NetworkSessions
Hálózati kapcsolatok vagy munkamenetek, például a tűzfalak, a Wire Data, az NSG, a Netflow, a proxyrendszerek és a webes biztonsági átjárók által naplózott munkamenetek.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | SecurityInsights |
| Alapszintű napló | No |
| Betöltési idő átalakítás | No |
| Mintalekérdezések | Igen |
Oszlopok
| Oszlop | Típus | Description |
|---|---|---|
| További mezők | dinamikus | Ha a séma egyik oszlopa sem egyezik, további mezők tárolhatók egy JSON-zsákban. |
| _BilledSize | valós szám | A rekord mérete bájtban |
| CloudAppId | sztring | A HTTP-alkalmazás célalkalmazásának proxy által azonosított azonosítója. Ez az érték általában a használt proxyra jellemző. |
| CloudAppName | sztring | A HTTP-alkalmazás célalkalmazásának neve a proxy által azonosított módon. |
| CloudAppOperation | sztring | A felhasználó által a proxy által azonosított HTTP-alkalmazás célalkalmazásának kontextusában végrehajtott művelet. Ez az érték általában a használt proxyra jellemző. |
| CloudAppRiskLevel | sztring | A proxy által azonosított HTTP-alkalmazáshoz társított kockázati szint. Ez az érték általában a használt proxyra jellemző. |
| DstBytes | hosszú | A célhelyről a kapcsolat vagy munkamenet forrásának küldött bájtok száma. |
| DstDomainHostname | sztring | A cél gazdagép tartománya. |
| DstDvcDomain | sztring | A céleszköz tartománya. |
| DstDvcFqdn | sztring | Annak a gazdagépnek a teljes tartományneve, ahol a napló létre lett hozva. |
| DstDvcHostname | sztring | A céleszköz neve. |
| DstDvcIpAddr | sztring | Egy olyan eszköz cél IP-címe, amely nincs közvetlenül társítva a hálózati csomaggal. |
| DstDvcMacAddr | sztring | Egy olyan eszköz cél MAC-címe, amely nincs közvetlenül társítva a hálózati csomaggal. |
| DstGeoCity | sztring | A cél IP-címéhez társított város. |
| DstGeoCountry | sztring | A forrás IP-címéhez társított ország. |
| DstGeoL hála | valós szám | A cél IP-címéhez társított földrajzi koordináták szélessége. |
| DstGeoLongitude | valós szám | A cél IP-címéhez társított földrajzi koordináták hosszúsága |
| DstGeoRegion | sztring | A cél IP-címhez társított országon belüli régió. |
| DstInterfaceGuid | sztring | A hitelesítési kérelemhez használt hálózati adapter GUID azonosítója. |
| DstInterfaceName | sztring | A céleszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. |
| DstIpAddr | sztring | A kapcsolat vagy a munkamenet céljának IP-címe. |
| DstMacAddr | sztring | Annak a hálózati adapternek a MAC-címe, amelyen a kapcsolat vagy a munkamenet megszakadt. |
| DstNatIpAddr | sztring | Ha egy köztes NAT-eszköz, például egy tűzfal jelenti, a NAT-eszköz által a forrással való kommunikációhoz használt IP-cím. |
| DstNatPortNumber | int | Ha egy köztes NAT-eszköz, például egy tűzfal jelenti, a NAT-eszköz által a forrással való kommunikációhoz használt port. |
| DstPackets | hosszú | A célhelyről a kapcsolat vagy munkamenet forrásának küldött csomagok száma. A csomag jelentését a jelentéskészítő eszköz határozza meg. |
| DstPortNumber | int | A cél IP-port. |
| DstResourceId | sztring | A céleszköz erőforrás-azonosítója. |
| DstUserAadId | sztring | A felhasználó Azure AD fiókobjektum-azonosítója a munkamenet célhelyén. |
| DstUserDomain | sztring | A fiók tartomány- vagy számítógépneve a munkamenet célhelyén. |
| DstUserName | sztring | A munkamenet célhelyéhez társított identitás felhasználóneve. |
| DstUserSid | sztring | A munkamenet célhelyéhez társított identitás felhasználói azonosítója. A kiszolgáló hitelesítéséhez használt identitás általában. |
| DstUserUpn | sztring | A munkamenet célhelyéhez társított identitás egyszerű felhasználónévje. |
| DstZone | sztring | A cél hálózati zónája a jelentéskészítő eszköz által meghatározott módon. |
| DvcAction | sztring | Ha egy köztes eszköz, például egy tűzfal jelenti, az eszköz által végrehajtott művelet. |
| DvcHostname | sztring | Az üzenetet létrehozó eszköz neve. |
| DvcInboundInterface | sztring | Ha egy köztes eszköz, például egy tűzfal jelenti, az általa a forráseszközhöz való csatlakozáshoz használt hálózati adapter. |
| DvcIpAddr | sztring | A rekordot létrehozó eszköz IP-címe. |
| DvcMacAddr | sztring | Annak a jelentéskészítő eszköznek a hálózati adapterének MAC-címe, amelyről az eseményt elküldték. |
| DvcOutboundInterface | sztring | Ha egy köztes eszköz, például egy tűzfal jelenti, az általa a céleszközhöz való csatlakozáshoz használt hálózati adapter. |
| EventCount | int | Az összesített események száma, ha van. |
| EventEndTime | dátum/idő | Az esemény befejezésének időpontja. |
| EventMessage | sztring | A rekordban szereplő vagy a rekordból létrehozott általános üzenet vagy leírás. |
| EventOriginalUid | sztring | A jelentéskészítő eszköz rekordazonosítója. |
| EventProduct | sztring | Az eseményt létrehozó termék. |
| EventProductVersion | sztring | Az eseményt létrehozó termék verziója. |
| EventReportUrl | sztring | A jelentéskészítő eszköz által létrehozott teljes jelentésre mutató hivatkozás. |
| EventResourceId | sztring | Az üzenetet létrehozó eszköz erőforrás-azonosítója. |
| EventResult | sztring | A tevékenységhez jelentett eredmény. Üres érték, ha nem alkalmazható. |
| EventResultDetails | sztring | Az EventResult-ban jelentett eredmény oka |
| EventSchemaVersion | sztring | Az Azure Sentinel sémaverziója. |
| EventSeverity | sztring | Ha a jelentett tevékenységnek van biztonsági hatása, az a hatás súlyosságát jelöli. |
| EventStartTime | dátum/idő | Az esemény bekövetkezésének időpontja. |
| EventSubType | sztring | Szükség esetén a típus további leírása. |
| EventTimeIngested | dátum/idő | Az esemény Azure Sentinelbe való betöltésének időpontja. Az Azure Sentinel hozzáadja. |
| EventType | sztring | Az összegyűjtött esemény típusa. |
| EventUid | sztring | A Sentinel által egy sor megjelölésére használt egyedi azonosító. |
| EventVendor | sztring | Az eseményt létrehozó termék szállítója. |
| FileExtension | sztring | A hálózati kapcsolatokon keresztül továbbított fájl típusa olyan protokollok esetében, mint az FTP és a HTTP. |
| FileHashMd5 | sztring | A protokollok hálózati kapcsolatain keresztül továbbított fájl MD5 kivonatértéke. |
| FileHashSha1 | sztring | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA1 kivonatértéke. |
| FileHashSha256 | sztring | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA256 kivonatértéke. |
| FileHashSha512 | sztring | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA512 kivonatértéke. |
| FileMimeType | sztring | A hálózati kapcsolatokon keresztül továbbított fájl MIME-típusa olyan protokollokhoz, mint az FTP és a HTTP. |
| Fájlnév | sztring | A hálózati kapcsolatokon keresztül továbbított fájlnév olyan protokollok esetében, mint az FTP és a HTTP, amelyek a fájlnév adatait adják meg. |
| FilePath | sztring | A fájl teljes elérési útja, beleértve a fájl nevét is. |
| Fájlméretet | int | A protokollok hálózati kapcsolatain keresztül továbbított fájl mérete bájtban. |
| HttpContentType | sztring | A HTTP-válasz tartalomtípus fejléce HTTP/HTTPS hálózati munkamenetekhez. |
| HttpReferrerOriginal | sztring | A HTTP-/HTTPS-hálózati munkamenetek HTTP-hivatkozó fejléce. |
| HttpRequestMethod | sztring | A HTTP-/HTTPS-hálózati munkamenetek HTTP-metódusa. |
| HttpRequestTime | int | A kérelem kiszolgálónak való elküldéséhez szükséges idő, ha van. |
| HttpRequestXff | sztring | A HTTP X-Forwarded-For fejléc a HTTP/HTTPS hálózati munkamenetekhez. |
| HttpResponseTime | int | A válasz fogadásához szükséges idő a kiszolgálón, ha van. |
| HttpStatusCode | sztring | A HTTP-/HTTPS-hálózati munkamenetek HTTP-állapotkódja. |
| HttpUserAgentOriginal | sztring | A HTTP-/HTTPS-hálózati munkamenetek HTTP-felhasználói ügynökének fejléce. |
| HttpVersion | sztring | A HTTP-/HTTPS-hálózati kapcsolatok HTTP-kérelemverziója. |
| _IsBillable | sztring | Megadja, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés false történik, a számlázás nem történik meg az Azure-fiókban |
| NetworkApplicationProtocol | sztring | A kapcsolat vagy munkamenet által használt alkalmazásréteg-protokoll. |
| Hálózati bájtok | hosszú | A két irányban küldött bájtok száma. Ha a BytesReceived és a BytesSent is létezik, a BytesTotal értéknek meg kell egyeznie az összeggel. |
| NetworkDirection | sztring | A kapcsolat vagy munkamenet iránya a szervezetbe vagy onnan kifelé. |
| NetworkDuration | int | A hálózati munkamenet vagy kapcsolat befejezéséhez szükséges idő ezredmásodpercben. |
| NetworkIcmpCode | int | ICMP-üzenet esetén az ICMP-üzenet típusa numerikus érték (RFC 2780 vagy RFC 4443). |
| NetworkIcmpType | sztring | ICMP-üzenet esetén az ICMP-üzenet típusa szöveges ábrázolás (RFC 2780 vagy RFC 4443). |
| NetworkPackets | hosszú | Mindkét irányban küldött csomagok száma. Ha a PacketsReceived és a PacketsSent is létezik, a BytesTotal értéknek meg kell egyeznie az összeggel. |
| NetworkProtocol | sztring | A kapcsolat vagy munkamenet által használt IP-protokoll. Általában TCP, UDP vagy ICMP. |
| NetworkRuleName | sztring | Annak a szabálynak a neve vagy azonosítója, amely alapján a DeviceAction döntésre került. |
| NetworkRuleNumber | int | Megfelelt szabályszám. |
| NetworkSessionId | sztring | A jelentéskészítő eszköz által jelentett munkamenet-azonosító. |
| SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure Azure Diagnostics |
| SrcBytes | hosszú | A forrásból a kapcsolat vagy munkamenet célhelyére küldött bájtok száma. |
| SrcDvcDomain | sztring | Annak az eszköznek a tartománya, amelyről a munkamenetet kezdeményezték. |
| SrcDvcFqdn | sztring | Annak a gazdagépnek a teljes tartományneve, ahol a napló létre lett hozva. |
| SrcDvcHostname | sztring | A forráseszköz eszközneve. |
| SrcDvcIpAddr | sztring | Egy olyan eszköz forrás IP-címe, amely nincs közvetlenül társítva a hálózati csomaggal (szolgáltató által gyűjtött vagy explicit módon kiszámított). |
| SrcDvcMacAddr | sztring | Egy olyan eszköz forrás MAC-címe, amely nincs közvetlenül társítva a hálózati csomaggal. |
| SrcDvcModelName | sztring | A forráseszköz modellje. |
| SrcDvcModelNumber | sztring | A forráseszköz modellszáma. |
| SrcDvcOs | sztring | A forráseszköz operációs rendszere. |
| SrcDvcType | sztring | A forráseszköz típusa. |
| SrcGeoCity | sztring | A forrás IP-címéhez társított város. |
| SrcGeoCountry | sztring | A forrás IP-címéhez társított ország. |
| SrcGeoL hála | valós szám | A forrás IP-címéhez társított földrajzi koordináták szélessége. |
| SrcGeoLongitude | valós szám | A forrás IP-címéhez társított földrajzi koordináták hosszúsága. |
| SrcGeoRegion | sztring | A forrás IP-címhez társított országon belüli régió. |
| SrcInterfaceGuid | sztring | A használt hálózati adapter GUID azonosítója. |
| SrcInterfaceName | sztring | A forráseszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. |
| SrcIpAddr | sztring | Az IP-cím, amelyről a kapcsolat vagy munkamenet származik. |
| SrcMacAddr | sztring | Annak a hálózati adapternek a MAC-címe, amelyről a kapcsolati od-munkamenet származik. |
| SrcNatIpAddr | sztring | Ha egy köztes NAT-eszköz( például tűzfal) jelenti, a NAT-eszköz által a célhellyel való kommunikációhoz használt IP-cím. |
| SrcNatPortNumber | int | Ha egy köztes NAT-eszköz( például tűzfal) jelenti, a NAT-eszköz által a célhellyel való kommunikációhoz használt port. |
| SrcPackets | hosszú | A forrásból a kapcsolat vagy munkamenet célhelyére küldött csomagok száma. A csomag jelentését a jelentéskészítő eszköz határozza meg. |
| SrcPortNumber | int | Az IP-port, amelyről a kapcsolat létrejött. Több kapcsolatot tartalmazó munkamenet esetén előfordulhat, hogy nem releváns. |
| SrcResourceId | sztring | Az üzenetet létrehozó eszköz erőforrás-azonosítója. |
| SrcUserAadId | sztring | A felhasználó Azure AD fiókobjektum-azonosítója a munkamenet forrásának végén. |
| SrcUserDomain | sztring | A munkamenetet kezdeményező fiók tartománya. |
| SrcUserName | sztring | A munkamenet-forráshoz társított identitás felhasználóneve. A felhasználó általában műveletet hajt végre az ügyfélen. |
| SrcUserSid | sztring | A munkamenet-forráshoz társított identitás felhasználói azonosítója. A felhasználó általában műveletet hajt végre az ügyfélen. |
| SrcUserUpn | sztring | A munkamenetet kezdeményező fiók egyszerű felhasználónévje. |
| SrcZone | sztring | A forrás hálózati zónája a jelentéskészítő eszköz által meghatározott módon. |
| TenantId | sztring | A Log Analytics-munkaterület azonosítója |
| ThreatCategory | sztring | Egy biztonsági rendszer, például egy IPS webes biztonsági átjárója által azonosított fenyegetés kategóriája, és ehhez a hálózati munkamenethez van társítva. |
| ThreatId | sztring | Egy biztonsági rendszer, például egy IPS webbiztonsági átjárója által azonosított fenyegetés azonosítója, és ehhez a hálózati munkamenethez van társítva. |
| ThreatName | sztring | Az azonosított fenyegetés vagy kártevő neve. |
| TimeGenerated | dátum/idő | Az esemény bekövetkezésének időpontja a jelentéskészítési forrás által jelentett módon. |
| Típus | sztring | A tábla neve |
| UrlCategory | sztring | Az URL-cím definiált csoportosítása (vagy csak az URL-cím tartományán alapulhat) az url-címhez kapcsolódóan (pl. felnőtt, hírek, hirdetések, parkolt tartományok stb.). |
| UrlHostname | sztring | A HTTP-kérés URL-címének tartományrésze HTTP/HTTPS hálózati munkamenetekhez. |
| UrlOriginal | sztring | A HTTP-/HTTPS-hálózati munkamenetek HTTP-kérelem URL-címe. |
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: