ASimNetworkSessionLogs
Microsoft Sentinel ağ oturumu normalleştirme şeması, ağ bağlantıları ve ağ oturumları gibi bir IP ağ etkinliğini temsil eder. Bu tür olaylar, örneğin işletim sistemleri, yönlendiriciler, güvenlik duvarları ve izinsiz girişi önleme sistemleri tarafından bildirilir.
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | microsoft.securityinsights/networksessionnormalized |
| Kategoriler | Güvenlik |
| Çözümler | SecurityInsights |
| Temel günlük | No |
| Alım zamanı dönüşümü | Yes |
| Örnek Sorgular | - |
Sütunlar
| Sütun | Tür | Description |
|---|---|---|
| EkAlanlar | dynamic | Kaynak tarafından sağlanan ve ASim ile eşlenmemiş anahtar/değer çiftleri kullanılarak temsil edilen ek bilgiler. |
| _BilledSize | real | Bayt cinsinden kayıt boyutu |
| DstAppId | string | Raporlama cihazı tarafından bildirilen hedef uygulamanın kimliği. |
| DstAppName | string | Hedef uygulamanın adı. |
| DstAppType | string | Hedef uygulamanın türü. |
| DstBytes | long | Bağlantı veya oturum için hedeften kaynağa gönderilen bayt sayısı. Olay toplanırsa DstBytes, toplanan tüm oturumların toplamıdır. |
| DstDescription | string | Hedefle ilişkili açıklayıcı bir metin. |
| DstDeviceType | string | Hedef cihazın türü. |
| DstDomain | string | Hedef cihazın etki alanı. |
| DstDomainType | string | DstDomain türü. |
| DstDvcId | string | Hedef cihazın kimliği. |
| DstDvcIdType | string | DstDvcId türü. |
| DstFQDN | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı. |
| DstGeoCity | string | Hedef IP adresiyle ilişkili şehir. |
| DstGeoCountry | string | Hedef IP adresiyle ilişkili ülke. |
| DstGeoLatitude | real | Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi. |
| DstGeoLongitude | real | Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı. |
| DstGeoRegion | string | Hedef IP adresiyle ilişkilendirilmiş bir ülke içindeki bölge veya eyalet. |
| DstHostname | string | Etki alanı bilgileri hariç, hedef cihaz ana bilgisayar adı. |
| DstInterfaceGuid | string | Hedef cihazda kullanılan ağ arabiriminin GUID'i. |
| DstInterfaceName | string | Hedef cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. |
| DstIpAddr | string | Bağlantının veya oturum hedefinin IP adresi. |
| DstMacAddr | string | Hedef cihaz tarafından bağlantı veya oturum için kullanılan ağ arabiriminin MAC adresi. |
| DstNatIpAddr | string | DstNatIpAddr şunlardan birini temsil eder: Ağ adresi çevirisi kullanıldıysa hedef cihazın özgün adresi veya aracı cihaz tarafından kaynakla iletişim için kullanılan IP adresi. |
| DstNatPortNumber | int | Aracı bir NAT cihazı tarafından bildirilirse, NAT cihazı tarafından kaynakla iletişim için kullanılan bağlantı noktası. |
| DstOriginalUserType | string | Kaynak tarafından sağlanmışsa özgün hedef kullanıcı türü. |
| DstPackets | long | Bağlantı veya oturum için hedeften kaynağa gönderilen paket sayısı. Bir paketin anlamı, raporlama cihazı tarafından tanımlanır. Olay toplanırsa, DstPackets tüm toplanan oturumların toplamıdır. |
| DstPortNumber | int | Hedef IP bağlantı noktası. |
| DstSubscriptionId | string | Hedef cihazın ait olduğu bulut platformu abonelik kimliği. DstSubscriptionId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DstUserId | string | Makine tarafından okunabilir, alfasayısal, hedef kullanıcının benzersiz gösterimi. |
| DstUserIdType | string | DstUserId alanında depolanan kimliğin türü. |
| DstUsername | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef kullanıcı adı. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. |
| DstUsernameType | string | DstUsername alanında depolanan kullanıcı adının türünü belirtir. |
| DstUserType | string | Hedef kullanıcının türü. |
| DstVlanId | string | Hedef cihazla ilgili VLAN kimliği. |
| DstZone | string | Raporlama cihazı tarafından tanımlandığı gibi hedefin ağ bölgesi. |
| Dvc | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın benzersiz tanımlayıcısı. |
| DvcAction | string | Ağ oturumunda gerçekleştirilen eylem. |
| DvcDescription | string | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Birincil Etki Alanı Denetleyicisi. |
| DvcDomain | string | Olayı bildiren cihazın etki alanı. |
| DvcDomainType | string | DvcDomain türü. Olası değerler arasında 'Windows' ve 'FQDN' bulunur. |
| DvcFQDN | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın ana bilgisayar adı. |
| DvcHostname | string | Olayı bildiren cihazın ana bilgisayar adı. |
| DvcId | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın benzersiz kimliği. |
| DvcIdType | string | DvcId türü. |
| DvcInboundInterface | string | Aracı bir cihaz tarafından bildirilirse, NAT cihazı tarafından kaynak cihaza bağlantı için kullanılan ağ arabirimi. |
| DvcInterface | string | Verilerin yakalandığı ağ arabirimi. Bu alan genellikle bir ara veya dokunma cihazı tarafından yakalanan ağ ile ilgili etkinlikle ilgilidir. |
| DvcIpAddr | string | Olayı bildiren cihazın IP Adresi. |
| DvcMacAddr | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın MAC adresi. Örnek: 00:1B:44:11:3A:B7 |
| DvcOriginalAction | string | Raporlama cihazı tarafından sağlanan özgün DvcAction. |
| DvcO'lar | string | Olayı bildiren cihazda çalışan işletim sistemi. |
| DvcOsVersion | string | Olayı bildiren cihazdaki işletim sisteminin sürümü. |
| DvcOutboundInterface | string | Aracı bir cihaz tarafından bildirilirse, hedef cihaza bağlantı için NAT cihazı tarafından kullanılan ağ arabirimi. |
| DvcSubscriptionId | string | Cihazın ait olduğu bulut platformu abonelik kimliği. DvcSubscriptionId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DvcZone | string | Olayın gerçekleştiği veya olayı bildirdiği ağ. Bölge, raporlama cihazı tarafından tanımlanır. |
| EventCount | int | Bu değer, kaynak toplamayı desteklediğinde kullanılır ve tek bir kayıt birden çok olayı temsil edebilir. |
| EventEndTime | datetime | Olayın sona erdiği saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, son olayın oluşturulduğu zaman. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer adlar ekler. |
| EventMessage | string | Genel bir ileti veya açıklama. |
| EventOriginalResultDetails | string | Kaynak tarafından sağlanan özgün sonuç ayrıntıları. Bu değer, her şema için belgelenen değerlerden yalnızca birine sahip olması gereken EventResultDetails'i türetmek için kullanılır. |
| EventOriginalSeverity | string | Raporlama cihazı tarafından sağlanan özgün önem derecesi. Bu değer EventSeverity'yi türetmek için kullanılır. |
| EventOriginalSubType | string | Kaynak tarafından sağlanmışsa özgün olay alt türü veya kimliği. Örneğin, bu alan özgün Windows oturum açma türünü depolamak için kullanılır. Bu değer, her şema için belgelenen değerlerden yalnızca birine sahip olması gereken EventSubType'ı türetmek için kullanılır. |
| EventOriginalType | string | Kaynak tarafından sağlanmışsa özgün olay türü veya kimliği. |
| EventOriginalUid | string | Kaynak tarafından sağlanıyorsa özgün kaydın benzersiz kimliği. |
| EventProduct | string | Olayı oluşturan ürün. |
| EventProductVersion | string | Olayı oluşturan ürünün sürümü. |
| EventReportUrl | string | Olay hakkında daha fazla bilgi sağlayan bir kaynak için olayda sağlanan URL. |
| EventResult | string | Olayın sonucu, şu değerlerden biriyle gösterilir: Success, Partial, Failure, NA (Uygulanamaz). Değer doğrudan kaynaklar tarafından sağlanmayabilir; bu durumda, eventResultDetails alanı gibi diğer olay alanlarından türetilir. |
| EventResultDetails | string | EventResult alanında bildirilen sonucun nedeni veya ayrıntıları. |
| EventSchemaVersion | string | Şema sürümü. |
| EventSeverity | string | Olayın önem derecesi. Geçerli değerler şunlardır: Bilgilendirsel, Düşük, Orta veya Yüksek. |
| EventStartTime | datetime | Olayın başlatıldığı zaman. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, ilk olayın oluşturulduğu zaman. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer adlar ekler. |
| EventSubType | string | Varsa, olay türünün ek açıklaması. |
| Olay türü | string | Kayıt tarafından bildirilen işlem. |
| EventVendor | string | Olayı oluşturan ürünün satıcısı. |
| _IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
| NetworkApplicationProtocol | string | Bağlantı veya oturum tarafından kullanılan uygulama katmanı protokolü. |
| NetworkBytes | long | Her iki yönde gönderilen bayt sayısı. Hem BytesReceived hem de BytesSent varsa, BytesTotal toplamına eşit olmalıdır. Olay toplanmışsa NetworkBytes, toplanan tüm oturumların toplamıdır. |
| NetworkConnectionHistory | string | TCP bayrakları ve diğer olası IP üst bilgisi bilgileri. |
| NetworkDirection | string | Bağlantının veya oturumun yönü. |
| NetworkDuration | int | Ağ oturumunun veya bağlantısının tamamlanması için milisaniye cinsinden süre. |
| NetworkIcmpCode | int | ICMP iletisi için, ICMP ileti sayısal değerini IPv4 ağ bağlantıları için RFC 2780 veya IPv6 ağ bağlantıları için RFC 4443'te açıklandığı gibi yazın. |
| NetworkIcmpType | string | ICMP iletisi için, IPv4 ağ bağlantıları için RFC 2780 veya IPv6 ağ bağlantıları için RFC 4443'te açıklandığı gibi, ICMP ileti metni gösterimini yazın. |
| Ağ Paketleri | long | Her iki yönde gönderilen paketlerin sayısı. Hem PacketsReceived hem de PacketsSent varsa, BytesTotal toplamına eşit olmalıdır. Paketin anlamı raporlama cihazı tarafından tanımlanır. Olay toplanmışsa NetworkPackets, toplanan tüm oturumların toplamıdır. |
| Networkprotocol | string | Bağlantı veya oturum tarafından genellikle TCP, UDP veya ICMP olan IANA protokolü atamasında listelendiği şekilde kullanılan IP protokolü. |
| NetworkProtocolVersion | string | NetworkProtocol sürümü. |
| NetworkRuleName | string | DvcAction'a karar verilen kuralın adı veya kimliği. |
| NetworkRuleNumber | int | DvcAction'a karar verilen kuralın sayısı. |
| NetworkSessionId | string | Raporlama cihazı tarafından bildirilen oturum tanımlayıcısı. |
| _Resourceıd | string | Kaydın ilişkili olduğu kaynağın benzersiz tanımlayıcısı |
| SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
| SrcAppId | string | Raporlama cihazı tarafından bildirilen kaynak uygulamanın kimliği. |
| SrcAppName | string | Kaynak uygulamanın adı. |
| SrcAppType | string | Kaynak uygulamanın türü. |
| SrcBytes | long | Bağlantı veya oturum için kaynaktan hedefe gönderilen bayt sayısı. Olay toplanmışsa SrcBytes, toplanan tüm oturumların toplamıdır. |
| SrcDescription | string | Kaynakla ilişkilendirilmiş açıklayıcı bir metin. |
| SrcDeviceType | string | Kaynak cihazın türü. |
| SrcDomain | string | Kaynak cihazın etki alanı. |
| SrcDomainType | string | SrcDomain türü. |
| SrcDvcId | string | Kaynak cihazın kimliği. |
| SrcDvcIdType | string | SrcDvcId türü. |
| SrcFQDN | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. |
| SrcGeoCity | string | Kaynak IP adresiyle ilişkili şehir. |
| SrcGeoCountry | string | Kaynak IP adresiyle ilişkili ülke. |
| SrcGeoLatitude | real | Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. |
| SrcGeoLongitude | real | Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. |
| SrcGeoRegion | string | Kaynak IP adresiyle ilişkilendirilmiş bir ülkenin içindeki bölge. |
| SrcHostname | string | Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa ilgili IP adresini depolanabilir. |
| SrcInterfaceGuid | string | Kaynak cihazda kullanılan ağ arabiriminin GUID'i. |
| SrcInterfaceName | string | Kaynak cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. |
| SrcIpAddr | string | Bağlantının veya oturumun kaynaklandığı IP adresi. |
| SrcMacAddr | string | Bağlantının veya oturumun kaynaklandığı ağ arabiriminin MAC adresi. |
| SrcNatIpAddr | string | SrcNatIpAddr şunlardan birini temsil eder: Ağ adresi çevirisi kullanıldıysa kaynak cihazın özgün adresi veya aracı cihaz tarafından hedefle iletişim için kullanılan IP adresi. |
| SrcNatPortNumber | int | Aracı bir NAT cihazı tarafından bildirilirse, NAT cihazı tarafından hedefle iletişim için kullanılan bağlantı noktası. |
| SrcOriginalUserType | string | Raporlama cihazı tarafından sağlanıyorsa, özgün hedef kullanıcı türü. |
| SrcPackets | long | Bağlantı veya oturum için kaynaktan hedefe gönderilen paketlerin sayısı. Paketin anlamı raporlama cihazı tarafından tanımlanır. Olay toplanmışsa SrcPackets, toplanan tüm oturumların toplamıdır. |
| SrcPortNumber | int | Bağlantının kaynaklandığı IP bağlantı noktası. Birden çok bağlantıdan oluşan bir oturumla ilgili olmayabilir. |
| SrcSubscriptionId | string | Kaynak cihazın ait olduğu bulut platformu abonelik kimliği. SrcSubscriptionId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcUserId | string | Kaynak kullanıcının makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. |
| SrcUserIdType | string | SrcUserId alanında depolanan kimliğin türü. |
| SrcUsername | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak kullanıcı adı. |
| SrcUsernameType | string | SrcUsername alanında depolanan kullanıcı adının türünü belirtir. |
| SrcUserType | string | Kaynak kullanıcının türü. |
| SrcVlanId | string | Kaynak cihazla ilgili VLAN kimliği. |
| SrcZone | string | Raporlama cihazı tarafından tanımlanan kaynağın ağ bölgesi. |
| _SubscriptionId | string | Kaydın ilişkili olduğu abonelik için benzersiz tanımlayıcı |
| TcpFlagsAck | bool | TCP ACK bayrağı bildirildi. Onay bayrağı, bir paketin başarıyla alındıysa bunu kabul etmek için kullanılır. Yukarıdaki diyagramda gördüğümüz gibi alıcı, gönderene ilk paketini aldığını bildirmek için üç yönlü el sıkışma işleminin ikinci adımında bir ACK ve syn gönderir. |
| TcpFlagsFin | bool | TCP FIN bayrağı bildirildi. Tamamlanmış bayrağı, gönderenden daha fazla veri olmadığı anlamına gelir. Bu nedenle, gönderenden gönderilen son pakette kullanılır. |
| TcpFlagsPsh | bool | TCP PSH bayrağı bildirildi. Gönderme bayrağı, URG bayrağına biraz benzer ve alıcıya arabelleğe almak yerine bu paketleri alındıklarında işlemesini söyler. |
| TcpFlagsRst | bool | TCP RST bayrağı bildirildi. Paket, beklemeyen belirli bir konağa gönderildiğinde sıfırlama bayrağı alıcıdan gönderene gönderilir. |
| TcpFlagsSyn | bool | BILDIRILEN TCP SYN bayrağı. Eşitleme bayrağı, iki konak arasında üç yönlü el sıkışması kurmanın ilk adımı olarak kullanılır. Yalnızca hem gönderenden hem de alıcıdan gelen ilk pakette bu bayrak ayarlanmalıdır. |
| TcpFlagsUrg | bool | TCP URG bayrağı bildirildi. Acil bayrağı, diğer tüm paketleri işlemeden önce alıcıya acil paketleri işlemesini bildirmek için kullanılır. Bilinen tüm acil veriler alındığında alıcıya bildirilir. Diğer ayrıntılar için bkz. RFC 6093. |
| TenantId | string | Log Analytics çalışma alanı kimliği |
| ThreatCategory | string | Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. |
| ThreatConfidence | int | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
| ThreatField | string | Bir tehdidin tanımlandığı alan. Değer SrcIpAddr, DstIpAddr, Domain veya DnsResponseName şeklindedir. |
| ThreatFirstReportedTime | datetime | IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı. |
| ThreatId | string | Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. |
| ThreatIpAddr | string | Bir tehdidin tanımlandığı IP adresi. ThreatField alanı ThreatIpAddr tarafından temsil edilen alanın adını içerir. |
| ThreatIsActive | bool | Tanımlanan tehdidin gerçek kimliği etkin bir tehdit olarak kabul edilir. |
| ThreatLastReportedTime | datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
| ThreatName | string | Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın adı. |
| ThreatOriginalConfidence | string | Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi. |
| ThreatOriginalRiskLevel | string | Raporlama cihazı tarafından bildirilen risk düzeyi. |
| ThreatRiskLevel | int | Oturumla ilişkili risk düzeyi. Düzey, 0 ile 100 arasında bir sayıdır. |
| TimeGenerated | datetime | Olayın oluşturulduğu saati yansıtan zaman damgası (UTC). |
| Tür | string | Tablonun adı |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin