NetworkSessions
Nätverksanslutningar eller sessioner, till exempel de som loggas av brandväggar, tråddata, NSG, Netflow, proxysystem och webbsäkerhetsgatewayer.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | No |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AdditionalFields | dynamisk | När ingen kolumn i schemat matchar kan ytterligare fält lagras i en JSON-påse. |
| _BilledSize | real | Poststorleken i byte |
| CloudAppId | sträng | ID:t för målprogrammet för ett HTTP-program som identifieras av en proxyserver. Det här värdet är vanligtvis specifikt för den proxy som används. |
| CloudAppName | sträng | Namnet på målprogrammet för ett HTTP-program som identifieras av en proxyserver. |
| CloudAppOperation | sträng | Den åtgärd som användaren utförde i kontexten för målprogrammet för ett HTTP-program som identifieras av en proxyserver. Det här värdet är vanligtvis specifikt för den proxy som används. |
| CloudAppRiskLevel | sträng | Den risknivå som är associerad med ett HTTP-program som identifieras av en proxyserver. Det här värdet är vanligtvis specifikt för den proxy som används. |
| DstBytes | long | Antalet byte som skickas från målet till källan för anslutningen eller sessionen. |
| DstDomainHostname | sträng | Målvärdens domän. |
| DstDvcDomain | sträng | Målenhetens domän. |
| DstDvcFqdn | sträng | Det fullständigt kvalificerade domännamnet för värden där loggen skapades. |
| DstDvcHostname | sträng | Målenhetens enhetsnamn. |
| DstDvcIpAddr | sträng | Mål-IP-adressen för en enhet som inte är direkt associerad med nätverkspaketet. |
| DstDvcMacAddr | sträng | Mac-måladressen för en enhet som inte är direkt associerad med nätverkspaketet. |
| DstGeoCity | sträng | Den ort som är associerad med målets IP-adress. |
| DstGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| DstGeoLatitude | real | Latitud för den geografiska koordinat som är associerad med målets IP-adress. |
| DstGeoLongitude | real | Longitud för den geografiska koordinat som är associerad med målets IP-adress |
| DstGeoRegion | sträng | Regionen i ett land som är associerat med målets IP-adress. |
| DstInterfaceGuid | sträng | GUID för nätverksgränssnittet som användes för autentiseringsbegäran. |
| DstInterfaceName | sträng | Nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. |
| DstIpAddr | sträng | IP-adressen för anslutningen eller sessionsmålet. |
| DstMacAddr | sträng | MAC-adressen för nätverksgränssnittet där anslutningen eller sessionen avslutades. |
| DstNatIpAddr | sträng | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används IP-adressen av NAT-enheten för kommunikation med källan. |
| DstNatPortNumber | int | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används porten av NAT-enheten för kommunikation med källan. |
| DstPackets | long | Antalet paket som skickas från målet till källan för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. |
| DstPortNumber | int | Målets IP-port. |
| DstResourceId | sträng | Målenhetens resurs-ID. |
| DstUserAadId | sträng | Användarens Azure AD kontoobjekt-ID i slutet av sessionen. |
| DstUserDomain | sträng | Domänen eller datornamnet för kontot vid målet för sessionen. |
| DstUserName | sträng | Användarnamnet för den identitet som är associerad med sessionens mål. |
| DstUserSid | sträng | Användar-ID för den identitet som är associerad med sessionens mål. Vanligtvis den identitet som används för att autentisera en server. |
| DstUserUpn | sträng | UPN för den identitet som är associerad med sessionens mål. |
| DstZone | sträng | Målets nätverkszon enligt definitionen i rapporteringsenheten. |
| DvcAction | sträng | Om den rapporteras av en mellanliggande enhet, till exempel en brandvägg, vidtas åtgärden av enheten. |
| DvcHostname | sträng | Enhetsnamnet på enheten som genererar meddelandet. |
| DvcInboundInterface | sträng | Om det rapporteras av en mellanliggande enhet, till exempel en brandvägg, används nätverksgränssnittet för anslutningen till källenheten. |
| DvcIpAddr | sträng | IP-adressen för enheten som genererar posten. |
| DvcMacAddr | sträng | MAC-adressen för nätverksgränssnittet för rapporteringsenheten som händelsen skickades från. |
| DvcOutboundInterface | sträng | Om den rapporteras av en mellanliggande enhet, till exempel en brandvägg, används nätverksgränssnittet för anslutningen till målenheten. |
| EventCount | int | Antalet aggregerade händelser, om tillämpligt. |
| EventEndTime | datetime | Tiden då händelsen avslutades. |
| EventMessage | sträng | Ett allmänt meddelande eller en beskrivning som antingen ingår i eller genereras från posten. |
| EventOriginalUid | sträng | Post-ID:t från rapporteringsenheten. |
| EventProduct | sträng | Den produkt som genererar händelsen. |
| EventProductVersion | sträng | Den version av produkten som genererar händelsen. |
| EventReportUrl | sträng | En länk till den fullständiga rapporten som skapats av rapporteringsenheten. |
| EventResourceId | sträng | Resurs-ID för enheten som genererar meddelandet. |
| EventResult | sträng | Resultatet som rapporterats för aktiviteten. Tomt värde när det inte är tillämpligt. |
| EventResultDetails | sträng | Orsak till det resultat som rapporterats i EventResult |
| EventSchemaVersion | sträng | Schemaversion för Azure Sentinel. |
| EventSeverity | sträng | Om den rapporterade aktiviteten har en säkerhetspåverkan anger du hur allvarlig påverkan är. |
| EventStartTime | datetime | Den tid då händelsen angavs. |
| EventSubType | sträng | Ytterligare beskrivning av typ om tillämpligt. |
| EventTimeIngested | datetime | Den tid då händelsen matades in till Azure Sentinel. Läggs till av Azure Sentinel. |
| Eventtype | sträng | Typ av händelse som samlas in. |
| EventUid | sträng | Unik identifierare som används av Sentinel för att markera en rad. |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
| FileExtension | sträng | Typen av fil som överförs via nätverksanslutningarna för protokoll som FTP och HTTP. |
| FileHashMd5 | sträng | MD5-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
| FileHashSha1 | sträng | SHA1-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
| FileHashSha256 | sträng | SHA256-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
| FileHashSha512 | sträng | SHA512-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
| FileMimeType | sträng | MIME-typen för filen som överförs via nätverksanslutningarna för protokoll som FTP och HTTP. |
| Filnamn | sträng | Filnamnet som överförs via nätverksanslutningarna för protokoll som FTP och HTTP som anger filnamnsinformationen. |
| Filepath | sträng | Den fullständiga sökvägen, inklusive filnamn, för filen. |
| Filstorlek | int | Filstorleken i byte för filen som överförs via nätverksanslutningarna för protokoll. |
| HttpContentType | sträng | Innehållstypen HTTP-svarsrubrik för HTTP/HTTPS-nätverkssessioner. |
| HttpReferrerOriginal | sträng | HTTP-referenshuvudet för HTTP/HTTPS-nätverkssessioner. |
| HttpRequestMethod | sträng | HTTP-metoden för HTTP/HTTPS-nätverkssessioner. |
| HttpRequestTime | int | Hur lång tid det tog att skicka begäran till servern, om tillämpligt. |
| HttpRequestXff | sträng | HTTP X-Forwarded-For-huvudet för HTTP/HTTPS-nätverkssessioner. |
| HttpResponseTime | int | Hur lång tid det tog att ta emot ett svar på servern, om tillämpligt. |
| HttpStatusCode | sträng | HTTP-statuskoden för HTTP/HTTPS-nätverkssessioner. |
| HttpUserAgentOriginal | sträng | HTTP-användaragentens huvud för HTTP/HTTPS-nätverkssessioner. |
| HttpVersion | sträng | HTTP-begärandeversionen för HTTP/HTTPS-nätverksanslutningar. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| NetworkApplicationProtocol | sträng | Protokollet för programskiktet som används av anslutningen eller sessionen. |
| NetworkBytes | long | Antal byte som skickas i båda riktningarna. Om både BytesReceived och BytesSent finns bör BytesTotal vara lika med summan. |
| NetworkDirection | sträng | Riktningen för anslutningen eller sessionen, till eller ut ur organisationen. |
| NetworkDuration | int | Hur lång tid, i millisekunder, för slutförandet av nätverkssessionen eller anslutningen. |
| NetworkIcmpCode | int | För ett ICMP-meddelande skriver ICMP-meddelande numeriskt värde (RFC 2780 eller RFC 4443). |
| NetworkIcmpType | sträng | För ett ICMP-meddelande skriver ICMP textrepresentation (RFC 2780 eller RFC 4443). |
| NetworkPackets | long | Antal paket som skickas i båda riktningarna. Om både PacketsReceived och PacketsSent finns bör BytesTotal vara lika med summan. |
| NetworkProtocol | sträng | IP-protokollet som används av anslutningen eller sessionen. Vanligtvis TCP, UDP eller ICMP. |
| NetworkRuleName | sträng | Namnet eller ID:t för regeln som DeviceAction beslutades för. |
| NetworkRuleNumber | int | Matchat regelnummer. |
| NetworkSessionId | sträng | Sessionsidentifieraren som rapporteras av rapporteringsenheten. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcBytes | long | Antalet byte som skickas från källan till målet för anslutningen eller sessionen. |
| SrcDvcDomain | sträng | Domän för den enhet som sessionen initierades från. |
| SrcDvcFqdn | sträng | Det fullständigt kvalificerade domännamnet för värden där loggen skapades. |
| SrcDvcHostname | sträng | Källenhetens enhetsnamn. |
| SrcDvcIpAddr | sträng | Käll-IP-adressen för en enhet som inte är direkt associerad med nätverkspaketet (samlas in av en provider eller beräknas uttryckligen). |
| SrcDvcMacAddr | sträng | Mac-källadressen för en enhet som inte är direkt associerad med nätverkspaketet. |
| SrcDvcModelName | sträng | Källenhetens modell. |
| SrcDvcModelNumber | sträng | Källenhetens modellnummer. |
| SrcDvcOs | sträng | Källenhetens operativsystem. |
| SrcDvcType | sträng | Typ av källenhet. |
| SrcGeoCity | sträng | Den stad som är associerad med källans IP-adress. |
| SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude | real | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitude | real | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoRegion | sträng | Regionen i ett land som är associerat med källans IP-adress. |
| SrcInterfaceGuid | sträng | GUID för det nätverksgränssnitt som används. |
| SrcInterfaceName | sträng | Det nätverksgränssnitt som används för anslutningen eller sessionen av källenheten. |
| SrcIpAddr | sträng | DEN IP-adress som anslutningen eller sessionen kommer från. |
| SrcMacAddr | sträng | MAC-adressen för nätverksgränssnittet som anslutningens od-session härstammar från. |
| SrcNatIpAddr | sträng | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används IP-adressen av NAT-enheten för kommunikation med målet. |
| SrcNatPortNumber | int | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används porten av NAT-enheten för kommunikation med målet. |
| SrcPackets | long | Antalet paket som skickas från källan till målet för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. |
| SrcPortNumber | int | DEN IP-port som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. |
| SrcResourceId | sträng | Resurs-ID för enheten som genererar meddelandet. |
| SrcUserAadId | sträng | Användarens Azure AD kontoobjekt-ID i slutet av sessionen. |
| SrcUserDomain | sträng | Domänen för kontot som initierar sessionen. |
| SrcUserName | sträng | Användarnamnet för den identitet som är associerad med sessionskällan. Vanligtvis utför användaren en åtgärd på klienten. |
| SrcUserSid | sträng | Användar-ID för den identitet som är associerad med sessionskällan. Vanligtvis utför användaren en åtgärd på klienten. |
| SrcUserUpn | sträng | UPN för kontot som initierar sessionen. |
| SrcZone | sträng | Källans nätverkszon enligt definitionen i rapporteringsenheten. |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| ThreatCategory | sträng | Kategorin för ett hot som identifieras av ett säkerhetssystem, till exempel Web Security Gateway för en IPS och som är associerad med den här nätverkssessionen. |
| ThreatId | sträng | ID:t för ett hot som identifieras av ett säkerhetssystem, till exempel Web Security Gateway för en IPS och som är associerat med den här nätverkssessionen. |
| ThreatName | sträng | Namnet på det hot eller den skadliga kod som identifierats. |
| TimeGenerated | datetime | Den tid då händelsen inträffade, enligt rapporteringskällans rapporteringskälla. |
| Typ | sträng | Namnet på tabellen |
| UrlCategory | sträng | Den definierade gruppering av en URL (eller kan bara baseras på domänen i URL:en) som är relaterad till vad den är (t.ex. vuxen, nyheter, reklam, parkerade domäner osv.). |
| UrlHostname | sträng | Domändelen av en HTTP-begärande-URL för HTTP/HTTPS-nätverkssessioner. |
| UrlOriginal | sträng | URL:en för HTTP-begäran för HTTP/HTTPS-nätverkssessioner. |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för