Freigeben über


ASimNetworkSessionLogs

Das Normalisierungsschema der Microsoft Sentinel-Netzwerksitzung stellt eine IP-Netzwerkaktivität dar, z. B. Netzwerkverbindungen und Netzwerksitzungen. Solche Ereignisse werden beispielsweise von Betriebssystemen, Routern, Firewalls und Intrusion-Prevention-Systemen gemeldet.

Tabellenattribute

attribute Wert
Ressourcentypen microsoft.securityinsights/networksessionnormalized
Kategorien Sicherheit
Lösungen SecurityInsights
Standardprotokoll No
Erfassungszeittransformation Ja
Beispielabfragen -

Spalten

Spalte Type BESCHREIBUNG
AdditionalFields dynamisch Zusätzliche Informationen, dargestellt mithilfe von Schlüssel-Wert-Paaren, die von der Quelle bereitgestellt werden, die nicht ASim zugeordnet sind.
_BilledSize real Die Datensatzgröße in Bytes.
DstAppId Zeichenfolge Die ID der Zielanwendung, wie vom meldenden Gerät angegeben.
DstAppName Zeichenfolge Der Name der Zielanwendung.
DstAppType Zeichenfolge Der Typ der Zielanwendung.
DstBytes long Die Anzahl Bytes, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. Wenn das Ereignis aggregiert wird, ist DstBytes die Summe aller aggregierten Sitzungen.
DstDescription Zeichenfolge Ein beschreibender Text, der dem Ziel zugeordnet ist.
DstDeviceType Zeichenfolge Der Typ des Zielgeräts.
DstDomain Zeichenfolge Die Domäne des Zielgeräts.
DstDomainType Zeichenfolge Der Typ von DstDomain.
DstDvcId Zeichenfolge Die ID des Zielgeräts.
DstDvcIdType Zeichenfolge Der Typ von DstDvcId.
DstFQDN Zeichenfolge Der Hostname des Zielgeräts einschließlich Domäneninformationen, sofern verfügbar.
DstGeoCity Zeichenfolge Die Stadt, die der Ziel-IP-Adresse zugeordnet ist.
DstGeoCountry Zeichenfolge Das Land/die Region, das bzw. die der Ziel-IP-Adresse zugeordnet ist.
DstGeoLatitude real Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist.
DstGeoLongitude real Der Längengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist.
DstGeoRegion Zeichenfolge Die der Ziel-IP-Adresse zugeordnete Region bzw. das zugeordnete Bundesland/der zugeordnete Kanton innerhalb eines Landes.
DstHostname Zeichenfolge Der Hostname des Zielgeräts ohne Domäneninformationen.
DstInterfaceGuid Zeichenfolge Die GUID der Netzwerkschnittstelle, die auf dem Zielgerät verwendet wird.
DstInterfaceName Zeichenfolge Die Netzwerkschnittstelle, die vom Zielgerät für die Verbindung oder Sitzung verwendet wird.
DstIpAddr Zeichenfolge Die IP-Adresse der Verbindung oder des Sitzungsziels.
DstMacAddr Zeichenfolge Die MAC-Adresse der Netzwerkschnittstelle, die vom Zielgerät für die Verbindung oder Sitzung verwendet wird.
DstNatIpAddr Zeichenfolge Der DstNatIpAddr stellt eine der folgenden Elemente dar: Die ursprüngliche Adresse des Zielgeräts, wenn die Netzwerkadressenübersetzung verwendet wurde, oder die IP-Adresse, die vom Vermittlergerät für die Kommunikation mit der Quelle verwendet wurde.
DstNatPortNumber int Bei Meldung von einem NAT-Zwischengerät der vom NAT-Gerät für die Kommunikation mit der Quelle verwendete Port.
DstOriginalUserType Zeichenfolge Der ursprüngliche Zielbenutzertyp, sofern von der Quelle bereitgestellt.
DstPackets long Die Anzahl Pakete, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, ist DstPackets die Summe aller aggregierten Sitzungen.
DstPortNumber int Der Ziel-IP-Port
DstSubscriptionId Zeichenfolge Die Abonnement-ID der Cloudplattform, zu der das Zielgerät gehört. DstSubscriptionId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
DstUserId Zeichenfolge Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers.
DstUserIdType Zeichenfolge Der Typ der ID, die im Feld DstUserId gespeichert ist.
DstUsername Zeichenfolge Der Zielbenutzername einschließlich Domäneninformationen, sofern verfügbar. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind.
DstUsernameType Zeichenfolge Gibt den Typ des Benutzernamens an, der im Feld DstUsername gespeichert ist.
DstUserType Zeichenfolge Der Typ des Zielbenutzers.
DstVlanId Zeichenfolge Die zugehörige VLAN-ID für das Zielgerät.
DstZone Zeichenfolge Die Netzwerkzone des Ziels, wie sie vom meldenden Gerät definiert wird.
Dvc Zeichenfolge Ein eindeutiger Bezeichner des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat.
DvcAction Zeichenfolge Die für die Netzwerksitzung vorgenommene Aktion.
DvcDescription Zeichenfolge Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primärer Domänencontroller.
DvcDomain Zeichenfolge Die Domäne des Geräts, das das Ereignis meldet.
DvcDomainType Zeichenfolge Der Typ von DvcDomain. Mögliche Werte sind "Windows" und "FQDN".
DvcFQDN Zeichenfolge Der Hostname des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat.
DvcHostname Zeichenfolge Der Hostname des Geräts, das das Ereignis meldet.
DvcId Zeichenfolge Die eindeutige ID des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat.
DvcIdType Zeichenfolge Der Typ von DvcId.
DvcInboundInterface Zeichenfolge Bei Meldung von einem Zwischengerät die vom NAT-Gerät für die Verbindung mit dem Quellgerät verwendete Netzwerkschnittstelle.
DvcInterface Zeichenfolge Die Netzwerkschnittstelle, über die Daten erfasst wurden. Dieses Feld ist in der Regel für netzwerkbezogene Aktivitäten relevant, die von einem Zwischen- oder TAP-Gerät erfasst werden.
DvcIpAddr Zeichenfolge Die IP-Adresse des Geräts, das das Ereignis meldet.
DvcMacAddr Zeichenfolge Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: 00:1B:44:11:3A:B7
DvcOriginalAction Zeichenfolge Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben.
DvcOs Zeichenfolge Das Betriebssystem, das auf dem Gerät ausgeführt wird, das das Ereignis meldet.
DvcOsVersion Zeichenfolge Die Version des Betriebssystems auf dem Gerät, das das Ereignis meldet.
DvcOutboundInterface Zeichenfolge Bei Meldung von einem Zwischengerät die vom NAT-Gerät für die Verbindung mit dem Zielgerät verwendete Netzwerkschnittstelle.
DvcSubscriptionId Zeichenfolge Die Abonnement-ID der Cloudplattform, zu der das Gerät gehört. DvcSubscriptionId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
DvcZone Zeichenfolge Das Netzwerk, in dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. Die Zone wird vom meldenden Gerät definiert.
EventCount int Dieser Wert wird verwendet, wenn die Quelle Aggregation unterstützt. Ein einzelner Datensatz kann mehrere Ereignisse darstellen.
EventEndTime datetime Der Zeitpunkt, zu dem das Ereignis geendet hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das letzte Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar.
EventMessage Zeichenfolge Eine allgemeine Nachricht oder Beschreibung.
EventOriginalResultDetails Zeichenfolge Die ursprünglichen Ergebnisdetails, die von der Quelle bereitgestellt werden. Dieser Wert wird verwendet, um das Feld EventResultDetails abzuleiten, das nur einen der für jedes Schema dokumentierten Werte enthalten sollte.
EventOriginalSeverity Zeichenfolge Der ursprüngliche Schweregrad, wie vom meldenden Gerät angegeben. Dieser Wert wird zum Ableiten von EventSeverity verwendet.
EventOriginalSubType Zeichenfolge Der ursprüngliche Ereignisuntertyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. Dieses Feld wird beispielsweise verwendet, um den ursprünglichen Windows-Anmeldetyp zu speichern. Dieser Wert wird verwendet, um das Feld EventSubType abzuleiten, das nur einen der für jedes Schema dokumentierten Werte enthalten sollte.
EventOriginalType Zeichenfolge Der ursprüngliche Ereignistyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt.
EventOriginalUid Zeichenfolge Eine eindeutige ID des ursprünglichen Datensatzes, sofern von der Quelle bereitgestellt.
EventProduct Zeichenfolge Das Produkt, das das Ereignis erzeugt.
EventProductVersion Zeichenfolge Die Version des Produkts, das das Ereignis erzeugt.
EventReportUrl Zeichenfolge Eine URL, die im Ereignis für eine Ressource bereitgestellt wird, die weitere Informationen zum Ereignis enthält.
EventResult Zeichenfolge Das Ergebnis des Ereignisses, dargestellt durch einen der folgenden Werte: Success, Partial, Failure, NA (Not Applicable). Der Wert kann nicht direkt von den Quellen bereitgestellt werden, in diesem Fall wird er von anderen Ereignisfeldern abgeleitet, z. B. dem Feld "EventResultDetails".
EventResultDetails Zeichenfolge Grund oder Details für das im Feld EventResult gemeldete Ergebnis.
EventSchemaVersion Zeichenfolge Die Version des Schemas.
EventSeverity Zeichenfolge Der Schweregrad des Ereignisses. Gültige Werte sind: Informational, Low, Medium oder High.
EventStartTime datetime Der Zeitpunkt, zu dem das Ereignis begonnen hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das erste Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar.
EventSubType Zeichenfolge Zusätzliche Beschreibung des Ereignistyps, falls zutreffend.
EventType Zeichenfolge Der vom Datensatz gemeldete Vorgang.
EventVendor Zeichenfolge Der Hersteller des Produkts, das das Ereignis erzeugt.
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
NetworkApplicationProtocol Zeichenfolge Das Protokoll der Anwendungsschicht, das von der Verbindung oder der Sitzung verwendet wird.
NetworkBytes long Die Anzahl Bytes, die in beide Richtungen gesendet werden. Wenn sowohl BytesReceived als auch BytesSent vorhanden sind, sollte BytesTotal ihrer Summe entsprechen. Wenn das Ereignis aggregiert wird, ist NetworkBytes die Summe aller aggregierten Sitzungen.
NetworkConnectionHistory Zeichenfolge TCP-Flags und andere potenzielle IP-Headerinformationen.
NetworkDirection Zeichenfolge Die Richtung der Verbindung oder Sitzung.
NetworkDuration int Die Zeitspanne in Millisekunden für den Abschluss der Netzwerksitzung oder Verbindung.
NetworkIcmpCode int Bei einer ICMP-Nachricht der numerische Wert für den ICMP-Nachrichtentyp, wie in RFC 2780 für IPv4-Netzwerkverbindungen bzw. in RFC 4443 für IPv6-Netzwerkverbindungen beschrieben.
NetworkIcmpType Zeichenfolge Bei einer ICMP-Nachricht die Textdarstellung für den ICMP-Nachrichtentyp, wie in RFC 2780 für IPv4-Netzwerkverbindungen bzw. in RFC 4443 für IPv6-Netzwerkverbindungen beschrieben.
NetworkPackets long Die Anzahl von Paketen, die in beide Richtungen gesendet werden. Wenn sowohl PacketsReceived als auch PacketsSent vorliegt, sollte BytesTotal ihrer Summe entsprechen. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, ist NetworkPackets die Summe aller aggregierten Sitzungen.
NetworkProtocol Zeichenfolge Das IP-Protokoll, das von der Verbindung oder Sitzung verwendet wird, wie in der IANA-Protokollzuweisung aufgeführt, die in der Regel TCP, UDP oder ICMP ist.
NetworkProtocolVersion Zeichenfolge Die Version von NetworkProtocol.
NetworkRuleName Zeichenfolge Der Name oder die ID der Regel, anhand derer die Entscheidung für DvcAction getroffen wurde.
NetworkRuleNumber int Die Nummer der Regel, anhand derer die Entscheidung für DvcAction getroffen wurde.
NetworkSessionId Zeichenfolge Der Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird.
_ResourceId Zeichenfolge Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist.
SourceSystem Zeichenfolge Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
SrcAppId Zeichenfolge Die ID der Quellanwendung, wie vom meldenden Gerät angegeben.
SrcAppName Zeichenfolge Der Name der Quellanwendung.
SrcAppType Zeichenfolge Der Typ der Quellanwendung.
SrcBytes long Die Anzahl Bytes, die für die Verbindung oder Sitzung von der Quelle an das Ziel gesendet werden. Wenn das Ereignis aggregiert wird, ist SrcBytes die Summe aller aggregierten Sitzungen.
SrcDescription Zeichenfolge Ein beschreibender Text, der der Quelle zugeordnet ist.
SrcDeviceType Zeichenfolge Der Typ des Quellgeräts.
SrcDomain Zeichenfolge Die Domäne des Quellgeräts.
SrcDomainType Zeichenfolge Der Typ von SrcDomain.
SrcDvcId Zeichenfolge Die ID des Quellgeräts.
SrcDvcIdType Zeichenfolge Der Typ von SrcDvcId.
SrcFQDN Zeichenfolge Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne.
SrcGeoCity Zeichenfolge Die Stadt, die der Quell-IP-Adresse zugeordnet ist.
SrcGeoCountry Zeichenfolge Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist.
SrcGeoLatitude real Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist.
SrcGeoLongitude real Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist.
SrcGeoRegion Zeichenfolge Die Region innerhalb eines Landes, die der Quell-IP-Adresse zugeordnet ist.
SrcHostname Zeichenfolge Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, kann die entsprechende IP-Adresse gespeichert werden.
SrcInterfaceGuid Zeichenfolge Die GUID der Netzwerkschnittstelle, die auf dem Quellgerät verwendet wird.
SrcInterfaceName Zeichenfolge Die Netzwerkschnittstelle, die vom Quellgerät für die Verbindung oder Sitzung verwendet wird.
SrcIpAddr Zeichenfolge Die IP-Adresse, von der die Verbindung oder Sitzung stammt.
SrcMacAddr Zeichenfolge Die MAC-Adresse der Netzwerkschnittstelle, von der aus die Verbindung oder Sitzung hergestellt wurde.
SrcNatIpAddr Zeichenfolge Der SrcNatIpAddr stellt eine der Folgenden dar: Die ursprüngliche Adresse des Quellgeräts, wenn die Netzwerkadressenübersetzung verwendet wurde, oder die IP-Adresse, die vom zwischengeschalteten Gerät für die Kommunikation mit dem Ziel verwendet wurde.
SrcNatPortNumber int Bei Meldung von einem NAT-Zwischengerät der vom NAT-Gerät für die Kommunikation mit dem Ziel verwendete Port.
SrcOriginalUserType Zeichenfolge Der ursprüngliche Zielbenutzertyp, sofern er vom Berichterstellungsgerät bereitgestellt wird.
SrcPackets long Die Anzahl Pakete, die für die Verbindung oder Sitzung von der Quelle ans Ziel gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, ist SrcPackets die Summe aller aggregierten Sitzungen.
SrcPortNumber int Der IP-Port, von dem die Verbindung stammt. Ist möglicherweise für Sitzungen, die mehrere Verbindungen umfassen, nicht relevant.
SrcSubscriptionId Zeichenfolge Die Abonnement-ID der Cloudplattform, zu der das Quellgerät gehört. SrcSubscriptionId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcUserId Zeichenfolge Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Quellbenutzers.
SrcUserIdType Zeichenfolge Der Typ der ID, die im Feld SrcUserId gespeichert ist.
SrcUsername Zeichenfolge Der Quellbenutzername einschließlich Informationen zur Domäne, falls verfügbar.
SrcUsernameType Zeichenfolge Gibt den Typ des Benutzernamens an, der im Feld SrcUsername gespeichert ist.
SrcUserType Zeichenfolge Der Typ des Quellbenutzers.
SrcVlanId Zeichenfolge Die zugehörige VLAN-ID für das Quellgerät.
SrcZone Zeichenfolge Die Netzwerkzone der Quelle, wie sie vom meldenden Gerät definiert wird.
_SubscriptionId Zeichenfolge Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist.
TcpFlagsAck bool Das gemeldete TCP-ACK-Flag. Das Bestätigungsflag (Acknowledgement) wird verwendet, um den erfolgreichen Empfang eines Pakets zu bestätigen. Wie wir aus dem obigen Diagramm sehen können, sendet der Empfänger im zweiten Schritt des dreistufigen Handshake-Prozesses einen ACK sowie eine SYN, um dem Absender mitzuteilen, dass es sein erstes Paket erhalten hat.
TcpFlagsFin bool Das gemeldete TCP FIN-Flag. Das „Finished“-Flag (fertig) bedeutet, dass keine weiteren Daten vom Absender mehr vorhanden sind. Daher wird es im letzten Paket verwendet, das vom Absender gesendet wird.
TcpFlagsPsh bool Das gemeldete TCP-PSH-Flag. Das Pushflaggen ähnelt dem URG-Flag und weist dem Empfänger an, diese Pakete zu verarbeiten, da sie empfangen werden, anstatt sie zu puffern.
TcpFlagsRst bool Das gemeldete TCP-RST-Flag. Das Zurücksetzen-Flag (Reset) wird vom Empfänger an den Absender gesendet, wenn ein Paket an einen bestimmten Host gesendet wurde, der es nicht erwartet hat.
TcpFlagsSyn bool Das gemeldete TCP SYN-Flag. Die Synchronisationskennzeichnung wird als erster Schritt bei der Einrichtung eines Drei-Wege-Handshakes zwischen zwei Hosts verwendet. Nur im ersten Paket sowohl des Absenders als auch des Empfängers sollte dieses Flag festgelegt sein.
TcpFlagsUrg bool Die TCP-URG-Kennzeichnung wurde gemeldet. Das „Urgent“-Flag (dringend) wird verwendet, um den Empfänger darüber zu benachrichtigen, dass die dringenden Pakete vor allen anderen Paketen verarbeitet werden sollen. Der Empfänger wird benachrichtigt, wenn alle bekannten dringenden Daten empfangen wurden. Weitere Informationen finden Sie unter RFC 6093.
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
ThreatCategory Zeichenfolge Die Kategorie der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware.
ThreatConfidence int Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100
ThreatField Zeichenfolge Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert ist entweder SrcIpAddr, DstIpAddr, Domain oder DnsResponseName.
ThreatFirstReportedTime datetime Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde
ThreatId Zeichenfolge Die ID der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware.
ThreatIpAddr Zeichenfolge Eine IP-Adresse, für die eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds, das ThreatIpAddr darstellt.
ThreatIsActive bool True ID; die identifizierte Bedrohung wird als aktive Bedrohung betrachtet.
ThreatLastReportedTime datetime Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde
ThreatName Zeichenfolge Der Name der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware.
ThreatOriginalConfidence Zeichenfolge Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet.
ThreatOriginalRiskLevel Zeichenfolge Die Risikostufe, wie vom meldenden Gerät gemeldet.
ThreatRiskLevel int Die der Sitzung zugeordnete Risikostufe. Die Ebene ist eine Zahl zwischen 0 und 100.
TimeGenerated datetime Der Zeitstempel (UTC), der die Uhrzeit widerspiegelt, in der das Ereignis generiert wurde.
type Zeichenfolge Der Name der Tabelle.