôte de destination. |
DstDvcDomain | string | Domaine de l’appareil de destination. |
DstDvcFqdn | string | Nom de domaine complet de l’hôte où le journal a été créé. |
DstDvcHostname | string | Nom de l’appareil de destination. |
DstDvcIpAddr | string | Adresse IP de destination d’un appareil qui n’est pas directement associé au paquet réseau. |
DstDvcMacAddr | string | Adresse MAC de destination d’un appareil qui n’est pas directement associé au paquet réseau. |
DstGeoCity | string | Ville associée à l’adresse IP de destination. |
DstGeoCountry | string | Pays associé à l’adresse IP source. |
DstGeoLatitude | real | Latitude de la coordonnée géographique associée à l’adresse IP de destination. |
DstGeoLongitude | real | Longitude de la coordonnée géographique associée à l’adresse IP de destination |
DstGeoRegion | string | Région d’un pays associé à l’adresse IP de destination. |
DstInterfaceGuid | string | GUID de l’interface réseau utilisée pour la demande d’authentification. |
DstInterfaceName | string | Interface réseau que l’appareil de destination utilise pour la connexion ou la session. |
DstIpAddr | string | L'adresse IP de la destination de la connexion ou de la session. |
DstMacAddr | string | Adresse MAC de l’interface réseau à laquelle la connexion ou la session s’est arrêtée. |
DstNatIpAddr | string | Si elle est signalée par un périphérique NAT intermédiaire tel qu’un pare-feu, adresse IP utilisée par le périphérique NAT pour la communication avec la source. |
DstNatPortNumber | int | S’il est signalé par un périphérique NAT intermédiaire tel qu’un pare-feu, port utilisé par le périphérique NAT pour la communication avec la source. |
DstPackets | long | Nombre de paquets envoyés de la destination à la source pour la connexion ou la session. La signification d’un paquet est définie par le périphérique de création de rapport. |
DstPortNumber | int | Port IP de destination. |
DstResourceId | string | ID de ressource de l’appareil de destination. |
DstUserAadId | string | ID d’objet du compte Azure AD de l’utilisateur à la fin de la session de destination. |
DstUserDomain | string | Nom de domaine ou d’ordinateur du compte à la destination de la session. |
DstUserName | string | Nom d’utilisateur de l’identité associée à la destination de la session. |
DstUserSid | string | ID d’utilisateur de l’identité associée à la destination de la session. Généralement, identité utilisée pour authentifier un serveur. |
DstUserUpn | string | UPN de l’identité associée à la destination de la session. |
DstZone | string | Zone réseau de la destination, telle que définie par le périphérique de création de rapport. |
DvcAction | string | En cas de signalement par un périphérique intermédiaire tel qu’un pare-feu, action effectuée par celui-ci. |
DvcHostname | string | Nom d’appareil du périphérique générant le message. |
DvcInboundInterface | string | En cas de signalement par un périphérique intermédiaire tel qu’un pare-feu, interface réseau utilisée par celui-ci pour la connexion à l’appareil source. |
DvcIpAddr | string | Adresse IP de l’appareil qui génère l’enregistrement. |
DvcMacAddr | string | Adresse MAC de l’interface réseau du périphérique de création de rapport à partir duquel l’événement a été envoyé. |
DvcOutboundInterface | string | En cas de signalement par un périphérique intermédiaire tel qu’un pare-feu, interface réseau utilisée par celui-ci pour la connexion au périphérique de destination. |
EventCount | int | Nombre d’événements agrégés, le cas échéant. |
EventEndTime | DATETIME | Heure de fin de l’événement. |
EventMessage | string | Un message ou une description générale, inclus dans ou généré à partir de l’enregistrement. |
EventOriginalUid | string | ID d’enregistrement du périphérique de création de rapport. |
EventProduct | string | Produit générant l’événement. |
EventProductVersion | string | Version du produit générant l’événement. |
EventReportUrl | string | Lien vers le rapport complet créé par l’appareil de création de rapports. |
EventResourceId | string | ID de ressource de l’appareil générant le message. |
EventResult | string | Résultat signalé pour l’activité. Valeur vide quand non applicable. |
EventResultDetails | string | Raison du résultat signalé dans EventResult |
EventSchemaVersion | string | Version du schéma Azure Sentinel. |
EventSeverity | string | Si l’activité rapportée a un impact sur la sécurité, indique la gravité de l’impact. |
EventStartTime | DATETIME | Heure indiquée par l’événement. |
EventSubType | string | Description supplémentaire du type, le cas échéant. |
EventTimeIngested | DATETIME | Heure à laquelle l’événement a été ingéré dans Azure Sentinel. Sera ajoutée par Azure Sentinel. |
Type d’événement | string | Type d’événement collecté. |
EventUid | string | Identificateur unique utilisé par Sentinel pour marquer une ligne. |
EventVendor | string | Fournisseur du produit générant l’événement. |
FileExtension | string | Type du fichier transmis sur les connexions réseau pour des protocoles tels que FTP et HTTP. |
FileHashMd5 | string | Valeur de hachage MD5 du fichier transmis sur les connexions réseau pour les protocoles. |
FileHashSha1 | string | Valeur de hachage SHA1 du fichier transmis sur les connexions réseau pour les protocoles. |
FileHashSha256 | string | Valeur de hachage SHA256 du fichier transmis sur les connexions réseau pour les protocoles. |
FileHashSha512 | string | Valeur de hachage SHA512 du fichier transmis sur les connexions réseau pour les protocoles. |
FileMimeType | string | Type MIME du fichier transmis via les connexions réseau pour les protocoles tels que FTP et HTTP. |
FileName | string | Nom de fichier transmis via les connexions réseau pour des protocoles tels que FTP et HTTP qui fournissent les informations de nom de fichier. |
FilePath | string | Chemin d’accès complet, y compris le nom de fichier, du fichier. |
FileSize | int | Taille en octets du fichier transmis sur les connexions réseau pour les protocoles. |
HttpContentType | string | En-tête de type de contenu de réponse HTTP pour les sessions réseau HTTP/HTTPS. |
HttpReferrerOriginal | string | En-tête de référent HTTP pour les sessions réseau HTTP/HTTPS. |
HttpRequestMethod | string | Méthode HTTP pour les sessions réseau HTTP/HTTPS. |
HttpRequestTime | int | Durée de l’envoi de la demande au serveur, le cas échéant. |
HttpRequestXff | string | En-tête HTTP X-Forwarded-for pour les sessions réseau HTTP/HTTPS. |
HttpResponseTime | int | Durée nécessaire à la réception d’une réponse sur le serveur, le cas échéant. |
HttpStatusCode | string | Code d’état HTTP pour les sessions réseau HTTP/HTTPS. |
HttpUserAgentOriginal | string | En-tête de l’agent utilisateur HTTP pour les sessions réseau HTTP/HTTPS. |
HttpVersion | string | Version de requête HTTP pour les connexions réseau HTTP/HTTPS. |
_IsBillable | string | Spécifie si l’ingestion des données est facturable. Lorsque _IsBillable l’ingestion n’est false pas facturée à votre compte Azure |
NetworkApplicationProtocol | string | Protocole de couche Application utilisé par la connexion ou la session. |
NetworkBytes | long | Nombre d’octets envoyés dans les deux sens. Si les valeurs BytesReceived et BytesSent existent, la valeur BytesTotal doit être égale à leur somme. |
NetworkDirection | string | Direction de la connexion ou de la session, vers l’intérieur ou l’extérieur de l’organisation. |
NetworkDuration | int | Durée, en millisecondes, de l’achèvement de la session réseau ou de la connexion. |
NetworkIcmpCode | int | Pour un message ICMP, valeur numérique du type de message ICMP (RFC 2780 ou RFC 4443). |
NetworkIcmpType | string | Pour un message ICMP, représentation textuelle du type de message ICMP (RFC 2780 ou RFC 4443). |
NetworkPackets | long | Nombre de paquets envoyés dans les deux sens. Si les valeurs PacketsReceived et PacketsSent existent, la valeur BytesTotal doit être égale à leur somme. |
NetworkProtocol | string | Protocole IP utilisé par la connexion ou la session. En règle générale, TCP, UDP ou ICMP. |
NetworkRuleName | string | Nom ou ID de la règle selon laquelle DeviceAction a été décidé. |
NetworkRuleNumber | int | Numéro de règle correspondant. |
NetworkSessionId | string | Identificateur de session signalé par le périphérique de création de rapport. |
SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
SrcBytes | long | Nombre d’octets envoyés de la source à la destination pour la connexion ou la session. |
SrcDvcDomain | string | Domaine de l’appareil à partir duquel la session a été lancée. |
SrcDvcFqdn | string | Nom de domaine complet de l’hôte où le journal a été créé. |
SrcDvcHostname | string | Nom de l’appareil source. |
SrcDvcIpAddr | string | L’adresse IP source d’un appareil n’est pas directement associée au paquet réseau (collectée par un fournisseur ou calculée explicitement). |
SrcDvcMacAddr | string | Adresse MAC source d’un appareil qui n’est pas directement associé au paquet réseau. |
SrcDvcModelName | string | Modèle de l’appareil source. |
SrcDvcModelNumber | string | Numéro de modèle de l’appareil source. |
SrcDvcOs | string | Système d’exploitation de l’appareil source. |
SrcDvcType | string | Type de l’appareil source. |
SrcGeoCity | string | Ville associée à l’adresse IP source. |
SrcGeoCountry | string | Pays associé à l’adresse IP source. |
SrcGeoLatitude | real | Latitude de la coordonnée géographique associée à l’adresse IP source. |
SrcGeoLongitude | real | Longitude de la coordonnée géographique associée à l’adresse IP source. |
SrcGeoRegion | string | Région au sein d’un pays associé à l’adresse IP source. |
SrcInterfaceGuid | string | GUID de l’interface réseau utilisée. |
SrcInterfaceName | string | Interface réseau que l’appareil source utilise pour la connexion ou la session. |
SrcIpAddr | string | Adresse IP d’origine de la connexion ou de la session. |
SrcMacAddr | string | Adresse MAC de l’interface réseau d’où provient la connexion ou la session. |
SrcNatIpAddr | string | Si elle est signalée par un périphérique NAT intermédiaire tel qu’un pare-feu, adresse IP utilisée par le périphérique NAT pour la communication avec la destination. |
SrcNatPortNumber | int | S’il est signalé par un périphérique NAT intermédiaire tel qu’un pare-feu, port utilisé par le périphérique NAT pour la communication avec la destination. |
SrcPackets | long | Nombre de paquets envoyés de la source à la destination pour la connexion ou la session. La signification d’un paquet est définie par le périphérique de création de rapport. |
SrcPortNumber | int | Port IP d’où provient la connexion. Peut ne pas être pertinent pour une session comprenant plusieurs connexions. |
SrcResourceId | string | ID de ressource de l’appareil générant le message. |
SrcUserAadId | string | ID d’objet du compte Azure AD de l’utilisateur à la fin de la session source. |
SrcUserDomain | string | Domaine du compte qui lance la session. |
SrcUserName | string | Nom d’utilisateur de l’identité associée à la source de la session. En général, l’utilisateur effectuant une action sur le client. |
SrcUserSid | string | ID d’utilisateur de l’identité associée à la source de la session. En général, l’utilisateur effectuant une action sur le client. |
SrcUserUpn | string | UPN du compte à l’origine de la session. |
SrcZone | string | Zone réseau de la source, telle que définie par le périphérique de création de rapport. |
TenantId | string | ID de l’espace de travail Log Analytics |
ThreatCategory | string | Catégorie d’une menace identifiée par un système de sécurité tel que la passerelle de sécurité web d’une IPS associée à cette session réseau. |
ThreatId | string | ID d’une menace identifiée par un système de sécurité tel que la passerelle de sécurité web d’une IPS associée à cette session réseau. |
ThreatName | string | Nom de la menace ou du programme malveillant identifié. |
TimeGenerated | DATETIME | Heure à laquelle l’événement s’est produit, telle de rapportée par la source de création de rapport. |
Type | string | Le nom de la table |
UrlCategory | string | Le regroupement défini d’une URL (ou peut être simplement basé sur le domaine dans l’URL) lié à ce qu’il est (c.-à-d. : adulte, actualités, publicité, domaines parqués, etc.). |
UrlHostname | string | Partie domaine d’une URL de requête HTTP pour les sessions réseau HTTP/HTTPS. |
UrlOriginal | string | URL de la requête HTTP pour les sessions réseau HTTP/HTTPS. |
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour