Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Normaliseringsschemat för Microsoft Sentinel-nätverkssessionen representerar en IP-nätverksaktivitet, till exempel nätverksanslutningar och nätverkssessioner. Sådana händelser rapporteras till exempel av operativsystem, routrar, brandväggar och intrångsskyddssystem.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/networksessionnormalized |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Inmatningstidsomvandling | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| YtterligareFält | dynamisk | Ytterligare information som representeras med hjälp av nyckel/värde-par som tillhandahålls av källan som inte mappas till ASim. |
| _Fakturastorlek | verklig | Registreringsstorleken i byte |
| DstAppId | sträng | ID:t för målapplikationen som rapporterats av rapporteringsenheten. |
| DstAppName | sträng | Namnet på målapplikationen. |
| DstAppType | sträng | Typ av målapplikation. |
| DstBytes | lång | Antalet byte som skickas från målet till källan för anslutningen eller sessionen. Om händelsen aggregeras är DstBytes summan för alla aggregerade sessioner. |
| DstBeskrivning | sträng | En beskrivande text som är associerad med målet. |
| DstEnhetstyp | sträng | Typen av målenheten. |
| DstDomain | sträng | Målenhetens domän. |
| Typ av Dst-domän | sträng | Typ av DstDomain. |
| DstDvcId | sträng | Målenhetens ID. |
| DstDvcIdType | sträng | Typ av DstDvcId. |
| DstFQDN | sträng | Värdnamnet för målenheten, inklusive domäninformation när det är tillgängligt. |
| DstGeoCity | sträng | Den ort som är associerad med mål-IP-adressen. |
| DstGeoCountry | sträng | Det land som är associerat med mål-IP-adressen. |
| DstGeoLatitude | verklig | Latitud för den geografiska koordinat som är associerad med målets IP-adress. |
| DstGeoLongitude | verklig | Longitud för den geografiska koordinat som är associerad med målets IP-adress. |
| DstGeoRegion | sträng | Regionen, eller tillståndet, inom ett land som är associerat med mål-IP-adressen. |
| DstHostname | sträng | Målenhetens värdnamn, exklusive domäninformation. |
| DstInterfaceGuid | sträng | GUID för nätverksgränssnittet som används på målenheten. |
| DstInterfaceName | sträng | Nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. |
| DstIpAddr | sträng | IP-adressen för anslutningen eller sessionsmålet. |
| DstMac-adress | sträng | MAC-adressen för nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. |
| DstNatIpAddr | sträng | DstNatIpAddr representerar något av: Målenhetens ursprungliga adress om nätverksadressöversättning användes eller ip-adressen som används av mellanhandsenheten för kommunikation med källan. |
| Destinations-NAT-portnummer | heltal | Om det rapporteras av en mellanliggande NAT-enhet är det porten som NAT-enheten använder för att kommunicera med källan. |
| DstOriginalAnvändartyp | sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av källan. |
| DstPackets | lång | Antalet paket som skickas från målet till källan för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras är DstPackets summan för alla aggregerade sessioner. |
| DstPortNummer | heltal | Målets IP-port. |
| DstSubscriptionId | sträng | Prenumerations-ID för molnplattformen som målenheten tillhör. DstSubscriptionId kopplas till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DstUserId | sträng | En maskinläsbar, alfanumerisk, unik representation av målanvändaren. |
| DstAnvändarIdTyp | sträng | Typen av ID som lagras i fältet DstUserId. |
| DstUsername | sträng | Målanvändarnamnet, inklusive domäninformation när det är tillgängligt. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. |
| DstUsernameType | sträng | Anger typen av användarnamn som lagras i fältet DstUsername. |
| DstUserType | sträng | Typ av målanvändare. |
| DstVlanId | sträng | VLAN-ID:t som är relaterat till målenheten. |
| DstZone | sträng | Målets nätverkszon, enligt definitionen av rapporteringsenheten. |
| Dvc | sträng | En unik identifierare för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcAction | sträng | Den åtgärd som vidtagits i nätverkssessionen. |
| DvcBeskrivning | sträng | En beskrivande text som är associerad med enheten. Till exempel: Primär domänkontrollant. |
| DvcDomain | sträng | Domänen för enheten som rapporterar händelsen. |
| DvcDomainType | sträng | Typ av DvcDomain. Möjliga värden är "Windows" och "FQDN". |
| DvcFQDN | sträng | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcHostname | sträng | Värdnamnet för enheten som rapporterar händelsen. |
| DvcId | sträng | Det unika ID:t för enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcIdType | sträng | Typ av DvcId. |
| DvcInboundInterface | sträng | Om det rapporteras av en mellanliggande enhet, är nätverksgränssnittet som NAT-enheten använder för att ansluta till källenheten. |
| DvcInterface | sträng | Nätverksgränssnittet som data har avbildats på. Det här fältet är vanligtvis relevant för nätverksrelaterad aktivitet som samlas in av en mellanliggande enhet eller en tryckenhet. |
| DvcIpAddr | sträng | IP-adressen för enheten som rapporterar händelsen. |
| DvcMacAddr | sträng | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. Exempel: 00:1B:44:11:3A:B7. |
| DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahållits av den rapporterande enheten. |
| DvcOs | sträng | Operativsystemet som körs på enheten som rapporterar händelsen. |
| DvcOsVersion | sträng | Versionen av operativsystemet på enheten som rapporterar händelsen. |
| DvcOutboundInterface | sträng | Om det rapporteras av en mellanliggande enhet, används nätverksgränssnittet som NAT-enheten använder för att ansluta till destinationsenheten. |
| DvcSubscriptionId | sträng | Prenumerations-ID för molnplattformen som enheten tillhör. DvcSubscriptionId kopplas till ett prenumerations-ID i Azure och ett konto-ID på AWS. |
| DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen. Zonen definieras av rapporteringsenheten. |
| Händelseantal | heltal | Det här värdet används när källan stöder aggregering och en enskild post kan representera flera händelser. |
| Eventslutstid | datum och tid | Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, är det tiden då den senaste händelsen genererades. Om det inte tillhandahålls av källposten, används det här fältet som alias för fältet TimeGenerated. |
| Händelsemeddelande | sträng | Ett allmänt meddelande eller en beskrivning. |
| DetaljerFörEventOriginalResultat | sträng | Den ursprungliga resultatinformationen som tillhandahålls av källan. Det här värdet används för att härleda EventResultDetails, som bara ska ha ett av de värden som dokumenteras för varje schema. |
| EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. Det här värdet används för att härleda EventSeverity. |
| HändelseOriginalUnderTyp | sträng | Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. Det här fältet används till exempel för att lagra den ursprungliga Windows-inloggningstypen. Det här värdet används för att härleda EventSubType, som bara ska ha ett av de värden som dokumenteras för varje schema. |
| HändelseUrsprungstyp | sträng | Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. |
| EventOriginalUid | sträng | Ett unikt ID för den ursprungliga posten, om källan tillhandahåller det. |
| EventProduct | sträng | Produkten som genererar händelsen. |
| Evenemangsproduktversion | sträng | Den version av produkten som genererar händelsen. |
| Eventrapportwebbadress | sträng | En URL som anges i händelsen för en resurs som ger mer information om händelsen. |
| Händelseresultat | sträng | Resultatet av händelsen, som representeras av något av följande värden: Framgång, Delvis, Misslyckande, NA (Ej tillämpligt). Värdet kanske inte anges direkt av källorna, i vilket fall det härleds från andra händelsefält, till exempel fältet EventResultDetails. |
| Evenemangsresultatdetaljer | sträng | Orsak eller information för resultatet som rapporteras i fältet EventResult. |
| EventSchemaversion | sträng | Versionen av schemat. |
| EventSeverity | sträng | Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög. |
| EventStarttid | datum och tid | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte tillhandahålls av källposten, används det här fältet som alias för fältet TimeGenerated. |
| Händelseundertyp | sträng | Ytterligare beskrivning av händelsetypen, om tillämpligt. |
| Händelsetyp | sträng | Åtgärden som rapporterats av journalen. |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
| _ÄrFakturabar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false, debiteras inte ditt Azure-konto för inmatningen |
| Nätverksapplikationsprotokoll | sträng | Protokollet för programskiktet som används av anslutningen eller sessionen. |
| NetworkBytes | lång | Antal byte som skickats i båda riktningarna. Om både BytesReceived och BytesSent finns ska BytesTotal vara lika med summan. Om händelsen aggregeras är NetworkBytes summan för alla aggregerade sessioner. |
| Nätverksanslutningshistorik | sträng | TCP-flaggor och annan potentiell INFORMATION om IP-huvuden. |
| NetworkDirection | sträng | Riktningen för anslutningen eller sessionen. |
| Nätverksvaraktighet | heltal | Hur lång tid, i millisekunder, för slutförandet av nätverkssessionen eller anslutningen. |
| NetworkIcmpCode | heltal | För ett ICMP-meddelande skriver ICMP-meddelandet numeriskt värde enligt beskrivningen i RFC 2780 för IPv4-nätverksanslutningar eller i RFC 4443 för IPv6-nätverksanslutningar. |
| NetworkIcmpType | sträng | För ett ICMP-meddelande, den textuella representationen av ICMP-meddelandet enligt beskrivningen i RFC 2780 för IPv4-nätverksanslutningar eller i RFC 4443 för IPv6-nätverksanslutningar. |
| Nätverkspaket | lång | Antalet paket som skickas i båda riktningarna. Om både PacketsReceived och PacketsSent finns bör BytesTotal vara lika med summan. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras är NetworkPackets summan för alla aggregerade sessioner. |
| Nätverksprotokoll | sträng | IP-protokollet som används av anslutningen eller sessionen enligt listan i IANA-protokolltilldelningen, som vanligtvis är TCP, UDP eller ICMP. |
| Nätverksprotokollversion | sträng | Versionen av NetworkProtocol. |
| Nätverksregelnamn | sträng | Namnet eller ID:t på regeln som DvcAction fastställdes av. |
| Nätverksregelnummer | heltal | Regelnumret enligt vilket DvcAction beslutades. |
| Nätverkssessions-ID | sträng | Sessionsidentifieraren som rapporteras av rapporteringsenheten. |
| _Resurs-id | sträng | En unik identifierare för resursen som posten är associerad med |
| SourceSystem | sträng | Agenttypen som samlade in händelsen. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcAppId | sträng | ID:t för källprogrammet enligt rapporteringsenhetens rapporter. |
| SrcAppName | sträng | Namnet på källprogrammet. |
| SrcAppType | sträng | Typ av källprogram. |
| SrcBytes | lång | Antalet byte som skickas från källan till målet för anslutningen eller sessionen. Om händelsen aggregeras är SrcBytes summan för alla aggregerade sessioner. |
| SrcBeskrivning | sträng | En beskrivande text som är associerad med källan. |
| SrcDeviceType | sträng | Typ av källenhet. |
| SrcDomain | sträng | Källenhetens domän. |
| SrcDomäntyp | sträng | Typen av SrcDomain. |
| SrcDvcId | sträng | Källenhetens ID. |
| SrcDvcIdType | sträng | Typen av SrcDvcId. |
| SrcFQDN | sträng | Värdnamnet för källenheten, inklusive domäninformation när det är tillgängligt. |
| SrcGeoCity | sträng | Den ort som är associerad med källans IP-adress. |
| SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude | verklig | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitud | verklig | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| KällaGeoRegion | sträng | Regionen i ett land som är associerat med källans IP-adress. |
| SrcHostname | sträng | Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt kan du lagra relevant IP-adress. |
| SrcInterfaceGuid | sträng | GUID för nätverksgränssnittet som används på källenheten. |
| SrcInterfaceName | sträng | Nätverksgränssnittet som används för anslutningen eller sessionen av källenheten. |
| SrcIpAddr | sträng | DEN IP-adress som anslutningen eller sessionen kommer från. |
| SrcMacAddr | sträng | MAC-adressen för nätverksgränssnittet som anslutningen eller sessionen kommer från. |
| SrcNatIp-adress | sträng | SrcNatIpAddr representerar något av: Källenhetens ursprungliga adress om nätverksadressöversättning användes eller IP-adressen som används av mellanhandsenheten för kommunikation med målet. |
| SrcNatPortNummer | heltal | Rapporteras den av en mellanliggande NAT-enhet, är det den port som NAT-enheten använder för att kommunicera med destinationen. |
| SrcOriginalAnvändartyp | sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |
| SrcPackets | lång | Antalet paket som skickas från källan till målet för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras är SrcPackets summan för alla aggregerade sessioner. |
| SrcPortNumber | heltal | DEN IP-port som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. |
| SrcSubscriptionId | sträng | Prenumerations-ID:t för molnplattformen som källenheten tillhör. SrcSubscriptionId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcUserId | sträng | En maskinläsbar, alfanumerisk, unik representation av källanvändaren. |
| SrcUserIdType | sträng | Typen av ID som lagras i fältet SrcUserId. |
| SrcUsername | sträng | Källans användarnamn, inklusive domäninformation när det är tillgängligt. |
| SrcAnvändarnamnTyp | sträng | Anger typen av användarnamn som lagras i fältet SrcUsername. |
| SrcUserType | sträng | Typ av källanvändare. |
| SrcVlanId | sträng | VLAN-ID:t som är relaterat till källenheten. |
| SrcZone | sträng | Källans nätverkszon enligt definitionen av rapporteringsenheten. |
| _Prenumerations-ID | sträng | En unik identifierare för den prenumeration som posten är associerad med |
| TcpFlagsAck | Bool | TCP ACK-flaggan rapporterades. Bekräftelseflaggan används för att bekräfta att ett paket har tagits emot. Som vi kan se i diagrammet ovan skickar mottagaren en ACK samt en SYN i det andra steget i handskakningsprocessen på tre sätt för att berätta för avsändaren att den tog emot sitt första paket. |
| TcpFlagsFin | Bool | TCP FIN-flaggan blev rapporterad. Den färdiga flaggan innebär att det inte finns några fler data från avsändaren. Därför används det i det senaste paketet som skickades från avsändaren. |
| TcpFlagsPsh | Bool | TCP PSH-flaggan har rapporterats. Push-flaggan påminner något om urg-flaggan och meddelar mottagaren att bearbeta dessa paket när de tas emot i stället för att buffras. |
| TcpFlagsRst | Bool | TCP RST-flaggan har rapporterats. Återställningsflaggan skickas från mottagaren till avsändaren när ett paket skickas till en viss värd som inte förväntade sig det. |
| TcpFlagsSyn | Bool | TCP SYN-flaggan rapporterades. Synkroniseringsflaggan används som ett första steg för att upprätta en trevägs-handskakning mellan två värdar. Endast det första paketet från både avsändaren och mottagaren ska ha den här flaggan inställd. |
| TcpFlagsUrg | Bool | TCP URG-flaggan har rapporterats. Den brådskande flaggan används för att meddela mottagaren att bearbeta brådskande paket innan alla andra paket bearbetas. Mottagaren meddelas när alla kända brådskande uppgifter har tagits emot. Mer information finns i RFC 6093. |
| Hyresgivares-id | sträng | Log Analytics-arbetsytans ID |
| Hotkategori | sträng | Kategorin för hot eller skadlig kod som identifierades i nätverkssessionen. |
| ThreatConfidence | heltal | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField | sträng | Fältet som ett hot identifierades för. Värdet är antingen SrcIpAddr, DstIpAddr, Domain eller DnsResponseName. |
| TidFörstRapporteradeHotet | datum och tid | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId | sträng | ID:t för det hot eller den skadliga kod som identifierades i nätverkssessionen. |
| ThreatIpAddr | sträng | En IP-adress som ett hot identifierades för. Fältet ThreatField innehåller namnet på fältet ThreatIpAddr representerar. |
| Hotet är aktivt | Bool | Sant är att det hot som har identifierats betraktas som ett aktivt hot. |
| TidpunktFörSenasteRapporteradeHotet | datum och tid | Senast IP-adressen eller domänen identifierades som ett hot. |
| Hotnamn | sträng | Namnet på det hot eller den skadliga kod som identifierades i nätverkssessionen. |
| Hotets Ursprungliga Självförtroende | sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| HotUrsprungligRisknivå | sträng | Risknivån som rapporteras av rapporteringsenheten. |
| Hotrisknivå | heltal | Risknivån som är associerad med sessionen. Nivån är ett tal mellan 0 och 100. |
| Tidpunkt för generering | datum och tid | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
| Typ | sträng | Namnet på tabellen |