ASimNetworkSessionLogs
Normaliseringsschemat för Microsoft Sentinel-nätverkssessionen representerar en IP-nätverksaktivitet, till exempel nätverksanslutningar och nätverkssessioner. Sådana händelser rapporteras till exempel av operativsystem, routrar, brandväggar och intrångsskyddssystem.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/networksessionnormalized |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AdditionalFields | dynamisk | Ytterligare information som representeras med nyckel/värde-par som tillhandahålls av källan som inte mappar till ASim. |
| _BilledSize | real | Poststorleken i byte |
| DstAppId | sträng | ID:t för målprogrammet enligt rapporteringsenhetens rapporteringsenhet. |
| DstAppName | sträng | Namnet på målprogrammet. |
| DstAppType | sträng | Typ av målprogram. |
| DstBytes | long | Antalet byte som skickas från målet till källan för anslutningen eller sessionen. Om händelsen aggregeras är DstBytes summan för alla aggregerade sessioner. |
| DstDescription | sträng | En beskrivande text som är associerad med målet. |
| DstDeviceType | sträng | Typ av målenhet. |
| DstDomain | sträng | Målenhetens domän. |
| DstDomainType | sträng | Typ av DstDomain. |
| DstDvcId | sträng | Målenhetens ID. |
| DstDvcIdType | sträng | Typ av DstDvcId. |
| DstFQDN | sträng | Målenhetens värdnamn, inklusive domäninformation när det är tillgängligt. |
| DstGeoCity | sträng | Den ort som är associerad med målets IP-adress. |
| DstGeoCountry | sträng | Det land som är associerat med målets IP-adress. |
| DstGeoLatitude | real | Latitud för den geografiska koordinat som är associerad med målets IP-adress. |
| DstGeoLongitude | real | Longitud för den geografiska koordinat som är associerad med målets IP-adress. |
| DstGeoRegion | sträng | Regionen eller tillståndet i ett land som är associerat med målets IP-adress. |
| DstHostname | sträng | Målenhetens värdnamn, exklusive domäninformation. |
| DstInterfaceGuid | sträng | GUID för nätverksgränssnittet som används på målenheten. |
| DstInterfaceName | sträng | Nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. |
| DstIpAddr | sträng | IP-adressen för anslutningen eller sessionsmålet. |
| DstMacAddr | sträng | MAC-adressen för nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. |
| DstNatIpAddr | sträng | DstNatIpAddr representerar något av: Målenhetens ursprungliga adress om nätverksadressöversättning användes eller den IP-adress som används av den mellanliggande enheten för kommunikation med källan. |
| DstNatPortNumber | int | Om den rapporteras av en mellanliggande NAT-enhet används porten av NAT-enheten för kommunikation med källan. |
| DstOriginalUserType | sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av källan. |
| DstPackets | long | Antalet paket som skickas från målet till källan för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras är DstPackets summan för alla aggregerade sessioner. |
| DstPortNumber | int | Målets IP-port. |
| DstSubscriptionId | sträng | Prenumerations-ID för molnplattformen som målenheten tillhör. DstSubscriptionId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DstUserId | sträng | En maskinläsbar, alfanumerisk och unik representation av målanvändaren. |
| DstUserIdType | sträng | Typen av ID som lagras i fältet DstUserId. |
| DstUsername | sträng | Målanvändarnamnet, inklusive domäninformation när det är tillgängligt. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. |
| DstUsernameType | sträng | Anger typen av användarnamn som lagras i fältet DstUsername. |
| DstUserType | sträng | Typ av målanvändare. |
| DstVlanId | sträng | VLAN-ID:t som är relaterat till målenheten. |
| DstZone | sträng | Målets nätverkszon enligt definitionen i rapporteringsenheten. |
| Dvc | sträng | En unik identifierare för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcAction | sträng | Den åtgärd som vidtagits i nätverkssessionen. |
| DvcDescription | sträng | En beskrivande text som är associerad med enheten. Till exempel: Primär domänkontrollant. |
| DvcDomain | sträng | Domänen för enheten som rapporterar händelsen. |
| DvcDomainType | sträng | Typ av DvcDomain. Möjliga värden är "Windows" och "FQDN". |
| DvcFQDN | sträng | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcHostname | sträng | Värdnamnet för enheten som rapporterar händelsen. |
| DvcId | sträng | Det unika ID:t för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcIdType | sträng | Typ av DvcId. |
| DvcInboundInterface | sträng | Om det rapporteras av en mellanliggande enhet används nätverksgränssnittet av NAT-enheten för anslutningen till källenheten. |
| DvcInterface | sträng | Nätverksgränssnittet där data hämtades. Det här fältet är vanligtvis relevant för nätverksrelaterad aktivitet som samlas in av en mellanliggande enhet eller tryckenhet. |
| DvcIpAddr | sträng | IP-adressen för enheten som rapporterar händelsen. |
| DvcMacAddr | sträng | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. Exempel: 00:1B:44:11:3A:B7 |
| DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| DvcOs | sträng | Operativsystemet som körs på enheten som rapporterar händelsen. |
| DvcOsVersion | sträng | Versionen av operativsystemet på enheten som rapporterar händelsen. |
| DvcOutboundInterface | sträng | Om det rapporteras av en mellanliggande enhet används nätverksgränssnittet av NAT-enheten för anslutningen till målenheten. |
| DvcSubscriptionId | sträng | Prenumerations-ID för molnplattformen som enheten tillhör. DvcSubscriptionId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen. Zonen definieras av rapporteringsenheten. |
| EventCount | int | Det här värdet används när källan stöder aggregering och en enda post kan representera flera händelser. |
| EventEndTime | datetime | Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte anges av källposten kan det här fältet ange fältet TimeGenerated som alias. |
| EventMessage | sträng | Ett allmänt meddelande eller en beskrivning. |
| EventOriginalResultDetails | sträng | Den ursprungliga resultatinformationen från källan. Det här värdet används för att härleda EventResultDetails, som endast ska ha ett av de värden som dokumenteras för varje schema. |
| EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. Det här värdet används för att härleda EventSeverity. |
| EventOriginalSubType | sträng | Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. Det här fältet används till exempel för att lagra den ursprungliga Windows-inloggningstypen. Det här värdet används för att härleda EventSubType, som endast ska ha ett av de värden som dokumenteras för varje schema. |
| EventOriginalType | sträng | Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. |
| EventOriginalUid | sträng | Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan. |
| EventProduct | sträng | Produkten som genererar händelsen. |
| EventProductVersion | sträng | Den version av produkten som genererar händelsen. |
| EventReportUrl | sträng | En URL som anges i händelsen för en resurs som innehåller mer information om händelsen. |
| EventResult | sträng | Resultatet av händelsen, som representeras av något av följande värden: Success, Partial, Failure, NA (Not Applicable). Värdet kanske inte anges direkt av källorna, i så fall härleds det från andra händelsefält, till exempel fältet EventResultDetails. |
| EventResultDetails | sträng | Orsak eller information för resultatet som rapporteras i fältet EventResult. |
| EventSchemaVersion | sträng | Versionen av schemat. |
| EventSeverity | sträng | Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög. |
| EventStartTime | datetime | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte anges av källposten kan det här fältet ange fältet TimeGenerated som alias. |
| EventSubType | sträng | Ytterligare beskrivning av händelsetypen, om tillämpligt. |
| Eventtype | sträng | Åtgärden som rapporterats av posten. |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| NetworkApplicationProtocol | sträng | Protokollet på programnivå som används av anslutningen eller sessionen. |
| Nätverksbyte | long | Antal byte som skickats i båda riktningarna. Om både BytesReceived och BytesSent finns ska BytesTotal vara lika med summan. Om händelsen aggregeras är NetworkBytes summan för alla aggregerade sessioner. |
| NetworkConnectionHistory | sträng | TCP-flaggor och annan potentiell information om IP-huvuden. |
| NetworkDirection | sträng | Riktningen för anslutningen eller sessionen. |
| NetworkDuration | int | Hur lång tid, i millisekunder, för slutförandet av nätverkssessionen eller anslutningen. |
| NetworkIcmpCode | int | För ett ICMP-meddelande skriver ICMP-meddelandet numeriskt värde enligt beskrivningen i RFC 2780 för IPv4-nätverksanslutningar eller i RFC 4443 för IPv6-nätverksanslutningar. |
| NetworkIcmpType | sträng | För ett ICMP-meddelande skriver ICMP-meddelandetextrepresentationen enligt beskrivningen i RFC 2780 för IPv4-nätverksanslutningar eller i RFC 4443 för IPv6-nätverksanslutningar. |
| NetworkPackets | long | Antalet paket som skickas i båda riktningarna. Om både PacketsReceived och PacketsSent finns ska BytesTotal vara lika med summan. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras är NetworkPackets summan för alla aggregerade sessioner. |
| NetworkProtocol | sträng | IP-protokollet som används av anslutningen eller sessionen enligt listan i IANA-protokolltilldelning, vilket vanligtvis är TCP, UDP eller ICMP. |
| NetworkProtocolVersion | sträng | Versionen av NetworkProtocol. |
| NetworkRuleName | sträng | Namnet eller ID:t för regeln som DvcAction beslutades om. |
| NetworkRuleNumber | int | Antalet av regeln som DvcAction beslutades om. |
| NetworkSessionId | sträng | Sessionsidentifieraren som rapporteras av rapporteringsenheten. |
| _ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcAppId | sträng | ID:t för källprogrammet enligt rapporteringsenheten. |
| SrcAppName | sträng | Namnet på källprogrammet. |
| SrcAppType | sträng | Typ av källprogram. |
| SrcBytes | long | Antalet byte som skickas från källan till målet för anslutningen eller sessionen. Om händelsen aggregeras är SrcBytes summan för alla aggregerade sessioner. |
| SrcDescription | sträng | En beskrivande text som är associerad med källan. |
| SrcDeviceType | sträng | Typ av källenhet. |
| SrcDomain | sträng | Källenhetens domän. |
| SrcDomainType | sträng | Typen av SrcDomain. |
| SrcDvcId | sträng | Källenhetens ID. |
| SrcDvcIdType | sträng | Typen av SrcDvcId. |
| SrcFQDN | sträng | Källenhetens värdnamn, inklusive domäninformation när det är tillgängligt. |
| SrcGeoCity | sträng | Orten som är associerad med källans IP-adress. |
| SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude | real | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitude | real | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoRegion | sträng | Regionen i ett land som är associerat med källans IP-adress. |
| SrcHostname | sträng | Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt kan den relevanta IP-adressen lagras. |
| SrcInterfaceGuid | sträng | GUID för nätverksgränssnittet som används på källenheten. |
| SrcInterfaceName | sträng | Nätverksgränssnittet som används för anslutningen eller sessionen av källenheten. |
| SrcIpAddr | sträng | IP-adressen som anslutningen eller sessionen kommer från. |
| SrcMacAddr | sträng | MAC-adressen för nätverksgränssnittet som anslutningen eller sessionen kommer från. |
| SrcNatIpAddr | sträng | SrcNatIpAddr representerar något av följande: Källenhetens ursprungliga adress om nätverksadressöversättning användes eller den IP-adress som används av den mellanliggande enheten för kommunikation med målet. |
| SrcNatPortNumber | int | Om den rapporteras av en mellanliggande NAT-enhet, den port som används av NAT-enheten för kommunikation med målet. |
| SrcOriginalUserType | sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |
| SrcPackets | long | Antalet paket som skickas från källan till målet för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras är SrcPackets summan för alla aggregerade sessioner. |
| SrcPortNumber | int | IP-porten som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. |
| SrcSubscriptionId | sträng | Prenumerations-ID för molnplattformen som källenheten tillhör. SrcSubscriptionId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcUserId | sträng | En maskinläsbar, alfanumerisk och unik representation av källanvändaren. |
| SrcUserIdType | sträng | Typen av ID som lagras i fältet SrcUserId. |
| SrcUsername | sträng | Källanvändarnamnet, inklusive domäninformation när det är tillgängligt. |
| SrcUsernameType | sträng | Anger typen av användarnamn som lagras i fältet SrcUsername. |
| SrcUserType | sträng | Typ av källanvändare. |
| SrcVlanId | sträng | VLAN-ID:t som är relaterat till källenheten. |
| SrcZone | sträng | Källans nätverkszon enligt definitionen av rapporteringsenheten. |
| _SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
| TcpFlagsAck | boolesk | TCP ACK-flaggan rapporterades. Bekräftelseflaggan används för att bekräfta att ett paket har mottagits. Som vi kan se i diagrammet ovan skickar mottagaren en ACK samt en SYN i det andra steget i handskakningsprocessen på tre sätt för att berätta för avsändaren att den tog emot sitt första paket. |
| TcpFlagsFin | boolesk | TCP FIN-flaggan rapporterades. Den färdiga flaggan innebär att det inte finns några fler data från avsändaren. Därför används det i det senaste paketet som skickades från avsändaren. |
| TcpFlagsPsh | boolesk | TCP PSH-flaggan rapporterades. Push-flaggan liknar URG-flaggan och instruerar mottagaren att bearbeta dessa paket när de tas emot i stället för att buffrar dem. |
| TcpFlagsRst | boolesk | TCP RST-flaggan rapporterades. Återställningsflaggan skickas från mottagaren till avsändaren när ett paket skickas till en viss värd som inte förväntade sig det. |
| TcpFlagsSyn | boolesk | TCP SYN-flaggan rapporterades. Synkroniseringsflaggan används som ett första steg för att upprätta en trevägshandskakning mellan två värdar. Endast det första paketet från både avsändaren och mottagaren ska ha den här flaggan inställd. |
| TcpFlagsUrg | boolesk | TCP URG-flaggan rapporterades. Den brådskande flaggan används för att meddela mottagaren att bearbeta de brådskande paketen innan alla andra paket bearbetas. Mottagaren meddelas när alla kända brådskande uppgifter har tagits emot. Mer information finns i RFC 6093. |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| ThreatCategory | sträng | Kategorin för det hot eller den skadliga kod som identifieras i nätverkssessionen. |
| ThreatConfidence | int | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField | sträng | Fältet för vilket ett hot identifierades. Värdet är antingen SrcIpAddr, DstIpAddr, Domain eller DnsResponseName. |
| ThreatFirstReportedTime | datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId | sträng | ID:t för det hot eller den skadliga kod som identifierades i nätverkssessionen. |
| ThreatIpAddr | sträng | En IP-adress för vilken ett hot har identifierats. Fältet ThreatField innehåller namnet på fältet ThreatIpAddr representerar. |
| ThreatIsActive | boolesk | Sant ID som det identifierade hotet anses vara ett aktivt hot. |
| ThreatLastReportedTime | datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatName | sträng | Namnet på det hot eller den skadliga kod som identifierades i nätverkssessionen. |
| ThreatOriginalConfidence | sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapportering. |
| ThreatOriginalRiskLevel | sträng | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatRiskLevel | int | Risknivån som är associerad med sessionen. Nivån är ett tal mellan 0 och 100. |
| TimeGenerated | datetime | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
| Typ | sträng | Namnet på tabellen |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för