ASimWebSessionLogs
O esquema de normalização da Sessão Web do Modelo de Informação de Segurança Avançada (ASIM) - descreve uma atividade de rede IP. Por exemplo, as atividades de rede IP são comunicadas por servidores Web, proxies Web e gateways de segurança Web.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | microsoft.securityinsights/websessionlogs |
Categorias | Segurança |
Soluções | SecurityInsights |
Registo básico | No |
Transformação em tempo de ingestão | Yes |
Consultas de Exemplo | - |
Colunas
Coluna | Tipo | Description |
---|---|---|
Campos Adicionais | dynamic | Informações adicionais, representadas através de pares chave/valor fornecidos pela origem que não mapeiam para o ASim. |
_BilledSize | real | O tamanho do registo em bytes |
DstAppId | string | O ID da aplicação de destino, conforme comunicado pelo dispositivo de relatório. |
DstAppName | string | O nome da aplicação de destino. |
DstAppType | string | O tipo da aplicação de destino. |
DstBytes | long | O número de bytes enviados do destino para a origem para a ligação ou sessão. Se o evento for agregado, DstBytes será a soma em todas as sessões agregadas. |
DstDeviceType | string | O tipo do dispositivo de destino. |
DstDomain | string | O domínio do dispositivo de destino. |
DstDomainType | string | O tipo de DstDomain. |
DstDvcId | string | O ID do dispositivo de destino. |
DstDvcIdType | string | O tipo de DstDvcId. |
DstDvcScope | string | O âmbito da plataforma na cloud ao qual o dispositivo de destino pertence. O DvcScope mapeia para uma subscrição no Azure e para uma conta no AWS. |
DstDvcScopeId | string | O ID de âmbito da plataforma na cloud ao qual o dispositivo de destino pertence. DvcScopeId mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
DstFQDN | string | O nome do anfitrião do dispositivo de destino, incluindo informações de domínio quando disponíveis. |
DstGeoCity | string | A cidade associada ao endereço IP de destino. |
DstGeoCountry | string | O país associado ao endereço IP de destino. |
DstGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de destino. |
DstGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de destino. |
DstGeoRegion | string | A região, ou estado, dentro de um país associado ao endereço IP de destino. |
DstHostname | string | O nome de anfitrião do dispositivo de destino, excluindo as informações de domínio. |
DstIpAddr | string | O endereço IP da ligação ou destino da sessão. |
DstMacAddr | string | O endereço MAC da interface de rede utilizada para a ligação ou sessão pelo dispositivo de destino. |
DstNatIpAddr | string | O DstNatIpAddr representa um dos seguintes: o endereço original do dispositivo de destino se tiver sido utilizada a tradução de endereços de rede ou o endereço IP utilizado pelo dispositivo intermediário para comunicação com a origem. |
DstNatPortNumber | int | Se comunicado por um dispositivo NAT intermediário, a porta utilizada pelo dispositivo NAT para comunicação com a origem. |
DstOriginalUserType | string | O tipo de utilizador de destino original, se for fornecido pela origem. |
DstPackets | long | O número de pacotes enviados do destino para a origem para a ligação ou sessão. O significado de um pacote é definido pelo dispositivo de relatórios. Se o evento for agregado, dstPackets é a soma em todas as sessões agregadas. |
DstPortNumber | int | A porta IP de destino. |
DstUserId | string | Uma representação exclusiva, alfanumérica e legível por computador do utilizador de destino. |
DstUserIdType | string | O tipo de ID armazenado no campo DstUserId. |
DstUsername | string | O nome de utilizador de destino, incluindo informações de domínio quando disponível. Utilize o formulário simples apenas se as informações de domínio não estiverem disponíveis. |
DstUsernameType | string | Especifica o tipo de nome de utilizador armazenado no campo DstUsername. |
DstUserType | string | O tipo de utilizador de destino. |
Dvc | string | Um identificador exclusivo do dispositivo no qual ocorreu o evento ou que reportou o evento. |
DvcAction | string | A ação efetuada na sessão Web. |
DvcDomain | string | O domínio do dispositivo que reporta o evento. |
DvcDomainType | string | O tipo de DvcDomain. Os valores possíveis incluem "Windows" e "FQDN". |
DvcFQDN | string | O nome do anfitrião do dispositivo no qual ocorreu o evento ou que reportou o evento. |
DvcHostname | string | O nome do anfitrião do dispositivo que reporta o evento. |
DvcId | string | O ID exclusivo do dispositivo no qual ocorreu o evento ou que reportou o evento. |
DvcIdType | string | O tipo de DvcId. |
DvcIpAddr | string | O Endereço IP do dispositivo que reporta o evento. |
DvcOriginalAction | string | O DvcAction original, conforme fornecido pelo dispositivo de relatórios. |
EventCount | int | Este valor é utilizado quando a origem suporta agregação e um único registo pode representar vários eventos. |
EventEndTime | datetime | A hora em que o evento terminou. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
EventMessage | string | Uma mensagem ou descrição geral. |
EventOriginalResultDetails | string | Os detalhes originais do resultado fornecidos pela origem. Este valor é utilizado para derivar EventResultDetails, que deve ter apenas um dos valores documentados para cada esquema. |
EventOriginalSeverity | string | A gravidade original, conforme fornecido pelo dispositivo de relatórios. Este valor é utilizado para derivar EventSeverity. |
EventOriginalSubType | string | O subtipo ou ID de evento original, se fornecido pela origem. Por exemplo, este campo será utilizado para armazenar o tipo de início de sessão original do Windows. Este valor é utilizado para derivar EventSubType, que deve ter apenas um dos valores documentados para cada esquema. |
EventOriginalType | string | O tipo de evento ou ID original, se fornecido pela origem. |
EventOriginalUid | string | Um ID exclusivo do registo original, se fornecido pela origem. |
EventOwner | string | O proprietário do evento, que é normalmente o departamento ou subsidiária em que foi gerado. |
EventProduct | string | O produto que está a gerar o evento. |
EventProductVersion | string | A versão do produto que está a gerar o evento. |
EventReportUrl | string | Um URL fornecido no evento para um recurso que fornece mais informações sobre o evento. |
EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas origens, caso em que é derivado de outros campos de eventos, por exemplo, o campo EventResultDetails. |
EventResultDetails | string | O código de estado HTTP. |
EventSchemaVersion | string | A versão do esquema. |
EventSeverity | string | A gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
EventStartTime | datetime | A hora em que o evento foi iniciado. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
EventSubType | string | Descrição adicional do tipo de evento, se aplicável. |
EventType | string | A operação comunicada pelo registo. |
EventVendor | string | O fornecedor do produto que está a gerar o evento. |
FileContentType | string | Para carregamentos HTTP, o tipo de conteúdo do ficheiro carregado. |
FileMD5 | string | Para carregamentos HTTP, o hash MD5 do ficheiro carregado. |
NomedoFicheiro | string | Para carregamentos HTTP, o nome do ficheiro carregado. |
FileSHA1 | string | Para carregamentos HTTP, o hash SHA1 do ficheiro carregado. |
FileSHA256 | string | Para carregamentos HTTP, o hash SHA256 do ficheiro carregado. |
FileSHA512 | string | Para carregamentos HTTP, o hash SHA512 do ficheiro carregado. |
FileSize | int | Para carregamentos HTTP, o tamanho em bytes do ficheiro carregado. |
HttpContentFormat | string | A parte do formato de conteúdo do HttpContentType |
HttpContentType | string | O cabeçalho do tipo de conteúdo resposta HTTP. |
HttpHost | string | O servidor Web virtual que o pedido HTTP tem como destino. |
HttpReferrer | string | O cabeçalho do referenciador HTTP. |
HttpRequestMethod | string | O Método HTTP. |
HttpRequestTime | int | A quantidade de tempo, em milissegundos, demorou a enviar o pedido para o servidor. |
HttpRequestXff | string | O cabeçalho HTTP X-Forwarded-For. |
HttpResponseTime | int | A quantidade de tempo, em milissegundos, demorou a receber uma resposta no servidor. |
HttpUserAgent | string | O cabeçalho do agente de utilizador HTTP. |
HttpVersion | string | A Versão do Pedido HTTP. |
_IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
NetworkApplicationProtocol | string | O protocolo de camada da aplicação utilizado pela ligação ou sessão. |
NetworkBytes | long | Número de bytes enviados em ambas as direções. Se o BytesReceived e o BytesSent existirem, BytesTotal deverá ser igual à soma. Se o evento for agregado, NetworkBytes é a soma em todas as sessões agregadas. |
NetworkConnectionHistory | string | Sinalizadores TCP e outras informações potenciais do cabeçalho de IP. |
RedeDireção | string | A direção da ligação ou sessão. |
NetworkDuration | int | A quantidade de tempo, em milissegundos, para a conclusão da sessão Web ou da ligação. |
NetworkIcmpCode | int | Para uma mensagem ICMP, a mensagem ICMP escreve um valor numérico conforme descrito em RFC 2780 para ligações de rede IPv4 ou em RFC 4443 para ligações de rede IPv6. |
NetworkIcmpType | string | Para uma mensagem ICMP, a mensagem ICMP escreve representação de texto, conforme descrito em RFC 2780 para ligações de rede IPv4 ou em RFC 4443 para ligações de rede IPv6. |
NetworkPackets | long | O número de pacotes enviados em ambas as direções. Se pacotesReceived e PacketsSent existirem, BytesTotal deve ser igual à respetiva soma. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, NetworkPackets é a soma em todas as sessões agregadas. |
NetworkProtocol | string | O protocolo IP utilizado pela ligação ou sessão conforme listado na atribuição do protocolo IANA, que é normalmente TCP, UDP ou ICMP. |
NetworkProtocolVersion | string | A versão de NetworkProtocol. |
NetworkSessionId | string | O identificador da sessão, conforme comunicado pelo dispositivo de relatório. |
_ResourceId | string | Um identificador exclusivo para o recurso ao qual o registo está associado |
Regra | string | NetworkRuleName ou NetworkRuleNumber |
RuleName | string | O nome ou ID da regra pela qual a DvcAction foi decidida. Exemplo: AnyAnyDrop |
RuleNumber | int | O número da regra pela qual a DvcAction foi decidida. Exemplo: 23 |
SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
SrcAppId | string | O ID da aplicação de origem, conforme comunicado pelo dispositivo de relatório. |
SrcAppName | string | O nome da aplicação de origem. |
SrcAppType | string | O tipo da aplicação de origem. |
SrcBytes | long | O número de bytes enviados da origem para o destino da ligação ou sessão. Se o evento for agregado, SrcBytes será a soma em todas as sessões agregadas. |
SrcDeviceType | string | O tipo do dispositivo de origem. |
SrcDomain | string | O domínio do dispositivo de origem. |
SrcDomainType | string | O tipo de SrcDomain. |
SrcDvcId | string | O ID do dispositivo de origem. |
SrcDvcIdType | string | O tipo de SrcDvcId. |
SrcDvcScope | string | O âmbito da plataforma na cloud ao qual o dispositivo de origem pertence. O DvcScope mapeia para uma subscrição no Azure e para uma conta no AWS. |
SrcDvcScopeId | string | O ID de âmbito da plataforma na cloud ao qual o dispositivo de origem pertence. DvcScopeId mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
SrcFQDN | string | O nome do anfitrião do dispositivo de origem, incluindo informações de domínio quando disponíveis. |
SrcGeoCity | string | A cidade associada ao endereço IP de origem. |
SrcGeoCountry | string | O país associado ao endereço IP de origem. |
SrcGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoRegion | string | A região num país associado ao endereço IP de origem. |
SrcHostname | string | O nome do anfitrião do dispositivo de origem, excluindo as informações de domínio. Se não estiver disponível nenhum nome de dispositivo, poderá armazenar o endereço IP relevante. |
SrcIpAddr | string | O endereço IP a partir do qual a ligação ou sessão teve origem. |
SrcMacAddr | string | O endereço MAC da interface de rede a partir da qual a ligação ou sessão teve origem. |
SrcNatIpAddr | string | O SrcNatIpAddr representa um dos seguintes: o endereço original do dispositivo de origem se tiver sido utilizada a tradução de endereços de rede ou o endereço IP utilizado pelo dispositivo intermediário para comunicação com o destino. |
SrcNatPortNumber | int | Se comunicado por um dispositivo NAT intermediário, a porta utilizada pelo dispositivo NAT para comunicação com o destino. |
SrcOriginalUserType | string | O tipo de utilizador de destino original, se for fornecido pelo dispositivo de relatório. |
SrcPackets | long | O número de pacotes enviados da origem para o destino da ligação ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, srcPackets é a soma em todas as sessões agregadas. |
SrcPortNumber | int | A porta IP a partir da qual a ligação teve origem. Pode não ser relevante para uma sessão que inclua várias ligações. |
SrcProcessGuid | string | Um identificador exclusivo gerado (GUID) do processo de origem. |
SrcProcessId | string | O ID do processo (PID) do processo de origem. |
SrcProcessName | string | O nome do processo de origem. |
SrcUserId | string | Uma representação exclusiva, alfanumérica e legível por computador do utilizador de origem. |
SrcUserIdType | string | O tipo do ID armazenado no campo SrcUserId. |
SrcUsername | string | O nome de utilizador de origem, incluindo informações de domínio quando disponíveis. |
SrcUsernameType | string | Especifica o tipo do nome de utilizador armazenado no campo SrcUsername. |
SrcUserScope | string | O âmbito, como Azure AD inquilino, no qual o SrcUserId e o SrcUsername são definidos. |
SrcUserScopeId | string | O ID do âmbito, como Azure AD inquilino, no qual são definidos SrcUserId e SrcUsername. |
SrcUserType | string | O tipo de utilizador de origem. |
_SubscriptionId | string | Um identificador exclusivo para a subscrição à qual o registo está associado |
TenantId | string | O ID da área de trabalho do Log Analytics |
ThreatCategory | string | A categoria da ameaça ou software maligno identificado na sessão Web. |
ThreatConfidence | int | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
ThreatField | string | O campo para o qual foi identificada uma ameaça. O valor é SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
ThreatFirstReportedTime | datetime | A primeira vez que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatId | string | O ID da ameaça ou software maligno identificado na sessão Web. |
ThreatIpAddr | string | Um endereço IP para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. |
ThreatIsActive | bool | ID verdadeiro a ameaça identificada é considerada uma ameaça ativa. |
ThreatLastReportedTime | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatName | string | O nome da ameaça ou software maligno identificado na sessão Web. |
ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
ThreatOriginalRiskLevel | string | O nível de risco, conforme comunicado pelo dispositivo de relatório. |
ThreatRiskLevel | int | O nível de risco associado à sessão. O nível é um número entre 0 e 100. |
TimeGenerated | datetime | O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
Tipo | string | O nome da tabela |
Url | string | O URL completo do pedido HTTP, incluindo os parâmetros. |
UrlCategory | string | O agrupamento definido de um URL ou a parte do domínio do URL. |
UrlOriginal | string | O valor original do URL, quando o URL foi modificado pelo dispositivo de relatório e ambos os valores são fornecidos. |
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários