ASimNetworkSessionLogs
A Microsoft Sentinel hálózati munkamenet normalizálási sémája egy IP-hálózati tevékenységet jelöl, például a hálózati kapcsolatokat és a hálózati munkameneteket. Az ilyen eseményeket például operációs rendszerek, útválasztók, tűzfalak és behatolás-megelőzési rendszerek jelentik.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | microsoft.securityinsights/networksessionnormalized |
| Kategóriák | Biztonság |
| Megoldások | SecurityInsights |
| Alapszintű napló | No |
| Betöltési idő átalakítás | Yes |
| Mintalekérdezések | - |
Oszlopok
| Oszlop | Típus | Description |
|---|---|---|
| További mezők | dinamikus | További információk, amelyek a forrás által biztosított kulcs/érték párok használatával jelennek meg, amelyek nem képeznek le ASim-et. |
| _BilledSize | valós szám | A rekord mérete bájtban |
| DstAppId | sztring | A célalkalmazás azonosítója a jelentéskészítő eszköz által jelentett módon. |
| DstAppName | sztring | A célalkalmazás neve. |
| DstAppType | sztring | A célalkalmazás típusa. |
| DstBytes | hosszú | A célhelyről a kapcsolat vagy munkamenet forrásának küldött bájtok száma. Ha az esemény összesítve van, a DstBytes az összes összesített munkamenet összegének összege. |
| DstDescription | sztring | A célhoz társított leíró szöveg. |
| DstDeviceType | sztring | A céleszköz típusa. |
| DstDomain | sztring | A céleszköz tartománya. |
| DstDomainType | sztring | A DstDomain típusa. |
| DstDvcId | sztring | A céleszköz azonosítója. |
| DstDvcIdType | sztring | A DstDvcId típusa. |
| DstFQDN | sztring | A céleszköz állomásneve, beleértve a tartományadatokat, ha elérhető. |
| DstGeoCity | sztring | A cél IP-címéhez társított város. |
| DstGeoCountry | sztring | A cél IP-címhez társított ország. |
| DstGeoL hála | valós szám | A cél IP-címéhez társított földrajzi koordináták szélessége. |
| DstGeoLongitude | valós szám | A cél IP-címéhez társított földrajzi koordináták hosszúsága. |
| DstGeoRegion | sztring | A cél IP-címhez társított ország régiója vagy állapota. |
| DstHostname | sztring | A céleszköz állomásneve, a tartományadatok kivételével. |
| DstInterfaceGuid | sztring | A céleszközön használt hálózati adapter GUID azonosítója. |
| DstInterfaceName | sztring | A céleszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. |
| DstIpAddr | sztring | A kapcsolat vagy a munkamenet céljának IP-címe. |
| DstMacAddr | sztring | A céleszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter MAC-címe. |
| DstNatIpAddr | sztring | A DstNatIpAddr a következők valamelyikét jelöli: A céleszköz eredeti címe, ha hálózati címfordítást használtak, vagy a közvetítő eszköz által a forrással való kommunikációhoz használt IP-cím. |
| DstNatPortNumber | int | Ha egy köztes NAT-eszköz jelenti, a NAT-eszköz által a forrással való kommunikációhoz használt port. |
| DstOriginalUserType | sztring | Az eredeti célfelhasználó típusa, ha a forrás megadja. |
| DstPackets | hosszú | A célhelyről a kapcsolat vagy munkamenet forrására küldött csomagok száma. A csomag jelentését a jelentéskészítő eszköz határozza meg. Ha az esemény összesítve van, a DstPackets az összes összesített munkamenet összege. |
| DstPortNumber | int | A cél IP-port. |
| DstSubscriptionId | sztring | A felhőplatform-előfizetés azonosítója, amelyhez a céleszköz tartozik. A DstSubscriptionId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezése. |
| DstUserId | sztring | A célfelhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása. |
| DstUserIdType | sztring | A DstUserId mezőben tárolt azonosító típusa. |
| DstUsername | sztring | A cél felhasználóneve, beleértve a tartományadatokat, ha elérhetők. Csak akkor használja az egyszerű űrlapot, ha a tartomány adatai nem érhetők el. |
| DstUsernameType | sztring | A DstUsername mezőben tárolt felhasználónév típusát adja meg. |
| DstUserType | sztring | A célfelhasználó típusa. |
| DstVlanId | sztring | A céleszközhöz kapcsolódó VLAN-azonosító. |
| DstZone | sztring | A cél hálózati zónája a jelentéskészítő eszköz által meghatározott módon. |
| Dvc | sztring | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcAction | sztring | A hálózati munkameneten végrehajtott művelet. |
| DvcDescription | sztring | Az eszközhöz társított leíró szöveg. Például: Elsődleges tartományvezérlő. |
| DvcDomain | sztring | Az eseményt jelentő eszköz tartománya. |
| DvcDomainType | sztring | A DvcDomain típusa. A lehetséges értékek közé tartozik a "Windows" és az "FQDN". |
| DvcFQDN | sztring | Annak az eszköznek az állomásneve, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcHostname | sztring | Az eseményt jelentő eszköz állomásneve. |
| DvcId | sztring | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcIdType | sztring | A DvcId típusa. |
| DvcInboundInterface | sztring | Ha egy köztes eszköz jelenti, a NAT-eszköz által a forráseszközhöz való csatlakozáshoz használt hálózati adapter. |
| DvcInterface | sztring | Az a hálózati adapter, amelyen az adatok rögzítve lettnek. Ez a mező általában a hálózattal kapcsolatos tevékenységre vonatkozik, amelyet egy köztes vagy koppintásos eszköz rögzít. |
| DvcIpAddr | sztring | Az eseményt jelentő eszköz IP-címe. |
| DvcMacAddr | sztring | Annak az eszköznek a MAC-címe, amelyen az esemény történt, vagy amely az eseményt jelentette. Példa: 00:1B:44:11:3A:B7 |
| DvcOriginalAction | sztring | A jelentéskészítő eszköz által biztosított eredeti DvcAction. |
| DvCO-k | sztring | Az eseményt jelentő eszközön futó operációs rendszer. |
| DvcOsVersion | sztring | Az eseményt jelentő eszköz operációs rendszerének verziója. |
| DvcOutboundInterface | sztring | Ha egy köztes eszköz jelenti, a NAT-eszköz által a céleszközhöz való csatlakozáshoz használt hálózati adapter. |
| DvcSubscriptionId | sztring | A felhőplatform-előfizetés azonosítója, amelyhez az eszköz tartozik. A DvcSubscriptionId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezése. |
| DvcZone | sztring | Az a hálózat, amelyen az esemény történt, vagy amely az eseményt jelentette. A zónát a jelentéskészítő eszköz határozza meg. |
| EventCount | int | Ez az érték akkor használatos, ha a forrás támogatja az összesítést, és egyetlen rekord több eseményt is jelölhet. |
| EventEndTime | dátum/idő | Az esemény befejezésének időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
| EventMessage | sztring | Általános üzenet vagy leírás. |
| EventOriginalResultDetails | sztring | A forrás által megadott eredeti eredményadatok. Ez az érték az EventResultDetails származtatására szolgál, amelynek az egyes sémákhoz csak az egyik értéknek kell dokumentálnia. |
| EventOriginalSeverity | sztring | A jelentéskészítő eszköz által megadott eredeti súlyosság. Ez az érték az EventSeverity származtatására szolgál. |
| EventOriginalSubType | sztring | Az eredeti esemény altípusa vagy azonosítója, ha a forrás megadja. Ez a mező például az eredeti Windows bejelentkezési típus tárolására szolgál. Ez az érték az EventSubType származtatására szolgál, amelynek csak az egyik értéknek kell dokumentálnia az egyes sémákhoz. |
| EventOriginalType | sztring | Az eredeti eseménytípus vagy -azonosító, ha a forrás megadja. |
| EventOriginalUid | sztring | Az eredeti rekord egyedi azonosítója, ha a forrás megadja. |
| EventProduct | sztring | Az eseményt létrehozó termék. |
| EventProductVersion | sztring | Az eseményt létrehozó termék verziója. |
| EventReportUrl | sztring | Az eseményben megadott URL-cím egy erőforráshoz, amely további információt nyújt az eseményről. |
| EventResult | sztring | Az esemény kimenete, amelyet a következő értékek egyike jelöl: Success, Partial, Failure, NA (Not Applicable). Előfordulhat, hogy az értéket nem adják meg közvetlenül a források, ebben az esetben más eseménymezőkből származik, például az EventResultDetails mezőből. |
| EventResultDetails | sztring | Az EventResult mezőben jelentett eredmény oka vagy részletei. |
| EventSchemaVersion | sztring | A séma verziója. |
| EventSeverity | sztring | Az esemény súlyossága. Az érvényes értékek a következők: Tájékoztató, Alacsony, Közepes vagy Magas. |
| EventStartTime | dátum/idő | Az esemény indításának időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
| EventSubType | sztring | Szükség esetén az eseménytípus további leírása. |
| EventType | sztring | A rekord által jelentett művelet. |
| EventVendor | sztring | Az eseményt létrehozó termék szállítója. |
| _IsBillable | sztring | Meghatározza, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés történik false , a számla nem az Azure-fiókjába kerül. |
| NetworkApplicationProtocol | sztring | A kapcsolat vagy munkamenet által használt alkalmazásréteg-protokoll. |
| Hálózati bájtok | hosszú | A két irányban küldött bájtok száma. Ha a BytesReceived és a BytesSent is létezik, a BytesTotal értéknek meg kell egyeznie az összeggel. Ha az esemény összesítve van, a NetworkBytes az összes összesített munkamenet összegének összege. |
| NetworkConnectionHistory | sztring | TCP-jelzők és egyéb lehetséges IP-fejlécadatok. |
| NetworkDirection | sztring | A kapcsolat vagy munkamenet iránya. |
| NetworkDuration | int | A hálózati munkamenet vagy kapcsolat befejezéséhez szükséges idő ezredmásodpercben. |
| NetworkIcmpCode | int | ICMP-üzenet esetén az ICMP-üzenet numerikus értéket ír be az IPv4-hálózati kapcsolatok RFC 2780-as verziójában vagy az IPv6-hálózati kapcsolatok RFC 4443-as verziójában leírtak szerint. |
| NetworkIcmpType | sztring | ICMP-üzenet esetén az ICMP-üzenet szövegábrázolást ír be az IPv4-hálózati kapcsolatok RFC 2780-as verziójában vagy az IPv6-hálózati kapcsolatok RFC 4443-as verziójában leírtak szerint. |
| NetworkPackets | hosszú | Az elküldött csomagok száma mindkét irányban. Ha a PacketsReceived és a PacketsSent is létezik, a BytesTotal értéknek meg kell egyeznie az összeggel. A csomagok jelentését a jelentéskészítő eszköz határozza meg. Ha az esemény összesítve van, a NetworkPackets az összes összesített munkamenet összegének összege. |
| NetworkProtocol | sztring | A kapcsolat vagy munkamenet által használt IP-protokoll az IANA protokoll-hozzárendelésben felsoroltak szerint, amely általában TCP, UDP vagy ICMP. |
| NetworkProtocolVersion | sztring | A NetworkProtocol verziója. |
| NetworkRuleName | sztring | Annak a szabálynak a neve vagy azonosítója, amellyel a DvcAction döntésre került. |
| NetworkRuleNumber | int | Annak a szabálynak a száma, amellyel a DvcAction-ről döntöttek. |
| NetworkSessionId | sztring | A jelentéskészítő eszköz által jelentett munkamenet-azonosító. |
| _ResourceId | sztring | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
| SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök, vagy Azure a Azure Diagnostics |
| SrcAppId | sztring | A forrásalkalmazás azonosítója a jelentéskészítő eszköz által jelentett módon. |
| SrcAppName | sztring | A forrásalkalmazás neve. |
| SrcAppType | sztring | A forrásalkalmazás típusa. |
| SrcBytes | hosszú | A forrásból a kapcsolat vagy munkamenet célhelyére küldött bájtok száma. Ha az esemény összesítve van, az SrcBytes az összes összesített munkamenet összegének összege. |
| SrcDescription | sztring | A forráshoz társított leíró szöveg. |
| SrcDeviceType | sztring | A forráseszköz típusa. |
| SrcDomain | sztring | A forráseszköz tartománya. |
| SrcDomainType | sztring | A SrcDomain típusa. |
| SrcDvcId | sztring | A forráseszköz azonosítója. |
| SrcDvcIdType | sztring | Az SrcDvcId típusa. |
| SrcFQDN | sztring | A forráseszköz állomásneve, beleértve a tartományadatokat, ha elérhető. |
| SrcGeoCity | sztring | A forrás IP-címéhez társított város. |
| SrcGeoCountry | sztring | A forrás IP-címéhez társított ország. |
| SrcGeoLatitude | valós szám | A forrás IP-címéhez társított földrajzi koordináták szélessége. |
| SrcGeoLongitude | valós szám | A forrás IP-címéhez társított földrajzi koordináták hosszúsága. |
| SrcGeoRegion | sztring | A forrás IP-címéhez társított országon belüli régió. |
| SrcHostname | sztring | A forráseszköz gazdagépneve, a tartományadatok kivételével. Ha nem áll rendelkezésre eszköznév, a megfelelő IP-címet tárolhatja. |
| SrcInterfaceGuid | sztring | A forráseszközön használt hálózati adapter GUID azonosítója. |
| SrcInterfaceName | sztring | A forráseszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. |
| SrcIpAddr | sztring | Az IP-cím, amelyről a kapcsolat vagy a munkamenet származik. |
| SrcMacAddr | sztring | Annak a hálózati adapternek a MAC-címe, amelyről a kapcsolat vagy a munkamenet származik. |
| SrcNatIpAddr | sztring | A SrcNatIpAddr a következők valamelyikét jelöli: A forráseszköz eredeti címe, ha a hálózati címfordítást használták, vagy az IP-címet, amelyet a közvetítő eszköz használt a célhellyel való kommunikációhoz. |
| SrcNatPortNumber | int | Ha egy köztes NAT-eszköz jelenti, a NAT-eszköz által a célhelygel való kommunikációhoz használt port. |
| SrcOriginalUserType | sztring | Az eredeti célfelhasználó típusa, ha a jelentéskészítő eszköz biztosítja. |
| SrcPackets | hosszú | A forrásból a kapcsolat vagy munkamenet célhelyére küldött csomagok száma. A csomagok jelentését a jelentéskészítő eszköz határozza meg. Ha az esemény összesítve van, az SrcPackets az összes összesített munkamenet összegének összege. |
| SrcPortNumber | int | Az IP-port, amelyről a kapcsolat létrejött. Előfordulhat, hogy nem releváns több kapcsolatot tartalmazó munkamenet esetén. |
| SrcSubscriptionId | sztring | A felhőplatform-előfizetés azonosítója, amelyhez a forráseszköz tartozik. Az SrcSubscriptionId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezése. |
| SrcUserId | sztring | A forrásfelhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása. |
| SrcUserIdType | sztring | A SrcUserId mezőben tárolt azonosító típusa. |
| SrcUsername | sztring | A forrás felhasználóneve, beleértve a tartományadatokat, ha elérhetők. |
| SrcUsernameType | sztring | A SrcUsername mezőben tárolt felhasználónév típusát adja meg. |
| SrcUserType | sztring | A forrásfelhasználó típusa. |
| SrcVlanId | sztring | A forráseszközhöz kapcsolódó VLAN-azonosító. |
| SrcZone | sztring | A forrás hálózati zónája a jelentéskészítő eszköz által meghatározott módon. |
| _SubscriptionId | sztring | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
| TcpFlagsAck | logikai | A TCP ACK jelző jelentve. A nyugtázási jelzővel nyugtázhatja a csomagok sikeres fogadását. Amint a fenti ábrán látható, a fogadó egy ACK-t és egy SYN-t is küld a háromutas kézfogási folyamat második lépésében, hogy tájékoztassa a feladót arról, hogy megkapta a kezdeti csomagot. |
| TcpFlagsFin | logikai | A TCP FIN jelző jelentve. A kész jelző azt jelenti, hogy nincs több adat a feladótól. Ezért a rendszer a feladótól küldött utolsó csomagban használja. |
| TcpFlagsPsh | logikai | A jelentett TCP PSH-jelző. A leküldéses jelző némileg hasonlít az URG jelzőhöz, és arra utasítja a fogadót, hogy a pufferelés helyett fogadja a csomagokat. |
| TcpFlagsRst | logikai | A TCP RST jelző jelentve. A rendszer elküldi az alaphelyzetbe állítás jelzőt a címzetttől a feladónak, amikor egy csomagot egy olyan gazdagépre küldenek, amely nem várta. |
| TcpFlagsSyn | logikai | A JELENTETT TCP SYN-jelző. A szinkronizációs jelző az első lépés a két gazdagép közötti háromirányú kézfogás kialakításában. Csak a feladó és a fogadó első csomagja rendelkezhet ezzel a jelzővel. |
| TcpFlagsUrg | logikai | A TCP URG jelző jelentve. A sürgős jelző arra szolgál, hogy az összes többi csomag feldolgozása előtt értesítse a fogadót a sürgős csomagok feldolgozásáról. A fogadó értesítést kap az összes ismert sürgős adat beérkezéséről. További részletekért lásd: RFC 6093. |
| TenantId | sztring | A Log Analytics-munkaterület azonosítója |
| ThreatCategory | sztring | A hálózati munkamenetben azonosított fenyegetés vagy kártevő kategóriája. |
| ThreatConfidence | int | Az azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
| ThreatField | sztring | Az a mező, amelyhez fenyegetést azonosítottak. Az érték lehet SrcIpAddr, DstIpAddr, Domain vagy DnsResponseName. |
| ThreatFirstReportedTime | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
| ThreatId | sztring | A hálózati munkamenetben azonosított fenyegetés vagy kártevő azonosítója. |
| ThreatIpAddr | sztring | Egy IP-cím, amelyhez fenyegetést azonosítottak. A ThreatField mező annak a mezőnek a nevét tartalmazza, amelyet a ThreatIpAddr képvisel. |
| ThreatIsActive | logikai | Az azonosított fenyegetés valódi azonosítója aktív fenyegetésnek minősül. |
| ThreatLastReportedTime | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
| ThreatName | sztring | A hálózati munkamenetben azonosított fenyegetés vagy kártevő neve. |
| ThreatOriginalConfidence | sztring | Az azonosított fenyegetés eredeti megbízhatósági szintje, amelyet a jelentéskészítő eszköz jelentett. |
| ThreatOriginalRiskLevel | sztring | A jelentéskészítő eszköz által jelentett kockázati szint. |
| ThreatRiskLevel | int | A munkamenethez társított kockázati szint. A szint egy 0 és 100 közötti szám. |
| TimeGenerated | dátum/idő | Az esemény létrehozásának idejét tükröző időbélyeg (UTC). |
| Típus | sztring | A tábla neve |
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: