ASimNetworkSessionLogs
O esquema de normalização da sessão de rede do Microsoft Sentinel representa uma atividade de rede IP, como ligações de rede e sessões de rede. Estes eventos são comunicados, por exemplo, por sistemas operativos, routers, firewalls e sistemas de prevenção de intrusões.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | microsoft.securityinsights/networksessionnormalized |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Registo básico | No |
| Transformação do tempo de ingestão | Yes |
| Consultas de Exemplo | - |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| Campos Adicionais | dynamic | Informações adicionais, representadas através de pares chave/valor fornecidos pela origem que não mapeiam para o ASim. |
| _BilledSize | real | O tamanho do registo em bytes |
| DstAppId | string | O ID da aplicação de destino, conforme comunicado pelo dispositivo de relatório. |
| DstAppName | string | O nome da aplicação de destino. |
| DstAppType | string | O tipo da aplicação de destino. |
| DstBytes | long | O número de bytes enviados do destino para a origem da ligação ou sessão. Se o evento for agregado, DstBytes é a soma em todas as sessões agregadas. |
| DstDescription | string | Um texto descritivo associado ao destino. |
| DstDeviceType | string | O tipo do dispositivo de destino. |
| DstDomain | string | O domínio do dispositivo de destino. |
| DstDomainType | string | O tipo de DstDomain. |
| DstDvcId | string | O ID do dispositivo de destino. |
| DstDvcIdType | string | O tipo de DstDvcId. |
| DstFQDN | string | O nome do anfitrião do dispositivo de destino, incluindo informações de domínio quando disponível. |
| DstGeoCity | string | A cidade associada ao endereço IP de destino. |
| DstGeoCountry | string | O país associado ao endereço IP de destino. |
| DstGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoRegion | string | A região, ou estado, num país associado ao endereço IP de destino. |
| DstHostname | string | O nome do anfitrião do dispositivo de destino, excluindo as informações de domínio. |
| DstInterfaceGuid | string | O GUID da interface de rede utilizada no dispositivo de destino. |
| DstInterfaceName | string | A interface de rede utilizada para a ligação ou sessão pelo dispositivo de destino. |
| DstIpAddr | string | O endereço IP da ligação ou destino da sessão. |
| DstMacAddr | string | O endereço MAC da interface de rede utilizada para a ligação ou sessão pelo dispositivo de destino. |
| DstNatIpAddr | string | O DstNatIpAddr representa um dos seguintes: o endereço original do dispositivo de destino se a tradução de endereços de rede tiver sido utilizada ou o endereço IP utilizado pelo dispositivo intermediário para comunicação com a origem. |
| DstNatPortNumber | int | Se for reportada por um dispositivo NAT intermediário, a porta utilizada pelo dispositivo NAT para comunicação com a origem. |
| DstOriginalUserType | string | O tipo de utilizador de destino original, se for fornecido pela origem. |
| DstPackets | long | O número de pacotes enviados do destino para a origem para a ligação ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, dstPackets é a soma em todas as sessões agregadas. |
| DstPortNumber | int | A porta IP de destino. |
| DstSubscriptionId | string | O ID de subscrição da plataforma cloud ao qual o dispositivo de destino pertence. DstSubscriptionId mapeie para um ID de subscrição no Azure e para um ID de conta no AWS. |
| DstUserId | string | Uma representação exclusiva, alfanumérica e legível por computador do utilizador de destino. |
| DstUserIdType | string | O tipo do ID armazenado no campo DstUserId. |
| DstUsername | string | O nome de utilizador de destino, incluindo informações de domínio quando disponível. Utilize o formulário simples apenas se as informações de domínio não estiverem disponíveis. |
| DstUsernameType | string | Especifica o tipo do nome de utilizador armazenado no campo DstUsername. |
| DstUserType | string | O tipo de utilizador de destino. |
| DstVlanId | string | O ID de VLAN relacionado com o dispositivo de destino. |
| Zona Dst | string | A zona de rede do destino, conforme definido pelo dispositivo de relatório. |
| Dvc | string | Um identificador exclusivo do dispositivo no qual ocorreu o evento ou que comunicou o evento. |
| DvcAction | string | A ação tomada na sessão de rede. |
| DvcDescription | string | Um texto descritivo associado ao dispositivo. Por exemplo: Controlador de Domínio Primário. |
| DvcDomain | string | O domínio do dispositivo que reporta o evento. |
| DvcDomainType | string | O tipo de DvcDomain. Os valores possíveis incluem "Windows" e "FQDN". |
| DvcFQDN | string | O nome do anfitrião do dispositivo no qual ocorreu o evento ou que comunicou o evento. |
| DvcHostname | string | O nome do anfitrião do dispositivo que reporta o evento. |
| DvcId | string | O ID exclusivo do dispositivo no qual ocorreu o evento ou que comunicou o evento. |
| DvcIdType | string | O tipo de DvcId. |
| DvcInboundInterface | string | Se comunicado por um dispositivo intermediário, a interface de rede utilizada pelo dispositivo NAT para a ligação ao dispositivo de origem. |
| DvcInterface | string | A interface de rede na qual os dados foram capturados. Normalmente, este campo é relevante para a atividade relacionada com a rede que é capturada por um dispositivo intermédio ou de toque. |
| DvcIpAddr | string | O Endereço IP do dispositivo que reporta o evento. |
| DvcMacAddr | string | O endereço MAC do dispositivo no qual ocorreu o evento ou que comunicou o evento. Exemplo: 00:1B:44:11:3A:B7 |
| DvcOriginalAction | string | O DvcAction original, conforme fornecido pelo dispositivo de relatório. |
| DvcOs | string | O sistema operativo em execução no dispositivo que reporta o evento. |
| DvcOsVersion | string | A versão do sistema operativo no dispositivo que reporta o evento. |
| DvcOutboundInterface | string | Se comunicado por um dispositivo intermediário, a interface de rede utilizada pelo dispositivo NAT para a ligação ao dispositivo de destino. |
| DvcSubscriptionId | string | O ID de subscrição da plataforma cloud a que o dispositivo pertence. DvcSubscriptionId mapeie para um ID de subscrição no Azure e para um ID de conta no AWS. |
| DvcZone | string | A rede na qual ocorreu o evento ou que comunicou o evento. A zona é definida pelo dispositivo de relatórios. |
| EventCount | int | Este valor é utilizado quando a origem suporta agregação e um único registo pode representar vários eventos. |
| EventEndTime | datetime | A hora em que o evento terminou. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
| EventMessage | string | Uma mensagem ou descrição geral. |
| EventOriginalResultDetails | string | Os detalhes originais do resultado fornecidos pela origem. Este valor é utilizado para derivar EventResultDetails, que deve ter apenas um dos valores documentados para cada esquema. |
| EventOriginalSeverity | string | A gravidade original, conforme fornecido pelo dispositivo de relatórios. Este valor é utilizado para derivar EventSeverity. |
| EventOriginalSubType | string | O subtipo ou ID de evento original, se fornecido pela origem. Por exemplo, este campo será utilizado para armazenar o tipo de início de sessão original do Windows. Este valor é utilizado para derivar EventSubType, que deve ter apenas um dos valores documentados para cada esquema. |
| EventOriginalType | string | O tipo de evento ou ID original, se fornecido pela origem. |
| EventOriginalUid | string | Um ID exclusivo do registo original, se fornecido pela origem. |
| EventProduct | string | O produto que está a gerar o evento. |
| EventProductVersion | string | A versão do produto que está a gerar o evento. |
| EventReportUrl | string | Um URL fornecido no evento para um recurso que fornece mais informações sobre o evento. |
| EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas origens, caso em que é derivado de outros campos de eventos, por exemplo, o campo EventResultDetails. |
| EventResultDetails | string | Motivo ou detalhes do resultado comunicado no campo EventResult. |
| EventSchemaVersion | string | A versão do esquema. |
| EventSeverity | string | A gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
| EventStartTime | datetime | A hora em que o evento foi iniciado. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
| EventSubType | string | Descrição adicional do tipo de evento, se aplicável. |
| EventType | string | A operação comunicada pelo registo. |
| EventVendor | string | O fornecedor do produto que está a gerar o evento. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| NetworkApplicationProtocol | string | O protocolo de camada da aplicação utilizado pela ligação ou sessão. |
| NetworkBytes | long | Número de bytes enviados em ambas as direções. Se o BytesReceived e o BytesSent existirem, BytesTotal deverá ser igual à soma. Se o evento for agregado, NetworkBytes é a soma em todas as sessões agregadas. |
| NetworkConnectionHistory | string | Sinalizadores TCP e outras informações potenciais do cabeçalho de IP. |
| RedeDireção | string | A direção da ligação ou sessão. |
| NetworkDuration | int | A quantidade de tempo, em milissegundos, para a conclusão da sessão ou ligação de rede. |
| NetworkIcmpCode | int | Para uma mensagem ICMP, a mensagem ICMP escreve o valor numérico conforme descrito em RFC 2780 para ligações de rede IPv4 ou em RFC 4443 para ligações de rede IPv6. |
| NetworkIcmpType | string | Para uma mensagem ICMP, a mensagem ICMP escreve representação de texto, conforme descrito em RFC 2780 para ligações de rede IPv4 ou em RFC 4443 para ligações de rede IPv6. |
| NetworkPackets | long | O número de pacotes enviados em ambas as direções. Se os PacotesReceived e PacketsSent existirem, BytesTotal deverá ser igual à respetiva soma. O significado de um pacote é definido pelo dispositivo de relatórios. Se o evento for agregado, NetworkPackets é a soma em todas as sessões agregadas. |
| NetworkProtocol | string | O protocolo IP utilizado pela ligação ou sessão conforme listado na atribuição do protocolo IANA, que normalmente é TCP, UDP ou ICMP. |
| NetworkProtocolVersion | string | A versão de NetworkProtocol. |
| NetworkRuleName | string | O nome ou ID da regra pela qual DvcAction foi decidido. |
| NetworkRuleNumber | int | O número da regra pela qual DvcAction foi decidido. |
| NetworkSessionId | string | O identificador de sessão, conforme comunicado pelo dispositivo de relatórios. |
| _ResourceId | string | Um identificador exclusivo para o recurso ao qual o registo está associado |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| SrcAppId | string | O ID da aplicação de origem, conforme comunicado pelo dispositivo de relatório. |
| SrcAppName | string | O nome da aplicação de origem. |
| SrcAppType | string | O tipo da aplicação de origem. |
| SrcBytes | long | O número de bytes enviados da origem para o destino da ligação ou sessão. Se o evento for agregado, srcBytes é a soma em todas as sessões agregadas. |
| SrcDescription | string | Um texto descritivo associado à origem. |
| SrcDeviceType | string | O tipo do dispositivo de origem. |
| SrcDomain | string | O domínio do dispositivo de origem. |
| SrcDomainType | string | O tipo de SrcDomain. |
| SrcDvcId | string | O ID do dispositivo de origem. |
| SrcDvcIdType | string | O tipo de SrcDvcId. |
| SrcFQDN | string | O nome do anfitrião do dispositivo de origem, incluindo informações de domínio quando disponível. |
| SrcGeoCity | string | A cidade associada ao endereço IP de origem. |
| SrcGeoCountry | string | O país associado ao endereço IP de origem. |
| SrcGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoRegion | string | A região num país associado ao endereço IP de origem. |
| SrcHostname | string | O nome do anfitrião do dispositivo de origem, excluindo as informações de domínio. Se não estiver disponível nenhum nome de dispositivo, poderá armazenar o endereço IP relevante. |
| SrcInterfaceGuid | string | O GUID da interface de rede utilizada no dispositivo de origem. |
| SrcInterfaceName | string | A interface de rede utilizada para a ligação ou sessão pelo dispositivo de origem. |
| SrcIpAddr | string | O endereço IP a partir do qual a ligação ou sessão teve origem. |
| SrcMacAddr | string | O endereço MAC da interface de rede a partir da qual a ligação ou sessão teve origem. |
| SrcNatIpAddr | string | O SrcNatIpAddr representa um dos seguintes: o endereço original do dispositivo de origem se tiver sido utilizada a tradução de endereços de rede ou o endereço IP utilizado pelo dispositivo intermediário para comunicação com o destino. |
| SrcNatPortNumber | int | Se for reportada por um dispositivo NAT intermediário, a porta utilizada pelo dispositivo NAT para comunicação com o destino. |
| SrcOriginalUserType | string | O tipo de utilizador de destino original, se for fornecido pelo dispositivo de relatório. |
| SrcPackets | long | O número de pacotes enviados da origem para o destino da ligação ou sessão. O significado de um pacote é definido pelo dispositivo de relatórios. Se o evento for agregado, srcPackets é a soma em todas as sessões agregadas. |
| SrcPortNumber | int | A porta IP a partir da qual a ligação teve origem. Pode não ser relevante para uma sessão que inclua várias ligações. |
| SrcSubscriptionId | string | O ID de subscrição da plataforma cloud ao qual o dispositivo de origem pertence. O mapa SrcSubscriptionId é mapeado para um ID de subscrição no Azure e para um ID de conta no AWS. |
| SrcUserId | string | Uma representação exclusiva, alfanumérica e legível por computador do utilizador de origem. |
| SrcUserIdType | string | O tipo do ID armazenado no campo SrcUserId. |
| SrcUsername | string | O nome de utilizador de origem, incluindo informações de domínio quando disponíveis. |
| SrcUsernameType | string | Especifica o tipo do nome de utilizador armazenado no campo SrcUsername. |
| SrcUserType | string | O tipo de utilizador de origem. |
| SrcVlanId | string | O ID de VLAN relacionado com o dispositivo de origem. |
| SrcZone | string | A zona de rede da origem, conforme definido pelo dispositivo de relatório. |
| _SubscriptionId | string | Um identificador exclusivo para a subscrição à qual o registo está associado |
| TcpFlagsAck | bool | O sinalizador TCP ACK reportado. O sinalizador de confirmação é utilizado para reconhecer a receção bem-sucedida de um pacote. Como podemos ver no diagrama acima, o recetor envia um ACK, bem como um SYN, no segundo passo do processo de handshake de três vias para informar o remetente de que recebeu o pacote inicial. |
| TcpFlagsFin | bool | O sinalizador TCP FIN comunicado. O sinalizador concluído significa que não existem mais dados do remetente. Por conseguinte, é utilizado no último pacote enviado do remetente. |
| TcpFlagsPsh | bool | O sinalizador TCP PSH comunicado. O sinalizador push é um pouco semelhante ao sinalizador URG e diz ao recetor para processar estes pacotes à medida que são recebidos em vez de os colocar na memória intermédia. |
| TcpFlagsRst | bool | O sinalizador TCP RST comunicado. O sinalizador de reposição é enviado do recetor para o remetente quando um pacote é enviado para um anfitrião específico que não estava à espera. |
| TcpFlagsSyn | bool | O sinalizador TCP SYN comunicado. O sinalizador de sincronização é utilizado como primeiro passo para estabelecer um handshake de três vias entre dois anfitriões. Apenas o primeiro pacote do remetente e do recetor deve ter este sinalizador definido. |
| TcpFlagsUrg | bool | O sinalizador TCP URG informou. O sinalizador urgente é utilizado para notificar o recetor para processar os pacotes urgentes antes de processar todos os outros pacotes. O recetor será notificado quando todos os dados urgentes conhecidos tiverem sido recebidos. Consulte RFC 6093 para obter mais detalhes. |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| ThreatCategory | string | A categoria da ameaça ou software maligno identificado na sessão de rede. |
| ThreatConfidence | int | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatField | string | O campo para o qual foi identificada uma ameaça. O valor é SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
| ThreatFirstReportedTime | datetime | A primeira vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatId | string | O ID da ameaça ou software maligno identificado na sessão de rede. |
| ThreatIpAddr | string | Um endereço IP para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. |
| ThreatIsActive | bool | ID verdadeiro a ameaça identificada é considerada uma ameaça ativa. |
| ThreatLastReportedTime | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatName | string | O nome da ameaça ou software maligno identificado na sessão de rede. |
| ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
| ThreatOriginalRiskLevel | string | O nível de risco, conforme comunicado pelo dispositivo de relatório. |
| ThreatRiskLevel | int | O nível de risco associado à sessão. O nível é um número entre 0 e 100. |
| TimeGenerated | datetime | O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
| Tipo | string | O nome da tabela |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários