AdditionalFields |
dynamisch |
Zusätzliche Informationen, dargestellt mithilfe von Schlüssel-Wert-Paaren, die von der Quelle bereitgestellt werden, die nicht ASim zugeordnet sind. |
_BilledSize |
real |
Die Datensatzgröße in Bytes. |
DstAppId |
Zeichenfolge |
Die ID der Zielanwendung, wie vom meldenden Gerät angegeben. |
DstAppName |
Zeichenfolge |
Der Name der Zielanwendung. |
DstAppType |
Zeichenfolge |
Der Typ der Zielanwendung. |
DstBytes |
long |
Die Anzahl Bytes, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. Wenn das Ereignis aggregiert wird, ist DstBytes die Summe aller aggregierten Sitzungen. |
DstDescription |
Zeichenfolge |
Ein beschreibender Text, der dem Ziel zugeordnet ist. |
DstDeviceType |
Zeichenfolge |
Der Typ des Zielgeräts. |
DstDomain |
Zeichenfolge |
Die Domäne des Zielgeräts. |
DstDomainType |
Zeichenfolge |
Der Typ von DstDomain. |
DstDvcId |
Zeichenfolge |
Die ID des Zielgeräts. |
DstDvcIdType |
Zeichenfolge |
Der Typ von DstDvcId. |
DstFQDN |
Zeichenfolge |
Der Hostname des Zielgeräts einschließlich Domäneninformationen, sofern verfügbar. |
DstGeoCity |
Zeichenfolge |
Die Stadt, die der Ziel-IP-Adresse zugeordnet ist. |
DstGeoCountry |
Zeichenfolge |
Das Land/die Region, das bzw. die der Ziel-IP-Adresse zugeordnet ist. |
DstGeoLatitude |
real |
Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. |
DstGeoLongitude |
real |
Der Längengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. |
DstGeoRegion |
Zeichenfolge |
Die der Ziel-IP-Adresse zugeordnete Region bzw. das zugeordnete Bundesland/der zugeordnete Kanton innerhalb eines Landes. |
DstHostname |
Zeichenfolge |
Der Hostname des Zielgeräts ohne Domäneninformationen. |
DstInterfaceGuid |
Zeichenfolge |
Die GUID der Netzwerkschnittstelle, die auf dem Zielgerät verwendet wird. |
DstInterfaceName |
Zeichenfolge |
Die Netzwerkschnittstelle, die vom Zielgerät für die Verbindung oder Sitzung verwendet wird. |
DstIpAddr |
Zeichenfolge |
Die IP-Adresse der Verbindung oder des Sitzungsziels. |
DstMacAddr |
Zeichenfolge |
Die MAC-Adresse der Netzwerkschnittstelle, die vom Zielgerät für die Verbindung oder Sitzung verwendet wird. |
DstNatIpAddr |
Zeichenfolge |
Der DstNatIpAddr stellt eine der folgenden Elemente dar: Die ursprüngliche Adresse des Zielgeräts, wenn die Netzwerkadressenübersetzung verwendet wurde, oder die IP-Adresse, die vom Vermittlergerät für die Kommunikation mit der Quelle verwendet wurde. |
DstNatPortNumber |
int |
Bei Meldung von einem NAT-Zwischengerät der vom NAT-Gerät für die Kommunikation mit der Quelle verwendete Port. |
DstOriginalUserType |
Zeichenfolge |
Der ursprüngliche Zielbenutzertyp, sofern von der Quelle bereitgestellt. |
DstPackets |
long |
Die Anzahl Pakete, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, ist DstPackets die Summe aller aggregierten Sitzungen. |
DstPortNumber |
int |
Der Ziel-IP-Port |
DstSubscriptionId |
Zeichenfolge |
Die Abonnement-ID der Cloudplattform, zu der das Zielgerät gehört. DstSubscriptionId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
DstUserId |
Zeichenfolge |
Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. |
DstUserIdType |
Zeichenfolge |
Der Typ der ID, die im Feld DstUserId gespeichert ist. |
DstUsername |
Zeichenfolge |
Der Zielbenutzername einschließlich Domäneninformationen, sofern verfügbar. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. |
DstUsernameType |
Zeichenfolge |
Gibt den Typ des Benutzernamens an, der im Feld DstUsername gespeichert ist. |
DstUserType |
Zeichenfolge |
Der Typ des Zielbenutzers. |
DstVlanId |
Zeichenfolge |
Die zugehörige VLAN-ID für das Zielgerät. |
DstZone |
Zeichenfolge |
Die Netzwerkzone des Ziels, wie sie vom meldenden Gerät definiert wird. |
Dvc |
Zeichenfolge |
Ein eindeutiger Bezeichner des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
DvcAction |
Zeichenfolge |
Die für die Netzwerksitzung vorgenommene Aktion. |
DvcDescription |
Zeichenfolge |
Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primärer Domänencontroller. |
DvcDomain |
Zeichenfolge |
Die Domäne des Geräts, das das Ereignis meldet. |
DvcDomainType |
Zeichenfolge |
Der Typ von DvcDomain. Mögliche Werte sind "Windows" und "FQDN". |
DvcFQDN |
Zeichenfolge |
Der Hostname des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
DvcHostname |
Zeichenfolge |
Der Hostname des Geräts, das das Ereignis meldet. |
DvcId |
Zeichenfolge |
Die eindeutige ID des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
DvcIdType |
Zeichenfolge |
Der Typ von DvcId. |
DvcInboundInterface |
Zeichenfolge |
Bei Meldung von einem Zwischengerät die vom NAT-Gerät für die Verbindung mit dem Quellgerät verwendete Netzwerkschnittstelle. |
DvcInterface |
Zeichenfolge |
Die Netzwerkschnittstelle, über die Daten erfasst wurden. Dieses Feld ist in der Regel für netzwerkbezogene Aktivitäten relevant, die von einem Zwischen- oder TAP-Gerät erfasst werden. |
DvcIpAddr |
Zeichenfolge |
Die IP-Adresse des Geräts, das das Ereignis meldet. |
DvcMacAddr |
Zeichenfolge |
Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: 00:1B:44:11:3A:B7 |
DvcOriginalAction |
Zeichenfolge |
Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben. |
DvcOs |
Zeichenfolge |
Das Betriebssystem, das auf dem Gerät ausgeführt wird, das das Ereignis meldet. |
DvcOsVersion |
Zeichenfolge |
Die Version des Betriebssystems auf dem Gerät, das das Ereignis meldet. |
DvcOutboundInterface |
Zeichenfolge |
Bei Meldung von einem Zwischengerät die vom NAT-Gerät für die Verbindung mit dem Zielgerät verwendete Netzwerkschnittstelle. |
DvcSubscriptionId |
Zeichenfolge |
Die Abonnement-ID der Cloudplattform, zu der das Gerät gehört. DvcSubscriptionId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
DvcZone |
Zeichenfolge |
Das Netzwerk, in dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. Die Zone wird vom meldenden Gerät definiert. |
EventCount |
int |
Dieser Wert wird verwendet, wenn die Quelle Aggregation unterstützt. Ein einzelner Datensatz kann mehrere Ereignisse darstellen. |
EventEndTime |
datetime |
Der Zeitpunkt, zu dem das Ereignis geendet hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das letzte Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
EventMessage |
Zeichenfolge |
Eine allgemeine Nachricht oder Beschreibung. |
EventOriginalResultDetails |
Zeichenfolge |
Die ursprünglichen Ergebnisdetails, die von der Quelle bereitgestellt werden. Dieser Wert wird verwendet, um das Feld EventResultDetails abzuleiten, das nur einen der für jedes Schema dokumentierten Werte enthalten sollte. |
EventOriginalSeverity |
Zeichenfolge |
Der ursprüngliche Schweregrad, wie vom meldenden Gerät angegeben. Dieser Wert wird zum Ableiten von EventSeverity verwendet. |
EventOriginalSubType |
Zeichenfolge |
Der ursprüngliche Ereignisuntertyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. Dieses Feld wird beispielsweise verwendet, um den ursprünglichen Windows-Anmeldetyp zu speichern. Dieser Wert wird verwendet, um das Feld EventSubType abzuleiten, das nur einen der für jedes Schema dokumentierten Werte enthalten sollte. |
EventOriginalType |
Zeichenfolge |
Der ursprüngliche Ereignistyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. |
EventOriginalUid |
Zeichenfolge |
Eine eindeutige ID des ursprünglichen Datensatzes, sofern von der Quelle bereitgestellt. |
EventProduct |
Zeichenfolge |
Das Produkt, das das Ereignis erzeugt. |
EventProductVersion |
Zeichenfolge |
Die Version des Produkts, das das Ereignis erzeugt. |
EventReportUrl |
Zeichenfolge |
Eine URL, die im Ereignis für eine Ressource bereitgestellt wird, die weitere Informationen zum Ereignis enthält. |
EventResult |
Zeichenfolge |
Das Ergebnis des Ereignisses, dargestellt durch einen der folgenden Werte: Success, Partial, Failure, NA (Not Applicable). Der Wert kann nicht direkt von den Quellen bereitgestellt werden, in diesem Fall wird er von anderen Ereignisfeldern abgeleitet, z. B. dem Feld "EventResultDetails". |
EventResultDetails |
Zeichenfolge |
Grund oder Details für das im Feld EventResult gemeldete Ergebnis. |
EventSchemaVersion |
Zeichenfolge |
Die Version des Schemas. |
EventSeverity |
Zeichenfolge |
Der Schweregrad des Ereignisses. Gültige Werte sind: Informational, Low, Medium oder High. |
EventStartTime |
datetime |
Der Zeitpunkt, zu dem das Ereignis begonnen hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das erste Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
EventSubType |
Zeichenfolge |
Zusätzliche Beschreibung des Ereignistyps, falls zutreffend. |
EventType |
Zeichenfolge |
Der vom Datensatz gemeldete Vorgang. |
EventVendor |
Zeichenfolge |
Der Hersteller des Produkts, das das Ereignis erzeugt. |
_IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
NetworkApplicationProtocol |
Zeichenfolge |
Das Protokoll der Anwendungsschicht, das von der Verbindung oder der Sitzung verwendet wird. |
NetworkBytes |
long |
Die Anzahl Bytes, die in beide Richtungen gesendet werden. Wenn sowohl BytesReceived als auch BytesSent vorhanden sind, sollte BytesTotal ihrer Summe entsprechen. Wenn das Ereignis aggregiert wird, ist NetworkBytes die Summe aller aggregierten Sitzungen. |
NetworkConnectionHistory |
Zeichenfolge |
TCP-Flags und andere potenzielle IP-Headerinformationen. |
NetworkDirection |
Zeichenfolge |
Die Richtung der Verbindung oder Sitzung. |
NetworkDuration |
int |
Die Zeitspanne in Millisekunden für den Abschluss der Netzwerksitzung oder Verbindung. |
NetworkIcmpCode |
int |
Bei einer ICMP-Nachricht der numerische Wert für den ICMP-Nachrichtentyp, wie in RFC 2780 für IPv4-Netzwerkverbindungen bzw. in RFC 4443 für IPv6-Netzwerkverbindungen beschrieben. |
NetworkIcmpType |
Zeichenfolge |
Bei einer ICMP-Nachricht die Textdarstellung für den ICMP-Nachrichtentyp, wie in RFC 2780 für IPv4-Netzwerkverbindungen bzw. in RFC 4443 für IPv6-Netzwerkverbindungen beschrieben. |
NetworkPackets |
long |
Die Anzahl von Paketen, die in beide Richtungen gesendet werden. Wenn sowohl PacketsReceived als auch PacketsSent vorliegt, sollte BytesTotal ihrer Summe entsprechen. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, ist NetworkPackets die Summe aller aggregierten Sitzungen. |
NetworkProtocol |
Zeichenfolge |
Das IP-Protokoll, das von der Verbindung oder Sitzung verwendet wird, wie in der IANA-Protokollzuweisung aufgeführt, die in der Regel TCP, UDP oder ICMP ist. |
NetworkProtocolVersion |
Zeichenfolge |
Die Version von NetworkProtocol. |
NetworkRuleName |
Zeichenfolge |
Der Name oder die ID der Regel, anhand derer die Entscheidung für DvcAction getroffen wurde. |
NetworkRuleNumber |
int |
Die Nummer der Regel, anhand derer die Entscheidung für DvcAction getroffen wurde. |
NetworkSessionId |
Zeichenfolge |
Der Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. |
_ResourceId |
Zeichenfolge |
Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
SrcAppId |
Zeichenfolge |
Die ID der Quellanwendung, wie vom meldenden Gerät angegeben. |
SrcAppName |
Zeichenfolge |
Der Name der Quellanwendung. |
SrcAppType |
Zeichenfolge |
Der Typ der Quellanwendung. |
SrcBytes |
long |
Die Anzahl Bytes, die für die Verbindung oder Sitzung von der Quelle an das Ziel gesendet werden. Wenn das Ereignis aggregiert wird, ist SrcBytes die Summe aller aggregierten Sitzungen. |
SrcDescription |
Zeichenfolge |
Ein beschreibender Text, der der Quelle zugeordnet ist. |
SrcDeviceType |
Zeichenfolge |
Der Typ des Quellgeräts. |
SrcDomain |
Zeichenfolge |
Die Domäne des Quellgeräts. |
SrcDomainType |
Zeichenfolge |
Der Typ von SrcDomain. |
SrcDvcId |
Zeichenfolge |
Die ID des Quellgeräts. |
SrcDvcIdType |
Zeichenfolge |
Der Typ von SrcDvcId. |
SrcFQDN |
Zeichenfolge |
Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne. |
SrcGeoCity |
Zeichenfolge |
Die Stadt, die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoCountry |
Zeichenfolge |
Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoLatitude |
real |
Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoLongitude |
real |
Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoRegion |
Zeichenfolge |
Die Region innerhalb eines Landes, die der Quell-IP-Adresse zugeordnet ist. |
SrcHostname |
Zeichenfolge |
Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, kann die entsprechende IP-Adresse gespeichert werden. |
SrcInterfaceGuid |
Zeichenfolge |
Die GUID der Netzwerkschnittstelle, die auf dem Quellgerät verwendet wird. |
SrcInterfaceName |
Zeichenfolge |
Die Netzwerkschnittstelle, die vom Quellgerät für die Verbindung oder Sitzung verwendet wird. |
SrcIpAddr |
Zeichenfolge |
Die IP-Adresse, von der die Verbindung oder Sitzung stammt. |
SrcMacAddr |
Zeichenfolge |
Die MAC-Adresse der Netzwerkschnittstelle, von der aus die Verbindung oder Sitzung hergestellt wurde. |
SrcNatIpAddr |
Zeichenfolge |
Der SrcNatIpAddr stellt eine der Folgenden dar: Die ursprüngliche Adresse des Quellgeräts, wenn die Netzwerkadressenübersetzung verwendet wurde, oder die IP-Adresse, die vom zwischengeschalteten Gerät für die Kommunikation mit dem Ziel verwendet wurde. |
SrcNatPortNumber |
int |
Bei Meldung von einem NAT-Zwischengerät der vom NAT-Gerät für die Kommunikation mit dem Ziel verwendete Port. |
SrcOriginalUserType |
Zeichenfolge |
Der ursprüngliche Zielbenutzertyp, sofern er vom Berichterstellungsgerät bereitgestellt wird. |
SrcPackets |
long |
Die Anzahl Pakete, die für die Verbindung oder Sitzung von der Quelle ans Ziel gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, ist SrcPackets die Summe aller aggregierten Sitzungen. |
SrcPortNumber |
int |
Der IP-Port, von dem die Verbindung stammt. Ist möglicherweise für Sitzungen, die mehrere Verbindungen umfassen, nicht relevant. |
SrcSubscriptionId |
Zeichenfolge |
Die Abonnement-ID der Cloudplattform, zu der das Quellgerät gehört. SrcSubscriptionId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
SrcUserId |
Zeichenfolge |
Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Quellbenutzers. |
SrcUserIdType |
Zeichenfolge |
Der Typ der ID, die im Feld SrcUserId gespeichert ist. |
SrcUsername |
Zeichenfolge |
Der Quellbenutzername einschließlich Informationen zur Domäne, falls verfügbar. |
SrcUsernameType |
Zeichenfolge |
Gibt den Typ des Benutzernamens an, der im Feld SrcUsername gespeichert ist. |
SrcUserType |
Zeichenfolge |
Der Typ des Quellbenutzers. |
SrcVlanId |
Zeichenfolge |
Die zugehörige VLAN-ID für das Quellgerät. |
SrcZone |
Zeichenfolge |
Die Netzwerkzone der Quelle, wie sie vom meldenden Gerät definiert wird. |
_SubscriptionId |
Zeichenfolge |
Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
TcpFlagsAck |
bool |
Das gemeldete TCP-ACK-Flag. Das Bestätigungsflag (Acknowledgement) wird verwendet, um den erfolgreichen Empfang eines Pakets zu bestätigen. Wie wir aus dem obigen Diagramm sehen können, sendet der Empfänger im zweiten Schritt des dreistufigen Handshake-Prozesses einen ACK sowie eine SYN, um dem Absender mitzuteilen, dass es sein erstes Paket erhalten hat. |
TcpFlagsFin |
bool |
Das gemeldete TCP FIN-Flag. Das „Finished“-Flag (fertig) bedeutet, dass keine weiteren Daten vom Absender mehr vorhanden sind. Daher wird es im letzten Paket verwendet, das vom Absender gesendet wird. |
TcpFlagsPsh |
bool |
Das gemeldete TCP-PSH-Flag. Das Pushflaggen ähnelt dem URG-Flag und weist dem Empfänger an, diese Pakete zu verarbeiten, da sie empfangen werden, anstatt sie zu puffern. |
TcpFlagsRst |
bool |
Das gemeldete TCP-RST-Flag. Das Zurücksetzen-Flag (Reset) wird vom Empfänger an den Absender gesendet, wenn ein Paket an einen bestimmten Host gesendet wurde, der es nicht erwartet hat. |
TcpFlagsSyn |
bool |
Das gemeldete TCP SYN-Flag. Die Synchronisationskennzeichnung wird als erster Schritt bei der Einrichtung eines Drei-Wege-Handshakes zwischen zwei Hosts verwendet. Nur im ersten Paket sowohl des Absenders als auch des Empfängers sollte dieses Flag festgelegt sein. |
TcpFlagsUrg |
bool |
Die TCP-URG-Kennzeichnung wurde gemeldet. Das „Urgent“-Flag (dringend) wird verwendet, um den Empfänger darüber zu benachrichtigen, dass die dringenden Pakete vor allen anderen Paketen verarbeitet werden sollen. Der Empfänger wird benachrichtigt, wenn alle bekannten dringenden Daten empfangen wurden. Weitere Informationen finden Sie unter RFC 6093. |
TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
ThreatCategory |
Zeichenfolge |
Die Kategorie der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware. |
ThreatConfidence |
int |
Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
ThreatField |
Zeichenfolge |
Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert ist entweder SrcIpAddr, DstIpAddr, Domain oder DnsResponseName. |
ThreatFirstReportedTime |
datetime |
Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
ThreatId |
Zeichenfolge |
Die ID der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware. |
ThreatIpAddr |
Zeichenfolge |
Eine IP-Adresse, für die eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds, das ThreatIpAddr darstellt. |
ThreatIsActive |
bool |
True ID; die identifizierte Bedrohung wird als aktive Bedrohung betrachtet. |
ThreatLastReportedTime |
datetime |
Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
ThreatName |
Zeichenfolge |
Der Name der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware. |
ThreatOriginalConfidence |
Zeichenfolge |
Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet. |
ThreatOriginalRiskLevel |
Zeichenfolge |
Die Risikostufe, wie vom meldenden Gerät gemeldet. |
ThreatRiskLevel |
int |
Die der Sitzung zugeordnete Risikostufe. Die Ebene ist eine Zahl zwischen 0 und 100. |
TimeGenerated |
datetime |
Der Zeitstempel (UTC), der die Uhrzeit widerspiegelt, in der das Ereignis generiert wurde. |
type |
Zeichenfolge |
Der Name der Tabelle. |